安全事件。该事件于5月8日首次曝光。笔者首先整理了一些关于此次攻击的相关资料。5月8日(上周五),美国最大的燃油管道ColonialPipeline遭到网络攻击。该公司主动采取一定的系统隔离措施,同时暂停所有管道运营,公司被迫关闭运营,ColonialPipeline在墨西哥湾沿岸的炼油厂与南部和南部市场之间运输精炼石油产品。美国东部。该公司每天输送250万桶石油,占东海岸所有燃料消耗量的45%,通过其5,500英里的管道系统,该系统横跨得克萨斯州休斯敦和新泽西州林登之间的5,500多英里。5月9日,其官网发布相关公告如下:公告中,ColonialPipeline确认网络攻击涉及勒索软件,公司聘请领先的第三方网络安全公司(疑似FireEye)参与了此次攻击。应急响应和事件调查。目前,袭击事件仍在进一步调查取证阶段,但已对事件的性质和范围进行了初步确认。同时,5月9日,美国国家网络安全与基础设施安全局(CISA)获悉ColonialPipeline遭到勒索软件攻击,并发布相关防御措施和建议,具体如下:勒索软件指南及相关资源:https:///www.cisa.gov/ransomware5月9日上午,美国总统拜登也听取了此次袭击的简报。公司尽快恢复管道运营。不仅仅是今天,黑客攻击国家级关键基础设施。早在2012年,美国国土安全部(DHS)就发现了黑客组织针对天然气行业的警告。同时,在2014年和2020年,美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)发出联合警报,敦促关键基础设施的运营商立即采取措施减少网络攻击。攻击的风险。事实上,早在几个月前,美国网络安全与基础设施安全局(CISA)就发布了旨在加强管道运营商防御能力的网络安全评估工具。相关工具网址:https://www.cisa.gov/pipeline-cybersecurity-initiative,因为美国的管道基础设施,由数千家公司和超过270万英里的输送石油、天然气和其他商品的管道组成,是美国经济和国家安全的关键推动因素。那么就在CISA发布评估工具的几个月后,ColonialPipeline就遭遇了这次重大的网络安全攻击……从全球网络安全的发展来看,国家未来的关键基础设施和系统将成为黑客攻击的主要目标。各国都必须重视相关基础设施的保护,以防止恶意软件的攻击。日前,美国阿拉斯加州法院系统也因感染恶意软件而被迫下线。各地每天都会发生不同的网络安全攻击事件,网络安全形势十分严峻。勒索病毒家族笔者追踪了几个全球主流的勒索病毒家族。据美国官方向相关媒体透露,此次攻击涉及的勒索软件可能是DarkSide家族。DarSide勒索病毒最早出现于2020年8月,这款勒索病毒出现没多久,就已经在全球引起了广泛关注。其背后的黑客组织会获取相关信息,评估公司的资金实力,进而决定赎金金额,同时该勒索软件黑客组织声称不会攻击医疗、教育、非营利组织和政府机构。从该勒索病毒黑客组织的攻击特征可以推测,此次网络攻击是一次针对性强、针对性强的网络攻击。前期要搜集ColonialPipeline的很多基本信息,然后发起网络攻击,到目前为止,ColonialPipeline还没有对外透露是否支付了赎金。此前,笔者在国外论坛上找到了该勒索病毒的解密工具和测试样本。通过测试,发现这个解密工具是可以解密的。不过,DarkSide已经发布了几个新版本进行更新。这次攻击不知道能不能破解DarkSide勒索软件。估计FireEye的安全专家正在紧急分析处理,哈哈。..勒索病毒的发展始于2017年5月全球爆发的WannaCry勒索病毒。到2021年5月,美国最大的燃料管道公司遭到勒索软件攻击。近年来,勒索病毒层出不穷,新的勒索病毒家族不断涌现。勒索软件背后的黑客组织也在不断壮大。越来越多的黑客组织开始使用勒索软件发起攻击。与此同时,勒索软件黑客组织的攻击和传播方式也在不断更新。从最初通过RDP等方式传播勒索软件,到通过各种漏洞传播勒索软件,发展勒索软件现在通过各种其他流行的恶意软件进行传播。从近期报道的几起重大勒索软件攻击案例中,我们发现在这些重大勒索软件事件中还发现了其他恶意软件家族,甚至一些成熟的APT组织也加入了勒索软件攻击行列。通过一些APT攻击方式传播勒索软件。全球主流的勒索软件黑客组织,已经从简单的勒索赎金的方式,发展到勒索+窃密的方式,再通过建立各种暗网网站,公布受害企业资料,迫使企业支付赎金。据国外某平台监测,20多个勒索软件家族背后的黑客组织建立了专门的暗网网站发布受害者资料。