前情回顾·科技巨头的网络安全战略

用过微软软件的读者大概都见过这项功能:一旦某款软件(例如Office或者Windows)发生崩溃,系统会要求用户将故障报告发送给微软。

多年以来,这些报告帮助微软修复了不计其数的软件漏洞。

直到2007年,软件巨头才意识到,这些每月收到的数十亿份报告在安全领域同样具有重大价值。第一个意识到这一点的人叫约翰·兰伯特(John Lambert),他也是微软威胁情报能力的奠基人。

沉迷于分析崩溃报告

一切的开端始于客户上报的一次网络攻击。微软在事后调查中发现,这是一次极为复杂的0day攻击,它利用软件中的未知缺陷实施渗透。

网络安全专家兰伯特与其他微软工程师开始识别这些攻击活动中的共通模式。当大量崩溃都指向同一种攻击类型,兰伯特知道这里面肯定隐藏着什么线索,有助于及早发现网络攻击。在接下来的几个月中,他开始如痴如狂地分析崩溃报告。

兰伯特解释道,“关于0day攻击的问题在于,恶意黑客自己也是第一次尝试利用和攻击,所以有时候无法正常起效。比如说,他们想利用的是Windows法语版中的一个漏洞,但实际攻击的却是英文版;或者他们指望着用户在32位版本的Office中打开文档,但对方实际用的是64位版本的。总之,这类缺陷有时会导致操作系统崩溃,而跟踪这些崩溃往往能检测到隐藏其中的攻击端倪。”

一年后的2008年,兰伯特对崩溃报告的分析有了回报。当时,他利用这些报告发现了Windows有史以来最严重的漏洞之一。利用兰伯特发现的这个漏洞,恶意黑客可以查看用户计算机上的所有文件,获取屏幕截图,基本上能在任何运行Windows的计算机上为所欲为。

这个漏洞非常严重,以至于迫使微软暂时放下每月一次的星期二安全更新惯例,第一时间发布了MS08-067紧急补丁。短短一周之内,全球约4亿计算机用户安装了该补丁。

这次事件成为微软的一次巨大成功,也让兰伯特成为公司内部的网络安全传奇人物。可很遗憾,最终事态并不像预想般顺利。2008年12月,也就是这次紧急更新发布的两个月后,一种名为“Conficker”的新型网络病毒攻击了全球数百万未能及时安装更新的计算机。利用该漏洞,病毒成功入侵了德国陆军、英国皇家海军、休斯顿法院系统、英国谢菲尔德地区的一家医院,并成为迄今为止最为致命的网络病毒之一。

图:约翰·兰伯特(John Lambert)

现任微软全球威胁情报与安全研究主管的兰伯特,似乎命中注定要在网络安全领域有所建树。他回忆称,“在大学毕业之后,我先是加入了IBM公司。作为新人,大家都得选择接下来要投身哪个方向,然后就会立马参与到软件开发当中。而我选择的,正是别人都不感兴趣的安全领域。安全不是具体功能,而是必须在产品中保障的目标,我热爱这项事业。”

在IBM工作了三年之后,兰伯特于2000年加入微软,然后一直工作至今。目前,微软已经成为全球网络安全领域的一股重要力量,在77个国家/地区拥有8500名安全员工,其中包括由微软集团副总裁、以色列研发中心总经理兼微软安全CTO Michal Braverman-Blumenstyk在以色列领导的一系列大型项目。

兰伯特本人也管理着几百名安全人员,包括不少身在以色列微软研发中心的员工。

但兰伯特刚刚加入微软那会,情况还大不相同。当时微软的安全形象相当糟糕,一系列蠕虫病毒成功侵入Windows系统,搞得这家软件巨头相当尴尬。兰伯特坦言,“当时的每场安全会议,都会出现拿微软调侃的笑话。”

兰伯特和其他同事明白,这件事到了必须改变的时候。他们将情况上报给了公司管理层,消息最终传到了比尔·盖茨耳朵里。“我曾在一次会议上向比尔·盖茨解释,安全是大事,单靠特定团队还不够,整个微软公司都必须参与其中。”我们还向盖茨建议,“就像1990年代曾为互联网的崛起发布过备忘录一样,现在你得为安全问题也出一份备忘录。”

盖茨认可了网络安全的重要性

于是,盖茨在2002年1月向全体微软员工发出一封主题为《可信赖的计算》的邮件。这封标志性的邮件,也代表着盖茨已经认可安全性的优先级应该高于软件新功能。对于这场革命,盖茨在邮件中写道,“总之,软件必须安全,这样才能打消客户的顾虑。”

邮件发布后,微软成立了“可信计算”小组。该小组的目标是识别和处理安全漏洞,进而增强微软产品,兰伯特在小组中工作了十年。

他回忆道,“我们的一大职责,就是在产品发布前做最后的安全检查。这是微软制定的新程序,公司不习惯引入外部团队来决定产品有没有做好发布准备。在我第一次参与检查程序时,经理们本打算当周五进行产品发布,但最终并没能通过验收检查。我把发现的问题直接上报给了盖茨,他亲自拍板称产品应该延缓发布。自此之后,微软管理链条上的每个人都感受到了公司认真抓安全的态度,也接受了这种新常态。”

