信息來源：FreeBuf

網(wǎng)絡(luò)安全成為主流的十年

在2010年之前（其實(shí)應(yīng)該是從2011年算起，不過2010年更順口），網(wǎng)絡(luò)安全還是一個(gè)孤立的領(lǐng)域。直到自己所使用的東西無法運(yùn)轉(zhuǎn)之前，沒有人真正關(guān)心這一行業(yè)。惡意軟件或廣告軟件導(dǎo)致設(shè)備崩潰，用戶因?yàn)樵O(shè)備無法使用而不得不由 IT 人員重新加載時(shí)感到懊惱，但這一切問題結(jié)束后，憂慮也隨之消散。

當(dāng)我們邁入2010年時(shí)，多數(shù)企業(yè)的做法仍然毫無改觀，但到2018年至2019年時(shí)，網(wǎng)絡(luò)安全專家和安全及風(fēng)險(xiǎn)專業(yè)人員成為董事會及新聞中的?？汀ｊP(guān)于“網(wǎng)絡(luò)”的斗爭激化了，抵抗力量消散了，而這就是所謂的整個(gè)歷程。我們不如把優(yōu)雅接受失敗的做法視作臣服吧。我們來盤點(diǎn)一下十年來最值得注意的趨勢和事件。

這句話最流行：我們認(rèn)真保護(hù)您的隱私和安全

每個(gè)人或聽過或讀到過這句話，它往往出現(xiàn)在公司開始解釋造成侵犯隱私和安全的事件的原因之前。而多數(shù)安全和風(fēng)險(xiǎn)專業(yè)人士認(rèn)為這句話中缺少一個(gè)關(guān)鍵詞：“現(xiàn)在”——“現(xiàn)在，我們認(rèn)真保護(hù)您的隱私和安全。”這句話如此流行，F(xiàn)orrester 公司的分析師甚至為其創(chuàng)建了一個(gè)新指標(biāo)：MTBCA（“距離首席執(zhí)行官道歉的平均用時(shí)”）。

采用率最高的借口：“精明的攻擊者繞過安全控制……等等”

塵埃落定后，我們幾乎總會發(fā)現(xiàn)攻擊者實(shí)際上并沒有那么“精明”?；蛘撸词顾麄兒芫?，但實(shí)際上并未耗費(fèi)九牛二虎之力就侵入環(huán)境。結(jié)合唾手可得的目標(biāo)和 Living off the land(LotL) 技術(shù)讓攻擊者游刃有余地入侵公司。

并購幻滅：Intel 和 McAfee

Intel 和 McAfee 的并購掀起了網(wǎng)絡(luò)安全市場長達(dá)十年的并購活動和資本涌入盛況。多數(shù)并購活動確實(shí)帶來積極影響，但本案例除外。

McAfee 被收編至 Intel 麾下的七年毫無建樹。Intel 兼并 McAfee 好像是發(fā)生在多年以前的事，或者看起來似乎如此，但事實(shí)果真如此嗎？實(shí)際上它發(fā)生在2010年中期。在落筆前，我本來要說這件事發(fā)生在上個(gè)十年，但實(shí)際上并非如此，它確實(shí)拉開了這個(gè)十年的序幕，它到底象征著什么呢？Intel 的愿景本來是利用 McAfee 將安全性嵌入硬件中，為Intel 帶來獨(dú)立的硬件和安全廠商無可比擬的獨(dú)特的競爭優(yōu)勢。遺憾的是，這一愿景并未結(jié)出碩果，Intel 最后不得不將 McAfee 剝離出去。Forrester 公司曾預(yù)測到這一點(diǎn)，七年后它成為了現(xiàn)實(shí)。

分水嶺：殺死鏈和APT報(bào)告

Mandiant旗下火眼公司發(fā)布多份關(guān)于國家黑客參與網(wǎng)絡(luò)糾紛的案例報(bào)告，用間諜小說的手法說明網(wǎng)絡(luò)安全，改變了該行業(yè)的市場營銷方式。在這十年行將結(jié)束之前，一個(gè)接一個(gè)的企業(yè)使用威脅情報(bào)報(bào)告作為內(nèi)容營銷手段招徠客戶。

