随着生成式人工智能的流行,攻防双方基于AI的博弈,贯穿了2023年网络安全的各个角落。攻击方绞尽脑汁,极尽变化之能事,在攻击手法上不断推陈出新;防守方则见招拆招,在政策、法规、技术、体系上不断完善。
回头看过去的一年里,有太多的事情留下了或轻或重的足迹。下面就来盘点一下,2023年网络安全领域究竟发生了哪十件大事。
01
ChatGPT掀起网络安全的“AI革命”
2022年11月30日,OpenAI正式发布了人工智能聊天机器人ChatGPT,五天用户突破100万人,两个月后,也就是2023年1月份,瑞银集团研究显示该应用的月活跃用户数突破1亿人。
这本是一件发生在2022年的事情,却在2023年掀起了滔天巨浪。谷歌、微软、百度、阿里等巨头们纷纷下场,掀起了一场属于人工智能的“战争”。与此同时,黑客们不会放过任何一次技术的狂欢,ChatGPT可观的编程能力、漏洞挖掘能力迅速被用于编写攻击程序、制作漏洞利用工具,这大幅度降低了网络攻击发起的门槛。受此影响,2023年网络攻击次数、规模均再创新高。
很快,安全巨头就做出了回应。微软率先于3月份发布了首款AIGC加持的安全工具Security Copilot。据微软官方表述,该工具将帮助安全团队识别恶意活动,过滤海量流量和安全信号中的噪音。
在国内,奇安信于8月25日推出了奇安信安全机器人QAX-GPT,产品全面整合了业内最大规模的安全专家团队、海量的安全知识数据,以及在历年实战攻防演习中锤炼出来的最强攻击能力、防守能力,帮助客户解决告警疲劳、人才缺乏、效率低下等方面的难题。
随着生成式人工智能应用的不断深入,利用AI消除告警疲劳、解放安全运营人员生产力,已经成为了所有网络安全公司共同探索的方向。
02
又一针对中国境内的网络攻击组织遭到曝光
2月18日,北京奇安盘古实验室公开了一份报告,揭秘了疯狂对华实施数据窃取的ATW组织。
报告显示,2021年10月以来,一名为 AgainstTheWest(简称“ATW”)的黑客组织,将中国作为主要攻击目标,疯狂实施网络攻击、数据窃取和披露炒作活动,对我国的网络安全、数据安全构成严重危害。
自成立伊始,ATW组织就疯狂从事反华活动,公开称“将主要针对中国、朝鲜和其他国家发布政府数据泄密帖子”。还专门发布过一篇题为“ATW-对华战争”的帖子,赤裸裸地支持“台独”、鼓噪“港独”、炒作新疆“人权问题”,并多次声明“攻击目标是俄罗斯、白俄罗斯和中国、伊朗、朝鲜”、“愿意与美国、欧盟政府共享所有文件”、“愿受雇于相关机构”。
据不完全统计,自2021年以来,截至报告发布时止,ATW组织披露涉我重要信息系统源代码、数据库等敏感信息70余次,宣称涉及100余家单位的300余个信息系统。
这是自2022年2月,该实验室公开揭露隶属于美国国家安全局(NSA)的超一流黑客组织“方程式”制造“电幕行动”(Bvp47),攻击中国等国家和地区的完整证据链条后,再次曝光对华实施数据窃取和网络攻击的黑客组织。
03
二十天三起数据泄露,ChatGPT直面信任危机
3月11日,三星的半导体事业暨装置解决方案事业部(DS)部门允许员工使用ChatGPT,随后20天内就发生了3起将公司内部半导体数据上传到ChatGPT的事件。
其中,员工A用ChatGPT帮自己查一段代码的bug,而这段源代码与半导体设备测量数据有关;员工B想用ChatGPT帮自己优化一段代码,就直接将与产量和良品率记录设备相关的一段代码输入了其中;员工C则先用AI语音助手Naver Clova将自己的会议录音转成文字,再用ChatGPT帮他总结一下会议内容。
