从Heartbleed到ApacheStruts再到SolarWinds,这些是过去10年的分水岭网络安全事件。在过去的十年中,网络安全行业出现了许多分水岭,对网络安全领域产生了重大影响。严重的漏洞、广泛的网络攻击已经改变了网络安全的许多方面。为了回顾过去10年发生的安全事件,网络安全提供商Trustwave近日发表了一篇名为《十年回顾:漏洞状态》的博文,列出了过去10年中最突出、最值得关注的10个网络安全问题和违规行为。“很难完整地讲述过去10年网络安全行业发生的事情,因为安全工具和事件记录器最近发展如此之快,以至于我们现在认为理所当然的许多指标在10年前并不存在,"文章写道。然而,可用数据提供了足够的信息来发现一些重要趋势。根据国家漏洞数据库(NVD)、Exploit-DB漏洞数据库、VulnIQ和Trustwave安全数据等来源,最明显的趋势是安全事件和漏洞的数量不断增加,并且变得更加复杂。”这里是Trustwave定义的过去十年中发生的10起分水岭安全事件,排名不分先后1.SolarWindsHacking和FireEye漏洞2020年12月,网络监控工具SolarWindsOrion的供应链网络攻击被黑客调用Trustwave是“过去十年中最严重和最具破坏性的网络安全事件。整个频谱一片哗然。多家公司和美国政府机构成为该活动的受害者,网络犯罪分子利用FireEye红队工具和内部威胁情报数据植入恶意后门更新(称为SUNBURST),影响约18,000名客户,并使网络攻击者能够修改、窃取并销毁网络上的数据。Trustwave表示,尽管SolarWinds在2020年12月13日打了补丁,但受感染的服务器今天仍在使用,网络攻击仍在发生,这意味着许多企业不知道在打补丁之前设置休眠向量。“当你看看SolarWinds攻击发生的事情时,这是一个典型的例子,说明网络攻击者如何选择任何目标来部署他们的产品,许多受害者是分布在世界各地的大量公司,而且大多数企业没有从检测和预防的角度将其纳入响应的能力。”2021年6月,满洲里大学管理学教授、风险管理和工业与运营工程专家RichShitalThekdi表示,对SolarWinds的网络攻击是前所未有的,因为它能够产生可能影响关键基础设施的重大物理后果供应商的能源和制造能力。并造成持续的入侵,应被视为具有潜在巨大危害的严重事件。2.EternalBlue漏洞利用和WannaCry/NotPetya勒索软件攻击Trustwave名单上的下一个是2017年EternalBlue漏洞利用和随后的WannaCry/NotPetya勒索软件事件。黑客组织ShadowBrokers泄露了从美国国家安全局(NSA)窃取的主要漏洞,这些漏洞被用来执行具有高度破坏性的WannaCry和NotPetya勒索软件攻击,影响全球数千个系统健康服务造成了特别的损失。最重要的漏洞称为EternalBlue,针对CVE-2017-0144漏洞,微软在ShadowBrokers泄漏前一个月修补了该漏洞。据Trustwave称,EternalBlue漏洞目前在Shodan上仍然活跃,Shodan是一种流行的联网设备搜索引擎,目前列出了7,500多个易受攻击的系统。2017年,RiskSense研究人员表示,“EternalBlue漏洞很危险,因为它可以提供对几乎所有未打补丁的MicrosoftWindows系统的即时、远程和未经身份验证的访问,这对家庭用户和商业世界来说都是一项关键功能。最常见的漏洞之一广泛使用的操作系统。”3、OpenSSL中的Heartbleed漏洞Trustwave在文章中称,2014年出现的Heartbleed漏洞持续肆虐,目前估计已经威胁到超过20万个易受攻击的系统。安全研究人员发现了一个严重的漏洞(CVE-2014-0160)在OpenSSL中,这是一种保护网络的加密技术。它之所以被称为Heartbleed,是因为OpenSSL在TLS/DTLS(传输层安全)扩展(RFC6520)的实现中存在缺陷,并允许互联网上的任何人读取系统内存。