请欢迎 Mandiant Google Cloud 的首席执行官 Kevin Mandia 先生。大家下午好。我是今天的倒数第二位演讲者。然后我们都要去吃晚餐。我还有大约19分半钟的时间。我想简要介绍一下我得出的结论，至少是其中一部分。这些结论基于我们在这一年中进行的1100多项调查，基于我们在这一年中进行的数百次红队测试，基于来自威胁分析小组(Threat Analysis Group)以及 Mandiant 威胁情报小组(Threat Intelligence Group)的威胁情报，还有我们提供的所有咨询服务。我尽最大努力收集了这些结论。我们会很快过一遍。这不只是为了欣赏攻击者的手法，我们还要做一些事情，因为我们今天来到这里是要学习如何保护我们的网络，所以我们要这样做。这是我们根据所有观察得出的五个结论，直到几分钟前都是最新的。我在后台的时候还修改了几处。
现实情况是:首先，当我们回顾过去12个月的事件时，攻击者入侵全球企业似乎没有面临太多风险或受到太多惩罚。我们看到攻击创新正在加速。我不确定是否真的加速了，但我们看到攻击者和威胁行为体进行了很好的创新。勒索软件已经演变到窃取数据、勒索，甚至可能到骚扰等其他行为。董事会更多地参与其中。我认为，在政府和私营部门之间的合作方面，过去这一年是最好的一年。所以合作得很好。我会详细讲解每一点。
首先，威胁行为体面临的风险或惩罚很少。当我们审视这一点时，我认为每个现代国家都明白会有间谍活动。而且你可能无法阻止间谍活动，也很难为间谍活动制定规则。所以我在这里强调的是要对犯罪分子施加风险，对那些可能已经达到一个高度或阈值、感觉几乎让人无法容忍的人施加风险。看看我身后的幻灯片，我几乎想让你看到这些数字，它们代表了犯罪企业的最低限度入侵并进行勒索和敲诈。你可以看到链上分析(chain analysis)的幻灯片，其中显示了似乎与勒索或勒索软件有关的比特币支付情况。但更重要的是，仅仅是对那些只是在做本职工作的私营企业或上市公司造成的影响，我们看到损失相当于1亿美元。8亿美元。而这些只是下限。这些损失往往会不断上升。因此，我们经常问的问题是，那么我们该怎么办呢?当你看勒索软件问题时，很多人持有这样的观点:我们必须加强防御。我明白。这就是我们今天来到这里的原因。我们都希望做得更好。
我们可能要考虑的第二件事是加密货币，以及我们可以用来追踪加密货币的方法和途径。有些人认为，拥有一种匿名货币并不总是一个好主意，这种货币可以在相距数千英里的地方进行支付。我们要做的第三件事是审视我们现有的条约，并使其中一些条约现代化。我们需要归因并施加风险。因此，我希望执法部门、情报界和私营部门的所有人都重新审视归因的方式，希望不同国家政府的人士审视犯罪分子的避风港和安全港，看看我们是否可以与这些国家实现条约现代化，以便我们可以施加更多风险或成本。但我认为，现在是时候继续思考这个问题了。我知道我们在全球范围内有很多特别工作组，有很多小组在研究这个问题，我们都期待在这方面取得进展。我们看到创新步伐加快，我将逐一讲解每个类别，那么让我们直接开始吧。
这并不一定是坏消息。当你看到攻击方面的创新时，你真的会直接想到零日漏洞。我们从1998年一直跟踪到现在。过去每年发现的零日漏洞大约在10到15个之间。当然，零日漏洞指的是没有补丁的攻击。现在，你会看到我们在过去一年中在野外发现了97个零日漏洞，其中大约三分之一是由 Mandiant 和 Google 发现的。我发现这些零日漏洞中最有趣的是这张幻灯片上显示的内容，我知道这里有很多数字，但请关注受影响的供应商数量，这也包括免费软件，我想我们可以把不同的库称为供应商。但是，当你看这个数字时，受影响的供应商有31家，当然总是有三大巨头。你会看到微软、谷歌和苹果。但除此之外，我们还有其他28个组织受到针对他们的零日攻击。为了说明这一点，2018年，除了三大巨头之外，大约只有四家公司受到影响。因此，受到攻击的供应商数量是惊人的。那么，为什么会有这么多零日漏洞呢?对此有很多猜测。也许我们在防御方面做得更好了。所以你必须通过零日漏洞来入侵。