世卫组织遭网络攻击教会我们:重新定义网络安全风险
文章来源:CyberArk
正当世界各地的政府、机构和个人努力应对前所未有的巨变形势之际,机会主义网络攻击者也在蠢蠢欲动。
据路透社报道,3月初,一群攻击团伙针对世界卫生组织(世卫组织)发起了网络欺诈攻击。有关专家认为,策划这起袭击事件的是一个经验老道的民族国家团伙,其袭击的目的是为了获取世卫组织员工访问关键系统和应用程序所使用的凭证。首先拉响警报的“吹哨人”是网络安全研究员Alexander Urbelis。
他向InfoRiskToday报告了,攻击者试图利用子域对世卫组织的动态目录联合服务(单点登陆服务)进行破坏。他根据网址结构找出网络攻击者的攻击对象是世卫组织登录页,并识别出这是一起针对世卫组织发起的全新攻击方向。
虽然这次攻击并未成功,但该攻击只是最近针对世卫组织发起的一系列网络攻击中的一起案例。世卫组织首席信息安全官Flavio Aggio向路透社表示,以危害世卫组织为目的或冒充世卫组织向其他方发起的网络攻击次数“翻了一倍多”。
网络攻击者活动次数激增,不论是公共机构还是私人机构都因此受到了影响,尤其是对那些专注于医疗保健、医学研究和当前救援工作的机构更是如此。例如,据彭博社报道,有网络攻击者冒充美国疾病控制和预防中心(CDC),以提供新冠肺炎的信息为诱饵,发送网络钓鱼邮件。
此外,据《华尔街日报》报道,英国国家犯罪调查局正在调查一起针对一家疫苗开发的药物检测公司发起的勒索软件攻击案件。与此同时,随着针对各大机构的网络攻击次数不断增加,联邦调查局发出警告,那些希望从美国政府2万亿美元救助计划中获得财政援助的数百万美国公民,也成了网络攻击者在经济刺激骗局上锁定的攻击目标。
这一波新的攻击尤其令人担忧,因为受攻击的对象集中在一系列新的机构,而这些机构过去从未受到如此大规模的攻击,攻击强度也前所未有。更糟的是,与此同时,这些机构大多数都面临着需要用全新的远程方式获得支持和保护的巨大挑战。
尽管有一些对网络攻击的相关报道不断涌现,但很多机构仍然蒙在鼓里,不知道自己已经成为攻击目标,会受到威胁。
疫情情况下会造成信息真空,攻击者则利用这一真空发起新的攻击。他们滥用疫情危机,期望问题扩大化可让公众分散注意力,从而使人们疏于网络安全的防范。近些年来,在发现非法网络攻击问题上,各大机构都做的越来越好、越来越快。但一般而言,无论是对内还是对外,任何网络攻击检测的全球平均停留时长还是78天。不幸的是,对于网络攻击者而言,78天足够他们发现、访问和窃取敏感数据和信息了。
正如针对世卫组织的网络攻击一样,大多数攻击者都试图通过窃取凭证的方式站稳脚跟,这是切入网络攻击链的第一步。他们经常使用这些凭证对台式机、笔记本电脑、移动设备或服务器等终端进行破解。他们从终端展开搜索,然后开始横向移动,寻找进入特定系统所需的特权凭证。由于攻击者已经获得合法凭证,因此他们很容易在网络中移动而不被发现,并且获得了更高的权限对目标进行搜索。
为识别威胁,机构必须对合法通信手段和身份验证进行有力管控,否则攻击者很容易就能渗透进来。然后他们会耐心等待,有时会处于完全休眠状态,而机构就会将注意力转移到别处。在此期间,一些攻击者会一点点地窃取敏感信息,而另一些攻击者则在等待最佳时机来实施毁灭性打击。只要需要,攻击者可以等很长时间,所以真正的打击可能要到当前疫情缓解后才会真正来临。
随着当前形势的发展,我们可以预料,对重要的基础设施和资产所展开的此类攻击会越来越多。各个机构,尤其是政府机构、私人公司和医疗保健提供商,需要保持高度警惕,重新定义这种新常态下风险评估的方式。为免受攻击,公司应对员工进行网络诈骗和其他常见终端攻击方式的相关培训,这一点至关重要。但风险防范措施不能只限于对员工的培训。
与人们的普遍观点相反,各个机构目前面临的最大风险是在攻击者能够影响或访问关键数据和资产之前将其遏制住,而不是阻止攻击者的初始渗透。毕竟,任何机构都无法完全阻止网络攻击者渗透。特权账户和凭证访问管理是打破网络扼杀链、最大限度地减少网络攻击者渗入机构后采取破坏行动,并最终防止数据泄露或遭受破坏的有效方法。
