趨勢科技回顧：2017年最嚴重的網路攻擊事件及經驗教訓

本文是翻譯文章，文章原作者Trend Micro，文章來源：http://blog.trendmicro.com

原文地址：https://blog.trendmicro.com/a-look-back-reviewing-the-worst-cyber-attacks-of-2017-and-the-lessons-learned/

前言

在黑客入侵與網路攻擊方面，似乎每一年都要比上一年面臨著更多的挑戰，2017年也不例外。

互聯網社區在線可信聯盟的主管Jeff Wilbur表示：「毫無疑問，2017年又是糟糕的一年，我們經歷了全球化的數據泄露和全球化的網路安全事件。」

在2017年，總計發生了無數起數據泄露事件，惡意軟體和勒索軟體不斷被投放在網路，並且每一個新的樣本都比舊版本更加複雜和先進。考慮到利益所在，黑客將目標長期聚焦在業務環境和消費者人群。因此，各行各業都應該吸取這些攻擊事件的經驗教訓，並將其作為未來之中的防護策略，這樣才是最好的防範方式。

接下來，讓我們共同回顧2017年發生的一些災難性攻擊和感染事件，並通過這些事例，找到可以吸取的經驗和教訓。

Equifax信息泄露事件：主動披露，不要等待新聞的報導

在2017年，徵信巨頭Equifax數據泄露事件可以排到數據安全事件的第一名。這次泄露，影響人數眾多，並且有高度敏感的數據被泄露。更為諷刺的是，發生信息泄露事件的Equifax是一家承諾幫助大家預防此類欺詐行為的企業。

根據美國有線新聞網的報道（ http://money.cnn.com/2017/09/11/technology/equifax-identity-theft/index.html ），攻擊者攻破了Equifax系統，並從中竊取18.2萬份敏感文件，其中包括客戶的個人信息以及共計20.9萬個信用卡號碼。據統計，這次攻擊事件涉及1.43億美國公民的個人信息，他們的社會安全號碼、出生日期、家庭地址等個人信息均包含在被竊取的文件之中。

這次攻擊事件最可怕之處在於，黑客會以這些被竊取的身份信息為基礎進行攻擊或身份掩護。這些個人身份信息在地下黑市以打包的形式售賣，價格達到了30美元甚至更高。並且，隨著大量的數據被竊取，攻擊者可以基於此，對數百萬合法身份造成威脅。

個人信息失竊資源中心（Identity Theft Resource Center）首席執行官Eva Velasquez表示：「涉及到社會安全號碼的數據泄露事件時常會發生，但這一次是有史以來規模最大的。這次事件非常嚴重，因為被竊取到的數據都是真實有效的。」

該事件中我們可以獲得一個教訓：企業應該主動向公眾披露安全事件，不能讓公眾等到媒體報道新聞時才知曉相關事件。美國有線新聞網指出，在該信息泄露事件發生的6周之後，公眾才廣泛了解到這一起事件。這樣一來，黑客就在銷售和使用被竊敏感數據的方面，佔據了巨大優勢。

在發生信息泄露事件後，企業必須儘快做出反應，並確保受該事件影響的人員知曉這一情況。藉助於此，企業、受影響的客戶以及合作夥伴可以協同工作，將事件產生的後果降到最低。

優步：掩蓋攻擊事件

在2016年秋季，優步曾遭受攻擊，共有5700萬用戶的姓名、電子郵件地址和電話號碼被攻擊者竊取。然而，這一事件卻列入了2017年的事件清單之中，原因在於，優步在2016年並沒有披露這一事件，直至公司新的首席執行官Dara Khosrowshahi在2017年11月下旬上任後才將此事件公之於眾。

更糟糕的是，在攻擊發生後，優步似乎在努力掩蓋攻擊事件，而並不是處理攻擊造成的後果。WIRED撰稿人Lily Hay Newman調查稱：優步向黑客支付了10萬美元的贖金，以防止黑客向公眾披露這一攻擊的發生。

Newman在文章中寫道：「這些行為很可能違反了美國許多州的數據泄露披露法，根據報道，優步甚至可能試圖向聯邦貿易委員會的調查人員隱瞞此事件。這是在數據泄露事件發生後，企業所做過的最搞笑的一種處理方式。」

針對此事件，我們得到的經驗教訓是：不能這麼做。

WannaCry：未修復的漏洞

除了針對於特定企業的攻擊之外，2017年還有一起大規模影響了全球眾多組織的事件。在一天之內，全球共有成千上萬的目標受到了WannaCry的影響，其中有一些造成的影響非常重大。據WIRED報告，最有破壞性的勒索軟體樣本感染了英國的國家衛生服務機構，直接導致其日常工作和患者護理工作停滯，涉及到急診室、醫院和其他相關設施。

事實上，這些勒索軟體大部分利用了被稱為永恆之藍（EternalBlue）的高危漏洞。該漏洞在2017年春季由影子經紀人（Shadow Brokers）在成功攻擊美國國家安全局（NSA）後披露。在攻擊後，影子經紀人發布了竊取到的NSA工具，其中就包含著永恆之藍的利用工具。

美國有線新聞網報道說，WannaCry共對150個國家的組織產生了影響。儘管在影子經紀人公開利用工具之前微軟就已經發布了永恆之藍的補丁程序，但還是有大量組織沒有及時打補丁修復漏洞，從而導致了被攻陷。這一事件向我們生動展示了及時更新補丁的重要性。

CNN的撰稿人Selena Larson寫道：「大量用戶都被WannaCry感染，儘管微軟發布了Windows系統的補丁，但還是有大多數人沒有及時更新。」

錯誤的安全配置暴露了選民記錄

儘管這並不是最具破壞性的事件，但我們仍可以從中學習到一個非常重要的經驗教訓。

在2017年春季，一位安全研究人員找到了近2億美國選民的投票記錄。這一問題最終被追溯到共享數據公司在其亞馬遜雲存儲上所進行的安全設置存在問題。更有趣的是，CNN指出，此類事件並非只發生過這一起。

Larson說：「這是用來存儲數據的亞馬遜伺服器未進行安全配置所導致的一系列重大信息泄露事件其中之一。默認情況下，配置項是安全的，但網路安全公司UpGuard的研究人員Chris Vickery經常能發現有企業進行了錯誤的設置。」

這個事例體現了安全設置的重要性，組織必須充分了解他們正在使用的服務以及可以使用的配置項。無論任何時候，如果需要對配置項進行更改，都要進行充分的檢查，確保調整這些配置後仍是安全的，並且沒有未經授權用戶的後門存在。

應對：部署多方位的強大保護

在2017年的網路攻擊事件中，除了上述得到的經驗之外，我們還意識到：企業必須具備多方位的保護，並始終如一地貫徹數據保護的相關原則和規定。

TechRepublic報道說，在2017年發生的絕大多數（93%）安全事件都可以通過簡單的安全流程來阻止，例如及時安裝補丁、阻止欺詐電子郵件、向員工進行網路釣魚相關培訓。

推薦閱讀：