每個(gè)行業(yè)都有自己的術(shù)語，網(wǎng)絡(luò)安全行業(yè)也不例外。火眼公司發(fā)布關(guān)于 Lockheed Martin KillChain（“殺死鏈”）報(bào)告創(chuàng)建了以術(shù)語來解釋發(fā)生了什么、為何會發(fā)生、如何分類以及更重要的是如何應(yīng)對未來的各個(gè)攻擊階段。它并未解決技術(shù)和非技術(shù)觀眾之間的溝通鴻溝，但確實(shí)解決了在構(gòu)造攻擊方面網(wǎng)絡(luò)安全行業(yè)內(nèi)的溝通問題。

最佳（或最糟糕）惡意軟件

備選者雖眾，但這這兩款惡意軟件因定義了這十年來的攻擊工具而鶴立雞群。

“震網(wǎng) (Stuxnet)”具備一切：復(fù)雜性、地緣政治和工控系統(tǒng)。Stuxnet 不乏專門的書籍和紀(jì)錄片介紹，而且一名美國陸軍將軍因揭露 Stuxnet 實(shí)際上是代號為 “Olympics Games” 的一項(xiàng)美國計(jì)劃而受到紀(jì)律處分。輸出 Stuxnet 要求結(jié)合技術(shù)能力、HUMINT 和足夠的時(shí)間以便通過外交渠道解決問題。

WannaCry 和 NotPetya 問鼎勒索軟件冠軍。這十年的后半段應(yīng)該是勒索軟件的天下，它使電信、物流、公共事業(yè)、市政等機(jī)構(gòu)癱瘓。其它惡意軟件和這兩款勒索軟件相比均黯然失色，尤其是從非網(wǎng)絡(luò)安全從業(yè)人員的角度來看更是如此。盡管造成了破壞，但 WannaCry 和 NotPetya 也讓網(wǎng)絡(luò)安全對于互聯(lián)企業(yè)的重要性得到宣傳。

榮譽(yù)提名：PoisonIvy、Magecart、Anthem、Community Health Systems 和每種銀行木馬。

最重要的數(shù)據(jù)泄露事件

我們不可能提到所有的大型或超大型數(shù)據(jù)泄露事件，而且它們也無法被稱之為“最佳”。因此，我們來回顧一下在這十年來造成重大變化的數(shù)據(jù)泄露事件。

1、言必稱Target：Target 淪為營銷素材

Target 百貨公司數(shù)據(jù)遭泄露的后果雖然肯定影響廣泛，但該行業(yè)內(nèi)的所有相關(guān)方受影響最大的地方在于，Target 成為每家供應(yīng)商平臺的默認(rèn)梗：在第3張和第7張幻燈片之間的某個(gè)地方，肯定會聽到關(guān)于 Target 的內(nèi)容。

OPM 挫敗美國的情報(bào)能力。2014年3月20日，美國人事管理局獲悉黑客已經(jīng)提取了用于對安全通關(guān)進(jìn)行背調(diào)的敏感的 Standard Form 86 副本。

2、索尼影業(yè)連接演員 Seth Rogen、Aaron Sorkin 和朝鮮。

人們最初對索尼影業(yè)遭受攻擊的注意力主要集中在它是朝鮮因電影《訪談》而實(shí)施的網(wǎng)絡(luò)安全報(bào)復(fù)上，索尼影業(yè)被攻擊之后后背發(fā)涼：因?yàn)槎辔幻酥g的郵件往來都被暴露在互聯(lián)網(wǎng)上。這件事引發(fā)了人們對知識產(chǎn)權(quán)所有權(quán)以及誰能從被提取數(shù)據(jù)中獲益的大討論。而我們也獲悉了各種爆料，如名人作家和娛樂節(jié)目主持人有時(shí)會通過寫劇本支付私立學(xué)校的學(xué)費(fèi)，以及索尼影業(yè)曾考慮聘請律師強(qiáng)迫明星出演但最終以失敗告終的各種故事。

榮譽(yù)提名：RSA、Equifax、Yahoo、Marriott 和 SWIFT

最具破壞力的漏洞

在我們說明這些漏洞之前，我們必須先說明由它們所產(chǎn)生的類別，即“十年中讓我們討厭的趨勢”：每個(gè)漏洞都有一個(gè) logo 和網(wǎng)站。無需 write-up，它們自證其身。但從2010年到2019年期間，出現(xiàn)了兩個(gè)漏洞：一個(gè)破壞了互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)，另一個(gè)導(dǎo)致勒索軟件爆炸式增長：

