1.4.2 威胁形势的转变

2016年,新一波攻击也获得了主流关注。当时CrowdStrike报告称,其在美国民主党全国委员会(Democratic National Committee,DNC)网络中发现了两个独立的俄罗斯情报部门对手[19]

报告称,他们发现了两个俄罗斯黑客组织(Cozy Bear(也被归类为APT29)和Fancy Bear(APT28))在DNC网络中的证据。Cozy Bear并不是这类攻击的新行为者,因为有证据表明[20],它们是2015年通过鱼叉式网络钓鱼攻击五角大楼电子邮件系统的幕后黑手。一些专家倾向于笼统地称其为数据即武器,因为其目的是窃取可用来对付被攻击党派的信息。

私营部门不应忽视这些迹象。根据卡耐基国际和平基金会(Carnegie Endowment for International Peace)发布的一份报告,金融机构正成为攻击的主要目标。2019年2月,美国的多个信用机构成为鱼叉式网络钓鱼运动的目标,附有PDF文档(当时用VirusTotal执行病毒检查结果是干净的)的电子邮件被发送给这些信用机构的官员,但电子邮件正文包含一个指向恶意网站的链接。尽管威胁行为者的身份尚不清楚,但有人猜测,这只是另一起类似的攻击案件。值得一提的是,全球金融行业都面临风险。2019年3月,Ursnif恶意软件攻击了日本的银行。Palo Alto发布了对日本Ursnif感染的详细分析,可以概括为两大阶段:

(1)受害者会收到一封带有附件的网络钓鱼电子邮件。一旦用户打开电子邮件,系统就会感染Shiotob(也称为Bebloh或URLZone)。

(2)一旦进入系统,Shiotob就开始使用HTTPS与命令和控制(C2)进行通信。从那时起,它将不断接收新命令。

因此,确保持续安全监控非常重要,确保至少能够利用图1-4中所示的三种方法。

图1-4 基于传统警报系统、行为分析和机器学习的持续安全监控

这只是企业开始在威胁情报、机器学习和分析方面进行更多投资以保护资产的原因之一。本书将在第13章更详细地介绍这一点。

话虽如此,这也让我们认识到检测只是拼图中的一部分;你需要勤奋,以确保你的组织在默认情况下是安全的,换句话说,你已经做好了准备而且保护了资产,培训了人员并不断增强了安全态势。