可以说,无论从勒索病毒的发展、勒索病毒的攻击方式,还是勒索病毒的运行方式,黑客组织都在不断运作,开发新的勒索病毒软件,使用不同的攻击方式,更新勒索病毒的运行方式。在保证勒索成功率的情况下,迫使受害者支付更多的赎金。关于勒索软件和黑客组织攻击的更多信息,可以参考作者写的一些文章。说到安全行业对这起事件的分析,我就先说到这里吧。笔者就谈谈我对安防行业的理解。仅代表我个人的观点和意见。相关言论与任何组织、团队、公司无关。未来5-10年,安防行业将是一个全新的发展和黄金时期。未来,安防行业将成为服务型行业,安防即服务。事实上,它也在朝这个方向发展。通过单个或多个安全产品来检测和防御未来的高级威胁基本上是不可能的。未来的网络攻击具有很强的针对性和针对性。黑客组织会使用各种攻击手段,攻击链的时间线会越来越长。前期会通过各种手段获取目标的更多信息,然后逐步渗透网络,发起网络攻击。面对这种攻击,任何安全产品都无法满足客户的实际需求,因为每次攻击所使用的攻击方式和攻击过程可能不同,如此多样的攻击和高隐蔽性导致安全产品无法及时有效地更新。就像今天的许多勒索软件攻击一样,它们将通过各种其他恶意软件家族传播。也就是说,只要一家公司中了流行的恶意软件,它就很有可能最终成为勒索软件的受害者,而你并不知道这家公司是否被安装了恶意软件,也许只有当你被勒索您需要片刻时间才能意识到您很久以前就被黑客入侵了,黑客已经安装了恶意软件以获取其公司环境中的重要数据。正如笔者之前所说,究竟有多少恶意软件还隐藏在企业中没有被发现,其实是未知数,这也是为什么很多安全厂商推出了一项服务:威胁搜寻。通过安全专家和企业积累的一些安全数据,帮助企业快速发现隐藏在企业内部的潜在风险和恶意软件。这种威胁搜寻服务主要依赖经验丰富的安全人员。未来的安防行业,甲方买设备,乙方卖设备的时代已经过去。未来,各种盒子、安防产品都将成为一种工具。这些工具用于帮助安全专家开发潜在危险或为安全专业人员提供辅助分析。安保需要专业的安保团队进行操作,需要更多经验丰富、专业的安保人员为客户提供更专业的服务。要满足客户真正的需求,未来安防行业有两个有价值的东西:1.人,2.数据。只要培养安全人员的专业能力,积累安全数据,就可以做好安全工作。人的价值我就不多说了。安全是人与人之间的斗争。我在之前的多篇文章中都提到过,专业的安保人员永远是安保的核心。多专业的安全人才,不懂的可以研究一下笔者之前写的一些文章。大多数人可能不理解数据的价值。很多人总会说某某XX技术感觉牛逼,XX平台感觉牛逼,XX框架感觉牛逼,国外牛逼。有点,但我还不明白。牛逼的不是这些东西,还有数据,没有数据,一切都是空谈,没有什么价值。只有有了数据,这些东西才会变得有价值。威胁情报的核心其实也是数据。之前群里有人问我,能不能写一篇关于如何溯源的文章?我当时在群里回答,当你掌握了扎实的安全基础技能后,溯源往往更多的是靠运气。如果还需要依赖什么,其实是时间精力、成本、价格决定的。溯源这个东西,你处理过的案例多了你就明白了,没有处理过实际的案例你就不懂了。现在很多人都想学习如何进行威胁搜寻和安全分析。其实这方面是由自己的安全分析能力和安全经验决定的。另一方面,它由您拥有的安全数据决定。您的安全分析能力和您的安全体验越强,您的分析就会越快。你能掌握多少安全数据,你就能追查到什么级别。国外一些安全厂商喜欢在自己的网站上公布一些APT组织的个人信息。其实很多时候并不是因为国外安全厂商的技术。只是他们可能有更多的数据。毕竟很多数据还是掌握在他们手里的,这也是我们的短板所在,有些方面会被别人控制。安全体验由人决定。处理的安全事件越多,积累的安全经验就越多。这不是一日可以完成的,需要长时间的积累。当你已经分析研究了很多家庭样本或者安全漏洞,在紧急情况下可以更快的定位问题,也可以更快的分析和响应,这就靠实战和积累了。未来的网络安全攻击将是更具针对性和目的性的高级威胁。这种高级威胁行为的特点之一就是攻击周期会比较长。谁能在这个周期中更快地帮助企业?谁能找到防御这种攻击的方法,也许就能更好地赢得客户的信任。其实很多东西是需要自己去实践和积累才能明白的。有些事情你现在可能还不明白,你可能会被一些多余的现象蒙蔽了双眼。几年后,你可能会明白。也许你在几年内改变了职业。.安全确实不是适合所有人。你需要真正热爱这个行业,愿意花更多的时间去研究和运营它。很多事情只有经历过的人才能明白。安全的核心永远是人,安全产品的关键一定是靠运营,而不是靠平台、框架、技术等。一个有好的安全产品的公司,肯定有很多专业的安全人员,他们花很多钱时间和精力放在持续运营上,而不是依靠吹嘘使用了非常棒的技术什么的。
