幽灵肥皂剧导致韩国多家金融及广电公司受到攻击

网络信息安全从业人员有些看过韩国2012年推出的网络安全肥皂剧《幽灵》,在电视剧里,黑客哈达斯劫持了巨型电视屏幕并向路人组播手机短信,更有国家电力、银行、交易所以及安全机构遭遇黑客强力攻击的场景很难被人忘却。

如果说肥皂剧编导的灵感来自于现实,那么而今肥皂剧里的情形又回到了现实,媒体近日便报导了韩国多家广电及金融机构被黑客攻击的新闻,并且多家国际大牌安全公司纷纷参与调查和补救。

我们想问一问:这是机运巧合吗?不,这是必然要发生的,尽管互联网安全专家们拿出各种证据和推测,比如这个蠕虫,那个漏洞,还有来自朝鲜的分布式拒绝服务攻击流量,甚至之前用于窃取中东石油大亨机密的恶意代码,就差破坏硬盘分区表和启动区域的CIH病毒、破坏SCADA工控设备的Stuxnet和千年虫了……

为什么说这是必然要发生的呢?关键是有一种无形的力量在促成,神秘学教的会员们相信人们的意识灵感是相通的,科学家也相信人类会通过脑电波或地球磁场传递一些信息,社会学家也认为媒体的教育示范作用不可忽视,电脑设计师认为虚拟和现实实际上是一体的……

让我们分析一下安全威胁来自何处,最大的可疑分子便是近来很嚣张、撕破停战协议、宣称进入战时准备状态的韩国敌对邻国朝鲜,甚至有西方安全专家称这些攻击属于高级可持续威胁APT类,称经过分析发现攻击代码异常高明,非个人或小型黑客组织的实力范围,推断是有国家赞助的黑客行为。

实际上我们早有领教过部分西方安全“砖家”的政治气节,也能体会国外同行们民族立场的因素和养家糊口的难处,不过,如果我们把近期美国对中国网络黑客的责难与韩国遭黑事故联系起来,就会发现事情远不那么简单。

如果说在“中国黑客论”上英联邦国家媒体是美国的跟屁虫,往往一起瞎起哄,那韩国则是打着聪明的如意小算盘——抱紧美国的大腿,在朝鲜半岛问题上取得主动权。想想看,为何韩国早晚不出事,偏等到美国总统和财长都为网络安全向中国施加压力的时候同时出事呢?

明眼的安全专家知道:安全事故发生不可避免,不同机构陆续出现安全入侵事件也是正常的,可是那些主导世界舆论的暗黑势力可不管你那么多,它们会将多个陈年旧事整合到一起,找个好机会,添油加醋,好好炮制,充分利用。

暗黑势力如同幽灵肥皂剧里的幕后操纵者那样,掌握着人们大量的隐私和不良证据,以此来要挟媒体、大众和其它国家。大型财阀到死还不知为何那多人要背叛他,泱泱大国才不会有如此智商的政客会轻易就范。

韩国多家金融及广电公司遭黑客袭击的真正原因是什么,是系统未修复的漏洞?表面上至少是如此,但是更深层次讲,是人们脆弱的安全防范意识不敌攻击者的碰坏企图和高明手法。网络安全肥皂剧《幽灵》从反面教育了攻击者如何实施网络犯罪,却没有从正面教育好人们如何防范网络犯罪分子的恶劣行为,以至于好人们没能及时发现和修复信息系统和管理工作中存在的安全隐患。

无形的力量有正有邪,《幽灵》肥皂剧中的邪恶力量与现实中的邪恶力量结合起来,压住了互联网安全的浩然正气,这正是导致韩国被黑的关键原因。如何让正义战胜邪恶呢?我们需要用先进的网络信息安全文化,用正确的信息安全理念来武装大脑,只有我们拥有了安全的内心,邪恶的黑暗势力便拿我们没折,我们才有安全的行为,才能够获得安全的保障。

防范黑客,重在我心安全,我行安全!