此事一经传出便引发热议,人们纷纷表达了对数据安全的隐忧。事后,三星内部已经采取了“紧急措施”,限制ChatGPT在内部的使用。
值得注意的是,员工将公司上传至ChatGPT已并非新鲜事。有机构统计了160万名员工使用ChatGPT的情况:3.1%的打工人都会将企业内部数据直接输入给ChatGPT分析。在员工直接发给ChatGPT的企业数据中,有11%都是敏感数据。
与此同时,ChatGPT也接连曝出bug会导致用户对话数据、支付信息丢失泄露。
对此,越来越多的机构开始限制甚至禁止使用ChatGPT的使用,包括日立、富士通、摩通大根、软银等。3月31日,意大利个人数据保护局也宣布,暂时禁止使用ChatGPT,并限制OpenAI公司处理意大利用户信息。
事实上,作为先进生产力的代表,一味禁止ChatGPT的使用并不可取,最好的办法是在使用的同时,确保数据安全不会侵犯。8月15日正式施行的《生成式人工智能服务管理暂行办法》,便旨在促进生成式人工智能健康发展和规范应用。
8月25日,奇安信发布的国内首款大模型卫士,通过检测审计平台、安全代理网关(SWG)等工具,对GPT实现精准管控,全面降低数据安全风险。
04
杭州侦破全国首起向企业营销号投放“木马”程序案
4月,浙江杭州公安机关在工作中发现,多个犯罪团伙在网络平台内利用木马程序对企业实施侵害。经查,该批犯罪团伙通过线上定向对企业营销号投放木马病毒、线下商城骗取企业销售人员信任等方式,获取企业营销号控制权。最后,该批犯罪团伙假冒受害企业员工身份以“拉大群、发红包”等方式将其客户引流至境外诈骗群内,为境外诈骗团伙提供“金粉”(诈骗团伙所需的高价值人员),实施精准诈骗。
5月,杭州公安机关组织开展集中收网行动,抓获犯罪嫌疑人39名,受害企业涉及全国2500余家,涵盖证券投资、医疗保险、科技教育等多个行业领域。
据杭州网警有关工作人员介绍,他们在工作中发现有些商场的品牌专柜营业员被犯罪嫌疑人以扫一扫二维码换取小礼品的方式所骗,手机里的企业员工营销号被犯罪嫌疑人控制了,进一步骗取企业营销号管理员的信任,最终控制了企业的电脑,得以盗取企业的客户数据。
该案是全国范围内破获的首起向企业营销号投放“木马”非法控制计算机信息系统案。杭州警方斩断了连接境外电诈团伙的黑产链条,重创了这一类犯罪团伙的嚣张气焰。监测数据显示,抓捕行动成功之后,从事此类黑灰产团伙投放木马量及成功率均急剧下降。
05
Meta遭遇天价罚单,数据合规步入强监管时代
5月22日,爱尔兰数据保护委员会(DPC)宣布因Meta将欧盟用户数据传输到美国,违反通用数据保护条例GDPR,将对其罚款12亿欧元(约13亿美元,约91.08亿元),这笔罚款也是欧盟有史以来针对侵犯隐私行为开出的最高罚单。
除了巨额罚款外,欧洲监管机构还命令Meta在五个月内“暂停将个人数据传输至美国”,并在六个月内删除已经发送并非法存储的数据。
近年来,全球多个地区都曝出了因数据合规问题而对企业开出的天价罚单,尤其是涉及到数据跨境、数据主权问题时,包括谷歌、微软、苹果、字节跳动等全球知名企业也都未能幸免。譬如今年9月,字节跳动旗下TikTok因保护儿童数据问题,被欧盟监管机构开出了3.45亿欧元的罚单;去年7月,国内出行服务提供商滴滴出行因存在过度收集用户数据等情况,被处以80亿元的顶格罚款。
显然,为了应对数智时代的数据安全风险,各国都对数据安全开展了非常严格的监管举措。随着相关法律法规愈加严格,数据安全强监管将会是常态。
