CrowdStrike、Change Healthcare、日益猖獗的勒索软件威胁以及网络监管——这些是今年占据头条新闻的主题,也是CISO和网络专业人士正在适应的内容。
今年,网络安全头条新闻层出不穷,多起数据泄露、攻击和事故引发了全球关注。
其中几起事件影响深远,有可能重塑行业保护措施,颠覆供应商保障客户系统安全的方式,或促使安全领导者重新评估其战略。
长期趋势,如网络安全监管的加强和AI对行业的影响,在2024年及以后也对IT安全运营产生了并将继续产生重大影响。
以下是对今年网络安全事件的回顾,以及这些事件如何重塑CISO在保护企业方面的战略和战术的见解。
Change Healthcare遭受勒索软件攻击
2月,联合健康集团(UnitedHealth Group)旗下的Change Healthcare遭受勒索软件攻击,导致大规模中断。
与ALPHV/BlackCat勒索软件团伙有关的网络犯罪分子利用泄露的凭据闯入Change Healthcare的系统,访问了未受多因素身份验证访问控制的Citrix门户账户,他们在部署勒索软件之前,窃取了敏感数据——包括姓名、社会保险号、诊断信息、治疗方案和财务数据,后来估计影响了多达1.12亿人。
美国卫生与公共服务部(HHS)正在调查是否发生了受保护健康信息的泄露,以评估联合健康集团或Change Healthcare是否违反了严格的医疗保健行业隐私规定。
Change Healthcare——美国最大的医疗保险索赔清算机构——在遭到攻击后,其系统被迫下线,导致美国医疗系统的大部分瘫痪数周。数千家药店和医疗保健提供商因电子支付和医疗索赔无法处理而受到影响。
患者被迫自费支付许多药物费用,而无法依靠共付额或优惠券,此次数据泄露使许多医疗提供商面临破产威胁,联合健康集团为受此次攻击影响的医疗保健提供商提供了20亿美元的援助。
向数千家受影响的提供商加速付款以及提供无息无费贷款、事件应对工作和Change Healthcare系统的全面重建,再加上收入损失,意味着此次数据泄露的总成本预计将超过10亿美元。
后来有消息称,Change Healthcare在攻击发生后向与ALPHV相关的加密货币钱包支付了相当于2200万美元的比特币,但这并没有阻止RansomHub团伙试图利用在数据泄露期间窃取的敏感信息对联合健康集团进行勒索。
此次攻击在4月的国会听证会上引发了要求为医疗保健提供商制定基线安全标准的呼声,也有人质疑整合是如何使医疗保健行业更容易受到网络攻击的。
总体而言,此次事件让全世界关注到医疗保健行业遭受的网络攻击不断增加,勒索软件被视为该行业的核心威胁,此次惨败给医疗保健行业和其他行业的CISO留下了几个关键教训。
CrowdStrike崩溃事件
7月,CrowdStrike的Falcon Sensor安全软件的一个错误配置更新导致运行该软件的Windows系统崩溃。对Channel File 291的内容更新导致Windows传感器客户端出现越界内存读取,使受影响的Windows个人电脑和服务器崩溃,并陷入启动循环。
估计有850万个Microsoft Windows系统受到影响。
尽管错误更新很快被撤回,但由此造成的中断影响了全球多个行业的组织,包括航空公司、银行、广播公司和医院。
在此次中断之后,CrowdStrike加强了其发布前的测试流程并改进了质量控制,此次事件凸显了安全软件进行严格测试和故障安全机制的关键重要性。
为应对此次中断,微软开始评估安全供应商是否需要内核级访问才能有效工作。在内核中运行的安全软件包可以获得更大的可见性,并有机会阻止低级恶意软件,但这种方法的缺点是,一旦出现问题,整个系统就会崩溃,出现著名的蓝屏死机。
除了让全世界关注到内核级和软件测试问题外,此次事件还向CISO和CIO们揭示了IT对管理软件的过度依赖、需要重新评估云集中风险以及拥有健壮的业务连续性计划等关键战略问题。
与MFA缺陷相关的Snowflake广泛数据泄露
基于云的数据仓储公司Snowflake发生的账户黑客攻击导致多起高调的数据泄露事件,影响包括AT&T、Ticketmaster、Neiman Marcus Group和Advance Auto Parts在内的多家组织。
网络犯罪团伙UNC5537利用窃取的客户凭据系统地破坏了Snowflake客户实例,然后窃取敏感数据。根据谷歌威胁情报部门Mandiant的调查,这些被盗数据被用于企图向许多受害者勒索钱财,或通过网络犯罪论坛出售。
