主要的网络安全问题,威胁和担忧

安全资讯 小布 276浏览 0评论

随着 2021 年的开始,研究小组在 2020 年看到的威胁的好时机,为来年做准备。根据 2021 年网络安全报告,破坏了数千个政府和私营部门组织的 Sunburst 攻击只是 2020 年网络攻击的冰山一角。事实上,87% 的组织都曾尝试利用已知漏洞。

除了 Sunburst 的民族国家式攻击之外,出于经济动机的威胁行为者继续发动恶意软件活动。他们正在改进他们的技术,以使用语音网络钓鱼 (vishing)、双重勒索软件、电子邮件线程劫持和针对云基础设施的攻击。也就是说,地平线上也有一些一线希望。

主要网络安全问题和趋势

在 2021 年网络安全报告中,研究小组概述了2020 年的主要网络安全问题、威胁和趋势。

#1. 供应链攻击

2020 年 12 月 8 日,网络安全公司 FireEye 透露,他们在其网络上发现了 Sunburst 恶意软件。对此次感染的调查发现了一场大规模的网络攻击活动,影响了 18,000 个组织、财富 500 强(包括微软)的 425 家公司,还针对政府机构。

该SUNBURST恶意软件是通过破坏更新SolarWinds的猎户座网络管理软件分发。攻击者设法利用针对其 Office 365 帐户的新颖攻击来破坏 SolarWinds,这使他们能够为特权帐户伪造 Azure Active Directory 令牌,并使用受到破坏的管理员凭据来访问公司的更新管理服务器。

通过访问 SolarWinds 更新管理服务器,攻击者能够在开发管道中修改更新以包含后门恶意软件。这种广泛的攻击范围使其成为迄今为止最成功的已知供应链攻击。在 SolarWinds 攻击中,事实证明监控对于首先识别和响应攻击至关重要。

防止未来的攻击需要实施安全最佳实践,例如:

  • 最低权限和网络分段:这些最佳实践有助于跟踪和控制组织网络内的移动。
  • DevSecOps:将安全性集成到开发生命周期中有助于检测软件(如 Orion 更新)是否被恶意修改。
  • 自动化威胁预防和威胁追踪:安全运营中心 (SOC) 分析师应主动防御所有环境中的攻击,包括网络、端点、云和移动。

#2. 威胁

虽然网络钓鱼是最著名的社会工程攻击类型,但其他技术也同样有效。通过电话,访问者可以使用社会工程技术来访问凭据和其他关键信息,绕过 2FA,或说服受害者打开文件或安装恶意软件。

Vishing 对企业网络安全的威胁越来越大。2020 年 8 月,CISA 和 FBI 发布了关于 vishing 攻击的警告,并且 vishing 已被用于恶意软件活动和 APT 组织。一次高调的攻击使一名青少年在 2020 年接管了几个名人 Twitter 帐户。随着深度伪造记录技术的改进和更广泛的应用,vishing 的威胁只会变得更糟。

Vishing 是一种技术含量低的攻击,这意味着员工教育对于防范这种攻击至关重要。企业可以教育其员工不要放弃敏感信息,并在遵守请求之前独立验证来电者身份。

#3. 勒索软件

勒索软件是 2020 年组织面临的最昂贵的网络威胁之一。在 2020 年第三季度,平均赎金支付为 233,817 美元,比上一季度增长 30%。

在那个季度,近一半的勒索软件事件包括双重勒索威胁。这项创新旨在提高受害者支付赎金的可能性。它通过在加密文件之上采用新的第二威胁来做到这一点,即提取敏感数据并威胁公开曝光或出售数据。虽然备份可能使组织无需付费即可从勒索软件攻击中恢复,但敏感和个人信息泄露的威胁为攻击者提供了额外的影响力。

这些双重勒索攻击的兴起意味着组织必须采用威胁预防策略,而不能仅依赖于检测或补救。以预防为重点的战略应包括:

  • 勒索软件解决方案:组织应部署专为检测和消除系统上的勒索软件感染而设计的安全解决方案。
  • 漏洞管理:修补易受攻击的系统或使用虚拟修补技术(例如入侵防御系统 (IPS))对于关闭远程桌面协议 (RDP) 等常见勒索软件感染媒介是必要的。
  • 员工教育:教育员工了解打开恶意电子邮件中的附件或点击恶意电子邮件中的链接的风险。

#4. 网络劫持

网络劫持攻击使用您自己的电子邮件。在入侵内部电子邮件帐户后,攻击者可能会使用包含恶意软件的附件来响应电子邮件。这些攻击利用了电子邮件看起来合法的事实……因为它是合法的。

Emotet 银行恶意软件是最大的僵尸网络之一,在恶意软件排名中名列前茅,并在 2020 年瞄准了全球近 20% 的组织。在感染受害者后,它会使用受害者的电子邮件向新的受害者发送恶意文件。Qbot 是另一种银行恶意软件,它采用了类似的电子邮件收集技术。

防止线程劫持需要培训员工即使来自可信来源的电子邮件也能观察网络钓鱼的迹象,并且如果电子邮件看起来可疑,请通过电话验证发件人的身份。组织还应部署电子邮件安全解决方案,使用人工智能检测网络钓鱼并隔离带有恶意附件和/或链接的电子邮件。

#5. 远程访问漏洞

COVID-19 之后远程工作的激增使远程访问成为 2020 年网络犯罪分子的共同目标。今年上半年,针对 RDP 和 VPN 等远程访问技术的攻击急剧增加。每天检测到近一百万次针对 RDP 的攻击。

在下半年,随着这些系统中的新漏洞被发现,网络犯罪分子将注意力转移到易受攻击的 VPN 门户、网关和应用程序上。Check Point 传感器网络发现针对远程访问设备(包括 Cisco 和 Citrix)中的八个已知漏洞的攻击有所增加。

为了管理远程访问漏洞的风险,组织应直接修补易受攻击的系统或部署虚拟修补技术,例如 IPS。他们还应该通过部署具有端点检测和响应 (EDR) 技术的全面端点保护来保护远程用户,以增强补救和威胁搜寻。

#6. 移动威胁

COVID-19 主导了移动威胁领域。由于远程工作,移动设备的使用急剧增加,伪装成与冠状病毒相关的应用程序的恶意应用程序也是如此。

移动设备也是大型恶意软件活动的目标,包括美国的 Ghimob、EventBot 和 ThiefBot 等银行恶意软件。APT 组织还针对移动设备,例如伊朗绕过 2FA 监视伊朗侨民的活动。移动设备上的显着漏洞是高通芯片中的 Achilles 400 漏洞以及 Instagram、Apple 登录系统和 WhatsApp 等应用程序中的漏洞。

企业可以使用针对非托管设备的轻量级移动安全解决方案来保护其用户的移动设备。他们还应该培训用户通过只安装来自官方应用商店的应用来保护自己,以最大限度地降低风险。

#7. 云提权

在我们对主要安全问题的总结中,我们完整地介绍了 SolarWinds 攻击技术。与之前的云攻击依赖于错误配置,导致 S3 存储桶等云资产暴露(这仍然是一个问题)不同,云基础设施本身现在也受到攻击。

SolarWinds 攻击者的目标是 Active Directory 联合身份验证服务 (ADFS) 服务器,这些服务器也用于组织的单点登录 (SSO) 系统以访问 Office 365 等云服务。此时,攻击者使用称为 Golden SAML 的技术获取持久性和难以检测的对受害者云服务的完全访问。

对云身份和访问管理 (IAM) 系统的其他攻击也值得注意。可以使用 16 个 AWS 服务中的 22 个 API 滥用 IAM 角色。这些攻击依赖于对 IaaS 和 SaaS 提供商的组件、架构和信任策略的深入了解。