Heartbleed漏洞引起了广泛的恐慌,并迅速被标记为互联网历史上最严重的安全漏洞之一。“从1到10的等级,Heartbleed是11,”信息安全先驱BruceSchneier在他的博客文章中说。在2014年的一篇文章中,安全顾问RogerGrimes制定了一个三步计划,以帮助企业控制其OpenSSL环境并缓解Heartbleed漏洞。OpenSSL可能在60%或更多的网站上运行HTTPS连接,并用于许多其他使用基于SSL/TLS协议的流行服务,例如POP/S、IMAP/S和VPN。如果您可以连接到基于SSL/TLS的服务,并且它没有运行MicrosoftWindows或AppleOSX,那么它很可能容易受到攻击。4.在Bash中执行Shellshock远程代码Trustwave公司在文章中指出,Shellshock(CVE-2014-7169)是“BourneAgainShell”(Bash)命令行界面中的错误,在2014年被发现之前就已经存在30年。“该漏洞被认为比Heartbleed更严重,因为它允许网络攻击者在没有用户名和密码的情况下完全控制系统,”该公司补充说。尽管2014年9月发布了一个补丁,但Shellshock漏洞目前仍在肆虐。在黑客利用DNS劫持来访问敏感系统时处于活跃状态。EasySolutions的首席技术官DanielIngevaldson在2014年评论道:“利用此漏洞依赖于可以从Internet以某种方式访问??bash功能。bash的问题在于它被用于一切。在基于Linux的系统上,bash是默认设置shell,以及任何需要调用shell来处理输入、运行命令(例如ping、sed或grep等)的支持Web的进程。零日漏洞影响ApacheStruts2中的JakartaMultipart解析器,一个Web2017年发现的应用程序开发框架。此漏洞允许通过错误地解析攻击者的无效Content-TypeHTTP标头进行远程命令注入攻击。几个月后,信用报告巨头Equifax宣布黑客获得了企业数据的访问权限,这些数据可能泄露了美国、英国和加拿大等国家1.43亿人的敏感信息。进一步分析发现,网络攻击者利用此漏洞(CVE-2017-5638)作为初始攻击向量。威胁情报公司SurfWatchLabs的首席安全策略师AdamMeyer在2017年9月表示:“这种特殊的数据泄露将影响许多企业和联邦机构用来打击他们自己的欺诈形式的漏洞利用身份验证堆栈。”Trustwave公司认为这一点当前处于非活动状态的漏洞。6.推测执行漏洞Meltdown和SpectreTrustwave在其下一个列表中引用了2018年的主要CPU漏洞,称为Meltdown和Spectre。这些属于称为推测执行的一类漏洞,网络攻击者可以将其作为目标,利用正在运行的计算机的CPU访问存储在其他正在运行的程序的内存中的数据。博文写道:“Meltdown(CVE-2017-5754)破坏了阻止应用程序访问任意系统内存的机制。Spectre(CVE-2017-5753和CVE-2017-5715)诱使其他应用程序在其内部访问任意系统内存记忆。”地点。这两种攻击都使用侧通道从目标内存位置获取信息。”这两个漏洞都很重要,因为它们开启了危险攻击的可能性。正如2018年安全行业出版社的一篇文章所述,“例如,网站上的JavaScript代码可以使用Spectre诱骗Web浏览器泄露用户和密码信息。网络攻击者可以利用Meltdown查看其他用户拥有的数据,甚至是同一硬件上托管的其他虚拟服务器,这对云计算主机来说可能是灾难性的。”值得庆幸的是,Trustwave表示Meltdown和Spectre似乎处于非活动状态,目前尚未发现任何漏洞。7.BlueKeep和远程桌面作为访问媒介在大规模远程办公和2020年3月发生的新冠疫情带来的安全隐患之前的几年里,网络犯罪分子以远程桌面为目标,利用RDP漏洞窃取个人数据、登录凭证和安装勒索软件。然而,在2019年,随着Microsoft远程桌面服务中的远程代码执行漏洞BlueKeep的发现,远程桌面作为攻击媒介的威胁真正浮出水面。