Dark Reading年中数据泄露报告:2016年TOP7安全事件盘点

2016年已经过去了一半,全球的安全性问题一直备受关注,漏洞和泄露事件的披露始终占据媒体的头条榜首。说起今年以来的重大安全事件,不知道你脑海里浮现的是哪几起?

Dark Reading 年中数据泄露报告内容如下:

NO.1 乌克兰“电力门”

乌克兰攻击事件实际发生于2015年12月底,而针对乌克兰“电力门”事件的主要报道及分析结果则出现于2016年第一季度。

2016年1月4日,ESET公司就发表文章称,乌克兰境内的多家配电公司设备中监测到的KillDisk,由此怀疑使用了BlackEnergy后门,攻击者能够利用它来远程访问并控制电力控制系统。由于此事件是针对电力设备的攻击,对于国家关键基础设施的安全性具有非比寻常的意义,故存在巨大的风险。

乌克兰电网攻击事件带来的教训

据专家分析,本次事故中的网络攻击手段包括三种:其一,利用电力系统的漏洞植入恶意软件;其二,发动网络攻击干扰控制系统引起停电;其三,干扰事故后的维修工作;

针对此次乌克兰电网攻击事件,得出如下教训:

1.安全防护体系存在漏洞,网络隔离不足。乌克兰各类公司间为了发、输、配电业务的通信和控制便利,通过互联网连接,控制类与非控制类系统未进行物理隔离。

2.网络安全监测不力。网络安全监测可以有效的发现攻击行为,阻止攻击进行,避免损失。乌克兰电网的攻击者进行了长达6个月的“潜伏”,在几个月时间当中,他们进行了广泛的网络侦察、探索与映射工作,并最终获得了访问Windows域控制器以管理网络内用户账户的能力。以此为基础,他们收集到相关员工登录凭证以及部分工作用VPN以远程登录至该SCADA网络,并逐步实施后续攻击计划。此次黑客成功入侵电网,乌克兰电力却未发现攻击行为,可谓监测不到位。

3.网络和信息安全意识淡薄。事件发生前,国际安全机构曾对乌克兰电力机构发布预警信息,但未引起重视。黑客通过邮件伪装而成功诱骗乌克兰电力工作人员运行恶意程序,说明其电力工作人员网络安全意识淡薄。

4.不间断电源(UPS)同样需要安全防护。乌克兰电网攻击中,攻击者对提供后备电力的不间断电源(简称UPS)进行了重新配置,随后通过被劫持的VPN接入到SCADA网络,并发送命令以禁用已经被重新配置的UPS系统。此行为,加重了乌克兰攻击事件的受灾度,所以UPS的安全防护同样不容忽视。

5.警惕不断涌现的攻击新技术。参加相关调查工作的乌克兰与美国计算机安全专家们指出,攻击者们覆写了16座变电站的关键性设备固件,这些恶意固件在十几座变电站中成功通过串行到以太网转换机制取代了合法固件(该转换机制负责处理来自SCADA网络并用于控制变电站系统的命令)。

安全专家表示:

“这种针对特定目的的恶意固件更新(指向工业控制系统)此前从未出现过,从攻击的角度来看,这绝对是种天才之举。我的意思是,他们虽然目的邪恶,但手段确实非常高明。”

No.2勒索软件风头日盛

勒索软件近年来持续活跃,有关勒索软件的新闻已经超过APT攻击,成为2016年的主要话题。根据卡巴斯基实验室的恶意软件报告表明,Q1季度检测到2,900种最新的勒索软件变种,较上一季度增加了14%。现在,卡巴斯基实验室的数据库包含约15000种勒索软件变种,而且这一数量还在不断增加。

2016年第一季度,卡巴斯基实验室安全解决方案共拦截了372,602次针对用户的勒索软件攻击,其中17%针对企业用户。遭遇攻击的用户数量同2015年第四季度相比,增加了30%。

2016年第一季度排名前三位的勒索软件分别为:Teslacrypt(58.4%)、CTB-Locker (23.5%) 和 Cryptowall (3.4%)。这三种恶意软件主要通过包含恶意附件的垃圾邮件或指向受感染网页的链接进行传播。

