在過去的2015年中，幾乎沒有哪一個禮拜沒有發(fā)生過重大的數(shù)據(jù)泄露事件、重大的網(wǎng)絡(luò)攻擊活動或嚴(yán)重的漏洞報告。而在這其中，許多安全事件均是由于企業(yè)糟糕的安全控制、執(zhí)行錯誤或其他基本安全失誤所導(dǎo)致的，由此也凸顯了企業(yè)在確保IT安全的諸多基本層面的工作仍然任重而道遠(yuǎn)。

而現(xiàn)在，不妨讓我們超越林林總總的各種網(wǎng)絡(luò)攻擊和漏洞，借此來分析這些攻擊事件所揭示出的網(wǎng)絡(luò)惡意活動的相關(guān)洞察，以及如何在未來采取有效的措施以抵御。在2015年中，有相當(dāng)一部分可以說是耐人尋味的網(wǎng)絡(luò)入侵事件，其中每個事件都突顯了黑客技術(shù)的改進(jìn)，帶來了新形式的網(wǎng)絡(luò)違規(guī)行為，或者為我們指明了需要采取防御措施的新的領(lǐng)域。在過去的一年里，某些網(wǎng)絡(luò)罪犯分子采用了創(chuàng)新的方法，并獲得了有關(guān)國家的資助，使得其攻擊行為變得更大膽。而他們進(jìn)行網(wǎng)絡(luò)攻擊的動機(jī)也發(fā)生了轉(zhuǎn)移，獲取經(jīng)濟(jì)利益已經(jīng)不再是他們發(fā)動網(wǎng)絡(luò)攻擊的唯一原因。制造物理損失、竊取商業(yè)機(jī)密，將黑客攻擊行為作為一種抗議形式等等——使得2015年的網(wǎng)絡(luò)攻擊惡意活動可以說是服務(wù)于眾多不同的目的。

日益互聯(lián)的世界意味著網(wǎng)上的犯罪份子可能造成大量的損害;而更重要的是，現(xiàn)在有許多惡意的犯罪份子有相當(dāng)先進(jìn)的能力和手段來實(shí)施網(wǎng)絡(luò)攻擊。下面，我們將為廣大讀者總結(jié)在過去一年的中所發(fā)生過的一系列最為重大的網(wǎng)絡(luò)攻擊事件，其中每一個網(wǎng)絡(luò)攻擊活動都將整體網(wǎng)絡(luò)安全向前推動了的一大步，展示了黑客攻擊的新領(lǐng)域，以及人們亟待采取防御措施的新領(lǐng)域。

被網(wǎng)絡(luò)犯罪份子所窺視的比特幣

比特幣是一種新的加密貨幣的理念。其在2015年獲得了主流的關(guān)注，部分原因就在于網(wǎng)絡(luò)惡意活動者使用該平臺作為其支付掩護(hù)手段。從事勒索的犯罪團(tuán)體強(qiáng)迫受害者必須支付比特幣，才能讓自己被他們攻擊的文件和文件夾獲得解鎖，同時勒索者都要求以比特幣換取不發(fā)動針對網(wǎng)站的DDoS攻擊。在2015年，基于各種不同的原因，比特幣屢屢成為安全攻擊新聞事件的頭條：甚至有很多小偷竊取比特幣的新聞事件......

2015年一月初，在發(fā)現(xiàn)一款錢包系統(tǒng)存在漏洞被黑客入侵攻破之后，歐洲比特幣交易平臺BitStamp暫停了交易。該交易平臺被認(rèn)為是世界上第三大的比特幣交易平臺，處理全球約6%的比特幣交易。此次黑客入侵導(dǎo)致約1.9萬枚比特幣被盜，價值約合500萬美元。但這并不是唯一一次比特幣遭遇網(wǎng)絡(luò)黑客攻擊：據(jù)報道，在2015年二月，中國的比特幣交易平臺比特兒(Bter.com) 發(fā)生被盜事件，導(dǎo)致約合175萬美元的7170枚比特幣從其冷錢包系統(tǒng)被盜。而在2015年十月，小偷又從比特幣初創(chuàng)企業(yè)Purse公司盜走了10.235 BTC，大約是2500美元。

