对于信息安全行业而言,刚过去不久的2011无疑是“多事之秋”。年初的索尼PlayStation network的泄密事件为这“不寻常”的一年“正式”拉开帷幕,而年末的知名开发者社区CSDN信息泄密事件则是使得2011惨淡收官。

 
像其他领域的安全事件一样,信息安全事件的发生,是任何人都不愿意看到的。然而信息安全如雷贯耳般的警钟声却不容忽视。以史为鉴,可以知兴替。通过总结、分析已经发生的信息安全事件,我们可审视自身的不足,提高防范,以最大限度避免类似事件的发生。
 
下面,跟大家一起回顾2011年影响较大的10大信息安全事件,看看有怎样的经验与教训值得我们深思。
 
 
10. 安全机构也中枪——RSA遭入侵
 
事件回放:
 
2011年3月17日,美国RSA的执行总裁在其官网上发表一封公开信称,有人以APT(Advance Persistent Threat,先进持续性威胁)的攻击方式对RSA发起了相当复杂的网络攻击,并入侵窃取了RSA系统中的重要数据,而这些数据中有些是专门用于RSA的SecurID双因素认证的产品。事件发生后,RSA为部分用户更换了Secure ID,并建议用户注意异常情况,同时加强令牌管理及注意社交工程攻击。
 
随后的5月份,美国军火商洛克希德马丁公司传言遭受网络攻击,导致部分机密武器资料等泄漏。有传言称,此次攻击,黑客正是利用了早前失窃的RSA SecureID数据,复制了洛克希德马丁公司使用的SecureID令牌,并最终实施了入侵。
 
评论:
 
Secure ID双因素认证以及CA证书技术,都是目前应用广泛的安全技术,广泛应用于政府机构、企业、金融等敏感部门,典型的如网银登录等,可以说,一旦出现漏洞,会造成非常重大的实质性损失,波及范围也会非常广泛,站在黑客的角度,自然跟更有利可图。因此,威胁也就更大。
 
这一事件提醒了我们,在你部署了你认为足够安全和全面的安全措施之后,你可能还是不够安全。这就好像你买了一把高级密码锁来保护你的资产,结果不怀好意者拿到了原配的钥匙;更有甚者,不怀好意者甚至卖了一把假的锁给你,让你的防线形同虚设。
 
这就需要我们重视安全审计,不放过系统中的任何一点异动,即使你觉得已经部署了足够安全的措施——因为没有绝对的安全。
 
9. “悲剧”的索尼——接连被黑
 
事件回放:
 
2011年4月26日,索尼在“游戏站”博客发布通告,称黑客侵入旗下“游戏站”和云音乐服务Qriocity网络,窃取大量用户个人信息,包括姓名、地址、电子邮箱、出生日期、登录名、登录密码、登录记录、密码安全问题等,受影响用户大约7800万。
 
评论:
可能有人会认为,类似的这种黑客主动攻击的行为近乎“天灾”,受害者往往是无计可施的。其实不然,本质上,这些机构遭受损失,还是本身安全防护措施不足造成的。再试想一下,连索尼这种知名企业,以及FBI、CIA等顶尖的政府机构,都会被黑客攻破,如果黑客把目光集聚在普通企业身上,必然会不堪一击。
 
这一事件提醒我们,对于安全的追求,永远没有终点,安全人员也应该时刻有危机意识;同时,黑客的宣言也提醒我们:安全是一件需要高调对待但低调宣扬的事,不要主动招惹黑客,同时也不应该对黑客示弱。
 
 
 8. 当银行失去可靠性——韩国农商行遭黑客入侵删除交易记录宕机三天
 
 事件回放:
 
2011年4月19日,紧接在韩国现代资本公司之后,韩国农协银行也疑遭电脑黑客袭击,其电脑网络瘫痪了三天,数以万计的客户受影响。
 
根据农协银行工作人员报告的情况,本次事件源于系统服务器数据被删除造成的系统瘫痪和数据丢失。大约540万名信用卡客户的交易记录被删除。
 
根据调查员的进一步分析,认为整个事件是一次恶意黑客攻击,笔记本的所有者表示删除命令并非自己所下达。事发当时,该员工的笔记本放置在银行的办公室内。根据当天闭路电视的录像,可能有20个人有机会接触到这台笔记本,这20人当中有一人拥有Super Root权限。
 
