2021年重大资料安全事件：Stuxnet的真相

　2020年间最受安全产业关注的议题Stuxnet(编按：2020年11月Stuxnet蠕虫攻击伊朗核电厂，锁定水库、油井、电厂等重要基础设施。大多数Stuxnet的攻击目标出现在伊朗，引发意图破坏核子设施的阴谋论说。)。毫无疑问的是，Stuxnet是一款高度精良的恶意软件，其开发动用了大量资源，不管是在时间，金钱或人力等方面来看。但就冲击度而言，多数的使用者并未受显明的影响。没错，Stuxnet的确散布到世界上许多的系统中，但对几乎是所有受到感染的系统来说，它并不是个大问题。它既不偷盗数据，不促销假防病毒软件，也不会大量传送垃圾讯息。

 

　　说Stuxnet预告了恶意软件威胁影响“真实世界”机构的新世代来临，也不完全正确。早在2003年，Slammer蠕虫就打击了俄亥俄州一个核能机构，并关闭了一个监视系统。而DOWNADConficker蠕虫攻击了多个高知名度机构如医院(甚至影响了MRI磁核共振造影)，执法单位，甚至不同的军事机构。

 

　　要说Stuxnet，可以说它的独特性在于，第一次有人决定花时间，刻意以特定供货商的SCADA系统监控与数据抓取功能软件(Supervisor Control And Data Acqusition，简称SCADA)平台做为攻击目标。其技术过去就已经存在，欠缺的是进行的动力。

 

　　这类的恶意软件攻击数量少也远在今日的威胁情势之外。目前资料窃盗仍是最大的问题。趋势科技每日所发现的恶意软件中，大多数皆属数据偷盗型恶意软件。今日所见的每一件Stuxnet感染，皆相对地会发现上千件牵涉到偷盗数据的恶意软件，如Zeus和SpyEye。

 

　　从Stuxnet我们可学到两个教训。对那些和被Stuxnet视为目标类似的企业控制系统来说，这应该是一记警钟。Stuxnet攻击的“软”目标皆未受到良好的防护。这些系统之所以未受到良好防护，是因为他们是位在网络的“内部”，可能被认为其区域防护已足够。网络的安全性其实取决于其最弱的环节。因此，企业控制系统中的计算机和网络皆需要全面强化。

 

　　第三者的应用程序最常被做为入侵破坏的目标，例如Adobe Flash和Adobe Reader，因此如果不能将这两者自系统中移除的话，最好是将两者随时更新。对可移除式装置如USB记忆碟的攻击也不能等闲视之，且需加以防范。这将不会是迅速，简单或便宜就可以解决的。

 

　　不过对负责重要系统的用户而言，来自Stuxnet的危险必须要被放在适当的内容中。凭证窃盗软件是远比Stuxnet更重大的威胁。除此之外，要记得针对重要系统而来的威胁很可能目标就单只是该系统。一般的使用者更常看到的威胁类型，会是凭证窃盗和假防病毒软件类的恶意软件。

 

　　Stuxnet终归是享受了大量的媒体关注。它最主要的是对系统管理者在防护重要系统，甚至那些他们认为不会受恶意软件威胁的系统，产生警告作用而非是实际的威胁。这个问题必须要被囊括在更大的恶意软件威胁内容中，这类的威胁每日皆可见到上万新数量的产生，绝大多数都是在偷盗用户的数据。

 

　　注释：作者Ivan Macalintal现为趋势科技信息安全分析经理。