安全事件

國內(nèi)外各大安全廠商或媒體都在爭相報道Colonial Pipeline被勒索事件以及美國宣布進入國家緊急狀態(tài)等，此次網(wǎng)絡攻擊事件最早爆光在5月8號，筆者先給大家梳理一下這次攻擊事件的一些相關(guān)信息。

5月8號(上周五)，美國最大的燃油料管道-殖民地管道公司(Colonial Pipeline)受到網(wǎng)絡攻擊，該公司主動采取一定的系統(tǒng)隔離措施，同時暫停了所有流水線作業(yè)，公司被迫關(guān)閉運營，Colonial Pipeline位于墨西哥灣沿岸的煉油廠與美國南部和東部市場之間運輸精煉石油產(chǎn)品。該公司每天通過其5500英里的管道輸送250萬桶石油，占東海岸所有燃料消耗的45％，該管道系統(tǒng)橫跨得克薩斯州休斯敦和新澤西州林登之間的5500多英里。

5月9號，在其官網(wǎng)上發(fā)布了相關(guān)的通告，如下所示：

在通告中Colonial Pipeline證實了此次網(wǎng)絡攻擊事件涉及勒索軟件，同時該公司聘請了一家領先的第三方網(wǎng)絡安全公司(疑似FireEye)參與事件的應急響應和調(diào)查處理，目前該攻擊事件仍在進一步的調(diào)查和取證階段，不過目前已經(jīng)對該事件的性質(zhì)和范圍進行了一些初步的確認。

同時在5月9號，美國國家網(wǎng)絡安全和基礎設施安全局(CISA)得知了Colonial Pipeline被勒索軟件攻擊事件，并發(fā)布了相關(guān)的防御措施建議等，如下所示：

勒索軟件指導和相關(guān)資源：

https://www.cisa.gov/ransomware

5月9日早上，美國總統(tǒng)拜登也聽取了關(guān)于這一攻擊事件的簡報，聯(lián)邦政府正在積極評估這一事件的影響，避免供應中斷，并幫助該公司盡快恢復管道運營。

黑客針對國家級的關(guān)鍵基礎設施進行攻擊，并不是今天才發(fā)生的，早在2012年，美國國土安全部(DHS)，就已經(jīng)發(fā)現(xiàn)警告，黑客組組將天然氣行業(yè)作為攻擊目標，同時在2014年，美國幾家天然氣管道運營商受到網(wǎng)絡攻擊，2020年美國國家安全局(NSA)與網(wǎng)絡安全和基礎設施安全局(CISA)發(fā)布了聯(lián)合警報，敦促關(guān)鍵基礎設施運營商立即采取措施，減少受到網(wǎng)絡攻擊的風險。

其實早在幾個月以前，美國網(wǎng)絡安全和基礎設施安全局(CISA)發(fā)布了旨在加強管道運營商防御能力的網(wǎng)絡安全評估工具，相關(guān)工具的網(wǎng)站：

https://www.cisa.gov/pipeline-cybersecurity-initiative，因為美國的管道基礎設施由數(shù)千家公司和超過270萬英里的管道組成，負責運輸石油，天然氣和其他商品，是美國經(jīng)濟和國家安全的關(guān)鍵推動力。然后也就在CISA發(fā)布了評估工具后幾個月，Colonial Pipeline就受到了這次重大的網(wǎng)絡安全攻擊......

從全球網(wǎng)絡安全的發(fā)展來看，未來國家的關(guān)鍵基礎設施及系統(tǒng)會成為黑客組織攻擊的一個重點目標，各個國家都要重視相關(guān)基礎設施的保護，以防止被惡意軟件進行攻擊，前幾天美國阿拉斯加法院系統(tǒng)也因受到惡意軟件的感染，而被迫下線，全球各地每天都有各不同的網(wǎng)絡安全攻擊事件發(fā)生，網(wǎng)絡安全形勢非常嚴峻。

