疫情防控危情之下的网络安全危机思考

天地和兴工控安全研究院

摘要：新型冠状病毒全球肆意蔓延，人类社会面临前所未有的公共卫生安全危机。当生物病毒在物理空间残忍侵害人们身体健康之际，甚嚣于网络空间的文化病毒则荼毒人们的心灵，谣言、恶意中伤、情绪化的偏激声音，制造了更多的恐慌和戾气。借助文化病毒和生物病毒的传播，网络病毒则以其为工具成为各种威胁行为体的攻击利器。全球抗击疫情一线的医疗卫生机构、关键基础设施行业、远程办公的众多企业网络、出于疫情防控需要而采集的公民个人信息瞬间处于网络威胁的阴影之下。由网络攻击而引发的网络安全危机呈一触即发、无可避免之势，如何化解、应对这种危机成为网络安全建设方、需求方、监管方必须认真思考的重大问题。

新型冠状病毒全球蔓延之势愈演愈烈，引发疫情爆发地区公众恐慌和世界极大的关注。物理空间和网络空间交相辉映，各种威胁行为体利用疫情的爆发，发动了大量以冠状病毒为主题的网络攻击，使全球抗击疫情一线的医疗卫生机构、关键基础设施行业、远程办公的众多企业网络瞬间处于网络威胁的阴影之下。同时，出于疫情防控的需要，多数国家已经利用大数据、人工智能、云计算等新型技术手段，开展了对通信基础设施、社交平台的监控，以加强对人员流动的管制并实施对冠状病毒隔离。与此同时，网络新闻和社交网络里，充斥着争论争端、不实信息、小道消息和各种极端无知的谣言，堪称“文化病毒”。这种文化病毒比生物病毒、网络病毒更具危害性和杀伤力。公众被煽动，被戾气左右，科学认知和理性声音往往被偏激的情绪带偏。生物病毒与网络病毒同时在网络空间和物理空间发动袭击，可以说是生物病毒第一次对网络安全行业产生了重大影响，而网络病毒则借助生物病毒传播的效应肆意妄为，加剧了物理空间灾难的后果和影响。疫情是一面镜子，对国际政治、国际秩序和大国关系是一次全新的检验。同样，网络空间安全能力、治理能力也迎来一次全面的考验。当网络攻击失陷之势不可逆转时，高效的应急处置甚至全面的网络安全危机响应不失为更加理性和明智的选择。

一、处于风暴中心的医疗卫生行业

近年来，医疗保健行业一直在努力确保联网医疗设备和老旧设备的安全，在未来几个月中，该行业可能会面临更加严峻的挑战。正如麦肯锡观察到的那样，COVID-19呈指数级传播的潜力可能很快使医院系统不堪重负。SpearTip首席执行官Jarrett Kolthoff表示，这一事实为勒索软件和其他攻击的激增打开了大门。“任何动荡的组织都面临着潜在的网络风险激增。”

最新的Bitdefender遥测数据显示，有关冠状病毒相关威胁的异常活动，与2月份相比，3月份与冠状病毒相关的恶意报告数量增加了475％以上。此为距4月份还有大约两周时间时的数据。这些活动可能主要针对那些已经开始遭受冠状病毒感染增加的国家，利用每个人心中的恐慌。网络罪犯通过仿冒世界卫生组织(WHO)、北约(NATO)、甚至联合国儿童基金会(UNICEF)的钓鱼邮件，对教育部门、卫生部门和消防部门发动攻击，而医院和诊所、制药机构以及医疗设备的分销商大多也成了攻击目标。今年1月，只有美国、中国和德国等一些国家发现攻击报告。到了3月，来自世界各地的恶意报告接踵而至，没有一个欧洲国家幸免。实际上，在3月份，来自意大利、美国、土耳其、法国、英国、德国、西班牙、加拿大、罗马尼亚和泰国等国家的恶意报告数量最多。所有这些国家都受到了COVID-19爆发的严重影响，这就是为什么这些恶意软件活动很可能专门针对这些地区。