1.TeslaCrypt

TeslaCrypt勒索软件瞄准的主要是游戏平台的玩家们,被盯上的游戏平台包括使命召唤、暗黑破坏神、异尘余生、Minecraft、魔兽争霸、F.E.A.R、刺客信条、生化危机、魔兽世界、英雄联盟以及坦克世界等。TeslaCrypt利用Flash Player漏洞(CVE-2015-0311)或者一个古老的IE浏览器漏洞将TeslaCrypt勒索软件植入目标系统上。然后对受害者文件进行加密,勒索赎金。

2.CTB-Locker

2015年5月1日,名为“CTB-Locker”的比特币敲诈病毒在国内爆发式传播,该病毒通过远程加密用户电脑文件,从而向用户勒索赎金,用户文件只能在支付赎金后才能打开。反病毒专家称,目前国内外尚无法破解该病毒。

3.Cryptowall

Cryptowall 拥有一系列的恶意勒索软件,一旦受害者感染了这些病毒,它们会立即对机器上的所有文件加密。病毒感染受害者机器的方式有:通过看似合法的附件和通过硬盘本身存在的恶意程序。Cryptowall自2013年出现以来,不断的更新变化,到目前为止已经更新到Cryptowall 4.0版本。该版本的Cryptowall结合地下市场上最强大的入侵开发工具——核开发组件(Nuclear exploit kit)。

No.3 医院勒索

说起勒索软件,今年来,医院应该是最大的受害者。毕竟与商业机构相比,医院对于系统安全性的要求更高,更需要保持救护系统的正常运行,以确保其病人的健康,也正是如此,医院成功吸引了攻击者的目光。其中最耸人听闻的攻击应该是发生在2016年3月的,针对美国好莱坞长老会医院的攻击,最终该医院支付了高达1.7万美元的赎金,重新恢复被勒索软件锁定的文件。

更多医院受灾

Methodist医院在3月18日遭受勒索软件攻击,在接下来五天都处于“紧急状态”,随后他们报告称解决了这个问题,没有支付任何赎金。

3月,美国加州两家医院被勒索:Chino Valley医疗中心和Desert Valley医院—这两家医院都属于医院管理公司Prime Healthcare Services;该公司发言人称,这两家医院都没有支付赎金,并且没有病人数据被泄露。

3月,加拿大渥太华的一家医院被勒索软件攻击。该医院没有支付赎金,而是隔离系统、清理驱动器并从备份恢复来解决问题。

另外, Ruby Memorial医院也受到“恶意软件或病毒”攻击,但医院发言人称该攻击并不是瞄准病人和员工数据,也没有企图窃取数据。

网络安全公司CrowdStrike公司联合创始人兼首席技术官Dmitri Alperovitch表示:

“医院不是唯一的受害者,我们看到很多行业(包括医疗保健、州政府和地方政府、中小企业和大型企业等)遭受勒索软件攻击。根据网络威胁联盟的报告显示,勒索软件估计造成总共约3.25亿美元的损失,但在现实中,这个数据可能远远不止于此。

No.4 苹果“加密门”

2016年可不只有持续不断的攻击和漏洞事件,还有震动全球的FBI与苹果的”加密之争“,该事件对全球的司法及社会都产生了深远的影响。

FBI与苹果:隐私之战

2015年的12月,美国加州圣贝纳迪诺(San Bernardino)发生了一起严重的恐怖袭击事件,被警察射杀的凶手Farook留下了一支被密码锁屏的iPhone 5c。这就是引起这场“加密之争”的导火索。回顾本次事件,我们可以概括为:FBI想要让苹果解锁一部恐怖分子的iPhone,但是遭到了拒绝。然后FBI想通过法院来让苹果妥协,但是最终 在开庭的前一天,FBI通过第三方的帮助成功解锁了iPhone,并放弃了起诉。

资深政策顾问Ross Schulman表示:

“这不仅仅是一部iPhone的问题······这关系到我们所有的软件和数字化设备,如果联邦调查局寻求的先例得以实现,那将对我们日常使用的手机和电脑的可靠性,造成真正的灾难,我们一直相信那些公司是出于保护我们的安全考虑而升级各类软件,但倘若它们只是为了给我们的安全埋下隐患,那我们更情愿不要升级。”

美国东北大学的计算机科学与法律教授Andrea M. Matwyshyn在舒尔曼的看法上做了延伸,她说道:

“现众多科技公司研发更强的安全性保护,并将其作为产品新特征,是因为如今身份盗窃愈发猖狂,用户担心身份信息被窃。通过加强安全性,我们就能够与更严重的犯罪抗争,防止它们的发生。因此,这是一场关于应该以防止新型犯罪还是传统犯罪的激烈讨论。”

未来,隐私加密之路将何去何从,我们只能拭目以待了……

No.5 IRS(国税局)税务欺诈事件

2015年5月,美国税局(IRS)遭遇黑客攻击,10万名左右美国公民账号的登录权限被盗,不过伴随着调查的不断深入,这个数字在不断增长。去年8月,受影响纳税人数量已经增至22万,而未被登录但也涉及其中的纳税人数量也增至17万。现在,这个数字已经增长到了可怕的70万。

国税局可能是收集美国公民信息最多的联邦政府部门,黑客这一举动严重威胁到公民隐私和财物安全。参议院财政委员会主席Orrin Hatch对这份报告表达了极度的担忧,他害怕IRS大量的数据泄露将让辛勤工作的纳税人遭遇新的欺诈。

而事实证明,大量数据泄露确实带来了更为严重的税务欺诈事件。其实早在2014年3月就曝出退税资金被盗取事件,攻击者获取这些美国公民信息后,可以修改退税信息,将退税资金直接存到自己的银行账户。

国税局估计,在2013年就有纳税人和犯罪分子利用虚假材料骗取58亿美元的退税款。2014年被骗取的退税款高达5000万美元。更为严重的是,遭窃取的信息是纳税人的永久信息,在未来仍能继续用来骗取退税。

此外,泄露的信息还被用于钓鱼攻击,针对纳税人实施钓鱼欺骗,冒充IRS人员骗取纳税人资产,造成大量资金损失。

  美国国税局提醒民众,警惕电话钓鱼诈骗

No.6 SWIFT系统风波

从去年开始,世界范围内使用SWIFT系统的银行相继被曝出盗窃案件,从2015年1月的厄瓜多尔银行损失1200万美元,10月的菲律宾银行,到今年2月孟加拉国央行曝出被盗窃8100万美元,随后第二家及第三家银行(也是最初受害者)被黑的消息被公开。5月菲律宾一家银行又被盗,这次他们又造成乌克兰银行上千万美元的损失。

  黑客利用SWIFT系统攻击全球银行系统线路图

一系列的案件逐渐引起了人们对SWIFT系统的关注,并对SWIFT系统的安全性打上了问号。而针对这些攻击事件,SWIFT与2015年5月27日宣布了新的客户方案,以加强针对网络威胁的安全防护:

全球范围内信息共享,实现客户事件的快速反馈,提升网络防护能力;

提升SWIFT相关工具的安全性;

提供审计框架,制定相关的审计标准和认证程序,在客户现场进行安全管理;

增加针对支付模式的安全监控;

加强第三方供应商的安全支持。

No.7 SSL DROWN

2016年3月,国外研究人员发现OpenSSL出现新的安全漏洞“DROWN”,全称是 Decrypting RSA with Obsolete and Weakened eNcryption,即“利用过时的脆弱加密算法来对RSA算法进破解”。据OpenSSL安全公告,DROWN是一种跨协议攻击,如果服务器使用了SSLv2协议和EXPORT加密套件,那么攻击者就可利用这项技术来对服务器的TLS会话信息进行破解。

攻击者可利用这个漏洞破坏网站加密体系,发起“中间人劫持攻击”,从而窃取HTTPS敏感通信,包括网站密码、信用卡帐号、商业机密、金融数据等。据统计,该漏洞影响了全世界多达1100万个HTTPS网站,其中包括雅虎、阿里巴巴、新浪微博、新浪网、360、BuzzFeed、Flickr、StumbleUpon 4Shared 和三星等知名网站。