勒索病毒發(fā)展

從2017年5月，WannaCry勒索病毒在全球范圍內(nèi)大爆發(fā)，到2021年5月，美最大的燃油料管道公司被勒索軟件攻擊，這幾年勒索軟件層出不窮，新的勒索病毒家族不斷涌現(xiàn)，勒索病毒背后的黑客組織也不斷壯大，更多的黑客組織開始使用勒索病毒發(fā)起攻擊，同時勒索病毒黑客組織的攻擊和傳播方式也在不斷更新，從最初通過RDP等方式為主導傳播勒索病毒，到后面通過各種漏洞傳播勒索病毒，發(fā)展到現(xiàn)在通過各種其他流行惡意軟件來傳播勒索病毒，從最近報道的幾起重大勒索病毒攻擊案例發(fā)現(xiàn)，在這幾次重大的勒索病毒事件中都發(fā)現(xiàn)有其他惡意軟件家族的身影，甚至還有一些技術(shù)成熟的APT組織也加入到了勒索病毒攻擊當中，通過APT攻擊的一些手法來傳播勒索病毒，全球主流的勒索病毒黑客組織從最開始簡單的勒索贖金的方式，發(fā)展到勒索+竊密的方式，再到后面通過建立各種暗網(wǎng)網(wǎng)站，通過公布受害者的企業(yè)數(shù)據(jù)來逼迫企來交納贖金，根據(jù)國外某平臺監(jiān)控已經(jīng)有二十多個勒索病毒家族背后的黑客組織建立了專門的暗網(wǎng)網(wǎng)站，用來發(fā)布受害者數(shù)據(jù)，可以說不管是從勒索病毒的開發(fā)，還是勒索病毒的攻擊手法，還是勒索病毒運營，黑客組織都在不斷的運營，開發(fā)新的勒索病毒軟件，使用不同的攻擊手法，更新勒索病毒的運營方式，迫使受害者交納更多的贖金，同時保證勒索的成功率。

安全行業(yè)

此次事件的分析，就到這里，筆者再談一下自己對安全行業(yè)的理解，僅代表個人的觀點與看法，相關(guān)言論與任何組織、團隊、公司均無關(guān)。

安全行業(yè)在未來的5-10年時間將是一個全新的發(fā)展和黃金時期，未來安全行業(yè)將會成為一個以服務為主的行業(yè)，安全即服務，事實上也正在朝這個方向發(fā)展，通過單一或多個安全產(chǎn)品去檢測和防御未來的高級威脅已經(jīng)基本不可能了，未來的網(wǎng)絡攻擊活動都是具有強針對性和高目標性的，黑客組織會使用各種不同的攻擊手法，攻擊鏈的時間線也會越來越長，前期會通過各種手段獲取到目標的更多信息，然后再一步一步深入的滲透，發(fā)起網(wǎng)絡攻擊，面對這種攻擊，任何安全產(chǎn)品都是無法滿足客戶的實際需求的，因為每次的攻擊使用的攻擊手法和攻擊過程都可能是不一樣的，這種多樣的攻擊性和極高的隱蔽性的特點，導致安全產(chǎn)品無法及時有效的更新，就像現(xiàn)在很多勒索病毒的攻擊活動一樣，會通過其他各種不同的惡意軟件家族進行傳播，也就是說某個企業(yè)只要中了一款流行的惡意軟件，就極有可能最后會成為勒索病毒的受害者，而且你也不知道企業(yè)是否被安裝了惡意軟件，也許只有當你被勒索的那一刻你才會發(fā)現(xiàn)自己其實早就被入侵了，黑客早就安裝了惡意軟件在自己的企業(yè)環(huán)境當中獲取重要的數(shù)據(jù)，就像筆者之前說的，現(xiàn)在還有多少惡意軟件隱藏在企業(yè)當中沒有被發(fā)現(xiàn)，其實是未知的，這也就是為啥現(xiàn)在很多安全廠商推出了一項服務：威脅獵捕，通過安全專家和企業(yè)積累的一些安全數(shù)據(jù)，幫助企業(yè)快速發(fā)現(xiàn)潛在的風險，以及隱藏在企業(yè)當中的惡意軟件，這種威脅獵捕服務，其實主要就是依靠經(jīng)驗豐富的安全人員。

