FireEye被黑的真正教训是什么？

大家好，欢迎来到IT知识分享网。

关于网络安全的断言

网络安全翘楚火眼公司被黑，业界震动。担心网络武器库/军火库泄露被恶意使用者有之，专注于泄露工具深度分析跟踪者有之。对比国内网络安全企业和国外网络安全企业，其对事件的反应也表现出略微的不同。国内大多把注意力和关注点放在了那批红队工具的跟踪上，甚至担心出现破坏性的后果。国外的网安公司更关心是谁干了这一票，这事对防御者有什么益处和坏处，同行出事，自己可能吸取什么教训。这里面反应的是什么？文化的差异？能力的差距？立场的不同？外国网安企业大体判断，这批工具对其他组织的威胁很小。真正的教训是：任何人都可能被黑。抛开国别立场、过往作为、可能的隐情不论，单论网络安全防御，火眼公司此番表现还是令人佩服的。一是敢于披露被黑的勇气；突破传统的羞耻文化的禁锢，得是多么艰难的决定。二是被黑后的专业应对，仍然是不少大厂难以比肩和企及的。三是高阶对抗仍在继续，信息公开也是威慑。后续业界可能更加期待此次攻击者所使用的”过去未曾见过的新技术组合”细节的详细曝光。网络安全，征途漫漫。基本的网络卫生仍然不可缺失，保持更新、深度防御、教育用户、报告事件。就像新冠疫情抗击中采取的公共卫生措施一样，这些基本措施提供了绝大部分的基础保护。

网络安全公司FireEye于12月8日宣布，一群技术娴熟的黑客入侵了公司的网络，并窃取了该公司专家开发的工具，这批工具是用来模拟真实的攻击者，测试其客户的安全的。初步判断这次攻击很可能得到了国家的支持。虽然这是一个令人担忧的事件，但不太可能像过去一些令人恐惧的工具泄漏那样，给组织带来不可估量的风险。

火眼是世界上最大的网络安全公司之一，在世界各地拥有主要的政府和企业客户。该公司在追踪溯源国家支持的威胁行为者方面的一流研究和重大反应能力而闻名。多年来，它被要求调查一些政府和组织中最引人注目的入侵事件。

谁黑了FireEye ?

“最近，我们遭到了一个非常复杂的威胁行当的攻击，这次事件的纪律、行动安全以及技术让我们相信这是一次国家支持的攻击，”FireEye首席执行官凯文·曼迪亚说。他在公开声明中说。”这次袭击不同于我们经历过的数万起事件。

这些年来火眼受到很大的关注。攻击者为攻击火眼公司定制了世界级的攻击能力。他们在行动安全方面受过高度训练，执行时纪律严明、专注。他们秘密行动，使用对抗安全工具和取证检查的方法。他们使用了一种火眼或我们的合作伙伴过去未曾见过的新技术组合。”

据《华盛顿邮报》报道，这些攻击者是俄罗斯对外情报局(SVR foreign intelligence service)的黑客分支，他们试图获取与火眼公司政府客户有关的信息。安全行业称该机构为APT29或Cozy Bear。

攻击者的真正目的什么?

火眼公司在声明中说，目前还没有发现任何证据表明与事件响应和咨询约定有关的客户信息被盗，但攻击者确实得到了该公司内部红队的一些工具。可以肯定的是，攻击者的目的显然不是这些红队工具！

红队是行业术语，渗透测试人员在客户授权下模拟真实的攻击。

防守方–蓝队可以评估组织安全措施的强度，他们的反应能力和潜在入侵的影响。根据FireEye的说法，被盗的工具范围从用于网络侦察的简单脚本到类似于其他公开的更高级的攻击框架。可用的渗透测试工具包，如Metasploit或CobaltStrike，但都是专门开发的。其中一些工具已经作为公司的开源虚拟机CommandoVM的一部分公开。

FireEye在一篇博客文章中表示，被攻击者偷走的红队工具并不包含零日漏洞。这些工具采用了世界上其他红队使用的众所周知的、记录在案的方法。虽然火眼不认为这次盗失窃会极大地提升攻击者的整体能力，但FireEye正在尽一切努力防止这种情况发生。

火眼发布了各种流行的开源检测技术(包括OpenIOC、Yara、Snort和ClamAV)的攻击指标、检测规则和签名。该公司的GitHub账户上还公布了一份包含所有被这些工具利用的漏洞的CVE标识符列表。

火眼是如何被黑的？又是如何发现被黑的？

目前披露的信息几乎没有涉及火眼公司被入侵的关键过程。攻击向量都有哪些？初始突破、权限提升、foothold加固、内部侦察、横向移动、数据窃取，攻击者何时侵入、潜伏多久、如何发现攻击线索、如何评估只窃取了红队工具，等等细节，均未见披露。如果按火眼的说法，背后是一个国家级的组织，那大概率人家是不会披露或炫耀自己的战果的。那么这些恐怕只有火眼公司和攻击者自己知道了，也许火眼也不能完整地还原整个攻击起点和终点。火眼称攻击者用的招数是”过去未曾见过的新技术组合”，这也不难理解，简单的钓鱼邮件、凭证盗用恐怕是”关公面前耍大刀”。人力操纵、里应外合？声东击西、暗渡陈仓？恐怕要超出正常人的想象！火眼公司就真的只损失了一批红队工具？