“安全研究人员认为BlueKeep特别严重,因为它是可利用的,这意味着网络攻击者可以使用它在计算机之间传播恶意软件而无需人工干预,”Trustwave在文章中写道。美国国家安全局(NSA)就此问题发布了自己的咨询意见,“这是恶意网络参与者经常通过使用专门针对该漏洞的软件代码来利用的漏洞类型。例如,一个可以利用该漏洞进行拒绝服务攻击,远程利用工具广泛使用该漏洞可能只是时间问题,NSA担心恶意网络攻击者会利用勒索软件中的漏洞和包含其他已知漏洞的漏洞利用工具包,从而增强了针对其他未打补丁系统的能力。”Trustwave表示,BlueKeep仍然活跃,并在Shodan上发现了超过30,000个漏洞实例。8.Drupalgeddon系列和CMS漏洞Trustwave公司表示,Drupalgeddon系列包括两个关键漏洞,今天FBI认为这些漏洞仍然活跃。第一个漏洞CVE-2014-3704于2014年以开源内容管理系统DrupalCore中的SQL注入漏洞的形式被发现,威胁行为者利用该漏洞破坏了大量网站。四年后,Drupal安全团队披露了另一个名为Drupalgeddon2(CVE-2018-7600)的极其严重的漏洞,该漏洞是由于Drupal7FormAPI上的输入验证不足导致的,允许未经身份验证的攻击者在默认或常见的Drupal上安装和执行远程代码.网络攻击者正在使用Drupalgeddon2漏洞在安装了Drupal的服务器上挖掘加密货币。2014年底,印第安纳州教育部将对其网站的攻击归咎于Drupal漏洞,该漏洞迫使其在问题得到解决时暂时关闭其网站。9.MicrosoftWindowsOLE漏洞SandwormTrustwave列表中的倒数第二个漏洞是2014年检测到的MicrosoftWindows对象链接和嵌入(OLE)漏洞CVE-2014-4114。“该漏洞被用于针对北约、乌克兰和西方政府组织以及能源行业公司的网络间谍活动,”该公司在一篇博文中写道。绰号“沙虫”。Trustwave认为此漏洞目前处于非活动状态。10.Ripple20漏洞和不断增长的物联网设备Trustwave列表中的最后一个是Ripple20漏洞,这些漏洞突出了围绕不断扩大的物联网空间的风险。2020年6月,以色列物联网安全服务提供商JSOF发布了19个漏洞,统称为Ripple20,以说明它们在未来几年对连接设备产生的“连锁反应”。Trustwave在一篇博文中指出,“这些漏洞存在于Treck网络堆栈中,影响了50多家供应商和数百万台设备,包括医疗保健、数据中心、电网和关键基础设施中的关键任务设备。”正如行业媒体在2020年所概述的那样,一些漏洞可能允许通过网络远程执行代码,并导致受影响的设备全面受损。据Trustwave称,Ripple20漏洞至今仍处于活动状态。如果漏洞未得到修复,它会在检测到很长时间后构成风险。Trustwave引用了一个事实,即其列表中的几个漏洞是近十年前检测到的,但即使在补丁和修复程序可用之后,其中许多漏洞仍会随着时间的推移继续构成风险。这表明企业:缺乏跟踪和记录网络上运行的各种服务的能力。努力在不中断工作流程的情况下保护资产和应用补丁。对零日发现反应缓慢。Trustwave补充说,这可能具有更大的意义,因为2021年检测到的零日攻击增加。Trustwave安全研究主管AlexRothacker表示,许多企业都在不断打补丁以解决最新的漏洞。“这是极具挑战性的,特别是对于安全人员有限或没有专职安全人员的小型企业而言,”他说。“即使对于较大的企业,也并不总是有现成的补丁。以Log4j漏洞为例。”.大多数易受攻击的Log4j版本是较大的第三方包的一部分,许多第三方供应商仍在努力全面更新其复杂的应用程序。”更重要的是,随着时间的推移,焦点会转移到下一个漏洞上,导致旧补丁有时会丢失,Rothacker补充说,“漏洞越老,关于如何利用它的信息就越多。这使得漏洞更容易被利用,网络攻击者需要利用已知漏洞的东西。”技能较少。对于老练的网络攻击者来说,这是一个容易的目标。“