我們可以將這種網(wǎng)絡(luò)攻擊理解為是針對傳統(tǒng)銀行搶劫的一種轉(zhuǎn)折：犯罪分子不再是直接搶劫銀行賬戶或襲擊交易所。這除了顯示出虛擬貨幣有現(xiàn)實(shí)的經(jīng)濟(jì)價值之外，相關(guān)的盜竊案還凸顯了“制定國際公認(rèn)的比特幣安全標(biāo)準(zhǔn)”的緊迫性，Optiv Inc公司信息安全主管Florindo Gallicchio表示說。在2015年二月，數(shù)字貨幣認(rèn)證協(xié)會(the CryptoCurrency CertificationConsortium，C4)提出了創(chuàng)建、存儲、審核和使用比特幣的10項(xiàng)標(biāo)準(zhǔn)化規(guī)則，并將其作為數(shù)字貨幣安全標(biāo)準(zhǔn)(CCSS)的一部分。

雖然上述被盜事件所涉及的金額都不小，但相比在日本Mt. Gox交易平臺于2014年所消失的85萬枚比特幣，價值近4.5億美元，可以說是微不足道。該交易平臺被認(rèn)為已處理了全球約70%的比特幣交易，自那時起一經(jīng)關(guān)閉并宣布破產(chǎn)。日本警方認(rèn)為，此次盜竊事件極有可能是一種監(jiān)守自盜。鑒于比特幣的開采和交易都與技術(shù)相關(guān)，因此，其交易平臺迄今往往都主要集中在功能性和易用性方面，而把安全保障排在了較靠后的位置，Hexis網(wǎng)絡(luò)解決方案公司的首席技術(shù)官史提夫•唐納德說。許多攻擊活動都依賴于社會工程，在比特幣交易網(wǎng)絡(luò)平臺獲得一個立足于據(jù)點(diǎn)。交易需要采取安全代碼開發(fā)的方法，以及動態(tài)和靜態(tài)相結(jié)合的代碼分析，以保護(hù)他們的應(yīng)用程序。“比特幣交易平臺應(yīng)采取高度激勵措施來提高安全，而這也是這種新型的貨幣實(shí)現(xiàn)大規(guī)模應(yīng)用之前的一個必須實(shí)現(xiàn)的要求。”唐納德說。

網(wǎng)絡(luò)攻擊進(jìn)入現(xiàn)實(shí)世界

網(wǎng)絡(luò)惡意攻擊在現(xiàn)實(shí)物理世界也造成了極大的損失，其發(fā)生在電視節(jié)目上的要比在觀眾視線以外更頻繁。早在2012年，就曾發(fā)生過相當(dāng)駭人的Shamoon惡意攻擊病毒部分或完全的刪改了沙特Saudi Aramco石油公司大約35,000臺電腦硬盤驅(qū)動器上的信息的事件。這讓我們再次認(rèn)清了網(wǎng)絡(luò)世界和現(xiàn)實(shí)物理世界之間的界線是模糊的，據(jù)報道，某個實(shí)際發(fā)生在2014年的攻擊活動，而其詳細(xì)的事后調(diào)查報告則是在今年年底之前剛剛發(fā)布不久的：在德國的一處未詳細(xì)透露名稱的鋼廠曾遭遇過惡意攻擊者的操縱，并破壞了其控制系統(tǒng)。最終導(dǎo)致其高爐無法正常關(guān)閉，進(jìn)而造成了“巨大的”的損失。

