在这个问题上
落在网络安全桥的问题
2019年9月19日 体积 49 问题 3

从网络安全漏洞学习:麻烦与推荐的最佳实践

周四,2019年9月19日

作者: 约瑟芬·沃尔夫

一个网络安全的讨论中反复出现的主题是如何威胁的景观迅速发展,难的是如何为捍卫者跟上不断变化的攻击向量和安全漏洞。虽然它是真实的安全威胁和控制随时间变化的技术的不断发展,这种想法有时会导致旧的违反安全性在试图抵御未来威胁的背景无关的解雇。但在重新审视过去的线索应采取何种方式攻击显著值他们仍然随着时间的推移,以及如何图案可以是那些做防御未来的攻击中使用一个更好的工作相对稳定。

介绍

特别有用的是过去努力了解的许多建议网络安全的最佳做法的长处和短处的事件。有政府机构的建议,行业联盟,国际标准制定组织不,私营公司,非营利组织和个人安全专家发出。随着建议的最佳实践财富,许多不确定组织机构哪些安全策略和控制来实现。

本文着眼于选择的网络安全事件通过肇事者的动机金融盗窃,间谍和公众羞辱的镜头受害者,以显示他们的轨迹事故如何形状,从而产生随着时间的推移反复发作的模式。这些模式可以帮助防止防御类似的事件针对指导干预。阐明了他们还为什么网络安全的最佳做法的现有未能澄清往往对组织的基本职责,有效的安全和控制。

推荐的做法,虽然有用的起点为各组织提供试图实现更强大的安全保护措施,旨在针对他们违反非常具体的阶段,借鉴只在直接针对该事件,该组织涉及利益主体单一的功能。 ESTA - 只聚焦限度的最佳实践的有效性承担,因为他们只有一个无论是大的生态系统和在线参与利益相关方的防守范围小部分的优势。

另外,建议的做法可以非常具有挑战性的机构采用和实施。例如,NIST 800-53目录的最近一次,第四次审查[1] 115包括低冲击的安全控制,控制159中等冲击和170高冲击超过440控制选项。对于小型或中型的企业寻找指引,这可能是控制的压抑和不切实际的数量。

此外,缺乏经验证据这些最佳实践卫生组织这降低了网络安全事件的风险,使人们难以对机构选择哪些使用。

是什么驱使网络攻击?

有很多种方法进行分类网络安全事故,根据他们的目标,他们的肇事者,或技术漏洞肇事者使用,例如。每个分类方案是在不同环境下,如想了解哪些类型的组织最有可能有针对性地,或犯罪集团需要从执法,或最频繁利用技术漏洞最为关注的是有用的。识别攻击模式,或重申坚持了一年又一年的行为序列,它是特别有用,因为这些目标塑造结束,必要的,他们的攻击MOST,阶段考虑行为人的动机。

类型动机

三类动机攻击者的讨论在这里,财务收益,间谍活动,并当众羞辱,不全面或独占。例如,使用-stuxnet蠕虫的没有这些目的的,而是相反,造成身体伤害,伊朗的铀浓缩工厂(Zetter 2014)。物理破坏的ESTA目标是另一个潜在的攻击者的动机,一为多个物理设备连接到物联网,并有可能通过计算机网络进行检查,可能变得越来越普遍。然而,在目前,允许大量的分析此类事件的太少例子。

利润,间谍,公共羞辱不是相互排斥的动机。例如,索尼影业的情况下在2014年和2015年数据泄露阿什利麦迪逊违约,由肇事者的愿望所驱使公开羞辱受害者数据被盗,但由此产生的转储通过使用敏感信息然后分别别人提交财务动机罪行涉及金融欺诈和身份盗窃。同样,使用由叶夫根尼·Bogachev在俄罗斯的组织运行的gameoverzeus僵尸网络由Bogachev和同事他偷到数百万美元通过cryptolocker勒索,但有些信息是俄罗斯政府提供援助间谍工作(Schwirtz和戈尔茨坦2017年) 。

