前段时间,数字货币交易中心Coinbase爆出被黑事件。攻击者以钓鱼邮件方式向Coinbase员工私人邮箱发送电子邮件,完成前期潜伏、渗透工作后;在某个时机,攻击者以两个 Firefox 0day 漏洞发动“猛攻”。虽然,Coinbase Security 很快检测到并阻止了该攻击。但值得注意的是,这场针对交易所企业“精心蓄谋”的攻击,却是从员工个人入口“破门而入”,完全绕过了基于企业数据搭建起来的封闭防御系统。而这,不仅引发了诸多安全厂商的反思,它也引发了一个新的命题:个人端的完整数据对未来企业端安全的重要性。

 

拥有近乎固若金汤的安全数据与防御系统,Coinbase为何仍难逃被攻击厄运?

今年8月,数字货币交易中心Coinbase表露:其遭遇了一场使用网络钓鱼、社会工程学策略的复杂攻击。攻击目标为侵入该交易中心的系统软件,一旦攻击者达成目的,他们将窃走价值数十亿美元的数字货币。纵观整个事件过程,颇具“战术性”。

攻击起源于2019年5月30日(星期四),十几位 Coinbase员工的私人邮箱收到了一封电子邮件。邮件称其是来自剑桥大学研究资助管理员 Gregory Harris。因为该电子邮件来自合法的剑桥域名,又不包含恶意内容,同时还通过了反垃圾邮件的检测以及可引用收件人的背景,因而并没有引发Coinbase员工的怀疑。

接下来几周,Coinbase的员工又陆续收到了类似的电子邮件。依然没有任何可疑之处。此时,员工还与攻击者展开了邮件往来。

然而,就在6月17日上午6:31,Gregory Harris 发送了一封新电子邮件,与以往不同:这一次它包含一个 URL,当在 Firefox 中打开时,会自动安装能够接管点击人电脑的恶意软件。

精心策划、蓄谋已久的网络攻击正式开始。

虽然在攻击正式开始后,Coinbase Security 很快发现并进行了及时阻止。但这场有惊无险的“袭击风波”,却引发了很多厂商的关注与反思:作为数字货币交易中心,Coinbase拥有可谓是固若金汤的安全大数据和防御系统,但为什么依然遭遇了网络攻击呢?企业端的安全又该如何保障?

狡猾黑客早已改变攻击路数,迂回作战,个人成为突破口

上述的事件中,攻击者达成目的的一个关键点在于:他成功绕过了基于B端企业数据搭建起来的封闭防御系统,而是通过钓鱼邮件方式攻击员工私人邮箱进而一步步接近目标的。

也就是说,黑客们似乎变的愈发聪明,他们的攻击方式也在逐步“升级”,他知道企业拥有B端安全数据与防御系统,所以他不正面迎敌,而是采取迂回作战方式,先攻击对于企业组织来讲最为重要的“员工”——以“C端”个人为突破口,并横向移动攻击C1、C2、C3……由点及面(这样做保证了即使没有攻破C1、C2,还会有C3、C4等等,再众多的个体中总会有容易“沦陷的员工”存在),待一切都铺垫好、时机成熟时,再“由面到体”给予核心目标致命一击。

试问,面临黑客如此缜密的、铺面连环式的针对“个人攻击的战术”,面对茫茫如海的用户“端口”,如果仅依靠传统的防护思维,仅依靠企业端封闭的防御系统,哪家企业、哪家网络安全公司敢说,能确保企业安全万无一失、不被攻陷?

 

大环境已变,企业边界正在瓦解,基于边界的安全防护体系无法支撑企业防护

更为严重的是,企业安全面临的是不止于黑客攻击手法的变化,事实上,企业所处的环境也早已发生改变——企业边界正在瓦解,基于边界的安全防护体系正在失效。 

传统基于边界的网络安全,在某种程度上是默认了内网是安全的,认为只要构筑了企业的数字护城河,通过防火墙、WAF、IPS等边界安全产品或方案,就能实现企业的网络安全。然而,在零信任的网络安全世界里:网络内部和外部的任何人、设备、系统都不能信任。 

而事实上,早在2010年震惊世界的“震网事件”中,就已证明基于边界的安全防护体系已无法支撑企业防护。据报道,震网病毒初始感染就是靠荷兰情报机构雇佣的“间谍工程师”通过一枚小小U盘完成操作的。(智库在《“震网”十年谜底终浮水面, 伊朗核计划流产源于内鬼“间谍行动”》这篇文章中,有极为详尽报道,请点击阅读)该“间谍”要么自己是直接把U盘插到了离心机网络,要么是通过“感染”工程师,让工程师带入感染后的代码。总之,他突破了物理界限,突破了传统的网络安全边界,一举摧毁了伊朗骄傲的“核计划”。

 

人是安全的尺度,最为薄弱的环节,个人安全数据对企业市场至关重要

在上述几段论述中,无论是黑客攻陷“某个个体”还是“内鬼”突破安全防护边界,我们发现:它都离不开人。可以说,在网络空间世界里: 人,是安全的尺度,是最重要也是最脆弱的操作资源,是网络安全组织中最强大也是最薄弱的环节。FBI和犯罪现场调查(CSI)等机构联合做的一项安全调查报告显示,超过85%的网络安全威胁来自于内部,危害程度远远超于黑客攻击和病毒造成的损失。

然而,国家、企业,乃至我们整个社会正是由人组成的,与此同时,网络安全又是一个高度碎片化的行业,所以,每个人、每个点都可能成为敌人攻击的突破口。即使一家公司有再多技术人员,有再完整的企业数据以及安全防护系统,但忽视个人数据,或没有完整的个人数据做支撑,那么它将如同缺失了“左膀”或“右臂”般,难以独臂撑起防护企业安全的重大职责。

可以说,面对现在的攻防对抗的网络安全环境下,没有个人的数据作为基础,是无法做好企业市场,C端个人安全数据对B端企业市场至关重要。所以,智库认为:应对网络攻击、应对网络战,我们应将企业数据与个人数据相结合,构筑真正的网络安全大数据,唯独如此,我们才能真正实现防护企业与国家的安全。