作者:小安郡主

来源:https://www.anquanke.com/post/id/263139

2021年,诚如大家所愿,新冠被骄阳烧灼,留下了夏日的灿烂。可惜年关将至,气温骤变,病毒变种也随之出现,盖上了世界的幕帘。网络安全的态势,则与其截然相反,并没有因为烈日而升温,却随着暑气退去而回暖。

回顾整年的安全新闻,勒索软件和去年一样稳居中心点。当然,一样的不只是热度,还有命运,当我以为今年“又”是勒索软件之年时,扎克伯格以公司改名的信念与觉悟强推元宇宙概念。不管是考虑蹭热度,还是元宇宙网络安全的重要性,21年的年度安全关键词不得不留给元宇宙,毕竟赛博史书上,这一年可能是元宇宙的元年。

元宇宙

元宇宙,经查起源于科幻小说《雪崩》,根据目前的应用,可以简单理解为虚拟现实。考虑到Meta(Facebook)在Oculus和Libra上的耕耘,小扎对此可说布局已久,投资脑机接口的马斯克也不能过分抱怨被截胡了。相比远程办公,元宇宙的范围更广、程度更深,工作生活娱乐无所不包,网络安全自然也会成为重中之重。在此之前,网络安全大多造成的都是经济损失,虽偶有恶性事件发生,但均属并发症。元宇宙中则略有不同,个人和网络高度绑定,一旦安全出现漏洞,个人虚拟空间必将遭受重创,随之而来的就是现实生活的崩塌。这不是危言耸听:仅看目前的应用,就可能出现个人失信、财产失窃、隐私崩坏等问题,尽管很多风险已在传统网络安全中揭示,但元宇宙无疑大大扩展了攻击面。试想下,黑客利用你的模型和声音在VR Chat中发言,消费着你的比特币,管理着你的NFT,通过VR设备的摄像头监控甚至“篡改”你的世界……这都是元宇宙还未定型的现在就可以做到的冰山一角。在或远或近的未来,你的虚拟身份可能直接成为黑客勒索的资本,费尽心血打造的虚拟空间也会一声令下烟消云散,强制在虚拟世界remake,也就是说,你在元宇宙中的“命”真的掌握在黑客手中。现在谈这些也许为时过早,不过提前布局总不是坏事,假如资本真的疯狂涌入元宇宙产业,网络安全必然可以分到一杯羹——哪怕再不懂网络安全的人,也可以想象出沉浸在VR体验时被恶作剧惊吓的恐惧,宛如置身别人的梦境被主人操纵般无能为力。

勒索软件

让我们把目光拉回现实,看一看此时此刻依然肆虐的勒索软件。根据各家安全企业或政府部门的公开报告,今年的勒索软件无论规模还是金额对比去年都有增无减,看似更加绝望,绝望中却存着一丝希望,那就是今年的打击网络犯罪行动卓有成效,给一路狂飙的勒索软件切实装上了刹车键。今年勒索软件并没有跨时代的创新,还是RaaS和数据回传那套,但精进许多,绝对无愧于产业二字。首先是RaaS,有些勒索软件组织开启爆肝模式,下饺子般出品勒索软件家族,打造出一个又一个明星。他们的分发商也不甘示弱,硬生生把自己搞成了中介,直接购买现成权限,配合着加密货币混合器或钱骡,一条涵盖攻击-部署-运营-研发销售-洗钱的产业链彻底成型。其次是数据回传,没有了攻击任务的压力,分发商把更多精力放在了客户运营上,有些得寸进尺之辈便打起了双重勒索的歪主意。相比去年公开数据作为勒索的手段,今年这些数据构成了与解密并行的第二条产业链:支付第二笔赎金,我们才不会把数据发给竞争对手,甚至直接公开招标;更甚有些消息灵通的公司会找勒索软件运营方主动购买竞争对手公司数据。这种行为带来了更多的收益,但也使勒索软件的“信誉”大大受损,勒索软件都知道,勒索软件不在乎。以往勒索软件的骄傲如今一文不值,借着数据在手,顶着更大风险,频繁更换着马甲,只要能赚到钱,就会用尽一切手段,所以今年对勒索软件的防护压力也增大不少。压力不仅来源于此,还来源于强强联合,虽然他们放弃了打造百年品牌,但依靠地下论坛“真实”身份的号召力,为自己招兵买马的同时还试着寻求和其他团队合作:不仅有勒索软件团队间的经验交流,还有和木马恶意软件团队的分工合作。至于勒索软件相关的其他趣事,放在其他关键词中介绍更为合适,就不在这里展开了。总的来说,勒索软件可算是继续高速增长了一年,众多企业和关键基础设施饱受摧残,好在达到了阶段的瓶颈,只要后续政府和企业的防护水平可以跟上,提高攻击成本,把他们逼向单点突破的道路,就有望遏制乃至缓解目前猖獗的态势。