动机和方法

尽管对于重叠的可能,目标仍然提供了一个有用的框架,为考虑如何更好地抵御未来的攻击,因为在进攻端的阶段往往是可更换的不是肇事者,因此重复年复一年,没有履行后,即使计算技术的发展。

许多使入侵者对目标系统的初始接入的违背早些时候,技术阶段(如网络钓鱼,利用软件漏洞,或窃取的凭证)的更换容易:如果进入的一个途径是通过有效控制安全切断,简单地切换到另一个犯罪者。但他们的最终阶段的攻击,当执行他们的最终他们AIMS-并不那么容易实现的目标取代一样。这使得最关键的这些阶段切断维权,也是最静态的一段时间。

经济动机的事件

提出的大部分网络安全事件的动机是挣钱(Verizon公司2019)。因此具体的技术网络犯罪分子能够窃取数据,他们用它来赚钱随着时间而演变当然,但赚钱和机制将数据转换成-stolen财务收益的愿望要慢得多了变化。这些罪行的最早和最常见的形式之一是大量的支付卡信息被盗可以在黑市上出售这并用于大型金融诈骗。

该TJX违反(2005)

2005年违反TJX的,INC。阿尔伯特·冈萨雷斯和4560万个支付卡号码被盗,导致一些密谋者,使得它在其发现的当时最大的这种违法行为之一。

冈萨雷斯和他的团队第一个识别为潜在目标公司,而在使用长的天线来检测不安全的无线网络的迈阿密高速公路半径“驾驶攻击”。他们发现,商店执法官,通过TJX所有,即使用了旧的,不太安全的WEP加密的无线网络加密。他们把车停在店里的很多,并着手收集数据包关闭无线网络,直到他们有足够的信息,反向工程,加密密钥和明文获取必要的凭证向公司的主要服务器在马萨诸塞州弗雷明汉(Verini 2010)进行连接。

一些网络和支付卡发卡银行承担的那覆盖支付卡欺诈RESULTING起诉TJX更有效地未能疏忽在安​​全卡中的数据的成本首当其冲。该诉讼主要集中在公司的故障使用WPA加密来加密商店的无线网络。

但TJX未能使用了最新的无线加密是唯一一个在TJX服务器事件导致了突破口,从数据包嗅探,凭据失窃的执行,以及远程-logins来的漏出长链错失机会支付卡数据存储和欺诈性支付卡的制造和销售。不安全的无线网络并没有对违反比任何TJX和其他利益相关人的其他决定启用违约的后期阶段的整体更负责任。然而,因为WPA加密是在当时的支付行业卡的安全数据标准(PCI DSS)规定,无论是媒体和法院认为这-particular决定,在很多方面,关键的错误,证明了公司的疏忽(沃尔夫2018)。

该建议的最佳实践常规故障组织(在违反的后果)不执行经常不解决的一个事件,是最容易受到有效的防御措施的阶段。在这种情况下,在随后的违反法律程序的重视无线网络加密从哪个冈萨雷斯事件的获利阶段重点转移走,他的密谋者出售偷来的数据并遣返他们的利润到美国,将通过法律过程执法人员能够识别和逮捕他们最终(2010 Verini)。

scdor突破口(2011)

如上所述,它是不是经常清除应该采取的做法的组织。在2011年违反了数以百万计的来自收入南部-Carolina部门纳税记录的唤醒(scdor)-critics质疑的scdor是否遵守规定的标准和推荐的最佳实践。然后,南卡罗来纳州妮基·哈利州长国税局指责不指示状态纳税记录加密它。国税局,反过来,NIST援引作为负责制定政府安全机构的技术标准的实体。同时,南卡罗来纳州议会愤怒表示,scdor没有需要多因素身份验证,这可能对发起了违约的钓鱼攻击(美国麦迪安网络安全公司2012)捍卫了。