网络安全初创公司Stairwell的首席执行官和创始人迈克·威切克(Mike Wiacek）说的，攻击者是不是去了别的地方，但这很难说，而且很可能，火眼甚至还不知道。就像博物馆劫案一样，有人破门而入，偷走了《蒙娜丽莎》，但他们可能在走出去的路上从礼品店里抢了什么东西。当你走进礼品店的时候，你首先会注意到丢失的东西其实是礼品店的东西。

可否与过去重大的网络攻击工具泄露相提并论？

过去公开泄露的网络攻击工具，比如2017年美国国家安全局(NSA)的工具和一个名为”影子经纪人”(the Shadow Brokers)组织的漏洞利用工具，以及2015年黑客监视软件公司Hacking Team工具的泄露，导致许多攻击组织采用了这些攻击能力。

“当我听到火眼被入侵的消息时，我想到的第一件事就是影子经纪人。Rapid7公司漏洞与合规研究主管托德.比尔兹利(Tod Beardsley)说。”然而，这次工具失窃和之前NSA或影子经纪人的泄露有一些重要的区别。根据FireEye自己的声明，FireEye工具似乎主要是对公开的、已知的技术和工具的增量改进。”

“影子经纪人”的文件中包含了”永恒之蓝”和”永恒浪漫”，这两个武器化的、可靠的漏洞利用了Windows SMB协议，在美国国家安全局发出警报一个月前，微软刚刚对这些漏洞进行了修补。然而，在他们被偷的时候，他们仍然是零日漏洞。”永恒之蓝”最终为2017年的WannaCry和NotPetya蠕虫提供了动力。这一事件扰乱了全球企业网络的数十万个系统，造成了数十亿美元的损失。

无论怎样，火眼毕竟还是一家网络安全公司，是要保护客户的网络安全的。这点上他与NSA那样的网络战大玩家是有本质区别的。

火眼被入侵的风险是什么?

Beardsley表示，即使工具最终被泄漏或公开发布，他也不认为应该从FireEye泄漏中获得某种网络启示。FireEye的红队确实是很厉害的，甚至是世界一流的，但是他们所从事的高级工作更多地是关于他们如何端到端地实施进攻性行动，而不是依赖秘密的超级工具。这就是说，IT和IT安全组织应该继续做自己的工作–在合理的时间内管理补丁发布，为IDS/IPS/防火墙提供合理的告警报基础设施，并明智地管理其资产以降低企业风险。

网络安全初创公司Stairwell的首席执行官和创始人迈克·威切克(Mike Wiacek)也有同感。他表示，在这种情况下，没有零日漏洞是一件幸事，因为这意味着，与之前相比，攻击者在某个组织中获得滩头阵地的情况并没有更好或更糟。这意味着网络安全卫生的重要中坚力量一如既往地重要：保持更新、深度防御、教育用户报告可疑事件。就像在目前的大流行中采取的公共卫生措施一样，这些基本措施为我们提供了大部分保护。

FireEye说，目前还没有看到任何证据表明这些工具被野外的任何敌人传播或使用。然而，实际情况是，鉴于黑客组织现有的能力，他们并不真正需要这些工具。根据FireEye自己的描述，攻击者开发了一种以前从未见过的技术组合，以首先侵入该公司，因此他们很可能有能力创建与FireEye类似的工具。

Wiacek曾创立了谷歌的威胁分析团队，并在Alphabet的Chronicle安全初创公司担任首席信息官。他认为，攻击者很可能是在追求别的东西，可能只是因为这些工具方便而攫取了它们。也有可能是他们只是在不事先知道它们是否有价值的情况下把它们拿去分析。

一个老练的对手开发了新的技术来攻击FireEye，只窃取模仿已知攻击者的代码。这是没有没有任何意义。这就像杰夫·贝佐斯(Jeff Bezos)或埃隆·马斯克(Elon Musk)持枪抢劫银行一样——想象这种事发生几乎是滑稽的。这纯粹是个人观点/猜测，但这似乎是对开发新技术和窃取模仿已知攻击者的工具能力的浪费。

对于攻击者来说，拥有这些工具的价值在于，它们可以让他们了解FireEye使用了哪些攻击技术来测试其客户，然后教会这些客户进行检测。在某种程度上，工具被公开的风险是，那些不是FireEye客户的组织可能无法检测到它们，因为红队的约定是无法检测到它们的。这就是为什么FireEye决定开发和发布数百个ioc和检测签名，许多安全专家对该公司的开放性和迄今为止的总体反应表示赞许。

数据隐私公司BigID的首席技术官罗杰•黑尔(Roger Hale)表示，由于这些工具被盗，企业面临的风险肯定会增加。黑尔是一名行业资深人士，曾在其他大型企业和网络安全公司担任CISO和CSO职位。这些工具是专门为不被发现而设计的。