为了帮助组织应对潜在的风险,防范来自组织内外部的恶意行为,确保数据处理工作安全合规,奇安信于今年5月发布了奇安天盾数据安全保护系统,将“事件监测、风险分析、策略调整、访问控制”融为一套完整闭环体系,让数据安全风险能看清,内鬼能管好,攻击能防住,弥补行业在一体化数据安全能力方面的缺失。
06
MOVEit零日漏洞引发今年最大规模供应链攻击
5月31日,一家名为Progress Software的软件公司向客户发出警告,称公司旗下MOVEit Transfer和MOVEit Cloud软件中发现一个未知的SQL注入(SQLi)漏洞。公告显示,所有运行MOVEit的服务器上都存在该漏洞。
根据第三方网络安全公司的调查,早在5月27日就观察到有攻击者在利用该漏洞。果不其然,勒索团伙Cl0p宣称,他们参与了利用该漏洞发起的网络攻击事件。
2023年5月下旬,Cl0p勒索组织利用流行的MOVEit文件传输解决方案中的SQL注入漏洞(CVE-2023-34362)窃取了大量组织的敏感数据,受害者包括大量知名企业、政府(例如多个美国联邦机构和美国能源部)、金融机构、养老金系统以及其他公共和私人实体。
根据Emsisoft于9月下旬发布的消息,勒索组织Cl0p利用MOVEit漏洞攻击的组织数量已超过2000个,受影响的人数超过6000万。受害组织绝大多数位于美国。受影响最严重的行业是金融、专业服务与教育,分别占数据泄露事件的13.8%和51.1%。
值得注意的是,这是勒索组织Cl0p三年内第三次利用零日漏洞进行勒索。显而易见,这是巨大的供应链安全危机,基于软件物料清单SBOM解决方案(如奇安信开源卫士),是提前掌握软件供应链安全风险的最佳办法。
07
中缅联合开展打击非法网络电信诈骗行动
今年9月,在公安部和云南省公安厅指挥部署下,云南省多地公安机关与缅甸相关地方执法部门开展边境警务执法合作,开展一系列打击行动,一大批电信网络诈骗犯罪嫌疑人先后被移送回国。
根据司法部官方微信公众号“中国普法”发布信息显示,截至11月底,缅北相关地方执法部门共向中方移交电信网络诈骗犯罪嫌疑人3.1万名,其中幕后“金主”、组织头目和骨干63名,网上在逃人员1531名,打击工作取得显著战果。其中在11月16日,臭名昭著的电信网络诈骗犯罪集团重要头目明国平、明菊兰、明珍珍3人被成功抓获并移交公安机关,明学昌畏罪自杀身亡。
近年来,缅北涉电信网络诈骗犯罪多发高发,由此衍生了偷渡、非法拘禁等一系列犯罪活动,俨然成为了盘踞在中国边境地区的一颗毒瘤,严重侵害了中国境内人民群众财产安全和合法权益,广大群众对此深恶痛绝。为进一步加大打击电信网络诈骗活动的力度,11月13日,公安部官网发布了《电信网络诈骗及其关联违法犯罪联合惩戒办法(征求意见稿)》,为公安机关以及其他执法单位、协作配合机构等在开展打击治理电信网络诈骗过程中,提供了可量化的惩戒标准依据,有效促进执法的快速实施。
08
知名金融机构惨被勒索,背后黑产日渐成熟
美东时间11月8日,某知名金融机构在美全资子公司遭到勒索软件攻击,导致部分系统中断。事后,黑客团伙Lockbit宣称对攻击事件负责,并表示该金融机构已支付了赎金,以换取勒索软件的解锁。
尽管勒索攻击早已变得稀松平常,但短短几天之内,波音、印度国家航空航天实验室、丰田等多家大型机构,全都成为了勒索攻击的受害者,这让勒索攻击再次成为了舆论关注的焦点。网络安全公司Crowdstrike的数据显示,针对高价值目标的勒索软件攻击在今年出现了“大幅上升”,截至11月底增长了51%。
