- 走进新安全:读懂网络安全威胁、技术与新思想
- 奇安信行业安全研究中心
- 1653字
- 2021-02-26 17:26:10
2.2 网络威胁产生的位置
2.2.1 来自外部的网络威胁
网络威胁的首要来源是“不安全的外部空间”。保护一个目标系统最简单、直接的方法就是把它与外部空间隔离开来。隔离的方法可以是软件式的(如安全软件),也可以是硬件式的(一个盒子或一套设备),还可以是物理式的(内部网络和外部网络完全没有任何物理接触)。
外部网络(外网)是一个与内部网络(内网)相对应的概念。对于企业和机构的内网系统而言,整个互联网空间都是外网;而对于企业内网中的某一个单独的隔离区域而言,相邻的其他内网区域也属于外网;如果某些机构共同接入了同一张业务专网,如医疗专网、教育专网等,那么对于专网上连接的所有机构的内网系统而言,它们都互为其他内网系统的外网。正因为外网是一个相对的概念,所以安全工作往往需要层层隔离,步步隔离。
对于内网的管理者而言,外网是一个完全不可控的风险空间。威胁可能来自某个攻击者,也可能来自某个组织;可能来自某台设备,也可能来自很多台设备(如DDoS);可能来自木马病毒,也可能来自人工渗透。
早期的安全思想普遍认为,只能在内网中或内网的边界上进行防御,至于攻击者何时、何地发起何种攻击,都是完全不可预知的,防御者只能“见招拆招”。不过,随着威胁情报等大数据安全技术的普及,提前感知和防御来自外网的威胁,对外网威胁进行跟踪溯源成为现实。
2.2.2 来自内部的网络威胁
俗话说“日防夜防,家贼难防”,对于企业和机构而言,网络威胁不一定都是来自外部的,也很有可能来自内部。而且,来自内部的威胁往往更具破坏力,也更加难以防御。例如,中国裁判文书网2011年1月—2019年10月发布的所有与数据泄露相关的典型判例中,约80%是由于内部人员造成的。
内部威胁的产生大致可以分为两类:一类是内鬼,另一类是违规。
内鬼风险大多是由员工的主观恶意行为引发的。产生内鬼的原因有很多,监守自盗、内外勾结、挟私报复、发泄不满、心理问题等因素都有可能引发内鬼行为。例如,2020年初,国内某知名大型互联网公司的一个供应商的开发人员,因与公司发生矛盾,在后台恶意删除了大量用户数据,直接导致该互联网公司上千万名用户的相关服务被中断。
违规风险大多是由员工的不当操作引起的,主要原因是员工的安全意识不足,如滥用U盘、错发邮件、误删数据等。相比于内鬼风险,绝大多数违规风险的损失会小一些,但发生的概率要大得多。
内部威胁并非不可防御,通过零信任、大数据、行为分析等方法,可以对内部威胁进行有效的监测和响应。针对此类问题的解决方案,还有一个比较专业的说法,即UEBA(User Entity Behavior Analysis),中文为用户实体行为分析。
2.2.3 来自供应链的网络威胁
攻击者在发动攻击前,一般会对攻击目标的整体防御措施做一个初步的试探和评估,如果目标本身的防御措施较完备,试探攻击未达到预期效果,则攻击者常常会采用间接的攻击方式,从攻击目标日常作业流程中薄弱的环节入手,这个薄弱的环节通常是与攻击目标有业务合作的第三方机构。例如,近年来攻击者更愿意从数据产业链的下游发起攻击,窃取数据。由于业务合作需要共享数据,而下游合作企业的数据保护意识或数据保护能力存在不足,更容易被攻击,从而导致数据泄露。
由于外包业务的不断发展,外包服务商逐渐成为企业另一种形式的“内部人”,也成了新的安全威胁。大多数企业的网络是由不同供应商、承包商及分包商建立的,系统建设成后,又多数会委托给第三方机构来运营。整个过程给攻击者提供了植入安全漏洞或利用安全漏洞的机会,只要其中的任意环节遭到利用或攻击,就会引起连锁反应,对企业造成一定的威胁。
近年来,我们观察到了大量基于软硬件供应链的攻击案例。例如,针对Xshell后门污染的攻击原理是攻击者入侵软件厂商的网络修改构建环境,植入特洛伊木马;针对苹果公司的集成开发工具Xcode的攻击原理则是通过编译环境间接攻击产出的软件产品。这些攻击案例最终影响了数十万甚至上亿名软件产品用户,造成了用户隐私、数字资产被盗取,设备被植入木马等后果。
来自供应链的网络威胁具有威胁对象种类多、极端隐蔽、涉及维度广、攻击成本低(回报高)、检测困难等特性,近年来供应链安全事件频繁发生。