周围的不确定性是负责安全确定为保护重要的最佳实践和最佳做法是哪促成无法弄清了事件的责任和义务的敏感信息的利益相关者。

gameoverzeus僵尸网络和cryptolocker勒索(2013-2014)

在2013年和2014年发布的-cryptolocker勒索软件程序gameoverzeus僵尸网络能够多因素身份验证的旁路多种形式,并通过了ITS cryptocurrency赎金以前卖不值钱回原主数据货币化。 cryptocurrency付款允许肇事者逃避金融跨mediaries集中,如银行和支付卡网络,ADH那强大的防御力量打击支付卡欺诈和身份盗窃。由于cryptolocker和有针对性的个人电脑其分给了价值数千不同的用户,而不是他们的信用卡诈骗公司的账簿和集中发卡银行。 ESTA降低配送成本的任何奖励中介机构介入,并消除了集体诉讼也开过责任制度和明确相关的需求推荐的最佳实践疏忽而违背和不幸的遇难者区别开来。

责任和cyberinsurance挑战

这个挑战,在依托目录或最佳实践列表,以确定安全事故甚至部分责任在于它缩小了组织的安全性,以责任相对有限,这往往更多的不是经验普遍接受的共识,基于非详尽建议的范围证据。事实上,所有不建议使用的安全控制功能提供了系统的安全性衡量的改进,以及控制传播的最佳做法的列表有时可以使用(例如,要求定期更改密码),在长期做弊大于利(沃尔夫2016) 。

缺乏安全保障最佳安全实践和成果之间的明确关系的是为迅速越来越多的公司提供保险政策cyberinsurance的显著挑战。这些公司通常不具备的内部安全专业知识,让他们来审核潜在客户的安全姿势或识别保障这些客户应采取为他们的报道的一部分,并发现他们不能依靠为指导现有的最佳实践。 ESTA导致许多保险公司合作伙伴,公司向客户提供安全评估和安全服务(Wolff和莱尔2018)。

经济动机的网络犯罪的货币化阶段,一直是最脆弱的防守传统的干预,因为它们依赖于一小部分中介机构,知名:如被盗卡和欺骗性卡制造商在网上黑市。例如,执法当局能够拿下冈萨雷斯的操作通过他的栅栏被盗卡数据,一个叫马克西姆Yastremskiy人。金融网络犯罪的后期型号转移,使其他类型的营利则依靠少Yastremskiy的喜欢防护操作。

网络间谍

防御通常政治或经济制约网络间谍的渗出需要数据和分割网络的敏感部分遏制侵入和随后​​的接入尝试高价值的信息。但秉承最佳实践,这些并不总是足够的,尤其是当间谍的努力是国家支持和行动者的专业知识和大量资源开展。

以下两个案例表明一个公司,严格遵循建议的安全标准,并没有造成严重后果的组织是没有这样做的的脆弱性。这些例子很少能鼓励其他人更加重视这些建议。

DigiNotar的情况下(2011)

荷兰认证机构DigiNotar是在2011年作出妥协,什么后来推测是伊朗政府(Hoogstraaten等人。2012)的间谍操作的一部分。入侵者侵入-diginotar的防守多行来生成谷歌的域名流氓证书,然后可能是这些用来捕捉凭证成千上万的伊朗谷歌账号证书(Hoogstraaten等的。,2012)。

在DigiNotar妥协是多少级可以在完成间谍攻击所涉及的例子。不仅没有肇事者必须妥协证书颁发机构,当时,有将用户重定向到欺诈性网页,可能是通过域名系统(DNS)缓存中毒,使用他们所产生的流氓证书(Hoogstraaten等的。,2012)。

除了凸显防御介入了无数的机会,在DigiNotar的攻击说明了坚持行业最佳实践的局限性。 DigiNotar有分段网络结构严格到网络的高安全性证书颁发部从该公司的朝外的网络存在分离。不得不虫至少有两个公司-employees和用于生成证书服务器,新证书的每个请求都存储在一个安全的房间进行访问,只能通过使用生物识别手识别,一键卡和PIN( - 所述Hoogstraaten等人2012)。