而在勒索攻击事件数量剧增的背后,是勒索攻击产业链的日渐成熟。以LockBit为例,作为近两年来首屈一指的勒索团伙,在2022年,Lockbit占到全球勒索软件攻击的1/3,从而登上勒索软件领域的No.1,且成功率超过了50%。
为提升勒索攻击成功率,Lockbit3.0引入了一个“赏金计划”,邀请黑客来发现它们勒索软件的不足之处。这也是勒索领域首个“赏金计划”,充分展现出了Lockbit组织那极其庞大的野心。
与此同时,LockBit还对外提供勒索软件即服务,将自动化、半自动化的工具打包出售给其他团伙,这能够帮助“菜鸟”团伙迅速提升勒索攻击能力,这正是勒索攻击在今年产生大幅增长的重要原因。
除LockBit之外,老牌勒索团伙REvil、DarkSide等多个团伙,都对外提供类似服务。由此可见,一个拥有广阔市场空间的勒索攻击黑色产业链已经日渐成熟。
09
《网络安全事件报告管办法(征求意见稿)》发布,规范化报告成大势所趋
12月8日,国家互联网信息办公室发布了关于《网络安全事件报告管理办法(征求意见稿)》(简称《办法》),其中提到,运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告,从而最大程度降低网络安全事件造成的实际损失。
长期以来,在全球范围内,网络安全事件报告的相关工作缺都乏统一规范,这导致网络运营者在遇到网络安全事件时往往“各自为政”,相互之间缺乏统一协调,漏报、瞒报现象突出,导致错失事后补救以及进一步整改的最佳时机与最佳方案。
不过,这种现象在今年或将迎来改观。今年7月,美国证券交易会员会(SEC)通过了网络安全事件披露规则,要求上市公司确定网络安全事件重大后4个工作日内提交;9月12日,英国达成了一项协议,发生数据泄露事件的英国企业,只要不隐瞒事件,而是主动向NCSC报告,与NCSC合作处理事件,就有可能享受罚款减免政策。
显然,网络安全事件报告工作正在全面规范化。
但需要注意的是,国内的“1小时”报告属于相当高的要求,尤其是在高水平网络攻击中,攻击者会擦除入侵痕迹,这对于运营者的网络安全事件调查能力是一个非常大的挑战。
前不久奇安信发布的新版态势感知与安全运营平台(NGSOC),可将相关联告警自动汇聚形成完整事件卷宗,自动补充上下文证据,自动解读攻击者意图、自动识别关键攻击痕迹、自动评估影响面并计算处置对象,1分钟内即可完成事件定性、5分钟完成影响面评估,帮助运营者能够在规定时间内完成报告工作。
10
七成伊朗加油站停服,网络战阴云密布
12月18日上午,伊朗全国大部分加油站由于受到黑客攻击而瘫痪。伊朗石油部长贾瓦德·奥吉表示,该国只有约30%的加油站仍在正常运行。奥吉在接受采访时称,这一事件是由网络攻击造成的,并指责以色列和美国是破坏伊朗稳定的幕后黑手。
据报道,一个被认为与以色列有关联的黑客组织“掠食麻雀”当天宣布对该事件负责。该组织发表声明称,此次行动是为了“回应伊朗及其代理人在该地区的侵略”。以色列一直认为伊朗在背后支持哈马斯。他们还展示了伊朗加油站系统的截屏图片,并披露了被攻击加油站的信息。
显然,这次针对伊朗加油站的定向网络攻击活动,是中东地区地缘政治冲突的延续,是发生在网络空间的又一次高烈度战争。此轮巴以冲突爆发以来,网络战就从未停止,以社交媒体平台为主要战场、以帖文为武器的舆论攻防战异常激烈。
能够看到的是,随着近年来全球地缘政治冲突的不断加剧,网络空间已经成为冲突方另一个重要角斗场,上空密布着网络战的阴云。在更早的2022年,俄乌冲突爆发前后,双方针对对方境内的关键信息基础设施,发动了多轮次高强度的DDoS,造成了多个机构的服务中断,对居民正常生活造成了严重的困扰。
