朝鲜正利用 “广泛且日益复杂的” 网络攻击来窃取资金的消息凸显了民族国家网络攻击所造成的 “附带损害” 风险——一位安全专家警告称,如今,企业之间的联系日益密切,如果他们没能与合作伙伴和其他利益相关者协调网络安全防御方案,那么他们就有可能沦为民族国家网络攻击活动的受害者。
2016 年,联合国应美国的要求就朝鲜的核项目和导弹计划对该国实施了一系列经济制裁,该国也受到了这些制裁的影响。例如,贸易禁令削弱了朝鲜的煤炭出口,而煤炭出口正是朝鲜外汇收入的主要来源。但是最近,在联合国安理会的会议中,有专家小组指出,朝鲜正通过网络攻击和区块链技术来规避经济制裁以及获取外币。据会议统计,截至目前,朝鲜已经设法通过 “广泛且日益复杂的” 网络攻击窃取了 20 亿美元,以资助其军事发展项目。
这些针对 17 个国家超过 35 家银行和加密货币交易所的攻击活动,凸显了民族国家网络攻击日益动荡的状态——而这种状态也导致企业(相互联系但不相关)风险日益加剧。
前 FBI 特工 Shawn Henry 表示:没人愿意在针对其他人的攻击活动中受到波及。但是由于如今所有的网络都是连通的,所以发生这种情况下的可能性实际上又很大。
而且这种风险还会持续走高,因为 “更加厚颜无耻的” 对手要么压根不害怕被发现,要么不认为自己会被发现。即便是他们被发现了,他们也不认为会受到任何形式的报复或问责。
这种态度也加剧了目前来自民族国家网络攻击的风险,这种不引人注意的黑客攻击行为正在不断增长,同时也对政府机构和充斥着各类个人或商业敏感信息的企业造成了潜在的灾难性新威胁。
目前,世界各地的政府机构都在加紧研究和关注各类恶意黑客组织,2019 年 2 月 19 日,美国网络安全技术公司 CrowdStrike 发布了《2019年全球网络安全威胁报告》,其中重点提到了一个关键概念——突破时间 (Breakout Time),是指入侵者发起攻击到成功获得系统权限的时间。该报告显示,俄罗斯政府支持黑客组织的平均突破时间仅为 19 分钟,也就是说,在漏洞被曝出之后,黑客最快在不到 20 分钟的时间里就能够实施行动。
从初始妥协到在目标网络中横向移动仅需要 19 分钟!这无疑给首席安全官们施加了额外的压力,以敦促他们实施有效的检测和应对措施。
鉴于网络攻击者正在不断调整其攻击技术,以适应不同目标地区的相对脆弱性特征,这种压力还会进一步加剧。
例如,恶意软件、注册表运行密钥和命令行界面攻击是印度太平洋地区最常见的攻击媒介。相比之下,在针对拉丁美洲目标的攻击活动中,恶意软件的使用率超过了 75%;而在针对 EMEA(欧洲、中东、非洲三地区的合称)组织的攻击活动中,超过一半都使用了脚本。
这种多样性意味着根本不存在一种通用的解决方案,可以用来检测和管理此类攻击——如果谨慎的攻击者选择 “靠山吃山”,通过依赖内置的系统工具 (PowerShell和JavaScript) 来发动攻击,那么就会进一步加剧检测难度。而一旦目标受到攻击,人类攻击者就可以采取控制措施来探索和定位需要获取的数据等信息。
从我们过去两年观察到的情况来看,对手的能力已经从恶意软件转移到了无签名攻击,他们会利用操作系统中的现有功能在未被检测到的环境中移动。除非有一些震慑力——前提是受害者有能力检测到这些攻击行为,否则针对企业组织的攻击只会继续有增无减。然而,可惜的是,许多组织都错失了良机。不可否认,现在很多企业的董事会和首席执行官都非常关注且迫切想要了解业务风险——但仍然有一些组织选择对网络安全采取放任自流的态度,并且盲目自信地认为自己能够在事情发生时妥善地进行处理。无疑,这种态度是坚决不可取的!
一旦遭受民族国家攻击者的公开侵犯,持有这种态度的人将需负上特殊责任。面对这种对网络安全放任自流的企业组织,攻击者一般会迅速调整他们的战术和强度,不费吹灰之力就能 “探囊取物”。
攻击者这种针对不同情况不断调整攻击战略的做法 “确实对整个生态系统造成了一些重大变化”,组织需要采取一种前所未有的方式才能得到保护。
最后,需要注意的是,这种风险很有可能会超出预期——如果我们想要削减这种被许多专家定义为 “毁灭性及可能存在的武器部署” 的使用率,就必须现在便开始对其进行更深入、广泛地讨论和研究。
相关阅读
