据调查,91%的网络攻击始于电子邮件,虽然这本身就是一个令人担忧的统计数据,但很多人并不清楚这些风险。对于许多人来说,点击进钓鱼网站是一种个人尴尬,可能是一种经济损失,但并没有任何生命危险。
在过去一年半的时间里,研究人员一直在关注一种名为“Triton”(或有时候是“Trisis”)的新型恶意软件,它可以关闭工业安全仪表系统。这些系统由物理控制器和相关软件组成,旨在防止各种工业环境中的生命威胁。
在2017年夏天,当压力释放机构和截止阀等组件被禁用时,沙特阿拉伯的一家石化厂危险地接近了这种灾难。如果不是代码中的一个小错误,那么在工厂工作的人以及那些不幸生活在周围地区的人很可能会受伤甚至可能被杀。
很可能在某一时刻,攻击者使用鱼叉式网络钓鱼来破坏关键凭据。使他们可以直接访问安全仪表系统,导致不可想象的伤害。
今天我们将讨论Triton,网络钓鱼杀手以及如何保护电子邮件。
什么是Triton恶意软件?
Triton Malware是一种针对工业安全系统的特定恶意软件,旨在引发灾难。它的首次亮相是在2017年针对一家未具名的沙特化学公司。直到今天,该公司的名称从未被披露过,这样做是为了避免阻止其他公司报告这类攻击。
Triton被其代码中的一个小缺陷所困扰,该代码关闭了工厂,并在可能导致任何物理伤害之前向公司发出警报。这发生在2017年6月。当时它被认为是一个简单的机械故障。在8月份,该工厂再次关闭,这次该公司选择引进调查人员。
虽然该攻击直到那年12月才公开披露,但安全公司和研究人员一直在争先恐后地解开恶意软件,并了解它自发现以来的工作原理。是什么让这个恶意软件吓人?它的目的是造成真正的伤害。这不是持有某人的赎金或窃取他们的个人数据,这会导致某人会直接被杀。
是什么让Triton恶意软件如此复杂?
Triton背后的人拥有大量的资源可供使用,并且鉴于一些高级技术已被捆绑在一起,研究人员认为一个沙特国家不具备这样的资源。究竟哪个国家仍然是一个争论的焦点,虽然它最初归功于伊朗,但是当恶意软件首次被发现时,引入的 FireEye 已经将责任归咎于俄罗斯。
无论是谁在背后操作Triton,它都是国家支持的网络攻击者针对私营企业的趋势的一部分,去年的万豪酒店是另一个例子。
攻击实际上始于2014年,当时黑客获得了工厂运营商企业网络的访问权限。在某些时候,他们获得了对目标工厂网络的访问权限,然后使用在鱼叉式网络钓鱼操作中可能获得的凭证,黑客获得了对工程工作站的访问权限。
该工程工作站直接与工厂的安全仪表系统连接,该系统向黑客通报了所使用的品牌和型号,以及他们的固件版本。他们在网络中的持久性使攻击者能够保持对正在进行的任何更新的可见性。
黑客最终选择专注于施耐德电气安全仪表机器,称为Triconex安全控制器。因此恶意软件的名称。根据麻省理工学院技术评论,攻击者可能会在部署之前购买一台Schneider Triconex机器来测试其恶意软件。这有助于他们创建可以避开恶意软件扫描程序和其他安全保护措施的代码。
并且真正完成了攻击,在Triconex安全控制器中发现了一个新的零日,进一步提升了Triton的成功机会。
结果是入侵者在网络中保持了持久存在并注入了代码,这些代码可以命令安全工具自行关闭,因为其他恶意软件对工厂造成了严重破坏,造成了本来可能非常致命的情况。
电子邮件安全从未如此重要
让我们从电子邮件安全开始吧。虽然尚未确认受损的工程凭证是通过鱼叉式网络钓鱼获得的,但有报道称情况属实。虽然还有其他方法可以用来访问终端,但鱼叉式钓鱼似乎是最有可能的罪魁祸首。