回头看过去的一年里,有太多的事情留下了或轻或重的足迹。下面就来盘点一下,2023年网络安全领域究竟发生了哪十件大事。
01
ChatGPT掀起网络安全的“AI革命”
2022年11月30日,OpenAI正式发布了人工智能聊天机器人ChatGPT,五天用户突破100万人,两个月后,也就是2023年1月份,瑞银集团研究显示该应用的月活跃用户数突破1亿人。
这本是一件发生在2022年的事情,却在2023年掀起了滔天巨浪。谷歌、微软、百度、阿里等巨头们纷纷下场,掀起了一场属于人工智能的“战争”。与此同时,黑客们不会放过任何一次技术的狂欢,ChatGPT可观的编程能力、漏洞挖掘能力迅速被用于编写攻击程序、制作漏洞利用工具,这大幅度降低了网络攻击发起的门槛。受此影响,2023年网络攻击次数、规模均再创新高。
很快,安全巨头就做出了回应。微软率先于3月份发布了首款AIGC加持的安全工具Security Copilot。据微软官方表述,该工具将帮助安全团队识别恶意活动,过滤海量流量和安全信号中的噪音。
在国内,奇安信于8月25日推出了奇安信安全机器人QAX-GPT,产品全面整合了业内最大规模的安全专家团队、海量的安全知识数据,以及在历年实战攻防演习中锤炼出来的最强攻击能力、防守能力,帮助客户解决告警疲劳、人才缺乏、效率低下等方面的难题。
随着生成式人工智能应用的不断深入,利用AI消除告警疲劳、解放安全运营人员生产力,已经成为了所有网络安全公司共同探索的方向。
02
又一针对中国境内的网络攻击组织遭到曝光
2月18日,北京奇安盘古实验室公开了一份报告,揭秘了疯狂对华实施数据窃取的ATW组织。
报告显示,2021年10月以来,一名为 AgainstTheWest(简称“ATW”)的黑客组织,将中国作为主要攻击目标,疯狂实施网络攻击、数据窃取和披露炒作活动,对我国的网络安全、数据安全构成严重危害。
自成立伊始,ATW组织就疯狂从事反华活动,公开称“将主要针对中国、朝鲜和其他国家发布政府数据泄密帖子”。还专门发布过一篇题为“ATW-对华战争”的帖子,赤裸裸地支持“台独”、鼓噪“港独”、炒作新疆“人权问题”,并多次声明“攻击目标是俄罗斯、白俄罗斯和中国、伊朗、朝鲜”、“愿意与美国、欧盟政府共享所有文件”、“愿受雇于相关机构”。
据不完全统计,自2021年以来,截至报告发布时止,ATW组织披露涉我重要信息系统源代码、数据库等敏感信息70余次,宣称涉及100余家单位的300余个信息系统。
这是自2022年2月,该实验室公开揭露隶属于美国国家安全局(NSA)的超一流黑客组织“方程式”制造“电幕行动”(Bvp47),攻击中国等国家和地区的完整证据链条后,再次曝光对华实施数据窃取和网络攻击的黑客组织。
03
二十天三起数据泄露,ChatGPT直面信任危机
3月11日,三星的半导体事业暨装置解决方案事业部(DS)部门允许员工使用ChatGPT,随后20天内就发生了3起将公司内部半导体数据上传到ChatGPT的事件。
其中,员工A用ChatGPT帮自己查一段代码的bug,而这段源代码与半导体设备测量数据有关;员工B想用ChatGPT帮自己优化一段代码,就直接将与产量和良品率记录设备相关的一段代码输入了其中;员工C则先用AI语音助手Naver Clova将自己的会议录音转成文字,再用ChatGPT帮他总结一下会议内容。
此事一经传出便引发热议,人们纷纷表达了对数据安全的隐忧。事后,三星内部已经采取了“紧急措施”,限制ChatGPT在内部的使用。
