第二看台

    再过不到1个月，韩国平昌冬奥会就要拉开帷幕。随着奥运脚步的临近，准备一显身手的不只有奥运健儿，还有蠢蠢欲动的互联网黑客。据外媒报道，一封封感染了恶意病毒的电子邮件已发送到本次冬奥会赛事组织者的邮箱中。一旦点开该邮件，用户的密码及其金融相关信息就可能被黑客窃取。

    这种攻击手段的原理是什么？针对大型赛事的网络攻击有哪些特点？为防御大型重要活动的网络攻击，我们应采取哪些手段？针对上述问题，科技日报记者专访了360安全监测与响应中心高级研究员吴方东。

    攻击手段为鱼叉攻击

    据报道，从去年12月22日开始，针对本次奥运会的网络攻击就已开始。

    通常，这类电子邮件打着“韩国国家反恐中心”的名头。由于该中心为筹备冬奥会正在进行反恐演习，所以用户很容易受诱导点开这类邮件，而恶性软件就隐藏在文本中。

    据全球最大的专业安全技术公司之一迈克菲（McAfee）发布的报告称，这种病毒植入方法建立了一条通往袭击者服务器的加密通道，使病毒能在受害者电脑上执行指令，进而安装恶意软件。

    “这种攻击手法被称为‘鱼叉攻击’。”吴方东解释说，这类邮件往往经过精心伪造，因而极具欺骗性。通过向一个或多个精心挑选的受害者发送电子邮件，攻击者能打开整个高级持续性威胁（APT ，Advanced Persistent Threat）活动的入口，将木马病毒植入用户电脑。

    吴方东认为，在电脑中了木马病毒后，攻击者就可远程控制受害者的机器。

    三类目标成“被黑”重点

    “针对大型赛事的网络攻击，还是能总结出一些特点。其中，三类目标易成黑客攻击的重点。”吴方东分析，第一类目标是赛事承办方对外开放的网络，包括网站和App应用程序。“攻击者可直接攻击赛事承办方的网络服务，打入承办方内部网络，获取、控制敏感信息。”他说。

    第二类目标，是赛事直接承办方的员工。攻击者可利用“鱼叉攻击”或“社会工程学攻击”等手法，攻击承办方员工在互联网上的虚拟身份，窃取与赛事有关的敏感信息。“更有甚者，黑客还能通过窃取员工VPN 账号密码、工作邮箱账号密码等，接入赛事承办方内部敏感网络，获取、控制赛事相关敏感信息。”吴方东说。

    第三类目标是涉及赛事的外包商。攻击者在掌握涉及赛事每一环节的外包商和供应商相关信息后，根据其在赛事中起到的作用，分析其可能拥有的敏感权限。“黑客通过入侵供应商网络，甚至通过供应商网络，深入至赛事承办方的敏感网络，从而获取、控制敏感信息。”吴方东说。

    如何按住伸向奥运的黑手

    目前，在举办国际赛事或大型会议时，防御网络攻击已成为安保工作的重中之重。作为活动的主办方，他们应如何防御黑客的攻击？

    对此，吴方东给出一些建议。

    首先，所有对外开放的赛事或会议网络都需经强力安全测试后才可上线。同时，前端应配有“网站应用级入侵防御系统”（WAF ，Web Application Firewall），或带有同样功能的“内容分发网络”（CDN，Content Delivery Network）。

    其次，如非必要，主办方不应对外透露参会人员或工作人员名单，特别是他们的电子邮件等联系方式。防止攻击者利用APT手段分析并攻击相关人员电脑，造成敏感信息泄露，甚至控制核心网络。

    再次，所有工作人员的工作用机都应安装杀毒软件。供应商如需接入赛事、会议承办方的网络或使用承办方内部的网络服务、网络系统，应在网络层面做好“访问控制列表”（ACL ，Access Control List）隔离。其次，主办方应在承办方网络甚至所有供应商网络安装全流量记录、反入侵等软件。此外，所有服务器应安装“终端检测与响应类”安全防护产品。这样，可让网络安保人员第一时间发现黑客入侵。

    最后，要对赛事、会议每个环节涉及到的工作人员（包括外包商、供应商等）展开培训，让其对来历不明的邮件、文档保持警惕。

    “从目前掌握的信息来看，此轮针对韩国用户的攻击，应不会对我国产生影响。”吴方东说。