有一種傾向認(rèn)為網(wǎng)絡(luò)攻擊就是竊取數(shù)據(jù)或通過攻擊使系統(tǒng)離線脫機(jī)。但事實(shí)上，其甚至可能會真實(shí)世界造成相當(dāng)嚴(yán)重的損害。惡意攻擊者可能會侵入某制藥公司的生產(chǎn)流程或質(zhì)量控制系統(tǒng)，并修改某個特定藥物的配方。醫(yī)院系統(tǒng)也很容易受到攻擊，特別是對于那些仍在大規(guī)模使用許多傳統(tǒng)遺留系統(tǒng)的醫(yī)療衛(wèi)生機(jī)構(gòu)，這方面的安全無法得到很好的保證。高達(dá)20%的醫(yī)院都非常容易受到網(wǎng)絡(luò)攻擊，導(dǎo)致其重癥監(jiān)護(hù)系統(tǒng)無法正常使用，Gallicchio表示說。

“人們也可能會從網(wǎng)絡(luò)攻擊中遭到物理傷害。” Gallicchio說。

關(guān)于工業(yè)控制系統(tǒng)的安全性已經(jīng)出現(xiàn)在太多的談話中了，但在上述例子中所介紹的德國鋼廠發(fā)生的網(wǎng)絡(luò)攻擊事件更能突顯網(wǎng)絡(luò)安全威脅已不再是理論上的了。談到工業(yè)控制系統(tǒng)的安全性，特別是對于制造業(yè)而言，其當(dāng)前所面臨的一大挑戰(zhàn)是其實(shí)是一個非常簡單的事實(shí)：即其各種控制系統(tǒng)一般都是由企業(yè)的運(yùn)營和工程部門所控制的，而不是IT管理部門。而企業(yè)的運(yùn)營和工程團(tuán)隊(duì)往往都將主要精力集中在了可靠性方面，其所作出的維持正常運(yùn)行時間的各項(xiàng)決策往往都是以犧牲安全性為代價的。

企業(yè)提高網(wǎng)絡(luò)安全防御需要實(shí)施“一套混合的基礎(chǔ)方案和更現(xiàn)代的防御方案”，如確保適當(dāng)?shù)姆指詈筒煌W(wǎng)絡(luò)之間的訪問控制，唐納德說。

網(wǎng)絡(luò)金融犯罪規(guī)模變大

在2015年，還曾發(fā)生過一系列的針對金融機(jī)構(gòu)的網(wǎng)絡(luò)惡意攻擊活動，但其中沒有一件要比Carbanak犯罪團(tuán)伙的活動來得更為大膽創(chuàng)新。該犯罪團(tuán)伙瞄準(zhǔn)了超過30個國家的100多家銀行及其他金融機(jī)構(gòu)。根據(jù)卡巴斯基實(shí)驗(yàn)室估計(jì)，自2013年底以來，該犯罪團(tuán)伙所竊取的金額或?qū)⒏哌_(dá)10億美元，并成功的保持了長達(dá)兩年的神秘低調(diào)，因?yàn)樵摲缸飯F(tuán)隊(duì)將每筆交易就都控制在了250萬美元到1000萬美元之間。

針對金融機(jī)構(gòu)的網(wǎng)絡(luò)攻擊活動的規(guī)模顯示了網(wǎng)絡(luò)攻擊不法分子的攻擊目標(biāo)正在由低價值的消費(fèi)者相關(guān)攻擊(如身份信息竊取和信用卡盜竊)，轉(zhuǎn)向?yàn)楦邇r值的網(wǎng)絡(luò)攻擊活動。過去的依靠 “打砸搶”的笨方法正在變?yōu)榻?jīng)過了精心策劃和縝密執(zhí)行的作業(yè)。CounterTack公司首席技術(shù)官邁克·戴維斯表示說。