跨国执法

勒索软件之后不得不夸一夸跨国执法成绩斐然,今年多个勒索软件组织和加盟商或被抓、或隐退,强如REvil等也难逃法网。就算是金盆洗手,还是迫于压力避避风头,能减少攻击就是成功。从小打小闹的个人或小团体黑客,到勒索软件加盟商或附属公司,大至洗钱产业链的一个节点、暗网市场,都结过一些案,还是很能给人信心的。执法,当然也要有法可依,法律法规这块国内外例行更新了不少网络安全相关规范,如国内的《个人信息保护法》、《关键信息基础设施安全保护条例》、《数据安全法》,都让网络安全的大厦更为稳固。与此同时,也有一些不那么让人乐观的政策和行动,大多国家今年继续扩编网络安全部队,出台网络战相关政策,火药桶持续填充,一旦引燃不可想象。有趣的是,一些保险公司也对此进行了跟进,建议不再承保网络战损失,诚实的资本已经给出了答案,网络安全军备竞赛恐怕无法避免。

加密货币

与勒索软件相辅相成的还有今年大热的加密货币。不得不说,韭菜长得真的快,去年经历过断崖式下跌,丝毫不影响今年入场。背后的原因无法确定,有疫情、有勒索软件、有炒作,总之加密货币又回到了它的王座。勒索软件大多按美元计价,按加密货币结算,受影响不是特别大,但对挖矿软件就不一样了,单位时间收益暴涨,重新俘获懒省事黑客的芳心。这里必须再提一次勒索软件了,因为有的勒索软件组织真的坏事做尽,加密完数据之后还要用你的电脑挖矿,榨干最后亿点价值。与之前有所不同,当年风风火火的网页挖矿不再吃香,传统服务器挖矿大行其道,果然挖得多挖得快才是硬道理。同样的,挖矿软件也选择了和勒索软件一样专注运营方式的道路,办法很简单粗暴,那就是遇事不决挖个矿,只要是有权限的地方,就想方设法给你塞个挖矿软件。挖矿软件和其他恶意软件不同,对计算机本身的伤害还是相当大的,而且隐蔽性相对较差,不过这也不意味着它的危害就比其他恶意软件小,云服务器也就罢了,其他情况下感染了挖矿软件,也就意味着该丢的数据已经丢了,自求多福吧。今年挖矿比较有意思的是,出现了一些实用化的移动端挖矿软件,这说明有黑客团队实打实开始考虑攻击移动平台来挖矿了,对安卓来说还是相当值得警惕的,不知道移动端的杀软会不会借此机会迎来第二春。

密码学

说完加密货币,自然要说道说道密码学。之前还看到一则有趣的新闻,很多国外学者要求为“Crypto”正名,人家叫密码学而不是加密货币。密码学一直是与数学息息相关的安全圈阳春白雪,默默为安全圈做贡献,今年逐渐走上了主流舞台。前几年研究同态加密的时候,国内还鲜有资料,实际应用也只看到微软和IBM推出了测试工具集,效果也堪堪。伴随各类供应链攻击、云服务商攻击频发,不可信第三方成为共识,同态加密的工具集越出越多,距离实用化也越来越近。另一条线上,可搜索加密已经走上了实用化,在一些系统中发光发热,在特定应用方向上算是直接换了赛道。纵观现今云服务产业规模,云安全绝对会是云服务商和安全企业的主打,加密这种重量级的武器,两方肯定都想牢牢抓在手里的。你追我赶,共同进步,实用化的同态加密方案落地应该不会太远。

人工智能

安全学术圈陪伴密码学的另一个小伙伴,人工智能(机器学习)今年也是脚踏实地前进。无论是针对人工智能的攻击与防御,还是借助人工智能实现的其他方向攻击与防御,都有不错的成果。这股风吹了好几年了,以前大多起到辅助作用,或者作为额外功能,现在也优秀到可以嵌入主流系统中了。不过人工智能毕竟不是真智能,偶尔还会发生让人啼笑皆非的事故,但前景肯定是一片光明。至于它的未来,对它不甚了解就不说太多,从个人角度来说还是很期待可解释性人工智能与生成式人工智能的发展。

社会工程学

最后要说的就是社会工程学,今年年末Log4j2漏洞的影响不比去年Solarwinds事件小,但我认为这种框架出现漏洞是迟早的事,因为框架影响范围和危害大小让它占有一席之地也没有必要,所以还是把这个位置留给了社会工程学。今年社会工程学影响较大的两个事件,应该都是朝鲜黑客的杰作。较近的是Lazarus借助盗版IDA PRO攻击逆向人员,这版软件最初发布已是近两年前,潜伏到现在才被发现;另一起是年初时,Lazarus营造安全研究员人设,和安全研究员打好关系后发送恶意工程让他们编译中招,还用IE 0day直接钓鱼。由此可见,安全研究员也是人,黑客利用社会工程学攻击安全圈,完全不是关公面前耍大刀,只要投其所好,就很可能一击必杀。换个角度想,对这种套路相当敏感和警惕的安全研究员尚且中招,普通用户更不用说,社会工程学的攻击与防范还需要更全面的研究。对安全研究员来说,其实事件无法带来太多的启示,社会工程学的攻击面太广了,防不胜防,反倒是提醒黑客扩展了一条切实可行的攻击途径。不知道大家还记不记得18年的时候iPhone手机蜜汁长时间震动,这可是安全圈限定(笑),谁干的其实不重要了,但是提醒出来的风险是存在的。以后或大或小的针对安全圈的社会工程学攻击一定有增无减,从各类破解版安全工具,到各种安全工具的反制,以及现在想不出的骚操作。要记得,知己知彼,百战不殆,黑客亦然。