1、OpenSSL 被曝“心臟出血 (Heartbleed)”漏洞，現(xiàn)在仍受影響

我們有一些非常有名的 CVE 漏洞，但很多人撓破頭也不知道 CVE-2014-0160 是什么。但如果你說“心臟出血”，他們馬上就反應(yīng)過來了。它的名氣超過 MS08-067，確實(shí)也實(shí)至名歸。這個(gè)漏洞命中所有一切：網(wǎng)站、工具設(shè)備（包括安全設(shè)備）、應(yīng)用程序……無所不包。它會導(dǎo)致什么后果？一切后果：私鑰、用戶名、密碼、郵件、數(shù)據(jù)……所有通過受影響的 OpenSSL 版本加密的一切東西均可被攻陷。如果你想找到能夠破壞技術(shù)領(lǐng)域中一切東西的漏洞，那它非“心臟出血”漏洞莫屬。

2、“永恒之藍(lán)(EternalBlue)”證實(shí) NSA 真的非常善于開發(fā) exploit

同時(shí)它證明網(wǎng)絡(luò)武器落入不法之徒之手，真的非常危險(xiǎn)。盡管2017年起就發(fā)布補(bǔ)丁，但“永恒之藍(lán)”仍持續(xù)侵害企業(yè)。WannaCry、NotPetya和“壞兔子”也在攻陷初期階段使用“永恒之藍(lán)”，利用微軟 SMB 協(xié)議中的缺陷用于橫向移動。

榮譽(yù)提名：Meltdown 和 Spectre 以及 VPN 工具漏洞

網(wǎng)絡(luò)安全框架之最

雖然框架很難讓我們激情澎湃，但安全和風(fēng)險(xiǎn)專業(yè)人士迫切需要一些共性的東西來塑造程序并為安全程序提供目標(biāo)。NIST 和 MITRE 提供的正是這些東西：

1、NIST 網(wǎng)絡(luò)安全框架已成為安全程序的溝通語言

2014年2月，NIST CSF 作為一個(gè)全面的框架首次亮相，它確實(shí)值得贊揚(yáng)：將識別、保護(hù)、檢測、響應(yīng)和恢復(fù)的概念納入我們的共享詞典中。Forrester 公司發(fā)現(xiàn)，經(jīng)過網(wǎng)絡(luò)力量的傳播，NIST CSF 已成為討論網(wǎng)絡(luò)安全程序的董事會級別的語言。很多董事會成員任職于多個(gè)董事會，他們從一位 CISO 那里聽到 NIST CSF 之后開始后詢問其他人相關(guān)信息，從而使其在網(wǎng)絡(luò)程序相關(guān)討論中占據(jù)重要地位。

2、MITRE ATT&CK 已成為網(wǎng)絡(luò)安全威脅的溝通語言

ATT&CKruin已成為一種為業(yè)內(nèi)廣泛接受的標(biāo)準(zhǔn)，如 ATT&CK 網(wǎng)站所言，“ATT&CK 是關(guān)于網(wǎng)絡(luò)對抗行為的知識庫，也是對它們生命周期內(nèi)網(wǎng)絡(luò)對抗動作的分類。”Kill Chain 之于攻擊階段的做法就如同ATT&CK 在深層次之于攻擊者的行為和動作。鑒于最終用戶和投資者在檢測公司投入大量資金，ATT&CK 開發(fā)了一種方法，用于理解供應(yīng)商安全工具在各個(gè)類別中的性能。

讓我們繼續(xù)前行

這十年不乏亮點(diǎn)，不過也有很多不為人所知之處。但對于在2010年之前開始職業(yè)生涯的安全和風(fēng)險(xiǎn)專業(yè)人士而言，情況確實(shí)是在向好的方向發(fā)展，他們得到了高管的更多支持，人們對網(wǎng)絡(luò)安全重要性的意識在提高，而且人們關(guān)注到技術(shù)對社會的影響。安全、風(fēng)險(xiǎn)和隱私挑戰(zhàn)不會消失。盡管如此，我們?nèi)匀粡倪@十年的挫折中獲得了很多經(jīng)驗(yàn)教訓(xùn)，也知道了如何處理這些障礙邁出更有意義的步伐。雖然道阻且長，但一切值得做的事情不都如此嗎？