而美國聯(lián)邦調(diào)查局還警告說，新的網(wǎng)絡(luò)惡意攻擊還明顯增加了社會工程活動的趨勢：某個網(wǎng)絡(luò)惡意攻擊者向某公司的CFO或其他高級行政人員發(fā)送一封電子郵件，聲稱自己是公司的CEO或其他高級管理人員，要求授權(quán)電匯。如果收件人被騙，或在電匯轉(zhuǎn)賬之前沒有核實(shí)驗(yàn)證郵件的真實(shí)性，錢就白白沒了。

盡管來自外部的攻擊者仍然是對金融機(jī)構(gòu)的最大威脅，但在2015年，一些業(yè)內(nèi)人士的攻擊所造成損失的危害性可能也相當(dāng)嚴(yán)重。在今年早些時候，摩根士丹利的一名前雇員承認(rèn)有罪，該名前雇員在為一份新工作面試兩名競爭者期間曾竊取了大約700,000名客戶賬戶的機(jī)密數(shù)據(jù)。而還有外部攻擊者將其目標(biāo)瞄準(zhǔn)了金融機(jī)構(gòu)內(nèi)部已經(jīng)過訪問敏感數(shù)據(jù)的內(nèi)部人士。加密、根據(jù)數(shù)據(jù)傳輸實(shí)施的動態(tài)安全政策和強(qiáng)大的多因素身份驗(yàn)證控件是金融機(jī)構(gòu)應(yīng)考慮采取的用以確保未經(jīng)授權(quán)的人無法讀取任何他們不被允許查看的數(shù)據(jù)信息的防御手段，F(xiàn)asoo的副總裁羅恩雅頓說。

醫(yī)療衛(wèi)生保健行業(yè)的違規(guī)活動

在2015年，一些最大規(guī)模的安全漏洞還涉及到了醫(yī)療衛(wèi)生保健機(jī)構(gòu)，包括Anthem、Excellus BlueCross BlueShield、Premera Blue Cross和CareFirst等等機(jī)構(gòu)均遭受到不同程度的黑客入侵。而根據(jù)美國衛(wèi)生和公眾服務(wù)部介紹，美國醫(yī)療衛(wèi)生保健行業(yè)排名前十的安全漏洞事件中，有八項(xiàng)安全漏洞事件均發(fā)生在2015年。

鑒于這些醫(yī)療衛(wèi)生保健行業(yè)的企業(yè)往往擁有最為寶貴的數(shù)據(jù)信息，包括姓名，地址，社會安全號碼，醫(yī)療記錄和財務(wù)信息等等，因此，網(wǎng)絡(luò)惡意攻擊者紛紛開始以該行業(yè)的企業(yè)作為攻擊目標(biāo)也就不足為奇了。而由于這些數(shù)據(jù)信息一般是很難改變的，這就意味著這些數(shù)據(jù)信息具有一個較長的保質(zhì)期，并且可以在各種后續(xù)攻擊中使用。在2015年，網(wǎng)絡(luò)攻擊者訪問了1億多份醫(yī)療記錄。

雖然一些網(wǎng)絡(luò)違規(guī)行為可能是為了盜取客戶的身份數(shù)據(jù)信息，或者是其他網(wǎng)絡(luò)犯罪活動的一部分。但有安全專家認(rèn)為，Anthem 公司所遭遇的網(wǎng)絡(luò)攻擊可能是來自中國的黑客。而這類攻擊者很可能是針對特定的個人資料，以獲取情報為目的的;或他們可能有想要獲取涉及到醫(yī)療保險和保險數(shù)據(jù)庫如何建立的相關(guān)知識產(chǎn)權(quán)。中國政府否認(rèn)了這一襲擊事件，中國當(dāng)局最近還逮捕了聲稱針對Anthem 公司實(shí)施過網(wǎng)絡(luò)犯罪的嫌疑人。

“就像網(wǎng)絡(luò)惡意攻擊者金融行業(yè)發(fā)展成為了新一代的銀行搶劫一樣，我們將很快看到網(wǎng)絡(luò)攻擊者利用醫(yī)療信息記錄，支持更復(fù)雜的商業(yè)模式。”SafeBreach公司的共同創(chuàng)始人兼首席技術(shù)官伊茨克科特勒表示。