也许现在攻击方面的资金如此充足，他们就能更快地发现零日漏洞。也许人工智能正在帮助攻击者更快地发现漏洞。也许我们都在发布非常糟糕的软件，并没有足够努力地修补它。我实际上认为，也许是其中一些因素的结合，但实际上是因为如果你进行间谍活动，入侵的影响是你得到你想要的东西。如果你从事犯罪活动，你也能得到你想要的。网络入侵正在获得回报，这就是为什么我认为你会看到这种情况发生。但同样，这意味着你必须有一种方法来应对零日漏洞。这张幻灯片显示，在全球范围内，当我们审视我们应对的每一起事件时，人们入侵的头号方式实际上是利用漏洞。这意味着我们所有人都必须考虑假定失陷(assume breach)。做攻击面管理，做补丁管理，然后为这些事情发生后的情况制定出色的规则。你知道，假定失陷的心态。我刚刚看到 G2 说分段很难。更新很难，打补丁很难。没关系。我们必须做这些事情。总会有零日漏洞。你听人们说我们要通过设计实现安全，把它降到零。但零日漏洞不仅仅是软件。在某个时候，当你假设入侵时，你也要假设也许你有一个内部人员可以在网络上制造混乱。所以归根结底，这种趋势是不同的。从1998年到2019年左右，人们入侵的头号方式是鱼叉式网络钓鱼和利用人的信任。自2020年以来，它已经变回了1993年到1998年的样子，那就是漏洞利用。对于那些只需要知道他们在利用什么的人，就在那里。这是我们在2023年被利用的三大漏洞。与M国有关联的间谍活动在这一年有所改进，我认为我可以深入探讨的最大改进是，他们有12个零日漏洞，而我们可以归因的下一个国家只有两个。在我的职业生涯中，我通常认为俄罗斯在零日漏洞利用方面排名第一，M国在2005年至2006年左右开始进入这个榜单，但现在他们在这个榜单上领先。当我们审视我们看到的大多数用于间谍活动的零日漏洞时，我们无法将它们归因于幕后的国家，这意味着也许间谍活动在进行时是隐蔽的。当你看到这一点时，从零日漏洞开始，我可以将接下来的两点结合起来，那就是当你入侵边缘设备时，你需要自定义代码。当你入侵边缘设备时，你绕过了EDR空间。你绕过了我们拥有的终端保护。我们看到M国网络间谍活动在两年前就这样做了。在整个2023年，他们再次这样做，特别是入侵VPN、电子邮件网关，以及我们用来保护网络的其他网络设备。所以，当你看到LO2L时，这代表活在土地上(living off the land)，我认为每个红队都渴望这样做，每个攻击性威胁行为体都渴望这样做。这只是通过入侵并以你的人访问网络的方式来访问你的网络，因为这是最有效的保持隐蔽和隐藏在噪音中的方式。所以，与M国有关联的间谍活动在这一年有所改进。我会说所有的手法都有所改进，我稍后会有另一张幻灯片介绍这一点。鱼叉式网络钓鱼的演变对我来说很有趣。我认为，部分原因是微软禁用了在文档和Office容器中默认运行宏的功能。这是一个很好的步骤。我们在最终用户培训方面做得更好。我们的安全电子邮件网关变得更好。我们使用更多的多因素身份验证。所以，我认为现在攻击者正在通过其他通信渠道进行鱼叉式网络钓鱼。就这么简单。我要告诉你，可能最快的方法来解决这个问题，因为我还有11分钟，而且我还有很多内容要讲，就是如果你有Web代理日志，你可以检测到我看到的所有成功的攻击。因为你需要检测的是下载行为。没有人知道你的安全电子邮件网关进行了多少检查。如果你收到一个带有链接的文档，你不知道安全电子邮件网关会深入到什么程度来跟踪你链接到的内容。所以你要确保你没有下载.exe、.bat、.com、.vs等所有不同的可执行文件。
另一种技术是使用密码保护的压缩档案，不同的安全电子邮件网关。我们没有公布它们如何处理其中一些事情。所以你要查看你的Web代理日志，为此设置规则。第三个最有效的规则，我们在我们的mTrends报告中给了你12个，12个不同的规则来检测鱼叉式网络钓鱼的新技术。如果你通常不使用OneDrive、SharePoint或Google Drive等第三方存储，drive.google.com，请设置规则来查看你从这些地方下载的内容。攻击者正在绕过安全邮件网关，使用链接，并试图让你下载和执行内容。所以我们可以抓住这一点，每个人在这方面都做得更好。