好消息是FireEye公开发布了IOCs和应对措施，但公司仍需要更新他们的安全堆栈来保护自己。只有采取了应对措施，并且只有修改了工具，风险才会减轻。”

虽然Hale认为攻击者可以通过分析和修改FireEye的工具和技术来改进他们自己的技术，但他也同意这种风险比影子经纪人的泄露要低得多。

工业网络安全公司Dragos的首席执行官和创始人罗伯特·Lee表示，这是有风险的，但这是业界在”WannaCry”中看到的武器化漏洞带来的数十亿美元风险和已经很老练的攻击者使用其他工具带来的风险之间的区别。所以，并不是说没有风险。

FireEye被黑为防御方创造了机会

Lee认为FireEye发布的对策的价值不仅仅是组织和安全供应商在他们的产品和网络中部署对泄漏工具的检测，尽管这是绝对应该做的。

这实际上是一个机会，防守者可以看看这些YARA规则，并尝试思考战术、技术和行为暴露，而不仅仅是检测工具，因为它给防守者一个机会，以学习为目标，火眼为什么能够做到。因此，对于正确运营的组织来说，这甚至可以带来一些积极的结果。如果你把范围扩大一点，并且考虑火眼泄露工具以外的东西，你应该能够为更广泛的攻群体找到好的侦测方法。

如果攻击者想要修改泄露的工具以规避检测签名，这并不难，因此检测正在使用的技术可能会被证明更有用。也就是说，并不是所有的公司都有大型的安全团队，他们有必要的带宽来进行深入的分析，并将其转化为内部项目来加强防御，这可能很好，因为可能有更紧急的漏洞需要修补。

Lee说，如果您是一家较小的公司，或者没有非常成熟的安全团队的一家公司，那么我不知道这样的事情会不会成为新闻头条。 最近已经披露了许多非常严重的Microsoft漏洞，所以也许在您开始寒假或类似假期之前，这些漏洞最终对您来说更加重要。你是否会考虑”这是要重点关注的第一件事吗？如果您有足够的带宽，我认为这是一个很好的机会来关注。至少，主要的安全供应商都将在产品中添加这些检测信息。

Wiacek说，实际上，基于FireEye和FBI的声明，这种性质的对手将能够轻而易举地逃避已发布的攻击指标。但是，没有人是完美的，并且由于种种假设，检测恶意活动的机会也不容忽视。”

身份安全软件提供商SailPoint负责产品的执行副总裁格雷迪·萨默斯(Grady Summers)在twitter上写道，FireEye的”行为值得称赞”。曾在FireEye工作过的萨默斯通过推特回应了网络上针对FireEye的批评。

萨默斯表示，如果这件事从未公开，由于一直以来不利的财务影响，就不会达到报告的门槛。他相信，FireEye之所以这么做，是因为他们的领导团队，从Kevin开始，在他们的DNA中是有道德要求的——他们更关心客户和行业，而不是在乎对股价的短期影响。

从FireEye被黑中得到的最大教训是：任何人都可能被黑

网络安全公司被老练的黑客攻击并不是闻所未闻的新鲜事——过去几年，包括对卡巴斯基实验室，Bit9和avast，均有被入侵的历史——其他组织的防御者可能会沮丧地看到，即使是那些处于网络安全游戏顶端的人也会被黑客攻击。毕竟，如果这种情况在最厉害的企业身上都发生，那他们还有什么机会?

网络安全软件供应商Netwrix负责产品管理的副总裁Ilia Sotnikov说，这已经不是第一次网络安全公司成为攻击目标，其结果是可能对全球组织产生长期影响。这种攻击还可以让更广泛的不那么老练的网络罪犯使用先进的攻击工具和技术。”

他说，公司的网络安全团队应该立即利用FireEye提供的对策，并对更多的安全更新保持警惕。这次攻击再次证明，有动机的黑客有能力攻击任何组织，不管它被保护得多么好。”我们现在的新常态是公开数据泄露，并像FireEye那样。

值得注意的是，在保护企业网络这样的复杂环境时，没有什么是不可穿透的防御。一个动机充分、资源充足的攻击者最终会找到入侵方法。现代安全程序的目标是最小化和管理风险，而不是消除风险。经常听到安全专家说，问题是什么时候，而不是是否会被黑客攻击。重要的是要做好准备，尽可能有效地处理此类事件，并在合理的范围内降低对组织的影响。

Lee表示，尽我为火眼公司的人感到难过，但如果有什么不同的话，这是一个不错的故事，因为它表明，即使是私营企业也可以几乎实时地发现国家级别的对手，并作出反应。这实际上是一件非常好的事情，如果他们没有及时发现入侵，而是在一年后才发现，那情况会如何。他们是被入侵了，但他们几乎立即发现并能够做出正确的反应，这大大降低了影响。这正是信息系统专业人士试图倡导公司所要做的：不仅要预防，还要发现并做出反应，因为这会增强你的整体弹性。