這些網(wǎng)絡(luò)攻擊的成功在很大程度上是由于傳統(tǒng)上醫(yī)療保健公司在安全舉措方面的投入遠(yuǎn)不及金融機(jī)構(gòu)。而Anthem公司被黑客入侵事件突出顯示了，一些醫(yī)療保健公司在基本的安全最佳實(shí)踐方案的落后。如同零售服務(wù)商塔吉特塔吉特百貨在2014年所遭遇的數(shù)據(jù)外泄事故為該行業(yè)的同行們上了相當(dāng)震撼的一課一樣，Anthem公司的黑客入侵事件也將讓整個醫(yī)療保健行業(yè)警覺起來，并充分留意其當(dāng)前所面臨的非常現(xiàn)實(shí)的危險。

更糟糕的是，圍繞著敏感數(shù)據(jù)信息所實(shí)施的加密方法是無效的。在許多針對醫(yī)療保健行業(yè)的漏洞攻擊中，用戶被社會工程泄露了自己的憑據(jù)信息，讓攻擊者能夠很容易繞過加密控件。而且?guī)缀蹩梢哉f是不費(fèi)吹灰之力。有網(wǎng)絡(luò)惡意攻擊者僅僅只是通過侵入五名用戶的帳戶就從一家大型的醫(yī)療保險公司竊取了8000萬的個人記錄，BlueTalon公司的首席執(zhí)行官Eric Tilenius說。 “因此，每家公司都應(yīng)該問，’如果我們公司的某一個用戶的帳號被竊取，將可能導(dǎo)致多少數(shù)據(jù)會被暴露?’，然后采取相應(yīng)的措施，以限制數(shù)據(jù)信息的泄露。”他說。

“如果您企業(yè)的員工在最佳安全實(shí)踐方案方面沒有得到適當(dāng)?shù)呐嘤?xùn)，那么，無論您的安全平臺有多么強(qiáng)大，都是沒有任何意義的。”WinMagic公司技術(shù)副總裁加里·麥克拉肯說。

網(wǎng)絡(luò)攻擊成為了一項(xiàng)長期的活動

也許在2015年所發(fā)生的最有趣、最出名、同時也最令人震驚的安全事件是針對美國人事管理局(OPM)的襲擊。數(shù)以百萬計(jì)的政府雇員，美國軍事人員，以及曾接受過背景調(diào)查和安全檢查的政府承包商的個人資料均被盜。在一個典型的數(shù)據(jù)泄露事件中，攻擊者以組織機(jī)構(gòu)為目標(biāo)是因?yàn)樗麄兿Ｍ@得該組織機(jī)構(gòu)所擁有的相關(guān)數(shù)據(jù)信息。而在此次OPM被黑客攻擊的案例中，攻擊者所希望的并不僅僅只是為了簡單的獲取到這些數(shù)據(jù)信息記錄，同時更是為了獲得對攻擊目標(biāo)個人的背景信息。

“此次OPM 被黑客攻擊事件有助于我們了解企業(yè)員工是我們最大的安全隱患...是企業(yè)安全管理鏈條上最薄弱的環(huán)節(jié)。”Micro Focus公司的安全產(chǎn)品組合解決方案策略經(jīng)理Renee Bradshaw說。

網(wǎng)絡(luò)惡意攻擊活動的方法遵循一個模式：在社會工程領(lǐng)域瞄準(zhǔn)一個目標(biāo)的轉(zhuǎn)包商，竊取憑據(jù)以獲得網(wǎng)絡(luò)訪問。在一個系統(tǒng)培植惡意軟件并創(chuàng)建一個后門。然后就可以持續(xù)幾個月從該該系統(tǒng)竊取數(shù)據(jù)而不被發(fā)現(xiàn)了。在OPM所實(shí)施的糟糕的安全管理措施是相當(dāng)“令人震驚”的，“包括一致的漏洞掃描和雙因素認(rèn)證的缺失，以及不合時宜的補(bǔ)丁管理。”Bradshaw說。

