首页 > 业界 > 关键词 > 漏洞最新资讯 > 正文

外媒解读为何像Colonial Pipeline这样的勒索软件攻击是不可避免的

2021-05-16 15:12 · 稿源:cnbeta

据外媒报道,2021年5月7日对Colonial Pipeline的勒索软件攻击体现了美国在加强网络防御方面面临的巨大挑战。这家私营公司控制着美国能源基础设施的一个重要组成部分,它供应着东海岸近一半的液体燃料。这样的公司很容易受到一种非常常见的网络攻击。FBI将此次攻击归咎于俄罗斯网络犯罪团伙。

SolarWinds也曾遭遇过类似的黑客攻击,该攻击是历史上最具破坏性的网络攻击之一。这个于2020年12月曝光的网络攻击暴露了影响政府和私营部门计算机系统的全球软件供应链的漏洞。这是国家安全的重大漏洞,其暴露了美国网络防御的漏洞。

SolarWinds的漏洞可能是由俄罗斯联邦安全局(FSB)下属的一个组织实施,当时它破坏了这家公司用来为Orion网络管理产品的1.8万名用户提供更新的软件开发供应链。这场据称始于2020年初的黑客攻击直到去年12月才被发现。而更令人担忧的是,这可能是针对美国政府和商业目标的更广泛攻击的一部分。

对此,拜登政府正在准备一项行政命令,预计将解决这些软件供应链的漏洞。然而,这些变化虽然重要,却可能无法阻止SolarWinds这样的攻击。防止像Colonial Pipeline这样的勒索软件攻击需要美国情报和执法部门渗透到东欧的每一个有组织的网络犯罪集团才行。

供应链、松懈的安全和人才短缺

软件供应链的脆弱性--软件组件和软件开发服务公司用来构建软件产品的集合--是安全领域的一个众所周知的问题。作为对2017年一项行政命令的回应,美国国防部领导的一个跨部门工作小组的一份报告指出,美国企业“对外国的依赖程度令人惊讶”、劳动力挑战及印刷电路板制造等关键能力正将业务转移到海外以追求具有竞争力的价格。所有这些因素都在SolarWinds的袭击中发挥了作用。

网络安全专家表示,SolarWinds在其增长战略的推动下,计划在2021年分拆其托管服务供应商业务--对此次损害负有很大责任。

据一位网络安全研究人员称,SolarWinds也没有实践基本的网络安全卫生。

据Vinoth Kumar报道,该软件公司开发服务器的密码据称是“solarwinds123”,这显然严重违反了网络安全基本标准。鉴于SolarWinds因其Passportal在2019年获得了年度密码管理解决方案奖,该公司草率的密码管理具有讽刺意味。

该公司在一篇博客文章中承认,“攻击者能够绕过SolarWinds、其他私营公司和联邦政府所采用的威胁检测技术。”

更大的问题是,为什么美国公司SolarWinds不得不向外国供应商寻求软件开发。美国国防部一份关于供应链的报告将软件工程师的缺乏描述为一场危机,部分原因是教育渠道没有提供足够的软件工程师来满足商业和国防部门的需求。

另外,美国还缺乏网络安全人才。工程师、软件开发人员和网络工程师都是全美最需要的技能,尤其缺乏专注于软件安全的软件工程师。

支离破碎的权威

或许SolarWinds需要承担很大的责任,但它本不应该独自抵御国家精心策划的网络攻击。2018年美国国家网络战略描述了供应链安全应该如何工作。政府通过审查SolarWinds等联邦承包商的风险管理策略来确定其安全性、确保他们了解威胁和漏洞并对系统上的事件做出反应。

然而这一官方战略将这些责任划分给负责国防和情报系统的五角大楼和负责民事机构的国土安全部并继续了里根时代开始的信息安全问题上的分散做法。该战略的执行依赖于国防部的美国网络司令部和国土安全部的网络和基础设施安全局。国防部的战略是“向前防御”:即从源头阻断恶意网络活动,这在2018年中期选举前被证明是有效的。2018年成立的网络和基础设施安全局负责提供关键基础设施部门面临的威胁信息。

无论是哪个机构似乎都没有发出警告,也没有试图减轻对SolarWinds的攻击。美国政府则是在袭击发生后才做出回应的。网络和基础设施安全局则发布了警报和指导并成立了网络统一协调小组以促进联邦机构之间的协调。

这些战术行动虽然有用,但只能部分解决更大的战略问题。SolarWinds遭黑客攻击所显示出的国家网络防御部门的分裂是一个战略弱点,它让政府和私营部门的网络安全变得复杂并引发了对软件供应链的更多攻击。

