唯彩会回顾:2021年度七大代表性网络安全事件

2022-01-09

  2021年闭公然呈现的 Log4j 缺欠急迅成为该年影响力最大的安乐恐吓。然而,这并不是企业安乐团队面对的独一困难,据身份偷盗资源核心( ITRC )的数据显示,仅 2021 年前三季度公然陈述的数据泄漏事变就众达 1,291 起;Redscan 对美邦邦度通用缺欠数据库( NVD )的一项新调研显示, 2021 年披露的缺欠数目( 18,439 个)比以往任何一年都众。更倒霉的是,个中绝大一面都可能被黑客以至技巧才干有限的攻击者应用。

  以下列出了 2021 年最具代外性的 7 起汇集安乐事变,个中蕴涵数据泄漏、攻击和缺欠等。

  2021年12月初, Log4j 日记框架中一个重要的长途代码践诺缺欠恐惧了悉数行业,可能说,近年来很少有其他缺欠具备如许震慑力。这种忧虑源于如此一个实情,即该东西正在企业运营( OT )、软件即办事( SaaS )和云办事供给商( CSP )境况中普通存正在,且相对容易应用。该缺欠为攻击者供给了一种长途控征服务器、 PC 和任何其他筑设的法子,网罗存正在日记东西的要害运营( OT)和工业限制体例( ICS )境况中的筑设。

  截至 2021 年 12 月 17 日,暂未展现与此缺欠闭联的巨大数据泄漏事变。然而,安乐专家深信攻击者肯定会应用该缺欠,并正在可意思的异日赓续如此做,由于企业很难找到易受攻击体例的每一个实例并有用提防该缺欠。很众安乐厂商陈述了针对种种 IT 和 OT 体例(网罗办事器、虚拟机、唯彩会转移筑设、人机界面体例和 SCADA 筑设等)的平常扫描行径,个中很众都涉及考试投币发现东西、长途拜候木马、恐吓软件和 Web shell ;涉及的恶意行动者则网罗已知的出于经济动机的恐吓机闭,以及来自伊朗和土耳其等邦度助助的 APT 机闭。

  2021 年 5 月,针对美邦管道运营商 Colonial Pipeline 的恐吓软件攻击攻陷了讯息头条,此举对美邦远大大家形成了平常影响:停滞了数百万加仑燃料的运输,并激发了美邦东海岸大一面区域的短暂性自然气欠缺。这发难变也获胜将恐吓软件擢升为邦度安乐级此外题目,并惹起了白宫的眷注。事变爆发几天后,拜登总统发外了一项行政下令,央浼联邦机构实践新的限制程序以加紧汇集安乐。

  据悉,此次事变的情由是黑客机闭利用了被盗的旧 VPN 左证取得了对 Colonial Pipeline 汇集的拜候权限。这种攻击法子自己并非稀少值得提防,但捣蛋自己却是可睹的、存心义的,并且很众政府官员都能切身感触到。这也促使美邦两党和政府普及了利用可重用暗码等题目的门槛。虽说高度眷注能够不会形成立竿睹影的开展,但它仍旧促使了邦度层面临汇集安乐的眷注。

  2021 年 7 月初, IT 处置软件供应商 Kaseya 爆发的安乐事变,再次凸显了企业面对来自 IT 供应链中供应商的恐吓正日益加剧。

  该事变其后归因于 REvil/Sodinokibi 恐吓软件机闭的一个隶属机构,个中涉及恐吓行动者应用 Kaseya 虚拟体例处置员( VSA )技巧中的三个缺欠,而很众托管办事供给商( MSP )利用该技巧来处置其客户的汇集。攻击者应用这些缺欠,利用 Kaseya VSA 正在属于 MSP 下旅客户的数千个别例上分发恐吓软件。

  Kaseya 攻击凸显了恐吓行动者对一次性捣蛋众个倾向(如软件供应商和办事供给商)的趣味日益浓重。固然这不是外率的供应链攻击——由于它应用了已摆设的 Kaseya VSA 办事器缺欠,但 MSP 向其客户分发软件的 Kaseya 机制是伸张攻击鸿沟和速率的要害。该事变促使美邦汇集安乐和根基办法安整体( CISA )发轶群个恐吓警报,并为 MSP 及其客户供给指引。