OPM被黑客攻擊事件還凸顯了企業(yè)社會工程的脆弱性。政府雇員和承包商現(xiàn)在已經(jīng)開始接受安全意識培訓(xùn)課程，以了解網(wǎng)絡(luò)釣魚和其他社交媒體的安全威脅。

漏洞失控

在2015年夏天，一項(xiàng)反黑客團(tuán)隊(duì)攻擊的活動讓人們大開了眼界。一家總部設(shè)在米蘭的公司開發(fā)監(jiān)控軟件，并向世界各地的政府機(jī)構(gòu)銷售。該公司依靠“零日漏洞”(zero-day)開發(fā)軟件，其很難被檢測到，還可以攔截通信。彼時，一個未知的人發(fā)布超過400GB數(shù)據(jù)被黑客團(tuán)隊(duì)盜取，包括電子郵件通信、商業(yè)文件和源代碼，安全研究人員在Adobe Flash Player中發(fā)現(xiàn)了三款不同的零日漏洞的概念證明。盡管Adobe 公司盡可能快地進(jìn)行了漏洞的修補(bǔ)，網(wǎng)絡(luò)罪犯分子也能夠快速創(chuàng)造漏洞，并使用它們進(jìn)行大規(guī)模的攻擊。“在國家和私人的層面上，零日攻擊的積聚對我們每一個人都是危險的。當(dāng)面臨這些類型的漏洞時，我們不能坐視不管。”安全咨詢公司Rook Security的安全運(yùn)營負(fù)責(zé)人Tom Gorup說。

不向產(chǎn)品供應(yīng)商報告這些漏洞的存在，并對程序?qū)嵤┬扪a(bǔ)意味著其他人也可能會找到相同的bug。如果這些漏洞一直存在，就代表著其終究會被人發(fā)現(xiàn)。而如果是黑客最先發(fā)現(xiàn)這些漏洞，一旦漏洞被公開，每個人都處于危險中。零日攻擊不像物理武器，其原來的所有者能夠控制其如何及何時使用。而一旦這樣的武器落入黑客之手，就具有毀滅性的后果。

“我們需要重新調(diào)整我們在網(wǎng)絡(luò)防御方面的努力，并加大主動進(jìn)攻的力度。”Gorup說。

政府服務(wù)泄露太多信息

在政府機(jī)構(gòu)所遭遇的網(wǎng)絡(luò)攻擊中，美國國稅局遭黑客侵襲可能算是損失較小的事件了。只有10萬名美國納稅人通過該漏洞被暴露了他們的信息，這顯著低于OPM被攻擊所導(dǎo)致的2150萬人受影響的程度。攻擊者通過受害人的姓名、地址和社會安全號碼獲取了他們諸如收入、雇主名稱和家屬等詳細(xì)信息。

更獨(dú)特的是，襲擊者使用合法的服務(wù)偽造基本的個人身份信息，然后利用這些資料成功申報一些假的退稅。同樣的方法也被用于機(jī)動車輛的在線更新服務(wù)部門或縣級資產(chǎn)評估網(wǎng)站。通過這些服務(wù)獲得的信息，使得黑客進(jìn)行身份盜取變得更容易。而且，攻擊者利用這些偷來的數(shù)據(jù)有50%的成功率。BeyondTrust公司的技術(shù)副總裁Morey Haber指出。

“有很多類似于國稅局這樣的網(wǎng)站，包括國家級、地方級、以及聯(lián)邦政府的相關(guān)機(jī)構(gòu)網(wǎng)站。而國稅局僅僅只是易于攻擊的目標(biāo)之一，而且還有其他更多易于攻擊的政府機(jī)構(gòu)服務(wù)網(wǎng)站。”Haber說。

