360智库 络安全周

[本周观察]

1、 络战时代，全球 络军备竞赛持续升温。作为国际重要军事集团组织，北约称将采取进攻性 络防御策略，并正在建立 络司令部。如若遭到 络攻击，北约将综合利用 络战和传统战进行反击。

2、实 攻防是检验 络防护能力的有效方法论。从美国“入侵五角大楼”、“入侵陆军”和“入侵空军”，到这次日本对奥运会使用的 络进行实 攻防，都充分说明了这一方法论的有效性。

3、 络武器容易拷贝，泄露即泛滥。2017年，影子经纪人将美国NSA支持开发的 络武器泄露后，“永恒之蓝”即在全球勒索病毒中大量使用。比如，360正在全力破解的GradCrab勒索病毒，也使用了“永恒之蓝”病毒。此次美国多个城市接连遭到勒索病毒重创，地方政府瘫痪，且病毒还在蔓延，也是美国自尝恶果。

4、 络隔离不等于万无一失。虽然多数工控 络物理隔离，但是需要和外界进行交互。使用USB设备通常是将文档引入工控 络的唯一方法，但是在此过程中，很有可能也将恶意病毒引入 络。

[十大要闻]

一．战略法规

1. 北约采取进攻型 络安全战略，综合利用 络战和传统战进行反击

5月29日，据 道，北约（NATO）秘书长表示，北约可能采取进攻型 络防御联盟，当在 络空间受到攻击时，不仅限于在 络空间回击。这个防御性联盟不会保持纯粹的防御性，这是北约对 络和电子攻击采取更强硬姿态的最新信 。

这些盟国将进攻性 络防御整合为一个重要工具，积极应对攻击者日益增多的 络干预。针对一个成员国的 络攻击可能引发所有成员国共同响应。然而在2001年9月11日恐怖袭击之后，应美国的要求，只有一次动用了集体响应。

2. 日本开展全国范围实 攻防演练，确保奥运 络安全

5月30日，据 道，日本将在未来18个月内开展实 测试，以确保橄榄球世界杯和2020年东京奥运会举办期间的 络安全。日本国家信息通信技术研究所（NICT）将对国内近2亿台物联 设备进行测试性攻击，包括摄像头、数字电视、灯具、冰箱等其他家用电器。成功攻击后，NICT将通知设备所有者改进其安全防护措施。

二．重大事件

3. NSA“永恒之蓝”在美国卷土重来

近日，美国巴尔的摩市政府遭到勒索软件袭击，攻击持续了近三周，成千上万计算机被锁，政府系统瘫痪，电子邮件无法使用，房地产销售、水费账单等服务也中断。安全专家表示，勒索软件其中一个关键部分，就是“永恒之蓝”。

4. 数据泄露致以色列总理及其家人行踪暴露在 上

5月29日，据 道，旅游公司Amadeus的以色列数据库遭遇数据泄露，数百万以色列旅行者的私人信息被曝光。据称，整个数据库包含了3600万航班预订信息、1500万乘客个人信息、70万签证申请和100多万酒店预订信息，其中包括以色列总理本雅明内塔尼亚胡（Benjamin Netanyahu）及其家人，以及其他高级官员的飞行行程。

三．前沿技术

5. USB设备会给工控 络带来致命危险

5月29日，据 道，USB设备的激增正成倍扩大了 络犯罪的攻击面，目前通过USB设备传播的恶意软件已达到了25%。对于信息技术（IT）和操作技术（OT）环境来说，BYOD或短时连接到 络的设备（包括USB设备）联 会给 络带来严重的安全威胁。使用USB设备通常是将文档引入OT 络的唯一方法，但使用包含恶意软件的USB设备可以绕过组织的安全防护，感染OT 络。

关键生产系统一旦遭到破坏，会让一家公司陷入完全停滞。2019年3月，挪威铝业制造商挪威海德鲁公司（Norsk Hydro）在勒索软件攻击后的几周内损失了4000多万美元。这次攻击迫使该公司停止生产，转而进行手工操作。