未來安全行業(yè)，甲方買設備，乙方賣設備的時代已經(jīng)過去了，未來各種盒子和安全產(chǎn)品都會淪為一個工具，這些工具用于幫助安全專家發(fā)展?jié)撛诘奈ｋU或給安全專業(yè)提供輔助分析使用，安全需要專業(yè)的安全團隊去運營，同時需要有更多經(jīng)驗豐富專業(yè)的安全人員去給客戶提供更專業(yè)的服務，才能滿足客戶的真實需求，未來安全行業(yè)就兩樣東西有價值：1.人 2.數(shù)據(jù)，只要把安全人員的專業(yè)能力培養(yǎng)起來，把安全數(shù)據(jù)積累起來，你就能把安全做好。

人的價值，我就不多說了，安全就是人與人的斗爭，筆者之前多篇文章里也提到了，專業(yè)的安全人才永遠是安全的核心，未來不管是國家、政府，企業(yè)都需要更多專業(yè)的安全人才，如果不明白的可以去學習筆者之前寫的一些文章。

數(shù)據(jù)的價值 ，可能大多數(shù)人還不明白，很多人一開口總是會說某某XX技術(shù)感覺很牛逼，XX平臺感覺很牛逼，XX框架感覺很牛逼，國外啥啥很牛逼之類的，其實只是還沒明白，牛逼的并不是這些東西，而且數(shù)據(jù)，沒有數(shù)據(jù)，一切都是空談，沒啥價值，只有有了數(shù)據(jù)，這些東西才會變得有價值，威脅情報的核心其實也是數(shù)據(jù)。

之前有人在群里問我，能不能寫一篇關(guān)于如何溯源的文章？我當時在群里就回答了，當你掌握了扎實的基礎安全技能之后，溯源往往更多的時候是靠運氣的，如果還需要靠什么，其實就是時間和精力以及成本、代價所決定的，溯源這個東西你處理的案例多了就會明白，沒處理過實際的案例也沒辦法理解，現(xiàn)在很多人想學習怎么進行威脅獵捕和安全分析，其實這一方面是由自己的安全分析能力和安全經(jīng)驗決定的，另一方面是由你掌握的安全數(shù)據(jù)決定的，你的安全分析能力和安全經(jīng)驗越強，你分析的速度就會越快，你能掌握多少安全數(shù)據(jù)，你就能溯源到什么層次，國外一些安全廠商動不動就喜歡在網(wǎng)站上公布一些APT組織的個人信息啥的，其實很多時候，并不是國外的安全廠商技術(shù)有多牛逼，只是他們掌握的數(shù)據(jù)可能更多而已，必竟很多數(shù)據(jù)還是掌握在他們手上，這也是我們的短板所在，有些方面會受制于人。

安全經(jīng)驗這個是由人來決定的，你處理的安全事件越多，你積累的安全經(jīng)驗就會越豐富，這個沒辦法一天練成，需要長時間的積累，當你分析和研究過很多家族樣本或安全漏洞，你在應急的時候能更快的定位到問題，也能更快的分析和響應，這個靠實戰(zhàn)和積累。

未來的網(wǎng)絡安全攻擊行為更多的是以定向針對性和有目地的高級威脅為主，這種高級威脅行為有一個特點就是攻擊的周期會比較長，誰能在這個周期內(nèi)更快的幫助企業(yè)發(fā)現(xiàn)防御這種攻擊，可能誰就能更好的贏得客戶的信任。

其實很多東西都是需要自己去實踐和積累才會明白，有些東西過幾年可能就會明白了，也許過幾年你已經(jīng)轉(zhuǎn)行了，安全確實并不適合所有人，需要你真的熱愛這個行業(yè)，愿意花更多的時間去研究和經(jīng)營它，很多事情只有經(jīng)歷過的人才會明白，安全的核心永遠是人，安全產(chǎn)品的關(guān)鍵一定是靠運營，并不是什么平臺，框架，技術(shù)等，安全產(chǎn)品做的好的企業(yè)，一定是有很多專業(yè)的安全人員花了很多時間和精力去持續(xù)運營的，而不是靠吹使用了某個很牛逼的技術(shù)之類的，更多筆者的一些觀點和看法，可以查看公眾號之前的文章。

好了，就先寫這些吧，筆者的兩大愛好，一個安全研究，一個安全寫作，有空再給大家分享吧。文章來源地址http://www.zghlxwxcb.cn/news/detail-832425.html

到了這里，關(guān)于從美油管運營商被勒索事件淺談安全行業(yè)的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！