AT&T在7月的一份监管文件中承认,网络犯罪分子窃取了1.1亿人的电话和短信元数据。被泄露的信息包括通话或短信记录,但不包括任何短信的内容或客户的个人身份信息。据报道,这家美国电信运营商向犯罪分子支付了37.7万美元,要求其丢弃这些被盗的电话记录。
这一问题最初是在4月发现的,当时Mandiant追踪到一起数据泄露事件,该事件涉及一个使用先前通过信息窃取恶意软件盗取的凭据而被破坏的Snowflake实例。随后的工作发现,这种模式在多个案例中重复出现,其中许多案例可以追溯到2020年的历史恶意软件感染。
Mandiant和谷歌通知了165家可能受影响的组织。此次黑客攻击潮被归咎于在Snowflake客户账户中未启用多因素身份验证(MFA)的情况下凭据被盗,而非Snowflake环境本身遭到破坏。
对此,Snowflake向客户提供了检测和加固指导。
10月,美国检察官起诉了两名嫌疑人——来自安大略省基奇纳的康纳·莱利·穆卡(Connor Riley Moucka)和居住在土耳其的美国人约翰·宾斯(John Binns),指控他们涉嫌参与Snowflake数据泄露事件。
这些广泛的攻击凸显了为什么云安全已成为CISO的首要任务,并强调在当今企业中,MFA的使用显著落后于应有的水平,微软和AWS等供应商现在即将推出新的MFA规定。
LockBit打击未能遏制勒索软件威胁
在其他与网络犯罪相关的新闻中,2月,在一项名为“Cronos行动”的重大国际警方行动中,LockBit勒索软件团伙遭到打击。与该团伙相关的服务器和网页域名被查封,违规账户被关闭,嫌疑人在波兰和乌克兰被捕。
尽管该团伙遭到打击,但后来仍报告发生了使用LockBit勒索软件或其变种的攻击,并且有报道称该团伙的部分成员打算恢复其运营活动。与以往一样,这些诈骗通常涉及威胁发布被盗数据以勒索受害者,并要求支付解密密钥的费用。
LockBit——一个主要的勒索软件即服务(RaaS)运营——据估计,仅在2020年1月至2023年6月期间,通过攻击美国受害者就获利9000万美元。
尽管执法机构展开了大量行动,但勒索软件仍然变得更快、更智能、更凶猛,新的团伙在打击行动后不断涌现,企业不得不为其勒索软件谈判手册增添新篇章,并就是否支付勒索费用展开辩论。
深度伪造成为更大威胁
今年,AI的使用在有益和恶意目的方面都呈加速趋势。
攻击者可以利用AI来扩大和完善其技术,使勒索软件和钓鱼攻击更有效。例如,AI技术可以被滥用生成虚假的音频和视频,即所谓的深度伪造。
总部位于伦敦的跨国设计和工程公司Arup就遭遇了一起深度伪造骗局,损失达2亿港元(2560万美元),其香港办公室的一名财务工作人员在参加视频会议时,被骗子使用深度伪造技术冒充其位于英国的首席财务官,从而被骗授权进行交易。
深度伪造也开始成为朝鲜假冒IT工作人员骗局的一个要素。朝鲜特工冒充合法的IT专业人员,试图在西方公司获得雇佣。一旦被聘用,这些“远程工作人员”就会利用其内部访问权限窃取敏感或专有信息,同时领取工资,这些工资最终被转回朝鲜政权。
据信已有300多家企业沦为假冒IT工作人员骗局的受害者,该骗局估计为朝鲜政府带来了数百万美元的收入,使其能够规避国际制裁,同时为武器计划提供资金。
NPD数据泄露余波
美国背景调查公司National Public Data发生数据泄露,暴露了29亿条记录,使数亿人的数据面临风险。此次黑客攻击发生在2023年12月,但直到2024年7月一个4TB的被盗数据被泄露到网络犯罪论坛上,此事才广为人知。
此次泄露暴露了美国、英国和加拿大估计约1.7亿人的社会保险号、姓名、邮寄地址、电子邮件和电话号码。
2024年10月,在数据泄露事件后面临多起诉讼的National Public Data申请了破产。
监管压力上升
归咎于中国的针对电信运营商的Salt Typhoon网络间谍攻击事件,促使人们计划要求电信运营商加强其安全措施。
欧洲也在加强网络安全监管,扩大了欧盟的网络和信息安全指令(NIS2)。NIS2涵盖了更多行业和部门,引入了更强的网络安全风险管理措施和事件报告制度。
美国证券交易委员会(SEC)修订后的数据泄露披露规则增加了CISO的责任,尤其是那些在上市公司任职的CISO。安全领导者需对网络安全故障或误导性披露承担个人责任。
监管复杂性的增加和个人责任的加重,只是CISO在权衡各方面因素时面临的挑战之一——这也导致了CISO对工作的不满和离职倾向的增加——当他们在回顾2024年的关键收获并展望新的一年时,这些挑战尤为凸显。