  2021年3月初,当微软针对其 Exchange Server 技巧中的四个缺欠(统称为“ ProxyLogon ”)发外垂危修复步伐时,激发了一场空前绝后的修补狂潮。

  ProxyLogon 缺欠为恐吓行动者供给了一种未经身份验证的长途拜候 Exchange 办事器的法子。它实质上是一个电子版本,从企业的重要入口上移除扫数拜候限制、戒备和锁,如此任何人都可能进入。极少安乐厂商的探问外白,几个恐吓机闭正在补丁发外之前就仍旧对准了这些缺欠,而且正在微软披露缺欠后,很众其他机闭也参与了这一活跃。攻击数目如许之众,乃至于 F-Secure 称“ Exchange Server 被黑客入侵的速率比咱们联思的要疾”。

  与很众其他供应商相似,微软当时也发起企业假设本人已被捣蛋并做出反响。正在缺欠披露后不到三周,微软陈述称,环球约 92% 的 Exchange 办事 IP 已被修补或缓解。可是,企业对攻击者正在修补之前安置正在 Exchange Server 上的 Web shell 的忧虑已经挥之不去,促使美邦邦法部选取了空前绝后的程序,下令 FBI 主动从后门 Exchange Server 中删除 Web shell 。

  微软对 PrintNightmare 的披露促使 CISA 、 CERT 调解核心( CC )和其他机构发外垂危发起,促使企业急迅禁用要害体例上的 Print Spooler 办事。PrintNightmare 是微软长久存正在缺陷的 Print Spooler 技巧中、几个必需修补的缺陷中较重要的一个。PrintNightmare 之因而特地紧急,是由于该缺欠存正在于简直每个 Windows 体例上都邑安置的“ Print Spoole ”办事中。这意味着攻击者有一个壮大的攻击面行为倾向,并且禁用这些办事并不老是可行的,由于必要它来便利打印。

  美邦、加拿大、新加坡、荷兰和其他邦度/区域众个机闭正在 2021 年 2 月遇到了重要的数据泄漏事变,由于他们利用的 Accellion 文献传输办事存正在缺欠。零售企业 Kroger 是最大的受害者之一,其药房和诊所员工和数百万客户的数据惨遭泄漏。其他知名的受害者还网罗众达状师事宜所、新加坡电信、华盛顿州和新西兰储藏银行。

  Accellion 将该题目描摹为“与其近乎过期的文献传输筑设技巧中的零日缺欠相闭”,当时很众机闭正正在利用该技巧正在其内部和外部传输大型文献。安乐厂商 Mandiant 的探问显示,攻击者利用 Accellion 技巧中 4 个零日缺欠行为攻击链的一一面。Mandiant 其后将这回攻击归因于与 Clop 恐吓软件家族和 FIN11 (一个出于经济动机的 APT 机闭)相闭联的恐吓行动者。

  Digital Shadows 汇集恐吓谍报阐述师 Ivan Righi 展现, Accellion 攻击是 2021 年头的巨大安乐事变,由于它呈现了恐吓软件供应链攻击的紧张性。Clop 恐吓软件团伙不妨应用 Accellion 文献传输筑设( FTP )软件中的零日缺欠一次锁定浩瀚企业,这大大削减了攻击者告终初始拜候所需的职业和元气心灵。

  2021 年 2 月,一名攻击者入侵佛罗里达州奥兹马市一家水照料厂的体例,并试图改造一种名为碱液的化学物质浓度,该化学物质用于限制水的酸度。当入侵者试图将碱液秤谌普及 111 倍时被觉察,正在其形成损坏之前,很疾取得了复兴。随后对该事变的阐述显示,入侵者取得了属于水照料办法操作员的体例拜候权限,能够利用被盗的 TeamViewer 左证长途登录了该体例。

  此次入侵使美邦要害根基办法正在汇集攻击眼前的一连懦弱性呈现无遗,再次露出了入侵饮用水照料办法的监控和数据搜集( SCADA )体例是何等简略的事变。该事变还促使 CISA 警惕要害根基办法运营商,正在境况中利用桌面共享软件和过期或亲昵报废软件(如 Windows 7)的紧张性。