施耐德电气（Schneider Electric）是全球最大的能源管理和自动化专家之一，在每一个流程的每一步、供应链的每一个环节都完全控制着 络的安全。2017年，其系统设备安全产品生产线遭到名为“Triton”（或“Trisis”）有针对性攻击，试图破坏中东地区的安全设备战略信息系统（SIS）。施耐德成功全面缓解了攻击，确保了所有客户的安全。

6. 趋势科技一季度胁 威告：超九成 络攻击利用电子邮件渗透

5月29日，趋势科技（Trend Micro Incorporated）发布了2019年第一季度 络威胁 告，主要有以下内容：

90.5％的 络威胁与电子邮件有关。电子邮件威胁总数超过110亿，其中美国是首要攻击对象，共计超过26亿个案例。

排在第二位的是BEC攻击（商务电子邮件攻击），主要采用 会工程手段。

COINMINER恶意挖矿程序仍是最受黑客欢迎的恶意软件，但该类型攻击总数有所减少，主要针对美国和日本。

在针对银行的恶意软件领域，黑客最常使用的是EMOTET家族软件。

零日漏洞的数量在第一季度持续增长，而SCADA系统（数据采集与监视控制系统）的漏洞数量较少，只占总数的三分之一。大多数漏洞都在微软、福昕、苹果和Adobe的产品上被发现。

7. Fortinet一季度威胁 告：犯罪分子不断改进攻击方法

5月28日， 络安全公司Fortinet发布了2019年第一季度全球威胁态势预测 告。该 告表明， 络犯罪分子不断改进其攻击方法，包括设计专门的勒索软件程序、自定义编码，采用离地攻击（living off the land）和共享基础设施来扩大其攻击范围。

该 告主要包括以下几点：

? 工作日期间黑客攻击的流量是节假日的三倍；

? 黑客越来越倾向于共享基础设施；

? Web开发平台成为黑客攻击的新目标；

? 勒索软件并没有消失，而是变得更有针对性；

? 黑客越来越多地利用已预先安装在目标系统上的两用工具或普通工具来进行 络攻击。

四．投资并购

8. Palo Alto Networks将收购两家公司加强云安全能力

5月29日，全球 络安全行业的领导者Palo Alto Networks宣布将收购容器安全公司Twistlock和无服务器安全公司PureSec，希望将Twistlock的容器安全技术和PureSec的无服务器安全技术运用到其新的云安全套件Prisma中。本次收购预计将在Palo Alto Networks的第四财季完成。其中，Twistlock以4.1亿美元被收购，而PureSec交易的条款尚未公开。

Twistlock能够为云本地应用程序和工作负载提供漏洞管理和运行时防御。同时，PureSec能够为无服务器功能提供端到端的安全保障，包括漏洞管理、访问权限和运行时的威胁检测。Palo Alto Networks表示，将Twistlock和PureSec的技术与其领先的云安全套件Prisma结合起来，对三家公司来说都是一个巨大的胜利。

9. FireEye2.5亿收购Verodin以识别安全漏洞

5月28日，FireEye宣布以2.5亿美元收购 络安全初创公司Verodin。Verodin公司的 络安全控制有效性验证平台，能够弥补FireEye现有 络安全产品和服务的不足。通过运行测试，可识别由于设备配置错误、IT环境改变以及 络攻击等问题造成的漏洞。该平台与FireEye的前线情 相结合，可针对发现的威胁测试安全环境。同时与FireEye的螺旋式安全编排功能结合，帮助安全控制进行优先级排序和自动更新。Fireeye首席执行官表示，Verodin的平台能够对极其复杂攻击自动进行安全有效性测试，并为安全程序验证提供系统、可量化和持续的方法。

10. 雪铁龙投资以色列 络安全公司改善车联 安全