飛機(jī)上發(fā)生的事件

在2015年，車輛被黑客攻擊的事件頻頻登上安全新聞的頭條，但其實(shí)，我們更應(yīng)該擔(dān)心我們并不熟悉的飛機(jī)上的攻擊事件。就在研究人員Charlie Miller 和Chris Valasek利用克萊斯勒的UConnect信息系統(tǒng)遠(yuǎn)程控制了一輛2014年產(chǎn)的克萊斯勒吉普切諾基的同時，就有關(guān)于OPM被黑事件背后的集團(tuán)已成功獲得美國聯(lián)合航空公司的乘客的始發(fā)地和目的地的記錄，以及乘客名單。另一組襲擊者也入侵了波蘭航空公司的IT系統(tǒng)，這導(dǎo)致該航空公司取消了20趟航班使1400名乘客受到影響。

當(dāng)然還有美國聯(lián)邦調(diào)查局表示，安全研究人員克里斯·羅伯茨在乘坐美國聯(lián)合航空公司的航班時，曾侵入飛機(jī)娛樂系統(tǒng)，有一次還發(fā)出爬升命令，導(dǎo)致飛機(jī)傾向一側(cè)。這些攻擊事件是否應(yīng)該引起我們的高度關(guān)注呢?飛機(jī)飛行是否處于危險中呢?雙方都拒絕提供有關(guān)問題的任何詳細(xì)信息。 “關(guān)于此，最為可怕的是：我們對此并不知情，這是既令人驚訝和震驚的。”WhiteHat安全公司的安全威脅研究中心的負(fù)責(zé)人Johnathan Kuskos表示。

我們需要特別關(guān)注兩種不同類型的攻擊事件。一種是針對IT系統(tǒng)，如航空公司的網(wǎng)站、機(jī)場check-in服務(wù)系統(tǒng)。另一種攻擊的目標(biāo)是針對飛機(jī)的控制系統(tǒng)。而由于飛機(jī)的操作控制系統(tǒng)往往是沙箱控制，并已經(jīng)被鎖定，因而IT系統(tǒng)的風(fēng)險更高。而且，根據(jù)WhiteHat公司的漏洞統(tǒng)計(jì)報表顯示，每一款在線應(yīng)用程序都至少有一個嚴(yán)重的漏洞。

“很難想象，一個專業(yè)犯罪集團(tuán)或政府支持的黑客還沒有盯上這些主要的航空公司。”Kuskos說。

蘋果App Store的應(yīng)用程序中毒事件

2015年，Palo Alto Networks公司破獲了XcodeGhost，這是一款會感染iOS應(yīng)用程序的惡意軟件，在被發(fā)現(xiàn)之前就已經(jīng)在蘋果的App Store應(yīng)用程序商店存在幾個月了。這種攻擊依賴于iOS的開發(fā)人員下載某個版本的Xcode，一款iOS的開發(fā)工具包的編譯工具。這種工具鏈并不是一種新的攻擊方法，但XcodeGhost在感染開發(fā)人員獲得了規(guī)模非常廣泛的成功。真正的危險在于，XcodeGhost團(tuán)隊(duì)從他們的此次成功中獲得了哪些經(jīng)驗(yàn)，以及他們將如何卷土重來。

在開發(fā)人員將其iOS應(yīng)用程序提交到App Store之前就已經(jīng)受到惡意軟件感染了，而這種方式完全是新的。Palo Alto Networks公司的情報總監(jiān)賴安·奧爾森說。開發(fā)商是很脆弱的，攻擊者可以借助他們的應(yīng)用程序進(jìn)入到蘋果公司的應(yīng)用程序商店App Store，從而繞過蘋果公司的安全管理措施。

