没有一个星期,2015年过去了,没有出现大的数据泄露,显著的攻击活动,或严重的漏洞报告。许多事件被禁用的安全控制,执行错误或其他基本的安全错误的结果,突出组织多远有钉降低IT安全基础去。
但在展望花园式的各种攻击和漏洞借给深刻洞察恶意活动以及如何抵御它的未来。和2015年有其耐人寻味入侵的份额,其中的每个强调,导致违规或需要新的防御精确领域的新形式改进的方法。在过去的一年里,网络罪犯采用创新的方法和国家支持的演员变得更大胆。动机转移,金融增益不再发动攻击的唯一原因。造成物理伤害,窃取商业机密,黑客作为抗议的形式 - 2015年是一年中的恶意活动服务过众多的目的。
日益紧密的世界意味着坏人会造成大量伤害的;更重要的是,许多恶意演员现在有能力和手段来进行冷却的攻击。下面是一些在过去一年中最显著的事件,其中每个进一步推动整个安全对话,表现出新的道路和防御需求的综合报道。难道我们错过了哪一个?
下坝比特币
比特币 - 和加密货币的一般想法 - 捕捉主流关注今年以来,因为谁使用的平台为掩护支付恶意行为的一部分。勒索团伙在要求支付比特币解锁受害者的文件和文件夹之前,并勒索了以换取不发动对网站的DDoS攻击需要比特币。但比特币由安全头条几次在2015年出于不同的原因:贼偷保持比特币......很多很多。
欧洲交易所Bitstamp发现在1月初损害其业务比特币钱包存储的一个后暂停交易。交换被认为是世界上第三大繁忙和处理所有的比特币交易的大约6%。19000个比特币,约合500万$,在当时被偷走。这是不是唯一的比特币的攻击,基于中国交换BTER在二月报道,比特币7,170,约合1.75亿$,从它的冷钱包系统被盗。小偷在偷月BTC 10.235,大约$ 2,500,从Bitcoin钱包启动。
认为这是对传统的银行抢劫一拧:而不是抢劫银行账户,往来的袭击。除了显示有与虚拟货币相关联的真正的金融价值,在盗窃强调“为国际公认的安全标准”,比特币的需求,Florindo加利基奥,在CISO的Optiv局信息安全主管说。今年二月,Cryptocurrency认证协会(C4),提出了10条标准化规则的创建,存储,审计和使用比特币的,作为Cryptocurrency安全标准(CCSS)的一部分。
而被盗的数额不小,但相比85万个比特币,价值近4.5亿$,从日化交换山消失苍白GOX在2014年的交流,相信已处理的所有比特币的70%,有自闭和进入破产。日本警方认为,盗窃是一种监守自盗。
正如人们经常用技术的情况下,各交易所迄今集中在功能性和实用性,安全事后,史蒂夫 - 唐纳德,网络的Hexis解决方案的首席技术官。许多攻击依靠社会工程获得到交换网络中的立足之地。交流需要采用安全的代码开发实践,以及动态和静态代码分析,以保护他们的应用程序。“比特币交易所应高度incented以提高安全性,因为这将是一个需要在此之前新型货币将实现大规模使用,”卢克 - 唐纳德说。
网络进入现实世界
网络攻击这一结果在现实世界中的伤害比他们做的脱屏更经常发生在电视节目。这是可怕的,当Shamoon恶意软件攻击消灭部分或全部在2012年摧毁了沙特阿拉伯石油公司沙特阿美背35000个计算机硬盘驱动器,我们看到的网络和物理之间的模糊再 - 是公平的,攻击在2014年和实际发生报告提供的细节发布不久在今年年底之前 - 在一位不愿透露姓名的德国钢厂当攻击者操纵和破坏控制系统。高炉无法正常关闭,造成“大规模”损害赔偿,据报道。
还有就是要考虑网络攻击有关窃取数据或脱机敲系统的趋势。可以有现实世界的伤害,太。攻击者有可能危及制药公司的生产工艺和质量控制体系和修改配方特定药物。医院系统也容易受到攻击,特别是由于许多遗留系统仍然在使用,不能保证。医院高达20%很容易受到可以禁用重症监护系统的攻击,加利基奥说。
“人们可以从网络攻击进行人身伤害,”加利基奥说。
工业控制系统的安全性出现了很多的谈话,但事件在德国钢厂强调了一个事实,这种威胁不再仅仅是理论。一个面向工业控制系统的安全性,尤其是制造业所面临的挑战,是一个简单的事实是,系统通常被控制,并通过运营和工程部门,而不是IT管理。操作和工程团队以安全为代价集中在可靠性,并作出决定,以维持正常运行时间。
提高防御需要“基础知识和更现代的防御的组合,”如确保在不同网络之间适当的分割和访问控制,唐纳德说。
金融犯罪云大
有一些针对金融机构的攻击在2015年,但没有比Carbanak犯罪团伙,其有针对性的100家多家银行和其他金融机构在30个国家更大胆。卡巴斯基实验室预计自2013年底该团伙偷了高达1十亿$,并设法留在雷达下了两年,因为它保持2.5亿$ $和1,000万元间的每一笔交易。
针对金融机构的攻击的规模表明罪犯是从低价值与消费者相关的攻击,如赞成高附加值的攻击身份和信用卡被盗移开。“老‘砸,抢’的工作正变得精心策划和执行的作业,”迈克·戴维斯,CounterTack的CTO说。
联邦调查局还警告说,增加社会工程活动,其中攻击者发送一封电子邮件,声称是从CEO或其他高级管理人员的CFO或其他行政授权电汇。如果收件人被欺骗和转移之前不验证邮件的真实性,钱没了,通常为好。
尽管外部攻击者仍然对金融机构的最大威胁,2015年显示出内部人士会造成损坏,以及。今年早些时候,摩根士丹利的一名前雇员认罪从70多万个客户账户窃取机密资料,而他在面试新工作有两个竞争对手。和外部攻击者瞄准谁已经可以访问敏感数据的内部人士。Encryption, dynamic security policies that travel with data, and robust multifactor authentication controls are some of the defenses financial institutions should consider to ensure that unauthorized individuals can’t read anything they shouldn’t be allowed to see, said Ron Arden, vice-president of Fasoo.
