近日,darkreading网站发表文章,盘点了2021年最具影响力的七大网络安全事件,摘录如下,供读者参考。从今年的漏洞和攻击中可以学到很多东西。(图片来自darkreading)12月10日披露的Log4j漏洞已迅速成为2021年最重要的安全威胁之一。但是,到目前为止,这并不是安全团队全年不得不应对的唯一问题。与往年一样,2021年也发生了影响许多组织的其他大数据泄露和安全事件。根据身份盗窃资源中心(ITRC)的数据,截至9月30日,它公开报告了1,291起违规事件。这个数字已经比2020年全年披露的1,108起违规事件高出17%。如果这种趋势继续下去,2021年可能会打破记录2017年报告了1,529起违规行为。但违规行为并不是唯一的问题。根据美国国家通用漏洞数据库(NVD)的最新Redscan分析,今年迄今为止披露的漏洞(18,439)比以往任何一年都多。Redscan发现,其中十分之九可能会被黑客或技术能力有限的攻击者利用。对于每天保护组织免受威胁的安全团队来说,这些统计数据并不足为奇。但即便如此,这些数字反映了组织在2021年面临的挑战——而且毫无疑问,明年也将继续面临这些挑战。以下是2021年最具影响力的七起网络安全事件。这种担忧源于这样一个事实,即该工具在企业、运营技术(OT)、软件即服务(SaaS)和云服务提供商(CSP)环境中无处不在并且相对容易利用。该漏洞为攻击者提供了一种远程控制服务器、PC和任何其他设备的方法,包括存在日志记录工具的关键OT和工业控制系统(ICS)环境中的设备。该漏洞(CVE-2021-44228)存在于Log4j2.0-beta9到Log4j2.14.1版本中,可以通过多种方式利用。Apache基金会最初发布了该工具的新版本(ApacheLog4j2.15.0)来解决该问题,但此后不得不发布另一个更新,因为第一个更新未能完全阻止拒绝服务(DoS)攻击和数据盗窃。截至12月17日,没有公开报告与此漏洞相关的重大数据泄露事件。然而,安全专家毫不怀疑攻击者会利用该漏洞,因为组织很难找到易受攻击工具的每个实例并对其进行保护。许多安全供应商报告了针对各种IT和OT系统的广泛扫描活动,包括服务器、虚拟机、移动设备、人机界面(HMI)系统和SCADA设备。许多扫描涉及尝试使用硬币挖掘工具、远程访问木马、勒索软件和网络外壳;其中包括已知的出于经济动机的威胁团体。ColonialPipeline攻击将勒索软件提升为国家安全问题对美国管道运营商ColonialPipeline的勒索软件攻击在5月份成为头条新闻,因为它对美国公众产生了广泛的影响。这次袭击是由一个后来被确定为总部位于俄罗斯的名为DarkSide的组织实施的,导致Colonial在其历史上首次关闭了5,500英里的管道。此举中断了数百万加仑燃料的运输,并引发了美国东海岸大部分地区的天然气暂时短缺。该事件的后果将勒索软件升级为国家安全问题,并引发了白宫的回应。事件发生几天后,拜登总统发布了一项行政命令,要求联邦机构实施新的控制措施以加强网络安全。DarkSide使用窃取的旧VPN凭据获得了对ColonialPipelineCompany网络的访问权限。SANSInstitute新兴安全趋势主管JohnPescatore表示,攻击方法本身并不是特别值得注意,但漏洞本身“是可见的、有意义的,并且许多政府官员都亲身感受到了”。他说。Kaseya事件让人们(再次)关注供应链风险。7月初发生在IT管理软件供应商Kaseya的安全事件再次凸显了组织面临来自软件供应商和IT供应链中其他供应商的日益增长的风险。威胁。该事件后来归因于REvil/Sodinokibi勒索软件组织的附属机构,涉及威胁行为者利用Kaseya的虚拟系统管理员(VSA)技术中的三个漏洞,许多托管服务提供商(MSP)技术使用该技术来管理其客户的网络.攻击者利用这些漏洞使用KaseyaVSA在属于MSP下游客户的数千个系统上分发勒索软件。HuntressLabs的一项调查显示,攻击者在最初的攻击活动发生后不到两小时就在属于多个MSP的众多公司的系统上安装了勒索软件。该事件促使美国网络安全和基础设施安全局(CISA)发出多个威胁警报,并为MSP及其客户提供指导。Kaseya攻击凸显了威胁参与者对同时破坏/破坏许多目标(例如软件供应商和服务提供商)的兴趣越来越大。虽然此类攻击已持续多年,但SolarWinds和Kaseya的事件凸显了日益增长的威胁。VectraAI的首席技术官OliverTavakoli表示:“虽然Kaseya攻击不是典型的供应链攻击——因为它利用了部署的KaseyaVSA服务器中的漏洞——MSP向客户分发软件的Kaseya机制是攻击规模和速度的关键。”ExchangeServer(ProxyLogon)攻击引发补丁狂潮当微软在3月初针对其ExchangeServer技术(统称为ProxyLogon)中的四个漏洞发布紧急修复程序时,引发了一场风暴。前所未有的修复狂潮。一些安全部门的后续调查供应商表示,在补丁发布之前,有几个威胁组织已经针对这些漏洞进行了攻击,在微软披露漏洞后,还有许多其他组织加入了攻击。