DigiNotar的安全设置读起来就像从如何设计一个安全系统的手册的摘录,然而入侵者们能够找到一种方法,隧道到网络的最安全的部分,并生成流氓证书。

数据违反OPM(2015)

间谍的其他情况下,多表现出遵守的安全最佳实践的基本原理不太严格的组织。一系列由中国人民解放军(PLA)单位61398带领和指挥超过100家公司在私人和政府机构的间谍努力,主要基于在美国,是在一个2013报告由安全公司美国麦迪安网络安全公司说明。被一些解放军军官几个次年的起诉书证实了事件的;像美国麦迪安网络安全公司的报告中,钓鱼邮件起诉书指出,其他工程和社会活动作为国家支持的经济间谍活动的各项努力的主要手段(美国麦迪安网络安全公司2013年)。

在2015年,归因于中国政府的另一个间谍操作,-personnel美国办公室被破坏和信息管理21.5万人曾联邦政府或接收安全检查工作被偷了(Chaffetz等的。2016)。国会听证会突出显示OPM的缺乏加密,多因素认证和入侵监测技术,但在scdor违约后果的举动让人联想到,OPM官员攻击偏斜责任推给国土安全部,NIST,管理和预算办公室,和其他部各机构他们认为ADH -hindered他们落实安全升级或建立安全信息明确的期望(Chaffetz等的。2016)的能力。

公开羞辱事件

在安全事故公开羞辱受害者公开谴责往往涉及前,目标或令人尴尬的大观众尽可能瞄准。 ESTA阶段可以播放网络攻击的一个特别棘手的元素来调节,因为这样的规定可能类似于或按限制发言有悖于许多乡村俱乐部“的基本原则。

索尼违反照片(2014)

当北朝鲜违反索尼影业在2014年和发布大量被盗的电子邮件和内部记录,有些人,包括由索尼公司聘请的律师认为,这是,或者应该是,记者写了被盗信息非法的,因为它支持的攻击者的使命,侵犯了索尼的知识产权(博伊斯2014)。虽然这是事实,媒体的广泛立正违反援建朝鲜的所谓羞辱索尼影业和破坏了公司的业务,规范媒体和网络媒介,帮助分发窃取的信息将是一个问题,以解决网络攻击,旨在任务价差不和,肆虐于它的目标。

Spamhaus的DDoS攻击(2013)

相比之下,服务(DDoS)在2013年对Spamhaus的攻击,大规模分布式拒绝由组织广泛使用的垃圾邮件屏蔽列表受挫组,并不依赖于流行的媒体报道或关注。相反,它们依赖于DNS运营商,他们未能将只接受来自他们的管理域中的计算机限制了他们的服务器来解析查询。这些开放解析器Spamhaus的使攻击者发送DNS查询假装是从-spamhaus服务器,打开DNS服务器回应与大文件的dns那炮轰反垃圾邮件组织的服务器和脱机迫使他们(王子2013a)使-spamhaus。

开放解析器无法工作,以最佳实践为安全性的已知运营商的DNS但也有许多人INADE-quate奖励坚持实践。在该Spamhaus的DDoS攻击的时候,开放解决有项目预计2170万个解析器在线(2013b王子)。但它是Spamhaus的,不开放的解决运营商,首当其冲那的DDoS攻击,又指着组织建立激励机制来实现安全标准的挑战并不时投资直接受益。

教训和外卖店

一些重复出现的主题和教训,从过去十年的网络安全的高调事件和最佳实践的建议,以防止他们的失败出现。

首先,它是非常困难的组织经常浏览的多套安全最佳实践两者都是如此多的因为所以存在一些数据,因为指示哪些卫生组织在预防或减轻不良后果有效。

第二,不确定性关于它创建最佳实践遵循各种各样的漏洞,对组织破坏,并scdor:如OPM,责怪其他机构未能告诉他们,他们应该已经使用完全相同的安全控制。

三,TJX和scdor违反这显示监管部门和法院不愿澄清对安全厂商的期望,关闭漏洞经常做不是因为他们想成为负责支配这些期望。使ESTA的做法,虽然没有明确在9月控制了组合,其消除组织的责任,这使得它更难以组织,以确定其应当遵循的建议。