使用勒索软件的网络罪犯已经成功攻击了一些参与抗击新冠病毒的医疗机构。捷克共和国布尔诺的布尔诺大学医院就是其中之一，伦敦的Hammersmith 医药研究所也是其中之一。布尔诺大学医院已经在3月13日因声称的勒索软件事件而暂停运营。该恶意软件延迟了手术和数十种冠状病毒样本的测试。在美国，勒索软件已在Champaign-Urbana Public Health网站上暂时阻止了公共冠状病毒更新。

先前对医疗机构的勒索软件攻击已经有了危险的先例。例如，2017年的WannaCry攻击影响了许多医院以及网络连接的成像和护士呼叫系统等设备。更为复杂的是，Kolthoff表示，“许多具有IoT的医疗保健设备未更新为最新的操作系统和安全补丁。” 在医疗系统上应用安全补丁可能会在修复其他漏洞时引入新的漏洞。

受勒索软件攻击的医院也更有可能支付赎金。Netscout Systems Inc.的高级主管Hardik Modi表示：“对于医院而言，关键服务的持续运营才是最为重要的。”

二、关键基础设施行业中的食品、药品和设备制造商

近日工业网络安全公司Claroty发布《全球工业网络安全状况》显示，受访者认为黑客攻击（43％）、勒索软件（33％）和破坏活动（9％）是对工业网络的最为普遍威胁。调查还表明，人们普遍认为电力（45％）是最容易受到关键基础设施网络攻击的行业，其次是石油和天然气（22％），化工（12％）和运输（12％）。

2020年1月份，美伊冲突引发人们对电力、能源等关键基础设施安全的极大担忧。余音未了，借助新型冠状病毒的网络攻击又一次让人们聚焦于食药品、设备制造等关键基设施行业。根据《纽约时报》报道，地方政府和关键基础设施还必须应对紧张、不可靠的沟通渠道。与医疗卫生行业一样，许多工业组织发现自己希望在继续使用老化技术的同时进行现代化改造。在制造业领域，存在劳动力短缺的局面，许多公司正在尝试转向以技术为主导的生产。工业组织在其网络上拥有有价值的信息，并且由于停机时间的高昂代价，在勒索软件攻击的情况下，它们通常愿意支付赎金换取正常的运营。

制药、食品和医疗设备制造商正在提高产量以满足日益增长的需求，同时还要应对新的供应链障碍。CYBERX公司物联网与智能产品部副总裁Phil Neray表示，“与此同时，越来越多的人在家中工作，并通过远程访问工业网络来监视和配置设备，因此，持续监视网络中的任何异常或未经授权的活动变得更加重要。想象一下，企业员工或第三方维护承包商中的一位无意中点击了恶意的COVID-19电子邮件链接，并窃取了远程访问凭据，使网络犯罪分子可以使用这些凭据在企业工厂中部署勒索软件。”可以预见的是，疫情蔓延加剧的情况下，大量生产制造行业面临的人员缺少与订单任务激增的矛盾进一步恶化。这对原来就不那么健壮的企业网络、生产网络形成更大的压力和安全风险。

三、启用远程办公模式的众多企业

尽管远程办公措施可平衡业务生产力与员工的安全健康，但是却很容易忽略公司网络及数据的安全性。对许多公司而言，这是他们第一次启用远程办公模式，这意味着多数企业很可能没有适当的协议或指南来帮助确保其信息和设备避免遭受网络威胁。近日，信安标委已发布《网络安全标准实践指南—远程办公安全防护》，国内外网络安全厂商（安天、奇安信等）也相继发布相关远程办公网络安全防护方案与实践。尽管如此，攻击入口点和攻击面的绝对放大，企业网络处于更加危险的失陷境地。

除了快速建立远程办公基础架构的风险外，远程办公位置公司资产和消费者级的物联网（IoT）设备也位于同一网络上。思博伦的高级经理Mike Jack表示：“在创建和安装这些设备时，很少考虑安全性。”潜在的威胁向量包括从连接互联网的电气开关到智能扬声器，智能电视、恒温器和灯泡的设备。Armis首席信息安全官Curtis Simpson同意：“将企业资产与IoT设备放置在同一Wi-Fi网络上，为攻击者实现企业目标提供了新的突破口。”