一个棘手的问题

国家网络防御是一个“棘手问题”的例子,这是一个没有明确解决方案或成功衡量标准的政策问题。Cyberspace Solarium委员会指出了美国国家网络防御的许多不足之处。在其2020年的报告中,该委员会指出,“在联邦政府保护和保障网络空间的方法上,仍没有一个明确的统一努力或胜利理论。”

许多因素使得建立一个中央集权的国家网络防御极富挑战性,而这些因素不在政府的直接控制范围内。

不过拜登政府似乎在认真对待这一挑战。这位总统已经任命了一名国家网络安全主管来协调政府的相关努力。至于是否会以及将如何解决权力分散的问题并阐明政府将如何保护提供关键数字基础设施的公司则还有待观察。很显然, 指望任何一家美国公司能够抵御外国的网络攻击都是不合理的。

措施

与此同时,软件开发人员还可以采用国家标准跟技术研究所倡导的安全软件开发方法。政府和行业可以优先发展能够识别现有系统中的恶意软件的人工智能。然而所有这些都需要时间,而另一方面,黑客行动迅速。最后,公司需要积极评估自己的漏洞。

认识到为外国对手服务的黑客是专注的、彻底的、不受任何规则约束的,这对预测他们的下一步行动以及加强和改善美国国家网络防御非常重要。

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • 欧盟起草的人工智能政策旨在控制大技术

    周三,欧盟宣布了新的人工智能条例草案,限制了政府和企业如何使用人工智能在道德上更加可疑的方面。积极地试图监管人工智能用于邪恶的用途,欧盟的规则草案将禁止"人工智能系统被认为是对人们的安全、生计和权利的明显威胁。"拟议的规则将对各种使用案例产生深远的影响,包括自动驾驶汽车。据报道,苹果正在研发一款"苹果汽车",这是一款自动驾驶电动车,预计将于2024年至2028年期间推出。据报道,这些政策还将对执法人工智能进行

  • 爱尔兰遭遇最严重的网络攻击 黑客试图加密国家卫生数据并勒索金钱

    爱尔兰一位部长表示,对爱尔兰卫生服务计算机系统的网络攻击,可能是爱尔兰遭遇的最严重的网络犯罪攻击,这次攻击直指爱尔兰国家卫生系统的核心。攻击发生后,卫生服务部门已经暂时关闭了其IT系统以进行保护。担任公共采购和电子政务部长的Smyth先生说这是一次国际攻击,这些是网络犯罪团伙,在寻找金钱。他们试图对爱尔兰国家卫生数据进行加密和锁定。然后试图向爱尔兰当局勒索金钱以赎回数据。爱尔兰卫生服务执行局表示,它已经?

  • 网络攻击导致美国一主要燃料管线停运

    美国最大的燃料管线之一在遭受网络攻击后被其运营商关闭了。据《纽约时报》报道,为美国东部地区输送45%燃料供应的Colonial管道公司周五晚些时候在一份声明中说,它 "关闭了某些系统以控制威胁,这暂时停止了所有管道的运作,并影响了我们的一些IT系统。"该管道长5500英里,从墨西哥湾沿岸向纽约输送飞机引擎燃料和精炼汽油,每天运输约250万桶。目前还不清楚这次攻击是否针对Colonial的工业控制系统,或者是否涉及勒索软件或恶意?

  • 创新的微芯片设计将计算推到边缘 使人工智能可以实时使用

    为了应对人工智能对计算机网络的爆炸性需求,普林斯顿大学的研究人员近年来从根本上提高了专门的人工智能系统的速度并减少了其能源使用。现在,研究人员通过创建共同设计的硬件和软件,使设计者能够将这些新型系统融合到他们的应用中,使他们的创新更接近于广泛使用。通过减少电力需求和从远程服务器交换数据的需要,用普林斯顿技术制造的系统将能够把人工智能应用,如无人机的驾驶软件或高级语言翻译带到计算基础设施的最边缘。新

  • 360周鸿祎谈“燃油管道被黑客掐断”:网络攻击不分战时平时

    凤凰网科技讯 5月10日消息,今天下午,360集团董事长兼CEO周鸿祎在微博就“全美最大燃油管道被黑客‘掐断’”一事发表6点看法,表示网络安全就是国家安全,网络攻击不分战时平时,随时可以造成黑天鹅事件,要未雨绸缪,提高基础设施网络安全防御能力已经迫在眉睫。以下为周鸿祎提出的看法:1、网络安全就是国家安全,美国首次因网络攻击进入紧急状态;2、网络安全对手不再是小毛贼,专业化高级黑客组织入场;3、基础设施成为首要攻

  • 人工智能算法帮助揭开量子系统的物理学基础

    来自布里斯托尔大学量子工程技术实验室(QETLabs)的科学家们开发了一种算法,为量子系统的基础物理学提供了宝贵的见解:为量子计算和传感的重大进展铺平了道路,并有可能翻开科学研究的新一页。在物理学中,粒子系统及其演变是由数学模型描述的,需要理论论证和实验验证的成功互动。更为复杂的是对粒子系统在量子力学水平上相互作用的描述,这通常是用哈密尔顿模型来完成的。由于量子态的性质,从观测中制定哈密顿模型的过程变得?

