如何保護電子郵件安全

據調查，91％的網路攻擊始於電子郵件，雖然這本身就是一個令人擔憂的統計資料，但很多人並不清楚這些風險。對於許多人來說，點選進釣魚網站是一種個人尷尬，可能是一種經濟損失，但並沒有任何生命危險。

在過去一年半的時間裡，研究人員一直在關注一種名為“Triton”（或有時候是“Trisis”）的新型惡意軟體，它可以關閉工業安全儀表系統。這些系統由物理控制器和相關軟體組成，旨在防止各種工業環境中的生命威脅。

在2017年夏天，當壓力釋放機構和截止閥等元件被禁用時，沙烏地阿拉伯的一家石化廠危險地接近了這種災難。如果不是程式碼中的一個小錯誤，那麼在工廠工作的人以及那些不幸生活在周圍地區的人很可能會受傷甚至可能被殺。

很可能在某一時刻，攻擊者使用魚叉式網路釣魚來破壞關鍵憑據。使他們可以直接訪問安全儀表系統，導致不可想象的傷害。

今天我們將討論Triton，網路釣魚殺手以及如何保護電子郵件。

什麼是Triton惡意軟體？

Triton Malware是一種針對工業安全系統的特定惡意軟體，旨在引發災難。它的首次亮相是在2017年針對一家未具名的沙特化學公司。直到今天，該公司的名稱從未被披露過，這樣做是為了避免阻止其他公司報告這類攻擊。

Triton被其程式碼中的一個小缺陷所困擾，該程式碼關閉了工廠，並在可能導致任何物理傷害之前向公司發出警報。這發生在2017年6月。當時它被認為是一個簡單的機械故障。在8月份，該工廠再次關閉，這次該公司選擇引進調查人員。

雖然該攻擊直到那年12月才公開披露，但安全公司和研究人員一直在爭先恐後地解開惡意軟體，並瞭解它自發現以來的工作原理。是什麼讓這個惡意軟體嚇人？它的目的是造成真正的傷害。這不是持有某人的贖金或竊取他們的個人資料，這會導致某人會直接被殺。

是什麼讓Triton惡意軟體如此複雜？

Triton背後的人擁有大量的資源可供使用，並且鑑於一些高階技術已被捆綁在一起，研究人員認為一個沙特國家不具備這樣的資源。究竟哪個國家仍然是一個爭論的焦點，雖然它最初歸功於伊朗，但是當惡意軟體首次被發現時，引入的 FireEye 已經將責任歸咎於俄羅斯。

無論是誰在背後操作Triton，它都是國家支援的網路攻擊者針對私營企業的趨勢的一部分，去年的萬豪酒店是另一個例子。

攻擊實際上始於2014年，當時黑客獲得了工廠運營商企業網路的訪問許可權。在某些時候，他們獲得了對目標工廠網路的訪問許可權，然後使用在魚叉式網路釣魚操作中可能獲得的憑證，黑客獲得了對工程工作站的訪問許可權。

該工程工作站直接與工廠的安全儀表系統連線，該系統向黑客通報了所使用的品牌和型號，以及他們的韌體版本。他們在網路中的永續性使攻擊者能夠保持對正在進行的任何更新的可見性。

黑客最終選擇專注於施耐德電氣安全儀表機器，稱為Triconex安全控制器。因此惡意軟體的名稱。根據麻省理工學院技術評論，攻擊者可能會在部署之前購買一臺Schneider Triconex機器來測試其惡意軟體。這有助於他們建立可以避開惡意軟體掃描程式和其他安全保護措施的程式碼。

並且真正完成了攻擊，在Triconex安全控制器中發現了一個新的零日，進一步提升了Triton的成功機會。

結果是入侵者在網路中保持了持久存在並注入了程式碼，這些程式碼可以命令安全工具自行關閉，因為其他惡意軟體對工廠造成了嚴重破壞，造成了本來可能非常致命的情況。

電子郵件安全從未如此重要

讓我們從電子郵件安全開始吧。雖然尚未確認受損的工程憑證是通過魚叉式網路釣魚獲得的，但有報導稱情況屬實。雖然還有其他方法可以用來訪問終端，但魚叉式釣魚似乎是最有可能的罪魁禍首。

魚叉式釣魚主要是網路釣魚+社交工程。攻擊者對目標做了一些研究，經常使用像LinkedIn這樣的網站，以便製作出令人信服的情況以獲取目標資訊。這種型別的網路釣魚通常包括一個令人信服的虛假網站，通常帶有HTTPS安全指標，用於收集資訊。

 這只是強調了適當的網際網路安全的重要性。鑑於他們在網路中的存在，攻擊者可以從可信的電子郵件伺服器傳送令人信服的電子郵件，這可能會欺騙SPF或DKIM。但是，S / MIME和電子郵件簽名可以幫助防止這種情況發生。

物聯網安全不容忽視

雖然已經多次說過，但仍然需要重複：保護物聯網需要成為從製造商到供應商再到終端使用者的每個人的優先事項。最終，其中一次攻擊會讓某人死亡，而且可能會成為一個物聯網裝置或元件受到攻擊並導致它。

這可能是網路攻擊實現了這個不幸的里程碑，如果不是因為一個小故障，或者更恰當的疏忽，在面臨未決緊急情況時關閉整個工廠。下次我們可能不會那麼幸運，安全研究人員會在晚上失眠。

即使是最具破壞性的惡意軟體，也一直沒有試圖對人類造成傷害。

Stuxnet是最著名的例子，它破壞了伊朗核計劃中的關鍵系統，使2010年的離心機過熱。俄羅斯政府也使用複雜的惡意軟體來破壞各個國家的電網。這實際上被命名為Crash Override，我假設在90年代俗氣的電影“黑客”中扮演角色，這使得它比這個行業的平常票價更令人敬畏（看著你，POODLE）。

無論如何，這只是強調物聯網安全的重要性。與我們新發現的連線一樣，存在必須解決的固有風險。在大多數情況下，工業部門在確保自身方面做得相當不錯。

但即使是最好的安全態勢也可以被不負責任或疏忽的合作伙伴所取消。在這種情況下，黑客的複雜性給了他們許多非國家支援的黑客所不具備的優勢，但妥協仍來自該組織正在利用的第三方物聯網裝置。

為了阻止攻擊者，工業公司通常依賴於一種稱為“深度防禦”的策略。這意味著建立多層安全性，從防火牆開始，將企業網路與網際網路分開。其他層旨在防止黑客入侵工廠網路，然後進入工業控制系統。

這些防禦措施還包括用於發現惡意軟體的防病毒工具以及越來越多的人工智慧軟體，這些軟體試圖發現IT系統內部的異常行為。然後，作為終極止回器，有安全儀表系統和物理故障保險箱。最關鍵的系統通常具有多個物理備份，以防止任何一個元素的故障。

這就是我們將安全性稱為生態系統的原因，因為它可能不是您的錯誤導致您的妥協，或者它可能是您的錯誤導致其他人的。