对违反雷达保健
一些在2015年涉足医疗保健机构,其中包括国歌,Excellus蓝十字蓝盾,Premera蓝十字和CareFirst,最大的违反仅举几例。10个最大的医疗保健违反八个发生在2015年,根据卫生和人类服务的美国能源部。
它的难怪保健后,袭击者去,因为公司往往有宝贵的数据,包括姓名,地址,社会保险号,医疗记录和财务信息。该数据是难以改变的,这意味着它具有较长的保质期,可以在各种后续攻击中使用。攻击者在2015年访问的100个多万元的医疗记录。
虽然一些违规的可能是身份盗窃等网络犯罪活动的一部分,安全专家认为,国歌是中国国有演员的工作。攻击者可能已被用于情报目的对特定个人数据之后,或者他们可能希望有关如何医疗保险和保险数据库建立的知识产权。中国政府否认与袭击事件有任何牵连,与中国当局最近逮捕他们声称已经有针对性的国歌为网络犯罪目的的个人。
“就像在金融垂直行业如何演变到下一代的银行抢劫案,我们很快就会看到攻击者使用医疗保健信息的记录,以支持更复杂的商业模式,”伊茨克科特勒,联合创始人兼首席技术官SafeBreach说。
这些攻击是成功的很大一部分原因是医疗保健公司传统上不投入尽可能多的安全举措的金融机构拥有。国歌违约,特别是表现出一定的医疗保健公司基本安全最佳实践多远滞后。由于目标在2014年震撼了零售板块流出的自满,国歌做医疗保健行业坐起来,并注意其面临的非常现实的危险。
围绕敏感数据更糟的是,加密的做法没有效果。在许多保健漏洞,用户被社会工程他们的证书,很容易让攻击者绕过加密控件。它并不需要很多,无论是。攻击者窃取了从大型医疗保险公司8000万个个人记录的影响只有五个用户帐户,BlueTalon首席执行官Eric Tilenius,说。“每个公司都应该问,‘如果一个用户帐号被窃取多少数据被暴露?’,然后工作,以限制暴露,”他说。
“不要紧,你的安全平台是多么强大,如果员工没有在最佳安全实践适当的训练,这一切都可以走出去的窗口,”加里·麦克拉肯,在WinMagic技术的副总裁。
攻击作为一项长期的游戏的一部分
也许最有趣的,显著,和震撼力安全事件的2015年是攻击对人事管理的美国办事处。数以百万计的政府雇员,美国军事人员和政府承包商谁曾接受背景调查和安全检查的个人数据被窃取。在典型的数据泄露,因为他们希望它具有信息攻击目标的组织。在OPM的情况下,攻击者不希望记录只是为了让他们的缘故,而是为了获得有针对性的个人背景信息。
“[OPM的违约]代表在其最好的人的目标,了解员工是我们最大的安全隐患...链条我们最薄弱的环节,”在NetIQ公司,Micro Focus公司的安全产品组合解决方案战略的经理蕾妮布拉德肖说。
攻击的方法遵循一个公式:目标在社会工程攻击的分包商,窃取凭据来访问网络。植物恶意软件的系统上,并创建一个后门。几个月Exfiltrate数据,未被发现。在OPM较差的安全实践水平“令人震惊”,包括缺乏一致的漏洞扫描和双因素身份验证,以及不合时宜的补丁管理,布拉德肖说。
OPM的突破口还强调组织的脆弱性社会工程。政府雇员和承包商现在受到安全意识培训课程,以了解鱼叉式网络钓鱼和其他社交媒体威胁的危险。
漏洞失控
在今年夏天对球队黑客攻击是大开眼界。在驻米兰一家公司开发和销售监控软件,以世界各地的政府机构。公司依靠零日漏洞来开发软件,这是难以检测和可能截取通讯。当一个未知的个体释放超过从黑客团队窃取的数据,包括电子邮件通讯,业务文档和源代码,安全研究人员发现了证明的概念在Adobe Flash Player中三种不同的零日漏洞的400GB。当Adobe争着要尽快修复漏洞,网络罪犯能够创建攻击和大规模攻击中使用它们。
“囤积零日漏洞在国家和私人层面是很危险的每一个人。我们不能指望拔得头筹,如果我们坐在这些类型的漏洞,”汤姆Gorup,在安全咨询公司鲁克保障安全运营负责人说。