  • 恶意软件攻击正在适应全球趋势 加密挖矿应用危害明显

    一份新的报告显示,在COVID-19大流行期间,网络犯罪分子的策略发生了变化,特定应用和网络应用攻击明显增加。这些网络攻击占去年所有攻击的67%。在过去的两年里,这个数字增加了一倍多。根据日本NTT《2021年全球威胁情报报告》,网络攻击在医疗保健业增加了200%,在制造业增加了300%,在金融业增加了53%。去年,这三个行业占所有攻击的62%,比前一年增加11%。该报告对2020年1月1日至12月31日的全球攻击数据进行了统计,结论如下:?

  • 有了新的人工智能解决方案 智能手机打字可能变得更容易

    不管你喜欢什么品牌的智能手机,我们都曾因屏幕上的小键盘而面临打字的麻烦。苏黎世联邦理工学院的研究结果可能意味着未来的智能手机会减少打字错误。研究人员开发了一种新的人工智能解决方案,使触摸屏能够以比目前设备高八倍的分辨率感知。他们的解决方案可以更精确地推断出手指在触摸屏上的位置。该项目的研究人员说,在现代智能手机上打字的挑战是,检测手指在屏幕上的位置的触摸传感器自2000年代中期以来没有什么变化。虽然这

  • 再携手民生银行,国双产业人工智能赋能数字金融

    近日,国双签约民生银行智能法律服务二期项目,双方将基于一期建设成果与应用以来的数据与知识积累,进一步升级诉讼智库;同时打造前沿的智能化服务产品,提高民生银行法律智能化水平。国双产业人工智能再度收获场景化落地硕果,护航数字金融稳健发展。数智技术创造法律服务新能力银行诉讼智能化企足而待银行融通各行各业,是市场经济活动中最活跃的参与者与现代经济正常运行的核心,深刻影响着社会经济活力。在我国经济新常态下,?

  • 人工智能进行时—王者荣耀助力产学研 共享AI新生态

    生物的进化的速度要以百万年的时间来计算,而人工智能却在以肉眼看得见的速度进化。半个世纪前,人类需要使用一部重达 1270 公斤的电脑对抗国际象棋大师时,不会想到在半个世纪后的王者荣耀中,AI可进化至职业电竞水平,这就是王者荣耀的AI——「绝悟」,「绝悟」从离线的玩家对局样本进行模仿学习,为了突破上限,又采用了AI自对弈的强化学习,然后在“绝悟挑战”中测试强度。王者荣耀执行制作人,腾讯天美L1 工作室总经理黄蓝枭?

  • 研究人员警示:人工智能算法可以影响人们的决定 需就算法的影响进行公共教育

    在一系列新的实验中,人工智能(A.I.)算法能够影响人们对虚构的政治候选人或潜在的浪漫伴侣的偏好,这取决于建议是明确的还是隐蔽的。西班牙毕尔巴鄂德乌斯托大学的Ujué Agudo和Helena Matute于2021年4月21日在开放性期刊PLOS ONE上发表了这些发现。从Facebook到谷歌搜索结果,许多人每天都会遇到人工智能算法。私人公司正在对其用户的数据进行广泛的研究,产生对人类行为的见解,而这些见解是不公开的。学术社会科学研究落后于?

  • 海信一举斩获三项“吴文俊人工智能科学技术奖”

    日前,中国智能科学技术最高奖“吴文俊人工智能科学技术奖”十周年颁奖盛典在北京举行,青岛有 4 个项目荣获科技进步奖, 1 个项目获得企业技术创新工程项目奖,海信独占其中三项。其中,海信网络科技公司参与的“多源高维数据协同表征及应用”项目获科技进步奖一等奖,海信电子公司参与的“语义驱动的视频智能分析及适配传输关键技术与应用”项目获科技进步奖二等奖,海信视像公司、山东大学和山东科技大学共同参与的“跨媒体知识

  • Alphabet X研发团队希望将人工智能引入电 让其可视化

    谷歌母公司Alphabet一直在为电网开展 "登月行动",其X研发团队的一个秘密项目旨在找出如何使电力使用比现在更稳定、更绿色。这项研究在白宫领导人气候峰会上被披露,在过去三年中一直在进行。X研发团队开始是Google X,然后在谷歌创建Alphabet作为其总体母公司时被剥离出来成为一个独立的部门。X研发团队并不打算自己架设电线和安装太阳能电池板和风力涡轮机。相反,它正在研究对电网更全面的了解是否有助于向环境稳定的资源过渡。