第四,检查控制,法院,立法听证,媒体报道的情况下,如本文中讨论的大多数经常强调揭示了一个以趋势凸显缺乏控制可能有早期受阻,入侵的技术阶段,而不是更多的全身有干预措施涉及第三方中介机构,执法,和/或监管机构。因为这是在部分能够最这些控件很容易被破坏的党,而不是从其他要求利害攸关者合作实施。而这正是使得它们不太有效,更容易攻击的地址阶段,可以很容易被替换为肇事者新的攻击向量。

结论

提高网络安全的最佳做法,确定需要更清晰的指引有了那么繁重的实施,对它们的功效收集更好的数据,并反对任何鉴于这起事件是一个特别缺少控制的结果的安全性叙述战斗。更重要的是,虽然,它需要一个全面的更整个安全生态系统的理解是,这些最佳做法,旨在加强,这样对于商家,非营利组织和政府机构的建议没有被单独从那些DNS运营商,支付处理器或开发浏览器厂商。

只要最好的做法是在范围上仅限于个别组织,做包括未机制,使所有利害攸关者的合作和支持,他们将继续为只有一条狭窄的功能和抵御只有网络攻击的阶段的一小部分。

引用

博伊斯天。 2014回复:你从索尼电影娱乐公司被盗的特权及/或机密信息的占有。截止日期,12月15日。

ChaffetzĴ,草地男,赫德W上。 2016年OPM数据泄漏:政府如何危及我们的国家安全的不止一代人。内务委员会监督和政府改革,第114国会。华盛顿。

Hoogstraaten H,R普林斯,niggebrugge d,Heppener d,F groenewegen,wettinck J,K strooy,ARENDS P,P罗尔斯,koupprie r和3个其他。该调查的DigiNotar的证书颁发机构违反了2012年黑郁金香报告。代尔夫特:狐狸它bv的。

美国麦迪安网络安全公司。 2012年收入的南卡罗来纳州部:突发公共事件响应报告。亚历山大VA。

美国麦迪安网络安全公司。 2013年APT1:揭露中国的网络-espionage单位之一。亚历山大VA。

王子米2013a。被撞的Spamhaus的离线的DDoS(以及我们如何减轻它)。 CloudFlare的博客,3月20日。

王子米2013b。 DDoS的,几乎打破了互联网。 CloudFlare的博客,3月27日。

Schwirtz米,J戈尔茨坦。在网络犯罪的黑客2017年俄罗斯间谍捎带。纽约时报3月12日。

Verini学家2010年大cyberheist。纽约时报11月10日。

Verizon公司。 2019年数据泄露调查报告。纽约。

沃尔夫学家在计算机系统的防御2016年不良后果:当少即是多。管理信息系统33(2):597-620。

沃尔夫学家2018年,你会看到这个消息的时候,为时已晚:违反网络安全的法律和经济后果。剑桥:麻省理工学院出版社。

沃尔夫Ĵ,W窑。 2018年角色在新兴的网络保险业合作伙伴关系的政策制定者。 tprc46:在通信,信息和互联网政策,9月21日,华盛顿研究会议。

zetterķ。毁灭倒数计时2014天:Stuxnet蠕虫和推出世界上第一台数码利器。纽约:皇冠出版集团。

 

 


[1]  可从美国国家标准研究所 - 技术国家漏洞数据库,在网上//nvd.nist.gov/800-53。

关于作者:约瑟芬·沃尔夫是网络安全政策在弗莱彻法律学院助理教授和外交塔夫茨大学。