企業端安全如何防護？面對Coinbase交易所被攻破，值得所有安全廠商沉思

【導讀】前段時間，數字貨幣交易中心Coinbase爆出被黑事件。攻擊者以釣魚郵件方式向Coinbase員工私人郵箱傳送電子郵件，完成前期潛伏、滲透工作後；在某個時機，攻擊者以兩個 Firefox 0day 漏洞發動“猛攻”。雖然，Coinbase Security 很快檢測到並阻止了該攻擊。但值得注意的是，這場針對交易所企業“精心蓄謀”的攻擊，卻是從員工個人入口“破門而入”，完全繞過了基於企業資料搭建起來的封閉防禦系統。而這，不僅引發了諸多安全廠商的反思，它也引發了一個新的命題：個人端的完整資料對未來企業端安全的重要性。

擁有近乎固若金湯的安全資料與防禦系統，Coinbase為何仍難逃被攻擊厄運？

今年8月，數字貨幣交易中心Coinbase表露：其遭遇了一場使用網路釣魚、社會工程學策略的複雜攻擊。攻擊目標為侵入該交易中心的系統軟體，一旦攻擊者達成目的，他們將竊走價值數十億美元的數字貨幣。縱觀整個事件過程，頗具“戰術性”。

攻擊起源於2019年5月30日（星期四）， 十幾位 Coinbase員工的私人郵箱收到了一封電子郵件。 郵件稱其是來自劍橋大學研究資助管理員 Gregory Harris。因為該電子郵件來自合法的劍橋域名，又不包含惡意內容，同時還透過了反垃圾郵件的檢測以及可引用收件人的背景，因而並沒有引發Coinbase員工的懷疑。

接下來幾周，Coinbase的員工又陸續收到了類似的電子郵件。依然沒有任何可疑之處。此時，員工還與攻擊者展開了郵件往來。

然而，就在6月17日上午6:31，Gregory Harris 傳送了一封新電子郵件，與以往不同：這一次它包含一個 URL，當在 Firefox 中開啟時，會自動安裝能夠接管點選人電腦的惡意軟體。精心策劃、蓄謀已久的網路攻擊正式開始。

雖然在攻擊正式開始後，Coinbase Security 很快發現並進行了及時阻止。但這場有驚無險的“襲擊風波”，卻引發了很多廠商的關注與反思：作為數字貨幣交易中心，Coinbase擁有可謂是固若金湯的安全大資料和防禦系統，但為什麼依然遭遇了網路攻擊呢？企業端的安全又該如何保障？

狡猾駭客早已改變攻擊路數，迂迴作戰，個人成為突破口

上述的事件中，攻擊者達成目的的一個關鍵點在於：他成功繞過了基於B端企業資料搭建起來的封閉防禦系統，而是透過釣魚郵件方式攻擊員工私人郵箱進而一步步接近目標的。

也就是說，駭客們似乎變的愈發聰明，他們的攻擊方式也在逐步“升級”，他知道企業擁有B端安全資料與防禦系統，所以他不正面迎敵，而是採取迂迴作戰方式，先攻擊對於企業組織來講最為重要的“員工”——以“C端”個人為突破口，並橫向移動攻擊C1、C2、C3……由點及面（這樣做保證了即使沒有攻破C1、C2，還會有C3、C4等等，再眾多的個體中總會有容易“淪陷的員工”存在），待一切都鋪墊好、時機成熟時，再“由面到體”給予核心目標緻命一擊。

試問，面臨駭客如此縝密的、鋪面連環式的針對“個人攻擊的戰術”，面對茫茫如海的使用者“埠”，如果僅依靠傳統的防護思維，僅依靠企業端封閉的防禦系統，哪家企業、哪家網路安全公司敢說，能確保企業安全萬無一失、不被攻陷？

大環境已變，企業邊界正在瓦解，基於邊界的安全防護體系無法支撐企業防護

更為嚴重的是，企業安全面臨的是不止於駭客攻擊手法的變化，事實上，企業所處的環境也早已發生改變——企業邊界正在瓦解，基於邊界的安全防護體系正在失效。 

傳統基於邊界的網路安全，在某種程度上是預設了內網是安全的，認為只要構築了企業的數字護城河，透過防火牆、WAF、IPS等邊界安全產品或方案，就能實現企業的網路安全。然而，在零信任的網路安全世界裡：網路內部和外部的任何人、裝置、系統都不能信任。 

而事實上，早在2010年震驚世界的“震網事件”中，就已證明基於邊界的安全防護體系已無法支撐企業防護。據報導，震網病毒初始感染就是靠荷蘭情報機構僱傭的“間諜工程師”透過一枚小小隨身碟完成操作的。（智庫在《“震網”十年謎底終浮水面, 伊朗核計劃流產源於內鬼“間諜行動”》這篇文章中，有極為詳盡報導）該“間諜”要麼自己是直接把隨身碟插到了離心機網路，要麼是透過“感染”工程師，讓工程師帶入感染後的程式碼。總之，他突破了物理界限，突破了傳統的網路安全邊界，一舉摧毀了伊朗驕傲的“核計劃”。

人是安全的尺度，最為薄弱的環節，個人安全資料對企業市場至關重要

在上述幾段論述中，無論是駭客攻陷“某個個體”還是“內鬼”突破安全防護邊界，我們發現：它都離不開人。可以說，在網路空間世界裡： 人，是安全的尺度，是最重要也是最脆弱的操作資源，是網路安全組織中最強大也是最薄弱的環節。FBI和犯罪現場調查（CSI）等機構聯合做的一項安全調查報告顯示，超過85%的網路安全威脅來自於內部，危害程度遠遠超於駭客攻擊和病毒造成的損失。

然而，國家、企業，乃至我們整個社會正是由人組成的，與此同時，網路安全又是一個高度碎片化的行業，所以，每個人、每個點都可能成為敵人攻擊的突破口。即使一家公司有再多技術人員，有再完整的企業資料以及安全防護系統，但忽視個人資料，或沒有完整的個人資料做支撐，那麼它將如同缺失了“左膀”或“右臂”般，難以獨臂撐起防護企業安全的重大職責。

可以說，面對現在的攻防對抗的網路安全環境下，沒有個人的資料作為基礎，是無法做好企業市場，C端個人安全資料對B端企業市場至關重要。所以，智庫認為：應對網路攻擊、應對網路戰，我們應將企業資料與個人資料相結合，構築真正的網路安全大資料，唯獨如此，我們才能真正實現防護企業與國家的安全。

文章參考連結：

http://www.sxqxbj.cn/a/wenda/1486.html

https://www.secrss.com/articles/5007

本文為國際安全智庫作品 （微信公眾號：guoji-anquanzhiku）

如需轉載，請標註文章來源於：國際安全智庫