值得注意的是,员工将公司上传至ChatGPT已并非新鲜事。有机构统计了160万名员工使用ChatGPT的情况:3.1%的打工人都会将企业内部数据直接输入给ChatGPT分析。在员工直接发给ChatGPT的企业数据中,有11%都是敏感数据。
与此同时,ChatGPT也接连曝出bug会导致用户对话数据、支付信息丢失泄露。
对此,越来越多的机构开始限制甚至禁止使用ChatGPT的使用,包括日立、富士通、摩通大根、软银等。3月31日,意大利个人数据保护局也宣布,暂时禁止使用ChatGPT,并限制OpenAI公司处理意大利用户信息。
事实上,作为先进生产力的代表,一味禁止ChatGPT的使用并不可取,最好的办法是在使用的同时,确保数据安全不会侵犯。8月15日正式施行的《生成式人工智能服务管理暂行办法》,便旨在促进生成式人工智能健康发展和规范应用。
8月25日,奇安信发布的国内首款大模型卫士,通过检测审计平台、安全代理网关(SWG)等工具,对GPT实现精准管控,全面降低数据安全风险。
04
杭州侦破全国首起向企业营销号投放“木马”程序案
4月,浙江杭州公安机关在工作中发现,多个犯罪团伙在网络平台内利用木马程序对企业实施侵害。经查,该批犯罪团伙通过线上定向对企业营销号投放木马病毒、线下商城骗取企业销售人员信任等方式,获取企业营销号控制权。最后,该批犯罪团伙假冒受害企业员工身份以“拉大群、发红包”等方式将其客户引流至境外诈骗群内,为境外诈骗团伙提供“金粉”(诈骗团伙所需的高价值人员),实施精准诈骗。
5月,杭州公安机关组织开展集中收网行动,抓获犯罪嫌疑人39名,受害企业涉及全国2500余家,涵盖证券投资、医疗保险、科技教育等多个行业领域。
据杭州网警有关工作人员介绍,他们在工作中发现有些商场的品牌专柜营业员被犯罪嫌疑人以扫一扫二维码换取小礼品的方式所骗,手机里的企业员工营销号被犯罪嫌疑人控制了,进一步骗取企业营销号管理员的信任,最终控制了企业的电脑,得以盗取企业的客户数据。
该案是全国范围内破获的首起向企业营销号投放“木马”非法控制计算机信息系统案。杭州警方斩断了连接境外电诈团伙的黑产链条,重创了这一类犯罪团伙的嚣张气焰。监测数据显示,抓捕行动成功之后,从事此类黑灰产团伙投放木马量及成功率均急剧下降。
05
Meta遭遇天价罚单,数据合规步入强监管时代
5月22日,爱尔兰数据保护委员会(DPC)宣布因Meta将欧盟用户数据传输到美国,违反通用数据保护条例GDPR,将对其罚款12亿欧元(约13亿美元,约91.08亿元),这笔罚款也是欧盟有史以来针对侵犯隐私行为开出的最高罚单。
除了巨额罚款外,欧洲监管机构还命令Meta在五个月内“暂停将个人数据传输至美国”,并在六个月内删除已经发送并非法存储的数据。
近年来,全球多个地区都曝出了因数据合规问题而对企业开出的天价罚单,尤其是涉及到数据跨境、数据主权问题时,包括谷歌、微软、苹果、字节跳动等全球知名企业也都未能幸免。譬如今年9月,字节跳动旗下TikTok因保护儿童数据问题,被欧盟监管机构开出了3.45亿欧元的罚单;去年7月,国内出行服务提供商滴滴出行因存在过度收集用户数据等情况,被处以80亿元的顶格罚款。
显然,为了应对数智时代的数据安全风险,各国都对数据安全开展了非常严格的监管举措。随着相关法律法规愈加严格,数据安全强监管将会是常态。
为了帮助组织应对潜在的风险,防范来自组织内外部的恶意行为,确保数据处理工作安全合规,奇安信于今年5月发布了奇安天盾数据安全保护系统,将“事件监测、风险分析、策略调整、访问控制”融为一套完整闭环体系,让数据安全风险能看清,内鬼能管好,攻击能防住,弥补行业在一体化数据安全能力方面的缺失。