克服MFA(多因素身份验证)，我们已经看到这种情况发生得足够多，以至于我想在这里放一张幻灯片。这实际上是这张幻灯片上的前两件事。这是推送通知疲劳，在我们响应的案例中已经发生过。如果你是一个攻击者，向某人发送大量推送通知，这样他们就会点击"是的，我接受那个推送通知"。我们大多数人不再有这个问题，因为我们知道绕过它的方法。第二件事是一次性密码或定时一次性密码。这也被克服了。另外三个是你要去的地方。所以仅仅说"是的，我们使用多因素身份验证"还不够好。我们必须使用能够防止帮助台泄露一次性密码或防止SIM卡交换的多因素身份验证。因为我可以告诉你两件我无法用规则和警报解决的事情。SIM卡交换和你的帮助台旨在帮助人们。我们正在响应一些最具破坏性的违规行为，因为那些大胆、咄咄逼人、以英语为母语的人正在打电话给帮助台，而帮助者正试图帮助他们。他们获得一次性密码以访问网络并在事后制造混乱。确保你的MFA能够抵御变得越来越好的社会工程攻击。更好的操作安全和规避。我真的只想讨论基础设施。我可以告诉你，当人们编写恶意软件时，他们不会编写记录日志的恶意软件。好的。我们看到的定制恶意软件正开始利用 当他们入侵边缘设备时，它利用已经存在的代码 实际上就像将Python附加到其他预先存在的代码上 所以你 知道创建一个新的URI来下载或类似的东西 我会关注基础设施 我们看到现代间谍组织甚至犯罪分子都认识到，最好从本地IP地址或同一国家的IP地址入侵你的受害目标。然后我们看到的另一个问题是，当人们在企业外部时，真正危及他们。我们都需要找到一种方法，确保当我们的员工从企业外部访问企业资源时，我们能够保护他们，而不是从非企业资源访问。入侵家庭，在那里安装键盘记录器，在不同的Telegram网站上看到发布的帐户信息是一个真正的问题。但当我看这个问题时，基础设施正在造成更多困难的归因、困难的规则集。然后，几乎每个威胁组织都开始使用活在土地上(living off the land)的技术。长话短说，我们需要更好的安全运营，因为我们必须能够在零日漏洞之后、漏洞利用之后检测攻击者在MITRE攻击链的第二、第三和第四阶段正在做什么。这就让我想到了这张幻灯片，也就是，那么在入侵之后，我们看到使用最多的五大东西或TTP是什么?你在这里看到了它们。检测PowerShell的异常使用，非常重要。检测网络上异常的HTTP流量或HTTPS流量，非常重要。了解通过RDP进行的横向移动，或注意到来自网络外部的远程RDP，也非常重要。以及服务执行。我还没有想出一个好办法，也许我的同事会在走廊上抓住他们，让他们注意文件删除，但这是第五个。但是，如果你假设入侵，你需要检测这些东西的规则，这是毫无疑问的。所以这是很多坏消息，对吧?攻击者的创新速度更快。攻击者几乎没有面临风险或惩罚。现实是，我们比以往任何时候都更早地检测到攻击。我们从2011年开始记录停留时间，你可以在这里看到，我们对每一个响应的案例都这样做。Mandiant传统上会被雇佣来处理规模和范围达到需要我们帮助的案例。所以当人们落后问题五分钟时，我们不会响应。停留时间从416天一直下降到10天。我认为停留时间从16天下降到10天的部分原因是，我们对勒索软件的响应更多了一些。人们往往会注意到他们被勒索的情况。然后，按来源检测，我把这张幻灯片给别人看，他们说，这是好事还是坏事?我想明确无误地说。你宁愿自己检测到事件，而不是第三方检测到，因为这样你就可以谨慎地处理它，按照你的条件处理它。通常，当你从第三方知道时，你不得不怀疑有多少第三方知道发生在你身上的事情。但这是一个很好的趋势，你可以看到，当我们在2004年、2005年第一次开始响应违规行为时，对我来说令人惊讶的是，基本上100%的违规行为都是第三方通知人们的。你降到54。我认为这真的很好。我认为防御行动的改进与攻击的创新一样好。所以对双方来说，这不是一个糟糕的一年。勒索软件无疑已经演变了。造成这种情况的原因有很多。每个公司都听说过勒索软件。大多数公司，甚至从1A企业到中小型企业，都在为此做准备。