评论:
 
由于涉及到实实在在的“金钱”,一般来说,银行等金融机构对于信息安全的要求是最高的,其信息安全防护水平也一直走在IT业界前列,包括防入侵、灾备等都有完善的方案。然而,此次韩国农商行的水准却让人大跌眼镜。瘫痪三天,这在任何金融机构都是不可想象的。
 
通过回访此次事件,业界研究者得出的事件原因有三:一是对于最高级别权限即super root的管理不足;二是没有基本的隔离安全机制(笔记本直接连入外网);三是容灾备份机制没有发挥作用。这当中的每一点单独拿出来,都可能是致命的漏洞。
 
黑客所策划的此次攻击,是以IT运维部门的用户机位跳板实施的,这就暴露了目前广泛存在的一种威胁,即通过窃取内部合法用户的权限进行非法活动。这种漏洞,说白了就是IT内控的不足。对于类似银行的敏感机构的敏感部门,尤其应该注意用户权限的管理;另外,在必要时进行网络隔离甚至物理隔离是必然的要求。同时,也要加强平时对于合法用户的行为审计,防范合法权限被滥用或被利用等情况的发生。最后,对于最重要的信息,完善的多点灾备机制是必须的选择。
 
7. 社交网络的逆袭——新浪微博病毒首次大肆传播
 
事件回放:
 
2011年6月28日,新浪微博出现了一次比较大的XSS攻击事件。20:14,开始有大量带V的认证用户中招转发蠕虫;20:30,2kt.cn中的病毒页面无法访问;20:32,新浪微博中hellosamy用户无法访问;21:02,新浪漏洞修补完毕。
 
评论:
 
如果单纯讨论技术,此次攻击可能算不上是最高级别的黑客攻击。但此次事件暴露出来的社交网络风险,却是实实在在的给我们提了一个醒。
 
相关数据显示,截止2011年11月,国内社交网站注册用户达到了2.6亿,微博用户达到了2.5亿,再加上数亿用户使用的QQ等,规模化的社交网络,前所未有的改变了我们的生活的同时,也带来了前所未有的风险。
 
对于企业来说,社交网络是一个难题。时代的前进和发展迫使公司的日常运营中要应用社交网络等新的技术,但相关的安全防护手段却未必跟得上技术的发展。IT管理员应该对社交网络采取怎样的态度,允许还是禁止,进行多大程度的限制,这些问题都需要提上考虑的日程了。单纯的允许与禁止做起来可能容易,但前景似乎不那么明朗。对于IT管理员甚至组织的管理者来说,是该制定社交网络使用规范的时候了。
 
6. 当病毒成为武器——Duqu病毒爆发
 
事件回放:
 
11月,在苏丹和伊朗(该木马程序的前身—Stuxnet的主要攻击目标)出现了新Duqu恶意软件感染。Duqu病毒被认为与Stuxnet工业破坏病毒密切相关,因为它借用了Stuxnet的代码和功能,Duqu是一个用于数据渗出的灵活的恶意软件交付框架。
 
Duqu被认为是专门针对企业的有针对性攻击,可能成为2012年的主要恶意软件。
 
评论:
 
针对工业设施和控制系统进行的特定攻击,显示了目前黑客攻击更有针对性和更强烈的利益倾向。就像Duqu病毒所利用的Word漏洞一样,黑客往往利用常见系统工具的漏洞,从普通用户入手渗透到核心系统,最终获取机密信息。
 
相较以往,大家的安全意识已经有了提升,但这些病毒的存在提醒了我们,信息安全防护一直在路上。
 
 
以上是排名6-10位的2011十大信息安全事件,稍后,将为各位博友带来排名1-5位的下篇,敬请期待!欢迎大家与我多多交流。