漏洞检测:

安全无小事,虽然 DROWN 漏洞直接利用成本较高,降低了被攻击的风险,但是如果有其他漏洞配合 DROWN 漏洞进行组合攻击,危害将不可预期。

DROWN研究团队提供了在线检测,方便了用户自行检查,检测地址为:

https://test.drownattack.com/

如果你是一名技术人员,还可以利用一些漏洞检测脚本,比如:

OpenSSL提供的检测脚本:

https://mta.openssl.org/pipermail/openssl-dev/2016-March/005602.html

DROWN Scanner:

https://github.com/nimia/public_drown_scanner#drown-scanner

不过,这些检测方法并不是百分之百准确的,都存在误报或漏报的可能。

DROWN漏洞也许不如Heartbleed漏洞的影响范围广,也比Heartbleed更难理解。但从攻击模式看DROWN可以被动收集加密信息、并在之后再展开在线攻击,DROWN攻击并不要求在信息传输时展开在线攻击,也即DROWN可以攻击离线的加密信息,因此DROWN可以解密之前被认为坚不可破的TLS流量,DROWN的影响和潜在威胁其实远超出预想。

以上为Dark Reading总结的2016上半年最重大的安全事件,您想到的是这些吗?当然,2016上半年发生的安全大事件肯定不仅于此,您眼中的最大威胁的安全事件是哪些?欢迎与小编一起交流哦~

====================================分割线================================

本文转自d1net(转载)

时间: 2024-10-26 06:04:12

Dark Reading年中数据泄露报告:2016年TOP7安全事件盘点的相关文章

好好上个网不容易:2016上半年网络安全事件盘点

不看不知道,一看吓一跳.你想好好上个网,其实不太容易,一不小心你就可能中招. 不要不相信,11月16日,中国电信股份有限公司北京研究院与北京神州绿盟信息安全科技股份有限公司(以下简称绿盟科技)等单位共同发布了调研产出的<2016年上半年中国网站安全报告>,其中给出了一组数据: 相比2015年上半年,2016年上半年高危漏洞占比有所增加.2015年上半年监测发现每个网站平均漏洞数达658个,其中,高危漏洞数为7个.2016年上半年监测的网站数据显示,平均每个网站漏洞数达773个,其中,高危漏洞数

《贵州省大数据发展报告(2016)》白皮书发布

5月26日,2017中国国际大数据产业博览会上发布了<贵州省大数据发展报告(2016)>白皮书.白皮书从发展历程.丰硕成果.问题与挑战以及未来发展重点几个方面全景式反映了近年来贵州省大数据的发展状况,阐明了未来贵州省大数据的发展重点. 白皮书综述了2012年以来,我省发挥优势.瞄准机遇.先行先试,积极推进大数据战略行动,大数据发展由探索起步到展翅腾飞的简要历程,总结了我省大数据产业发展在顶层设计.基础建设.数据融通.产业发展.融合运用.建规立制等方面的主要做法及成效. 白皮书还总结了当前我省大

2016 年上半年焦点信息安全事件盘点:要想好好上个网,容易嘛我!

       不看不知道,一看吓一跳.你想好好上个网,其实不太容易,一不小心你就可能中招. 不要不相信,11月16日,中国电信股份有限公司北京研究院与北京神州绿盟信息安全科技股份有限公司(以下简称绿盟科技)等单位共同发布了调研产出的<2016 年上半年中国网站安全报告>,其中给出了一组数据: 相比 2015 年上半年, 2016 年上半年高危漏洞占比有所增加. 2015 年上半年监测发现每个网站平均漏洞数达 658 个,其中,高危漏洞数为 7 个. 2016 年上半年监测的网站数据显示,平均每

2015年年中总结暨2016年全年计划 ----#天生骄傲#

终于盼到年末的最后一天,此时此刻的我跟去年今天的我一样坐在电脑前总结一年的得与失,遥望星空与脚踏实地.2015年是一个不平凡的一年,2015年是一个丰硕的一年也是一个损失的一年.这一年既有辛苦开心的汗水也有男儿有泪不轻弹的泪水,真情的泪水让我更加懂得珍惜现在拥有的.有时候我们也在问自己我们这么拼命的工作跻身中上层社会是为了什么?为的不就是让自己亲人更好的物质生活.下面总结一下自己的方方面面.这个是我的2014年总结:2014年感想总结 - 满招损,谦受益. - 博客频道 - CSDN.NET,现

人工智能 2016 十大里程碑盘点!革命还是泡沫?