06
MOVEit零日漏洞引发今年最大规模供应链攻击
5月31日,一家名为Progress Software的软件公司向客户发出警告,称公司旗下MOVEit Transfer和MOVEit Cloud软件中发现一个未知的SQL注入(SQLi)漏洞。公告显示,所有运行MOVEit的服务器上都存在该漏洞。
根据第三方网络安全公司的调查,早在5月27日就观察到有攻击者在利用该漏洞。果不其然,勒索团伙Cl0p宣称,他们参与了利用该漏洞发起的网络攻击事件。
2023年5月下旬,Cl0p勒索组织利用流行的MOVEit文件传输解决方案中的SQL注入漏洞(CVE-2023-34362)窃取了大量组织的敏感数据,受害者包括大量知名企业、政府(例如多个美国联邦机构和美国能源部)、金融机构、养老金系统以及其他公共和私人实体。
根据Emsisoft于9月下旬发布的消息,勒索组织Cl0p利用MOVEit漏洞攻击的组织数量已超过2000个,受影响的人数超过6000万。受害组织绝大多数位于美国。受影响最严重的行业是金融、专业服务与教育,分别占数据泄露事件的13.8%和51.1%。
值得注意的是,这是勒索组织Cl0p三年内第三次利用零日漏洞进行勒索。显而易见,这是巨大的供应链安全危机,基于软件物料清单SBOM解决方案(如奇安信开源卫士),是提前掌握软件供应链安全风险的最佳办法。
07
中缅联合开展打击非法网络电信诈骗行动
今年9月,在公安部和云南省公安厅指挥部署下,云南省多地公安机关与缅甸相关地方执法部门开展边境警务执法合作,开展一系列打击行动,一大批电信网络诈骗犯罪嫌疑人先后被移送回国。
根据司法部官方微信公众号“中国普法”发布信息显示,截至11月底,缅北相关地方执法部门共向中方移交电信网络诈骗犯罪嫌疑人3.1万名,其中幕后“金主”、组织头目和骨干63名,网上在逃人员1531名,打击工作取得显著战果。其中在11月16日,臭名昭著的电信网络诈骗犯罪集团重要头目明国平、明菊兰、明珍珍3人被成功抓获并移交公安机关,明学昌畏罪自杀身亡。
近年来,缅北涉电信网络诈骗犯罪多发高发,由此衍生了偷渡、非法拘禁等一系列犯罪活动,俨然成为了盘踞在中国边境地区的一颗毒瘤,严重侵害了中国境内人民群众财产安全和合法权益,广大群众对此深恶痛绝。为进一步加大打击电信网络诈骗活动的力度,11月13日,公安部官网发布了《电信网络诈骗及其关联违法犯罪联合惩戒办法(征求意见稿)》,为公安机关以及其他执法单位、协作配合机构等在开展打击治理电信网络诈骗过程中,提供了可量化的惩戒标准依据,有效促进执法的快速实施。
08
知名金融机构惨被勒索,背后黑产日渐成熟
美东时间11月8日,某知名金融机构在美全资子公司遭到勒索软件攻击,导致部分系统中断。事后,黑客团伙Lockbit宣称对攻击事件负责,并表示该金融机构已支付了赎金,以换取勒索软件的解锁。
尽管勒索攻击早已变得稀松平常,但短短几天之内,波音、印度国家航空航天实验室、丰田等多家大型机构,全都成为了勒索攻击的受害者,这让勒索攻击再次成为了舆论关注的焦点。网络安全公司Crowdstrike的数据显示,针对高价值目标的勒索软件攻击在今年出现了“大幅上升”,截至11月底增长了51%。
而在勒索攻击事件数量剧增的背后,是勒索攻击产业链的日渐成熟。以LockBit为例,作为近两年来首屈一指的勒索团伙,在2022年,Lockbit占到全球勒索软件攻击的1/3,从而登上勒索软件领域的No.1,且成功率超过了50%。