鱼叉式钓鱼主要是网络钓鱼+社交工程。攻击者对目标做了一些研究,经常使用像LinkedIn这样的网站,以便制作出令人信服的情况以获取目标信息。这种类型的网络钓鱼通常包括一个令人信服的虚假网站,通常带有HTTPS安全指标,用于收集信息。
这只是强调了适当的互联网安全的重要性。鉴于他们在网络中的存在,攻击者可以从可信的电子邮件服务器发送令人信服的电子邮件,这可能会欺骗SPF或DKIM。但是,S / MIME和电子邮件签名可以帮助防止这种情况发生。
物联网安全不容忽视
虽然已经多次说过,但仍然需要重复:保护物联网需要成为从制造商到供应商再到最终用户的每个人的优先事项。最终,其中一次攻击会让某人死亡,而且可能会成为一个物联网设备或组件受到攻击并导致它。
这可能是网络攻击实现了这个不幸的里程碑,如果不是因为一个小故障,或者更恰当的疏忽,在面临未决紧急情况时关闭整个工厂。下次我们可能不会那么幸运,安全研究人员会在晚上失眠。
即使是最具破坏性的恶意软件,也一直没有试图对人类造成伤害。
Stuxnet是最着名的例子,它破坏了伊朗核计划中的关键系统,使2010年的离心机过热。俄罗斯政府也使用复杂的恶意软件来破坏各个国家的电网。这实际上被命名为Crash Override,我假设在90年代俗气的电影“黑客”中扮演角色,这使得它比这个行业的平常票价更令人敬畏(看着你,POODLE)。
无论如何,这只是强调物联网安全的重要性。与我们新发现的连接一样,存在必须解决的固有风险。在大多数情况下,工业部门在确保自身方面做得相当不错。
但即使是最好的安全态势也可以被不负责任或疏忽的合作伙伴所取消。在这种情况下,黑客的复杂性给了他们许多非国家支持的黑客所不具备的优势,但妥协仍来自该组织正在利用的第三方物联网设备。
为了阻止攻击者,工业公司通常依赖于一种称为“深度防御”的策略。这意味着创建多层安全性,从防火墙开始,将企业网络与互联网分开。其他层旨在防止黑客入侵工厂网络,然后进入工业控制系统。
这些防御措施还包括用于发现恶意软件的防病毒工具以及越来越多的人工智能软件,这些软件试图发现IT系统内部的异常行为。然后,作为终极止回器,有安全仪表系统和物理故障保险箱。最关键的系统通常具有多个物理备份,以防止任何一个元素的故障。
这就是我们将安全性称为生态系统的原因,因为它可能不是您的错误导致您的妥协,或者它可能是您的错误导致其他人的。
数安时代GDCA建议各大网站通过部署SSL证书,实现HTTPS加密升级来保护用户的账户和密码等隐私信息,且部署SSL证书后,相较于传统的HTTP明文协议,HTTPS协议可以确保传输数据的完整性和机密性,建立一条从用户端到网站服务器端的加密传输通道,通过复杂的握手协议,确保用户的传输信息不被第三方窃取或篡改。
另一方面,HTTPS加密协议还可以实现对网站身份进行验证,部署SSL证书后会在地址栏显示https://开头和锁形标志,用户可以通过查看(锁形标志)证书信息来确定网站的真实性,避免被钓鱼网站盗取个人信息甚至骗取财物。
我国经过国际Webtrust标准认证的CA机构仅有3家,而数安时代就是其中之一,除了自主品牌GDCA,还有Symantec、Globalsign、GeoTrust等品牌,多种选择,一次对比,有需要可以联系客服咨询。
本站写作的目的就是想帮助对互联网技术、对SSL证书有需要的人,所以欢迎同行网站转载本站文章,但是,希望您注明来源,并留下原文链接地址,这是对文章作者的尊重,也是对知识的尊重。