尽管时间度过一年,七还是一个有魔力的数字,所以今年的安全资讯关键词仍旧选取七个。最为耀眼的三个是元宇宙、社会工程学和勒索软件,其他四个是为了变化而变化妥协的产物,但他们在趋势上也确有提及的价值。其中最想说的还是元宇宙,现在愈炒愈热,即将成为新时代的韭菜镰刀,不过错的是资本,不是元宇宙,作为黑客对这种赛博朋克机械飞升的世界,憧憬是一直埋藏于心底的。而且正如前文所述,在遥远的未来,元宇宙中的网络安全会被赋予不一样的意义,乘着资本的东风,希望明年可以看到关于元宇宙网络安全现实的探讨与虚幻的畅想。

后日谈

七个关键词确定之后,脑内又对落选的关键词进行了一场复活赛,其中几个关键词展现了高光时刻,就拿来再说道说道。

供应链攻击

首先胜出的是供应链攻击,继去年Solarwinds事件后,安全圈一段时间内疯狂“展开”供应链攻击,npm等供应链攻击事件人尽皆知,大大小小供应链攻击层出不穷。从前这玩意就像社会工程学一样,处于一种微妙的位置上,都觉得它有用,但都觉得它很难,结果实际体验下来:嗯,真香!成为常用攻击方式之一了。这对安全无疑是巨大的挑战,防护上无从下手,牵一发而动全身的攻防不对称体现到极致;修复和收漏洞上也很麻烦,SRC收不收、怎么收、收了之后怎么修,都还没有公认的规范;麻烦还麻烦在不能不修、影响极大。这也给安全公司提出了新的要求——如何系统化防御供应链攻击。不过这种事,头部的互联网公司和政府部门或许比安全公司更值得期待,明年可以着重关注谷歌、微软等公司在这方面的进展。

安全意识

接着是安全意识,今年单独拿出来是因为看到了一篇有趣的报告,安全公司进行调查后发现,对员工进行安全意识培训起到的作用微乎其微,钓鱼该中还是要中……之前并没有看过类似主题,初见还是挺惊讶的,马后炮来说,大多公司还挺“机智”,没有在安全培训这种低性价比工作上花功夫(虽然也没在安全防护上下功夫)。以这篇报告为基础,还有一个数据值得关注,那就是提供给员工报告安全问题渠道真的有用,比如举报可疑邮件之类,准确率相当高。考虑到要在应用层面进行扩展,这勉强也算是安全防护的一种,配合传统安全防护可能会有奇效。也有可能,折腾了半天,最后发现这篇报告是安全公司为了卖防护编的,反转再反转,大家都爱看,姑且当个思路了解下就好。安全意识还有个想说的,就是日防夜防,家贼难防,内鬼是真滴🐂🍺。今年好几起安全事故都和内鬼脱不开干系,有收钱帮黑客部署勒索软件的;有心情不好删库的;有挪用公款买加密货币理财的(索尼员工)……难防是难防,好歹还是有现成的解决方案的,有需求的公司赶紧安排,省得事后哭都没地儿哭去,顺带把员工心理辅导也做到位,难保人家本来就有那权限呢?

程序分析

最后提一嘴程序分析,Log4j漏洞倒是把CodeQL带火了。20年夏天我们倒是发过一个CodeQL专题,安利了一波,可惜门槛确实不算没有,很难像Web扫描器一样人手一个冲浪挖洞,大概率和供应链攻击一样火一阵子,之后就冷下来了,但我是真的相信它就是未来。黑盒再全面,覆盖不如白盒,人脑再跳跃,精力不如机器,Fuzz已经证明了自己,程序分析也将在未来登上属于它的王座。白盒局限性也是有的,就是必须甲方自己来做,买方案自己扫自己修,成本对小公司来说不低了,不知道有没有安全公司把它做成服务推广下,敲碗坐等,投资找我,一元起步,百元封顶。

算算敲键盘的时间,从2到。满打满算十天,虽然每天谈不了十个资讯,但也算字面意义上的十日谈了,挺符合现在全球疫情肆虐的背景还。人类付出的代价够多了,希望疫情早日结束回归正常生活。🙏