2014年,兰伯特肩负起了新的使命。他受命建立微软威胁情报中心(MSTIC),管理这支在微软及AWS公有云大潮兴起之后才建立的全新安全队伍。去年6月,他开始担任微软全球威胁情报与安全研究主管,进一步扩大了职责管辖范围。

微软公司敏锐地意识到,云计算转变大大提升了安全领域的复杂度。兰伯特解释道,“当客户把自己的业务迁移至云端时,也同时招来了打算攻击他们的敌人。于是我们必须组建一支团队来关注那些敌人,并在对方发动攻击之前持续监控和干扰。”

网络安全情报中心一直是微软内部的精英单位,负责追踪来自全世界的恶意黑客。其中有来自俄罗斯的黑客团伙,打算借勒索软件攻击换取金钱;还有与伊朗政府确有关联的攻击者,他们以打击经济目标为战略诉求。总之,网络安全情报中心的职责就是提醒客户,“你们正成为恶意黑客的目标。”

兰伯特提到,“我们想要了解敌人的攻击重点,比如倾向于攻击哪些部门、哪种组织类型。有了这些信息,我们才能组织起有效的防御。在理解了对方采用哪些工具、策略及恶意软件,还有是否正在实施破坏、信息窃取或其他间谍活动之后,我们就会给他们进行命名,并列入一份类似于元素周期表的威胁组织清单中。”

伊朗攻击以色列和美国

去年10月,微软网络安全情报中心报告称,与伊朗相关的黑客攻击了250家Office 365客户。这波攻击的重点是以色列和美国的国防装备开发企业、波斯湾多处港口以及中东各航运公司。恶意黑客使用密码暴破攻击,尝试用常见密码同时渗透大量账户。微软报告称,“其中至少有20次尝试取得了成功。”

说起与伊朗有关的黑客活动,你觉得他们的表现算不算成熟老到?

“从观察结果来看,我觉得他们的经验主要体现在战术和执行层面。他们不会把几种漏洞结合起来设计出新的0day攻击,但却能够迅速组织力量并采取行动。这样受攻击目标还来不及搞清状况、加以应对,他们就已经完成了网络入侵。

但恕我直言,今年以来网络安全领域最值得关注、水平最高的事件无疑发生在俄乌冲突期间。在俄乌战争爆发的两个月后,微软就在4月发布的报告中介绍了六个由俄罗斯支持的黑客团伙,他们先后对乌克兰发动了超237次网络攻击,意图实施破坏并收集情报。这些攻击成为常规战争的补充,因此微软将其定义为“混合战争”

以今年3月1日为例,就在俄军向基辅电视塔发射导弹的同时,某俄罗斯黑客团伙向着乌克兰最大的广播公司发起了网络攻击。而在俄罗斯军队包围马里奥波尔的时候,也有俄罗斯黑客向乌克兰民众广泛发送伪造邮件,指责乌克兰政府不关心自己的人民。”

兰伯特解释道,“今年1月初,也就是俄乌战争爆发之前,我们已经看到一波通过破坏网站或泄露居民信息来制造恐慌气氛的攻击浪潮。战争爆发之后,俄罗斯的网络攻击有了更明确的战术诉求,包括对现场安全摄像头发动入侵,借此观察乌克兰街道上的情况。”

网络战:“兵不血刃”的搏杀

“网络战并没能像很多人预想的那样,帮助俄罗斯在对乌战争中快速取得优势。获胜的难度远超俄罗斯当初的预期,而且网络战在常规战争中的作用也没有想象中重要。这种「兵不血刃」的搏杀方式虽然在特定场景下能够起到效果,但终究无助于实际推进战线。”

或者说,我们可能高看了俄罗斯的网络能力,他们并没有想象中那么强大?

“微软和其他各方为乌克兰提供了大量援助。从战争爆发之初,我们就曾向乌克兰发出威胁警报。刚开始,我们只是想联系乌克兰的媒体组织和自然资源处理机构。我们本以为只有一成机会跟他们牵上线,但最终联络成功率达到了90%。我们可以直接为对方提供信息,观察他们如何利用这些信息抗击尝试入侵网络的攻击者。这种对抗每天都在发生。”

“很多俄罗斯黑客团伙并没有使用0day攻击来渗透网络,而是主要依赖未经及时修复的漏洞。微软去年以超过5亿美元价格收购了RiskIQ公司,我们利用他们的技术“从外部扫描乌克兰政府网络,看看攻击能够发现哪些漏洞。之后,乌政府开始修复这些漏洞。虽然俄方黑客很有经验,但也仍然存在局限性。”

参考资料:https://en.globes.co.il/en/article-how-threat-intelligence-became-key-to-microsofts-computer-security-1001423167

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。