不久前,欧洲多国超级计算机上演“挖矿”风暴,规模之大史无前例。
5月11号,位于英国爱丁堡大学的超级计算机ARCHER(弓箭手)遭受网络攻击。这台2014年耗资4300万英镑(约合人民币4亿元)、在退役之前发挥余热、帮助研究者对抗新冠病毒、至今仍在全球超级计算机单中排名252名的性能怪兽,因为黑客的攻击,不得不选择下线“保平安”。
同天另一起网络攻击也导致德国5台超级计算机关闭。在接下来的几天里,德国其他地方、瑞士和巴塞罗那也出现了类似的情况。
相关安全专家事后分析,黑客是通过窃取SSH凭证获得了超级计算机的访问权限,然后在ARCHER上部署了挖掘Monero(XMR)即加密货币的应用程序。
也有其他专家推测,本次超级计算机系统被入侵事件是一些民族主义者实施的,因为被攻击的国家参与了新冠肺炎爆发的研究。
超级计算机背后的“正邪对决”
超级计算机一直是计算机世界中最特殊的存在,它的存在就是为了解决最大、最难的问题,为国家、甚至全人类造福。
不同于普通的计算机系统,超算造价成本少则几亿人民币,多则几十亿,每秒能进行数千万、亿万次浮点运算。被广泛应用于国防科技、生物医学、气象预报等领域发挥着巨大作用。
传统来说,超级计算机的“现实资产”意义大于“数字资产”,并不是常见的黑客攻击目标。一来超级计算机计算出来的结果,既不属于民用更不属于商用,气象研究、核武器模拟等常见任务无法轻易转换为钱财;二来,超级计算机通常作为计算单元,并不会存储太多数据。
所以在最早期,“黑”超级计算机的目的主要是是黑客展示自身技术实力,偶尔顺带表达一下自己的意见和态度:
早在1994年,“世界头号黑客”米特尼克曾向圣迭戈超级计算机中心发动了一次攻击。《纽约时报》称这一行动“将整个互联网置于一种危险的境地”。
2004年,黑客持续对美国高校以及科研机构的超级计算机进行攻击,并造成美国最大的科研网连续数天处于瘫痪状态。
2013年10月,京都大学基础物理学研究所和筑波大学科学研究中心的超级计算机被黑客入侵。日文部科学省就此事件发表意见说,要求两所大学彻底确保安全措施。
2013年12月,一位宾夕法尼亚男子试图兜售包括美国国家安全实验室的超级计算机访问权限,被判处了18月的徒刑。值得一提的是,该“超算”主要涉及国家防御、生物安全、能源以及人工智能等重要工作。
但随着2017年前后CPU挖矿的再次兴起,为黑客攻击超级计算机提供了经济上的动力。在俄罗斯甚至发生过核设施工作的科学家未经批准,企图将计算机用于“挖矿”加密货币的案例。这一系列罕见事件中,究竟是超算机构风险管理不到位?还是黑客入侵手法太高超?在产业互联网即将迈入“新基建”时代,这一系列安全事故又给企业安全敲响了怎样的警钟?
威胁情报:信息安全的“透视之眼”
“超算挖矿”受到黑客青睐,皆因超算具备极大的数据存储容量和极快速的数据处理速度两大优势,尤其是挖矿木马等活跃家族的出现,更是让其计算力直接转换为价值。超算领域体现的黑客威胁发展趋势,同样影响着数量众多的企业。
根据腾讯安全发布的《2019年企业安全威胁报告》,40%的企业终端每周至少遭遇一次病毒攻击,其中勒索病毒、挖矿木马仍是企业安全两大核心威胁。
各类高级和未知威胁迭代演化,让企业对于威胁情报的需求也日益升高,这表明威胁情报在企业重要决策中的参考权重大幅上升。而据全球最大信息安全培训机构SANS调查数据显示,有80%的组织认为自己从威胁情报中获益。
作为一种数据型知识,威胁情报其实是不能单独存在带来价值的,只有跟传统的一些安全的防护方式一起,才能对整个企业的安全做到全方位的保障。
就威胁情报来说,它承担的作用主要有三块:
第一块是最基础的运营级威胁情报;
第二块是威胁情报的溯源和分析;
第三块是战略级的威胁情报。总体来说,威胁情报对企业的作用来说,是可以更快、更好地去增加我们对于这个新的威胁的防护能力。
与黑客攻防这场没有硝烟的战争中,威胁情报实际上扮演了重要的角色。去年5月,腾讯安全曾协助警方侦破一项黑产团伙通过挖矿木马牟利的重大网络犯罪事件。其中,腾讯安全威胁情报中心通过多维度分析系列病毒木马的技术特点,最终判断这系列病毒背后是由同一个犯罪组织控制,成功协助警方破案。
这一点对于当前的中国来说尤为重要。2020年诸多重大事件让中国定下了“新基建”的跑道,“5G”、“AI”、“大数据”等新趋势的加速来临,将进一步促进网络空间与物理空间的连通和融合。
值得重点关注的是,互联网的无缝渗透以及信息安全保护措施的缺失,使得诸多政企、机构等成为重灾区,作为网络攻防第一关卡,威胁情报逐渐被更多政企、机构作为风险预知的“保护伞”。
“新基建”的平台稳不稳,够不够安全,是数字经济能不能安心唱好戏的关键。能否为“新基建”搞好基建,成为对网络安全工作部署的一大考验。
在这样的大趋势下,企业应尽快引入与业务发展需求相匹配、专业化、体系化的信息安全解决方案,构建可知、可见、可控的信息安全网络。