企业需要跨公共云环境的整体可见性,并部署统一、自动化的云原生保护。这使企业能够获得云带来的好处,同时确保持续的安全性和法规遵从性。

2020 年的医疗保健攻击史无前例

COVID-19 使医疗保健组织成为所有人(包括网络犯罪分子)的首选。一些恶意软件活动承诺减少对医疗保健的攻击,但这些承诺没有实质意义——医院仍然是 Maze 和 DopplePaymer 恶意软件的重点。

10 月,CISA、FBI 和 DHS 发布了关于针对医疗保健的攻击的警告,提到了用于部署 Ryuk 勒索软件的 Trickbot 恶意软件。此外,国家赞助的 APT 攻击针对参与 COVID-19 疫苗开发的机构。

美国的医疗保健是网络攻击者的最大目标。Check Point 研究发现,从 9 月到 10 月增长了 71%,在 11 月和 12 月全球增长了 45% 以上。

一线希望

在了解 2020 年的网络安全问题威胁的同时,同样重要的是要注意执法部门在网络安全社区的支持下采取的许多成功行动,以追查和起诉全球参与网络犯罪的众多个人和威胁团体。

2020 年网络执法行动成功的一些例子包括:

  • 10 月,连接到超过一百万受感染主机的 Trickbot 基础设施被关闭。
  • 欧盟牵头开展调查以取消 DisRupTor 业务,其中 179 名非法商品供应商被逮捕,非法商品被执法部门扣押。
  • 已经对俄罗斯和中国的 APT 集团威胁行为者发出了逮捕令。
  • 微软主导的 TrickBot 移除行动也摧毁了 Necurs 僵尸网络。
  • 英国国家网络安全中心 (NCSC) 删除了 22,000 多个与冠状病毒相关的骗局相关的 URL。
  • 网络威胁联盟 (CTC) 全球网络威胁联盟联合起来共享 COVID-19 IoC。
  • 网络安全研究人员继续寻找并负责任地披露漏洞。
  • 在云中发现并披露了一个 CVE 风险评分最高为 10.0 的 RCE 漏洞,以及 Windows DNS 服务器中的 SigRed 漏洞。
  • 行业研究人员在 Pulse Secure VPN 和 F5 Big-IP 中发现了漏洞。
  • 发现恶意软件中的错误有助于消除恶意软件。
  • Emotet 中的一个缓冲区溢出错误充当了终止开关,使该漏洞能够关闭 6 个月,随后于 2021 年 1 月关闭了 Emotet 僵尸网络。

保持安全的建议

2020 年的网络威胁和网络安全问题不仅限于 2020 年,其中许多攻击趋势仍在持续,2021 年带来新的网络安全问题和网络犯罪创新。为了防范不断变化的网络威胁形势,我们汇总了以下建议:

  • 专注于实时预防:事件检测和响应很重要,但一旦发现攻击发生就意味着损害可能已经造成。专注于威胁预防而非检测限制了与网络攻击相关的损害和成本。
  • 保护一切:网络犯罪分子会攻击唾手可得的果实,这意味着他们将寻找容易的目标。组织需要保护其攻击面的各个方面,包括其网络、云基础设施、用户、端点和移动设备。
  • 整合以获得可见性:独立的网络安全解决方案可能擅长解决一个问题,但一堆断开的安全解决方案让安全团队不堪重负,并导致漏检。统一安全使团队更高效,更能够快速检测和响应攻击。
  • 应用零信任范式:过多的权限和访问使错误或受损帐户很容易变成重大安全事件。实施零信任使组织能够逐案管理对资源的访问,从而最大限度地降低网络安全风险。
  • 保持最新的威胁情报:网络威胁形势在不断发展。组织需要实时访问威胁情报,以保护自己免受最新的网络威胁。

转载请注明:布尔云安的博客 » 主要的网络安全问题,威胁和担忧

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址