连接互联网的安全摄像机是最易受攻击的物联网设备之一。数以百万计的设备在2016 Mirai僵尸网络中被劫持，导致整个美国的网络中断，网络罪犯特别偏爱连接互联网的摄像头。许多消费者继续对越来越多的易受攻击的设备给予“高度信任”，这些易受攻击的设备“具有互联网功能，甚至没有任何适当的用户管理手段”。

继Mirai僵尸网络之后，没有一个引人注目的僵尸网络触发部分互联网关闭，但也有一些攻击者驱使IoT设备来加剧分布式拒绝服务（DDoS）攻击以进行勒索的情况。基于DDoS的勒索活动在全球范围内的运行频率已经相当正常。攻击者可能会利用这种策略破坏基于互联网的商业服务，例如视频或网络会议。

安永全球物联网（IoT）负责人Aleksander Poniewierski认为，这种大流行还可能促进技术和法规的变化。Poniewierski表示，这种流行病的压力将使许多人在接下来的几个月中容易受到社会工程的攻击影响，其利用欺骗性手段、操纵个人泄露机密信息的活动将持续恶化。

对于办公室工作人员以及执行远程监控启用IoT的操作的高管而言，迅速向远程工作转移，带来了与扩展网络访问相关的威胁。Poniewierski表示：“我们可以期望在不使用可靠的体系结构规划的情况下实现自动化和远程工作基础架构的大规模实施。许多员工正在他们的家庭环境中创建具有最小安全保护的指挥中心。”

四、高科技监控带来的公众隐私暴露

疫情防控的现实需求，催生了一批运用大数据、云计算、AI、物联网等新技术的防控设备和系统，语音机器人、自主移动消毒机器人、同行查询系统、发热门诊地图、无人机空中播报、AI刷脸进门、AI体温检测、远程会诊平台、健康绿码等发挥了关键的作用，而这些新手段应用的前提是个人信息的采集。网络助力疫情防控，突出的表现为个人信息采集、个人行为轨迹、疫情溯源、病患医疗数据共享、预警防控信息传播均实现了网络化。疫情防控的效率、精准度因此而更高更有效，但海量个人信息的采集与汇聚带来了较大的风险。采集面方，数据量大，风险环节多。不同省份、地区、场所，不同的采集软件、不同的安全策略、不同的存储机制，导致数据安全风险增大。

爱德华·斯诺登（Edward Snowden）3月23号警告称各国政府在疫情期间所使用的高科技监视措施可能会产生长期影响。同样与物联网相关的是，世界上一些国家的政府正在寻求使用连接公共互联网的摄像机监视可能被感染的患者，以期实施隔离。

莫斯科市长谢尔盖·索比亚宁（Sergei Sobyanin）今年2月宣布，该市正在使用面部识别技术来跟踪离开公寓的市民。据路透社报道，那里的当局也正在追踪与怀疑患有冠状病毒暴露的居民接触的人。

鉴于我国要求在公共场合佩戴口罩，因此在冠状病毒大流行期间难以使用面部识别。至少有两家国内企业开发了能够准确识别个人的新技术，即使他们戴着口罩，同时还可能通过测量温度来确定他们是否发烧。根据《华尔街日报》的报道，中国还使用了配备有高分辨率摄像头和扬声器的无人机来跟踪并责骂不遵守冠状病毒防控规定的公民，而以色列和韩国也已重新配置了监视技术，以将其人口追踪为冠状病毒感染传播。

就像冠状病毒对世界各地的人口和经济一样具有破坏性，它影响网络安全的主要方式是加速恶化现有趋势。IronNet高级副总裁Jamil Jaffer表示：“总体来说，如果这种风险情况与我们之前看到的情况大不相同，这会让我感到惊讶。”使用支持物联网的技术对其人口进行监视的国家将继续这样做，只是以不同的方式。Jaffer表示：“民族国家和犯罪行为者将继续以金融、能源、医疗卫生和政府部门作为目标组织。” Jaffer补充表示，一些对手“可能会将重点转移到医疗卫生上，或者希望利用在家工作的远程办公者。”但是，鉴于与局势有关的混乱，组织（尤其是那些被迫快速重组业务的组织）应确保其网络安全危机管理能力尽可能强大。