“雖然XcodeGhost惡意軟件并不是特別危險，但其卻以開創(chuàng)性的方式感染了數(shù)以百萬計(jì)的設(shè)備。”奧爾森說。

XcodeGhost向人們展示了即使是蘋果公司的圍墻也可以被突破，并且是大范圍的。其迫使應(yīng)用程序開發(fā)人員們必須清理他們的系統(tǒng)，重新提交自己的應(yīng)用程序，并在獲得他們的開發(fā)工具方面變的更慎重。而為了打擊類似的攻擊，iOS的開發(fā)人員們需要了解他們的開發(fā)系統(tǒng)、以及其應(yīng)用程序?qū)τ谀切ふ腋鞣N方法來針對iOS用戶實(shí)施攻擊的攻擊者是有價值的。“XcodeGhost是第一款真正影響廣泛的針對非越獄手機(jī)的惡意軟件，它讓那些曾以為蘋果是無懈可擊的iOS用戶們大開了眼界。”奧爾森說。

瞻博網(wǎng)絡(luò)公司未經(jīng)授權(quán)的后門事件

最近，瞻博網(wǎng)絡(luò)公司發(fā)現(xiàn)ScreenOS中未經(jīng)授權(quán)的代碼,可以讓資深的攻擊者獲得對NetScreen設(shè)備的管理權(quán)限和解密VPN連接。該問題產(chǎn)生的原因是，瞻博網(wǎng)絡(luò)公司使用Dual_EC_DRBG，這是一款已知的有缺陷的隨機(jī)數(shù)發(fā)生器，作為用于在NetScreen的ScreenOS中加密運(yùn)算的基礎(chǔ)。瞻博網(wǎng)絡(luò)稱他們使用了額外的預(yù)防措施，以確保隨機(jī)數(shù)發(fā)生器。結(jié)果其保障措施其實(shí)是無效的。

Dual EC的后門可以被看作是兩部分的比喻，其中一個在一扇門的正常鎖上增加了第二個鎖孔，而第二個鎖孔必須配合一個特定的鎖芯，約翰霍普金斯大學(xué)助理教授兼密碼專家馬修•格林在推特上寫道。攻擊者用自己的鎖芯取代了國家安全局批準(zhǔn)的鎖芯。而如果門在第一個地方?jīng)]有更換鎖孔的話，他們就不能更換鎖芯了。

最后，某些地方的人能夠解密瞻博網(wǎng)絡(luò)的流量，而這些人可能來自美國及世界各地。此事件目前正在由美國聯(lián)邦調(diào)查局調(diào)查中。

“國家安全局建立了一個強(qiáng)大的竊聽后門。攻擊者只需改變幾個字節(jié)的代碼即可改變其用途。”格林說。 “說實(shí)話，雖然我擔(dān)心這樣的事情已經(jīng)很長一段時間了。但看到這樣的事情實(shí)際發(fā)生還是覺得相當(dāng)驚人的。”

鑒于政府監(jiān)管機(jī)構(gòu)對于高科技產(chǎn)業(yè)在程序后門加密的壓力越來越大，發(fā)生在瞻博網(wǎng)絡(luò)公司的此次后門程序被濫用事件或?qū)⒊蔀橐粋€明顯的例子。2016年，相關(guān)執(zhí)法機(jī)關(guān)和政府監(jiān)管機(jī)構(gòu)是否會汲取教訓(xùn)，并對此進(jìn)行重新研究尚有待考察。

總結(jié)2015年

很顯然，在過去的2015年中，整個安全行業(yè)在面臨各種網(wǎng)絡(luò)安全攻擊和違規(guī)行為時，并沒有很好的定位，以保護(hù)自己。而清楚的了解現(xiàn)狀無疑是戰(zhàn)斗的一半，但他們在遵循基本的安全最佳實(shí)踐方面仍然有一條漫長的道路要走。“安全性并不便宜，當(dāng)您企業(yè)在歷史上對于安全領(lǐng)域的投資不足時，就需要在技術(shù)投資和人力資本方面花大力氣。”LogRhythm實(shí)驗(yàn)室副總裁兼首席信息安全官詹姆斯•卡德爾表示說。