为提升勒索攻击成功率,Lockbit3.0引入了一个“赏金计划”,邀请黑客来发现它们勒索软件的不足之处。这也是勒索领域首个“赏金计划”,充分展现出了Lockbit组织那极其庞大的野心。
与此同时,LockBit还对外提供勒索软件即服务,将自动化、半自动化的工具打包出售给其他团伙,这能够帮助“菜鸟”团伙迅速提升勒索攻击能力,这正是勒索攻击在今年产生大幅增长的重要原因。
除LockBit之外,老牌勒索团伙REvil、DarkSide等多个团伙,都对外提供类似服务。由此可见,一个拥有广阔市场空间的勒索攻击黑色产业链已经日渐成熟。
09
《网络安全事件报告管办法(征求意见稿)》发布,规范化报告成大势所趋
12月8日,国家互联网信息办公室发布了关于《网络安全事件报告管理办法(征求意见稿)》(简称《办法》),其中提到,运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告,从而最大程度降低网络安全事件造成的实际损失。
长期以来,在全球范围内,网络安全事件报告的相关工作缺都乏统一规范,这导致网络运营者在遇到网络安全事件时往往“各自为政”,相互之间缺乏统一协调,漏报、瞒报现象突出,导致错失事后补救以及进一步整改的最佳时机与最佳方案。
不过,这种现象在今年或将迎来改观。今年7月,美国证券交易会员会(SEC)通过了网络安全事件披露规则,要求上市公司确定网络安全事件重大后4个工作日内提交;9月12日,英国达成了一项协议,发生数据泄露事件的英国企业,只要不隐瞒事件,而是主动向NCSC报告,与NCSC合作处理事件,就有可能享受罚款减免政策。
显然,网络安全事件报告工作正在全面规范化。
但需要注意的是,国内的“1小时”报告属于相当高的要求,尤其是在高水平网络攻击中,攻击者会擦除入侵痕迹,这对于运营者的网络安全事件调查能力是一个非常大的挑战。
前不久奇安信发布的新版态势感知与安全运营平台(NGSOC),可将相关联告警自动汇聚形成完整事件卷宗,自动补充上下文证据,自动解读攻击者意图、自动识别关键攻击痕迹、自动评估影响面并计算处置对象,1分钟内即可完成事件定性、5分钟完成影响面评估,帮助运营者能够在规定时间内完成报告工作。
10
七成伊朗加油站停服,网络战阴云密布
12月18日上午,伊朗全国大部分加油站由于受到黑客攻击而瘫痪。伊朗石油部长贾瓦德·奥吉表示,该国只有约30%的加油站仍在正常运行。奥吉在接受采访时称,这一事件是由网络攻击造成的,并指责以色列和美国是破坏伊朗稳定的幕后黑手。
据报道,一个被认为与以色列有关联的黑客组织“掠食麻雀”当天宣布对该事件负责。该组织发表声明称,此次行动是为了“回应伊朗及其代理人在该地区的侵略”。以色列一直认为伊朗在背后支持哈马斯。他们还展示了伊朗加油站系统的截屏图片,并披露了被攻击加油站的信息。
显然,这次针对伊朗加油站的定向网络攻击活动,是中东地区地缘政治冲突的延续,是发生在网络空间的又一次高烈度战争。此轮巴以冲突爆发以来,网络战就从未停止,以社交媒体平台为主要战场、以帖文为武器的舆论攻防战异常激烈。
能够看到的是,随着近年来全球地缘政治冲突的不断加剧,网络空间已经成为冲突方另一个重要角斗场,上空密布着网络战的阴云。在更早的2022年,俄乌冲突爆发前后,双方针对对方境内的关键信息基础设施,发动了多轮次高强度的DDoS,造成了多个机构的服务中断,对居民正常生活造成了严重的困扰。
风险提示:文章涉及的观点和判断仅代表投稿人的看法,基于市场环境的不确定性和多变性,所涉观点和判断后续可能发生调整或变化。本文仅用于沟通交流之目的,不构成任何投资建议。投资有风险,入市须谨慎。