五、应对网络安全危机的思考

疫情防控情势之下，各种威胁行为体借机生事，网络、IoT等各种设备被攻陷、政府机构、医疗机构网站被攻击导致崩溃、企业网络被攻陷敏感资料外泄、公民个人信息、社交媒体数据被泄露，以及其它网络安全事件的发生不可避免。从今年2、3月份披露的攻击事件数量激增的情况以及已经发生的数据泄露来看，网络安全事件诱发危机应当是大概率事件。实质上人们已经产生或者接受了一种观念，没有任何机构、组织可以实现完全令人放心的网络安全，绝对的安全是不存在的。

组织的网络安全事件响应能力能否有效应对这种复杂局面？应急响应团队可能无法消除网络安全事件带来的所有负面影响，那退而求其次，能否抑制安全事件不要上升到“危机”的程度。危机造成的声誉、品牌、运营、客户和供应商关系风险持续增加，相关法律和财务风险也在所难免。尽管任何组织的网络安全危机管理生命周期都强调完备的预案、协同的响应和高效的恢复，但这仍然是一项涉及多个部门、多种能力、多个利益相关方的工作，更加需要全局的视野和全域的管理。比如协同响应需要组织在治理、战略、技术、商业运作、风险和合规以及纠正与改进方面充分协调、共同推进。此次我国政府应对新冠病毒危机的举措，也对网络安全危机的应对提供了有益的借鉴和指导。

(一)无可替代的完备的预案

网络安全危机事发突然，不可预测，组织对其时机、形式、规模无法掌控。完备的网络安全危机应急处理预案就显得尤其重要。经过桌面推演、模拟演练甚至实战检验的一整套危机管理预案，涵盖人员、设备、技术、通信、组织、指控等各类保障措施，这也是组织在发生危机后能否步调一致、协同响应的关键。

(二)关键的重要的果断决策

危机中的第一个决定都可能放大组织的声誉风险而影响相关者的利益，声誉风险比运营风险更具有快速的破坏力。在瞬息万变的危机应对中，掌握信息的不足与决策时效要求明显冲突，必须迅速汇聚资源果断决策，以免延误战机。抓大放小，排定优先级，快速决策，考验管理层的智慧。

(三)高效的分钟级快速响应

Splunk公司曾对网络安全事件的响应推出了1-10-60原则，即1分钟检测、10分钟调查、60分钟响应，体现的就是这种分钟级的快速响应。当机立断、快速反应、果断行动，保持对内对外的高效沟通。危机应对团队应当在分钟级内做出响应，从而控制事态，迟滞或阻断事态的扩大、升级和蔓延。

(四)事后的持续的改进提升

危机过后，大量复杂的处理工作才刚刚开始。组织必须采集证据、汇聚关联分析、反复进行猎杀威胁、追踪溯源，进行事件复盘，记录决策过程，管理财务，处理保险索赔，完善法律法规方面的要求。除了安全架构、安全战略、技术方案、设备更新、团队优化、流程机制等等方面的改进提升之外，必须强调一点，加强网络安全文化建设。推动将网络安全意识提升、网络安全事件公开、网络安全危机积极应对等融入组织文化，遏制组织形成“瞒、捂、盖等羞于暴露问题、大事化小、小事化了”的消极文化。

参考文献

1、Brian Buntz，Cybersecurity Crisis ManagementDuring the Corona-virus Pandemic，www.iotworldtoday.com，2020.03.24

2、Cyber crisis management Readiness, response, and recovery，www2.deloitte.com

3、Wissam Ali-Ahmad，Tim Sullivan，Survival of the Fastest: The 1-10-60 Rule，2019

4、天地和兴，2020年一季度十大网络安全热点大盘点，2020.03

5、天地和兴，远程办公，没那么简单！天地和兴重磅送上网络安全警示与最佳实践，2020.03

6 天地和兴，医疗卫生行业网络安全―漏洞威胁及其涟漪效应，2020.03

声明：本文来自关键基础设施安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。