  • 美国燃油运输管道公司网络攻击事件的 进一步研判及启示分析

    美国时间2021年5月7日,美国最大燃油运输管道商科洛尼尔(Colonial Pipeline)公司遭受勒索软件攻击,导致5500英里输油管系统被迫停运。该输油管系统从得克萨斯州到新泽西州,每天输送250万桶燃油到东海岸和纽约,供应东海岸45%的燃料。由于网络攻击,美国东海岸燃油供应受到严重影响,美国国内汽油价格达到七年来的最高水平,引发了人们对汽油、柴油短缺的担忧,5月9日美国宣布多州进入交通运输进入为期至少1个月的应急状态,以应

  • 大众汽车将于今夏在德国开始测试基于Argo人工智能的自动驾驶面包车

    大众汽车公司周三宣布今年夏天将开始在德国测试其新的自动驾驶车辆。这家德国汽车制造商的电动ID Buzz货车将使用Argo AI开发的硬件和软件,Argo是一家位于匹兹堡的创业公司,得到了福特和大众的支持。其目的是在2025年前在德国推出商业送货和微型交通服务。大众汽车和Argo的高管本周召开了一次新闻发布会,介绍了他们的合作关系的最新进展,该合作关系于2019年首次宣布,是大众汽车与福特汽车 "全球联盟"的延伸,特别是为大众汽车?

  • 联邦贸易委员会警告正计划打击有偏见的人工智能技术

    美国联邦贸易委员会警告各公司不要使用有偏见的人工智能技术,因为它们可能违反消费者保护法。一篇新的博客文章指出,人工智能工具可以反映出 "令人不安的"种族和性别偏见。如果这些工具被应用于住房或就业等领域,虚假宣传为无偏见,或以欺骗性方式收集的数据进行训练,该机构表示它可以进行干预。访问购买:爱奇艺周年庆 - 京东联名年卡5.5折仅138元联邦贸易委员会律师Elisa Jillson写道:"在急于拥抱新技术的时候,要小心不要过

  • 思必驰入选中央信办人工智能企业典型应用案例

    4 月 26 日,在数字中国建设成果峰会人工智能分论坛上,中央网信办组织评选的人工智能企业典型应用案例正式发布,思必驰“AI社区数字网格员应用案例”成功入选。据了解,此次评选始于去年 10 月,由中央网信办信息化发展局开展人工智能创新应用案例征集工作,经人工智能社会实验专家组评审,其目的是发现和挖掘人工智能行业的最新场景和杰出企业,进一步推动我国人工智能健康稳定发展,最终共遴选出 35 家人工智能企业典型应用案例

  • 人工智能助力因材施教——区域教育信息化创新实践论坛”在厦门举办

    4月23日,第79届中国教育装备展示会盛大启幕。同期,由中国教育电视台主办、科大讯飞承办的“人工智能助力因材施教——区域教育信息化创新实践论坛”在厦门圆满召开。来自人工智能领域的教育和科技专家,各地教育管理者、一线工作者共聚一堂,聚焦未来教育发展趋势,交流区域教育信息化实践经验,探究乡村教育振兴路径,为发展更加公平、更高质量的教育凝心聚智。中国教育电视台全媒体中心主任闫勇,科大讯飞股份有限公司高级副总?

  • 信办人工智能企业典型应用案例发布 七鱼智能营销服务系统入选

    近日,由国家互联网信息办公室 、国家发展和改革委员会、工业和信息化部、国务院国有资产监督管理委员会、福建省人民政府共同主办的第四届数字中国建设峰会在福州举行。会上,中央网信办组织评选的人工智能企业典型应用案例正式发布,网易七鱼智能营销服务案例成功入选。据了解,本次评选是中央网信办信息化发展局基于人工智能社会实验工作有关任务部署,经人工智能社会实验专家组评审,遴选出的一批人工智能企业典型应用案例。此?

  • 腾讯汤道生:腾讯将助力培养 10000 名人工智能教师

    4月20日,第二届MEET教育科技创新峰会在北京举办。腾讯公司高级执行副总裁、云与智慧产业事业群总裁汤道生在《深耕智慧教育,助力学习者“生长”》的主题演讲中表示,经过十年发展,教育信息化建设正在从“工具驱动”,转变为“数据驱动”:从单一的教学工具迈向以数据应用提升整体教学能力、助力个性化发展的新阶段。汤道生强调,腾讯教育在其中始终坚持做好“数字化助手”的角色:截至目前在全国落地了10多万所标杆院校,服务了1000多个教

  • 热门标签