又是新的一年,2016 在骚动中落下帷幕.回头看去,我们发现这一年的科技圈颇不平静: 大趋势上,AI 助手层出不穷,自动驾驶风雨欲来,各大机器学习平台相继开源: 通讯上,5G 标准初定,蓝牙 5.0 启用,美国断网事件使僵尸网络成为"网红": 明星企业中,讯飞火了,SpaceX 要让人类移民火星,Nvidia 用去火星的钱砸出新泰坦: 数码界的噩耗,安卓老大三星炸了,智能手表鼻祖 Pebble 死了. 然而最引人注目的,还是 2016 愈演愈烈的 AI 浪潮--甚至把这一年发生的事称之

2016年全球十大网络安全事件盘点

网络安全从未向今天这样距离我们如此的近!安全客作为有思想的安全新媒体,致力于为广大安全从业者提供最前沿.最深度的网络安全资讯.近日,我们收集整理出了全球十大网络安全事件,回顾这些事件的影响力,或是已经世人皆知,或是已经能够直接影响到了我们的生活. 我们对这十大网络安全事件进行盘点,总结发现以下几大趋势: 金融网络安全引发普遍担忧.孟加拉央行8100万美元失窃巨款,厄瓜多尔Banco del Austro银行约1200万美金被盗,越南先锋银行也被曝出黑客攻击未遂,近一年来黑客利用SWIFT系统漏洞

2016年全球网络安全事件十宗“最”

2016年网络安全问题频出,网络安全已经成为我们国家.企业.个人密不可分的一部分,"没有网络安全,就没有国家安全"! 为此,我们收集整理了2016年全球网络安全十宗"最",我们一起回顾下过去一年网络安全的大事件: ▌最痛心- 徐玉玉事件被关注 电信诈骗成舆论焦点 2016年8月,因被诈骗电话骗走上大学的费用9900元,徐玉玉伤心欲绝,郁结于心,最终导致心脏骤停,虽经医院全力抢救,但仍不幸离世.徐玉玉事件引发社会热议,电信诈骗再次成为舆论焦点.此后,最高法院.最高检察

2016年虚商盘点:多元化发展 盈利已不是水中月

刚刚过去的2016年对于虚商来说,既有欣喜,又有痛苦.欣喜的是经历了两年的试点,部分虚商找到了自己市场定位并终于实现了盈利,痛苦的是电信诈骗.实名制问题将虚商推向了风口浪尖上. 不过,2016年仍旧是国内虚商值得纪念的年份,在实名制.电信诈骗等不利因素影响下,虚商仍旧实现了用户规模高速增长,同时还在实现了盈利. 用户规模超4300万 多元化发展找准市场定位 根据最新的统计数字,截至2016年年底,我国移动转售用户数超过了4300万,占全国移动用户数的3%左右,41家开展的企业中有11家企业用户数

报告:10%的数据泄露事件超过1年才被发现

在去年的一份数据泄露报告中,研究人员对82个国家,超过10万起安全事件和2260起已证实数据泄露事件进行了分析.2015年的调查中发现,人的因素是其中最弱的一环.在2016年网络罪犯在依靠诸如网络钓鱼之类熟悉的攻击模式的同时,一直持续利用着人类的本性弱点.并且,公司终端用户的各种小失误占据了安全事件根源榜首位置. 2017年,据Verizon安全研究部门调查发现,安全人员发现数据泄露事件的时间往往较为"延期",有10%的数据泄露事件甚至超过1年才被发现,如果人的弱点在企业.机构持续发展