cyber-attacks-cyber-army

实实在的信息安全综合解决方案拒绝忽悠

APT,Advanced persistent threat,高级可持续性威胁,是目前信息安全领域比较热门的一个词汇,不过不要被它那华丽的字眼和恐怖的描述所吓倒,当然,在遭遇黑客攻击之后也不要立即宣称受到APT攻击,企图受到谅解或蒙混过关。

让我们先看看它的定义,它通常指一个群体,例如外国政府,有能力和意图长期而有效地针对特定的目标(发动渗透攻击),这样说来单个黑客甚至小型的黑客团队即使再厉害,也算不上APT,因为他们力量微薄,攻击的方式方法有限,也不具有持续性。

除了在国家政治军事层面,目前比较公认的震网(Stuxnet)病毒属于APT,在商业领域,APT也经常会被用称呼基于互联网的商业间谍攻击,具体的方式包括:病毒感染、供应链渗透、社会工程等。

想主动利用病毒感染这种传统的方式入侵目标系统并不容易,多数商业组织都有安全网关,它往往使用特定的安全操作系统,只要更新及时并做好基本的安全加固,并不容易受到病毒的感染,而在网关的保护下,内网的计算系统往往不会被互联网直接访问到,直接进行病毒攻击也很难得逞,所以在国外流行扔U盘或其它终端计算设备,利用它们来感染拾到者的电脑,当然我们相信正常的防病毒系统会查出已知的病毒程序,而且新型防病毒系统也有些未知病毒的识别功能,不过要彻底防范,还需更多安全控制措施,更需要教育用户的安全防范意识。

通过供应链渗透则更是费事,多数组织在供应链及合作伙伴的安全管理上并非无所作为,通常会设置防火墙访问控制策略,并且在应用系统中设置帐户和数据的访问权限,所以想借助供应链从网络和应用系统层面入侵的成功性很小,但是不排除利用组织内部员工,比如假借供应链关系,通过收买或贿赂等手段在组织内部安放潜伏人员,这些招数也只能通过安全意识教育、安全行为监控、安全人员管理比如员工背景审查、签定保密协议等手段来约束。

社会工程防范基本上不能信赖技术控管措施,对组织并不熟悉的网络钓鱼、诈骗电话等等伎俩实际上很容易被内部员工识别出来,但前提是他们要有相关的安全防范意识,敢怀疑和挑战可疑的信息索取请求。

接连几年,知名信息安全公司Verizon持续进行着数据安全泄漏情况的调查,结果显示每年的数据泄露原因都无差别,大部分的受害者并没有受到未知的不明的或不可阻止的攻击,而是员工不小心插了受到感染的拇指硬盘、在电话里向坏家伙们提供了敏感信息、向“朋友”分享了进入系统的密码、点击了邮件中的钓鱼链接、或者放“合同工”或“同事”进入了组织的设施内部。

诚然,我们可以通过技术手段来控管这些ATP所借助的攻击渠道,比如禁用USB接口、过滤和实时监听电话交谈内容、使用多因素认证系统、监控邮件外发和接收、实施防尾随及防带人安保措施等等,然而这样做的代价太大,成本太高,而且仍然防不胜防,比较经济实用的防范方式是加强员工在安全防范方面的意识认知,提高其警惕性和对可疑人物及行为的识别能力。

亭长朗然科技有限公司的安全研究员James Dong称:“尽管企业很难成为APT的攻击目标,但是仍然可以从APT攻击手法中吸取适当的教训用于防范各类安全攻击,最重要的是要员工认识到安全不是其他人的问题或职责,而是自己的职责,只有每位员工都保护好了自己,并且积极帮助他人,组织才能获得全面的安全。”

别再拿APT忽悠一般商业客户了,他们根本不会成为APT攻击的目标,而且信息安全防范并不需要什么故弄玄虚的高招,脚踏实地遵循业界最佳操作实践,真心诚意为客户解决安全问题的方案,即使您的产品和服务并不能全面帮助客户,也应该让客户了解事实真相,这才是获得客户长久信赖的上策。