攻击的数量如此之多,以至于F-Secure曾将全球易受攻击的ExchangeServer描述为“被黑客入侵的速度比我们想象的要快”。当ProxyLogon漏洞被链接在一起时,它为威胁行为者提供了一种未经身份验证的远程访问Exchange服务器的方法。“它本质上是一个电子版本,可以从企业的主要入口移除所有门、守卫和锁因此任何人都可以走进去,”F-Secure当时指出。漏洞发布后不到三周微软报告称,全球约92%的Exchange服务IP已被修补或缓解。但对攻击者在修补之前在Exchange服务器上安装Webshell的担忧挥之不去,促使美国司法部采取前所未有的措施,命令FBI主动从后门Exchange服务器中删除Webshell。SANS的Pescatore说ExchangeServer缺陷在很多方面都是坏消息。与ExchangeOnline相比,微软在本地安装修复方面的相对缓慢加剧了这个问题。Pescatto指出:“SaaS提供商可以比为不同的本地环境开发修复程序更快地掩盖其服务中的代码弱点,这是有原因的。”PrintNightmare凸显了WindowsPrintSpooler技术的持续风险很少有漏洞比PrintNightmare(CVE-2021-34527)更能凸显Microsoft的WindowsPrintSpooler技术对企业构成的持续风险。该漏洞于7月披露,与Spooler服务中用于在系统上安装打印机驱动程序的特定功能有关。该问题影响所有版本的Windows,并为经过身份验证的攻击者提供了一种在任何易受攻击的系统上远程执行恶意代码的方法。这包括关键的ActiveDirectory管理系统和核心域控制器。微软警告说,利用该漏洞可能会导致环境的机密性、完整性和可用性丧失。微软对PrintNightmare的披露促使CISA、CERT协调中心(CC)和其他机构发出紧急建议,敦促组织迅速禁用关键系统上的PrintSpooler服务。最初的警报提到了微软在6月份针对PrintSpooler中一个几乎相同的漏洞发布的补丁,称它不适用于PrintNightmare。微软后来澄清说,虽然PrintNightmare与June漏洞类似,但它需要一个单独的补丁。PrintNightmare是微软漏洞已久的PrintSpooler技术今年必须修复的几个漏洞中最严重的一个。“PrintNightmare变得很重要,因为该漏洞存在于几乎每个Windows系统上安装的‘PrintSpoole’服务中,”Coalfire技术和企业副总裁AndrewBarratt说。他还补充说,这意味着攻击者有一个巨大的攻击面可以瞄准。“禁用这些服务并不总是可行的,因为需要它来促进打印”。Accellion泄露事件是一次泄露/多次泄露攻击趋势的一个例子美国、加拿大、新加坡、荷兰和其他国家/地区的多个组织在2月份遭受了严重的数据泄露,因为他们使用的是Accellion的文件传输服务有漏洞。零售巨头克罗格是最大的受害者之一,其药房和诊所服务员工以及数百万客户的数据都暴露在外。其他著名的受害者包括众达、新加坡电信、华盛顿州和新西兰储备银行。Accellion将该问题描述为与其近乎过时的文件传输设备技术中的零日漏洞有关,当时许多组织正在使用该技术在内部和外部传输大文件。安全供应商Mandiant表示,其调查显示,攻击者使用了Accellion技术中多达四个零日漏洞作为攻击链的一部分。这家安全供应商后来将这次攻击归因于与Clop勒索软件家族和FIN11(一个出于经济动机的APT组织)有关的威胁行为者。“Accellion攻击是2021年初的一件大事,因为它展示了勒索软件供应链攻击的危险,”DigitalShadows的网络威胁情报分析师IvanRighi说。“Clop勒索软件团伙能够利用Accellion的文件传输设施(FTP)软件中的一个零日漏洞,该漏洞同时针对大量公司,大大减少了实现初始访问所需的工作和努力。”佛罗里达水厂黑客事件提醒我们,关键基础设施容易受到网络攻击。一名攻击者闯入佛罗里达州奥兹马的一家水处理厂系统,试图改变一种叫做碱液的化学物质的含量,这种化学物质用于控制水的酸度。当入侵者试图将碱液浓度提高111倍时,他们被发现了;在造成任何损害之前,这些变化很快就被逆转了。随后对该事件的分析表明,入侵者获得了对属于水处理设施运营商的系统的访问权限,可能使用窃取的TeamViewer凭据远程登录。这一漏洞暴露了美国关键基础设施对网络攻击的持续脆弱性,特别是因为它表明入侵饮用水处理设施的监督控制和数据采集(SCADA)系统是多么容易。该事件促使CISA向关键基础设施运营商发出警告,提醒他们注意在其环境中使用桌面共享软件和过时或接近报废软件(例如Windows7)的危险。CISA表示,其建议是基于其观察以及FBI等其他机构的观察,即网络犯罪分子通过此类技术瞄准关键基础设施资产。“佛罗里达水务事件意义重大,因为它敲响了公用事业多么脆弱的警钟。”BreakQuest首席技术官杰克·威廉姆斯(JakeWilliams)表示。(来源:darkreading。本文参考内容来源于网络,仅供读者了解和掌握相关信息,不用于任何商业目的.侵删)
