10月12日,在采访了美国国土安全部部长亚历杭德罗·马约卡斯后,《今日美国》编辑部以醒目的标题警告读者,一种危险的新形式的网络攻击:

下一个网络威胁不是勒索软件。killware。这和听起来一样糟糕”。

But while “killware” sounds scary, the term itself is unhelpful when describing the many types of cyberattacks that, like USA TODAY wrote, “can literally end lives,” and that’s because nearly any type of hack, no matter the intention, can result in death. Complicating this is the fact that the known cyberattacks that have allegedly led to deaths already have a category: ransomware. Further, the term “killware” can confuse antivirus customers seeking reassurance that their own vendor is protecting them from this threat, but antivirus vendors do not stop attacks based on intent, they stop attacks based on method.

例如,Malwarebytes必威平台APP威胁情报总监Jerome Segura表示,Malwarebytes并没有针对“恶意软件”的任何具体指标(IOCs),相反,“我们将继续通过不同的保护层来保护我们的客户。”

“我们的许多层都是‘有效载荷无关’的,这意味着我们会阻止攻击,不管它的目的是什么(可能是赎金,可能是摧毁mbr,或介于两者之间的任何东西)。我们关注的不是终端有效载荷,而是阻止攻击者如何到达那里。”

可以这样想:锁匠开发的锁不是一套锁来防止抢劫,另一套锁来防止攻击,他们开发的锁主要是防止闯入,不管入侵者有什么计划。

“杀戮”太松了一个术语是有用的

今年2月,佛罗里达州奥兹玛市一家水处理机构的一名员工看到他电脑屏幕上的鼠标在没有他参与的情况下移动。的员工,据《连线》杂志,认为这有点正常,因为他的工作场所使用了一个允许远程员工和主管的工具来控制工厂本身的计算机。但是当员工看到光标在同一天左右移动时,他据报道,入侵者试图在恶意增加水处理设施的化学水平,升高氢氧化钠的量 - 这可能在高处腐蚀数量 - 危险水平。

在美国今天的关于“杀戮软件”的文章,Marorkas秘书直接指出这款网络攻击。它与其他Cyber​​Actacks不同,Mayorkas说,因为它“不是为了财务收益而是纯粹伤害”。

但是,如果这次攻击真的是为了伤害甚至杀害人类——它很有可能是这样的——那么把它和这个新的“杀手软件”类别联系在一起又有什么好处呢?毕竟,“Killware”中仍然带有“ware”后缀,这意味着它至少应该与某个软件、程序或许多行代码有某种关系。

然而,奥德斯玛水厂的入侵可能根本就没有恶意软件。禁止针对高管个人设备的鱼叉式网络钓鱼攻击。没有秘密植入间谍软件收集管理员凭证。没有初始破裂和横向移动。相反,有一个令人沮丧的更简单的理论:在整个水处理厂为一个关键的远程访问工具重复使用密码。

在Oldsmar设施遭到攻击后,马萨诸塞州向公共供水商发布了一份网络安全咨询通知,详细说明了一些可能与攻击有关的基本网络安全缺陷。正如该州在其报告中所说:

“身份不明的人员通过远程访问软件TeamViewer访问了水处理厂的监控和数据采集(SCADA)控件,它被安装在水处理厂人员用来进行系统状态检查和响应警报或水处理过程中出现的任何其他问题的几台计算机中的一台上。水厂工作人员使用的所有计算机都连接到SCADA系统,并使用32位版本的Windows 7操作系统。此外,所有的计算机共享相同的远程访问密码,似乎直接连接到互联网,没有安装任何类型的防火墙保护。”

此外,在论证对家乡安全的攻击袭击方面,前网络安全和基础设施安全机构主任克里斯克里斯表示,袭击是“非常有可能”引起的“一个心怀不满的员工”,写道华盛顿邮政报告埃伦纳卡什玛举报。

所以,攻击可能来自一名前雇员,他可能已经拥有远程访问凭据,这对水处理设施的每个用户来说都是相同的凭据,水处理设施也缺乏防火墙保护。

那么,这个攻击链的哪一部分应该被贴上“杀手软件”的标签呢?

事实上,没有,这是因为给任何东西贴上“杀手软件”的标签忽略了网络安全防御的基本事实。网络安全供应商不会根据攻击的最终意图对其进行分类或识别。重复使用的密码是个坏主意,但如果只能用来伤害他人,也不是坏主意。同样,缺乏防火墙保护也是糟糕的做法,但它们也不是只能用来威胁人们的生命的糟糕做法。

事实上,即使网络安全供应商想要根据意图对攻击进行分类,他们又怎么能做到呢?

今年早些时候,一位失去亲人的母亲起诉了阿拉巴马州的一家医院她声称,未能为她的宝宝提供足够的护理,因为医院因赎金软件攻击而困扰。诉讼说,该医院无法正确地照顾她的宝宝,最终导致了她孩子的死亡。近一年的前一年,患者在德国医院的赎金软件攻击期间的死亡带来了类似的指控 - 尽管没有诉讼 - 但在袭击之后的几个月内,这些指控分开,因为首席检察官任务的袭击事件结束,即使没有因勒索软件攻击造成的治疗延误,患者也可能已经死亡

这些情况都不涉及黑客,其最终目标纯粹伤害或杀人。意图,如几乎每一个赎金软件攻击都清楚,就是得到报酬。赎金软件对医院的攻击,具体而言,可以使用死亡的威胁作为其最终目标的杠杆,但即使是死亡的威胁也不会改变最终目标,这是为了获得数百万美元的支付。如果我们甚至试图在这些攻击上使用“杀戮软件”术语,他们将不适合,尽管最终结果。

最后,将攻击标记为“杀戮软件”对网络安全厂商和公众进行扰动,因为如果“杀戮软件”是一个需要了解攻击者的意图,则必须在发生攻击后应用“杀戮”。良好的网络安全工具不仅仅清理它发生后的攻击,他们实际上可以防止攻击在第一位置发生。那么,可能是一个网络安全提供者可以防止攻击,通过其定义性质,无法确定直到它已经发生?

记住人类

"杀手软件"这个词,对谁都没有帮助只会增加恐慌。它让人联想到疯狂的黑客和受过黑网训练的连环杀手,他们除了一台笔记本电脑什么都不用——这些画面实际上可能更适合电视上过度戏剧化的程序性警察剧。

重要的是,“杀戮软件”未能认识到,已经,对计算机,机器,设备和网络的攻击对使用它们的人具有戏剧性影响。赎金软件攻击已经对任务清理它们的人造成巨大的情感和精神伤害。通过清空银行账户,在线诈骗已经破坏了人们的生命。

我们不需要一个更关注网络威胁中的攻击者的新术语。我们需要记住的是,网络攻击已经是针对人的攻击,不管他们的目的是什么。