有些公司已经表示，我们已经确定了对我们很重要的资产。我们已经备份了这些资产。这些资产包括Active Directory和我们业务关键组件的配置文件。我们已经确保我们的备份是安全的。我们已经与董事会进行了桌面演练，让我们真正模拟发生在我们身上的最糟糕的勒索软件。我们已经检查了身份，寻找特权提升和范围，我们已经缩小了许多不同帐户的身份访问范围。你明白了。我们进行了网络分段，你要经历所有的事情。我可以告诉你，现在哪些公司已经模拟如果我们遭到勒索，而我们没有这10，000台服务器，我们如何运营业务?  我可以告诉你，一旦勒索软件真正击中你，每个董事会和每个高管都有的头号问题是，我们多久才能恢复运营?在你必须回答这个问题之前，很难回答这个问题，但我认为我们与之合作的1A企业中几乎每一家都已经达到了这个阶段，你知道，我们知道当遭受勒索软件攻击时我们会做什么，我们已经尽了最大努力来减少爆炸半径。所以我们做得很好。然而，TTP已经演变了，如果他们真的进入并获取数据，与记者分享数据，这让高管的痛苦变得非常大。我不想举太多这方面的例子，因为这对威胁行为体来说有太多好主意。但现在令我惊讶的是，当你遭到勒索时，你更有可能被勒索，而且更有可能开始从勒索软件行为体那里获得其他活动和通信。毫无疑问，董事会比以往任何时候都更多地参与网络安全。这是一个一直在这样发展的趋势。我认为有几个原因，但首先也是最重要的是，董事会阅读头条新闻。现在有很多头条新闻。董事会成员有时会去有法规的地方。当你看到美国政府的证券交易委员会(SEC)对4，500多家上市公司说，你必须每年提供以下关于你的网络风险管理和网络治理的报告要求。你引起了董事会的注意。董事会的职责是对公司进行监督。我们看到，这种监督已经成为强制性的，我们必须传达它。但是，由于全球范围内的主权数据法、隐私法以及新出现的网络安全标准立法和法规，有很多原因导致董事会非常投入。
我认为，这是我从事网络安全工作以来的最好一年，我于1993年开始从事网络安全工作，我看到防御通过公共和私人共享加速发展。我将举两个例子。我只能选择一个详细阐述。可能是第二个。第一个是安全的设计。每个国家，当你是一个软件供应商时，你都在考虑这个问题。这有很多原因。首先，政府说，嘿，这是安全的设计。它由许多不同的机构签署。第二个原因实际上是针对 SolarWinds 提起的民事诉讼，他们说你的软件开发生命周期低于标准，就这么简单。所以当你看到这类事情时，公司会注意到并决定我们要认真对待它，但在过去一个月、一个半月内发生的事情之一是，美国国土安全部下属的网络安全审查委员会(Cyber Safety Review Board)发布了一份关于2023年发生在一家云提供商的违规事件的报告，其中有一个七年前的密钥令牌签名证书，用于铸造令牌和一次性身份验证，用于非常非常大范围的电子邮件访问。但我想重点关注的是该报告中针对所有云服务提供商和美国政府提出的25项建议。我可以用其中一条来总结它们，那就是进行受害者通知。如果你是一个云服务提供商，当你认为他们已经被入侵时，告诉人们。找到一种方法来做到这一点。另一个建议是提供很好的日志记录，与你支付的费用一起提供，以便你可以审计网络中的安全事件。整个报告都在讨论更好的身份和访问管理。然后是透明度。如果你作为云服务提供商有漏洞，你必须提供它，你应该与你所有的客户分享你的安全实践。因此，我把报告中的建议七直接放在幻灯片上，这样你就可以看到它，因为当我读到它时，我想，哇，那真是一些内容。这是一项建议，它说每年，为政府提供服务的主要云提供商将说，这是我们的安全实践，这是我们在你的建议上的进展，这样我们所有人都可以根据不仅仅是可用性，而是根据安全性做出选择。非常快速地说，因为我的时间已经超过了，当 CISO 承受压力时，我们可以与他们交谈。对于房间里所有的 CISO 来说，这只是每次都会出现的七八个常见主题。我没有按任何特定顺序把它们放在一起。所以如果这些是你作为 CISO 正在考虑的事情，那么你就完全符合成千上万 CISO 的情况。最后，我要感谢大家的时间。