最近的威脅研究表明���,在2020年的前六個月中���,網(wǎng)絡犯罪分子采用了常規(guī)的攻擊策略�����,以利用全球大流行的流行�����,并針對因急劇轉移到遠程工作人員而擴大的攻擊面�。對于負責確定威脅和適當保護網(wǎng)絡的安全團隊而言��,了解這一趨勢至關重要��。
最大的挑戰(zhàn)之一是NOC和SOC團隊的雙刃劍����,他們必須轉換其網(wǎng)絡以將大多數(shù)最終用戶從在傳統(tǒng)邊界內工作轉變?yōu)楝F(xiàn)在從家庭辦公室進行連接。許多人不得不在自己遠程工作時這樣做����。降低了整個網(wǎng)絡的可見性和控制力,使組織面臨僅幾周前才存在的風險。不管喜歡與否��,臭名昭著的未打補丁且不受保護的家庭網(wǎng)絡現(xiàn)在已成為擴展公司網(wǎng)絡的一部分�。
網(wǎng)絡犯罪分子了解這一點,并相應地修改了其攻擊策略�。根據(jù)最近的威脅數(shù)據(jù),IPS簽名已檢測到針對目標家庭路由器和IoT設備的攻擊急劇上升��。此外���,盡管2020年有望發(fā)布歷史上數(shù)量最多的CVE,但仍有65%的組織報告檢測到針對2018年發(fā)現(xiàn)的漏洞的威脅����。超過四分之一的公司注冊了15年前嘗試利用CVE的嘗試。
向較舊漏洞的過渡表明��,網(wǎng)絡犯罪分子正在努力針對駐留在家庭網(wǎng)絡上的安全性較低的設備��,例如未打補丁的路由器和DVR系統(tǒng)�����。目標是在此處建立灘頭堡��,然后通過遠程工作人員發(fā)起的遠程連接將尾巴重新穿入公司網(wǎng)絡���。
它正在工作�����。僵尸網(wǎng)絡活動與IPS檢測不同�����,表示網(wǎng)絡成功入侵�。在過去的六個月中,它被兩個較舊的威脅所控制���。在2016年首次檢測到的Mirai以及從2014年開始檢測到的Gh0st在過去六個月中一直在全球和所有行業(yè)的僵尸網(wǎng)絡活動中排名第一�����。
這些數(shù)據(jù)點與攻擊策略的急劇變化直接相關�����。與COVID-19相關的主題主導了基于Web和電子郵件的網(wǎng)絡釣魚攻擊���。瀏覽器現(xiàn)在已經(jīng)成為主要的攻擊媒介,遠遠超過了電子郵件作為傳遞這些較舊惡意軟件有效載荷的主要來源。這部分是由于遠程工作者在沒有公司防火墻保護的情況下更頻繁地瀏覽Internet����。這也是因為電子郵件仍通過公司安全的電子郵件網(wǎng)關進行傳遞。這些攻擊針對遠程新手�,并帶有關于大流行的信息的保證,通常聲稱來自世界衛(wèi)生組織或疾病控制中心等公共機構���。其他包括針對假裝正在緊急訂購醫(yī)療用品的醫(yī)療保健制造商的發(fā)票�。
這對安全團隊意味著什么��?
通過了解這些最新的威脅趨勢�����,安全團隊需要采取措施以確保正確更新其安全策略(包括識別和跟蹤新的IOC)����,以便可以正確地監(jiān)視和關閉這些攻擊和攻擊媒介���。這是網(wǎng)絡安全專業(yè)人員需要考慮的一些行動的清單���。
升級和保護端點設備–即使遠程工作人員仍在使用個人設備遠程連接到公司資源,也必須抬起安全欄。這包括要求對這些設備進行正確的修補�,安裝安全軟件以及對遠程連接進行適當?shù)谋Wo,以防止在家庭網(wǎng)絡上運行的潛在受到破壞的設備�。除傳統(tǒng)的AV / AM軟件外,安全解決方案還應包括新的端點檢測和恢復(EDR)工具��,以識別復雜的攻擊并防止惡意軟件在遠程設備上執(zhí)行����。應該特別注意升級和強化瀏覽器,以及實施一種代理程序�,以通過基于云的Web安全網(wǎng)關保護所有Internet瀏覽(無論是在網(wǎng)絡上還是在網(wǎng)絡外)。
升級安全電子郵件網(wǎng)關–盡管瀏覽器已成為這些新攻擊策略的主要攻擊媒介����,但電子郵件仍然代表著惡意軟件傳遞的重要媒介。但是�����,如果電子郵件網(wǎng)關更有效地識別和剝離惡意附件����,則不會發(fā)生此類攻擊。考慮升級或更新現(xiàn)有的安全電子郵件網(wǎng)關�����,以確保它們包括沙盒以識別以前未知的威脅,以及新的內容撤防和重建(CDR)技術以清除嵌入在電子郵件中的惡意代碼��,宏和可執(zhí)行文件���。
檢查所有VPN流量–即使采取了上述措施���,某些惡意軟件仍會通過。威脅執(zhí)行者有意將VPN隧道作為目標來傳遞惡意軟件和泄露數(shù)據(jù)����,因為他們知道,大多數(shù)安全解決方案都沒有足夠的能力來檢查流入和流出網(wǎng)絡的新VPN流量���。組織需要認真考慮用能夠檢查加密流量的設備替換舊防火墻,而不會造成關鍵業(yè)務應用程序和工作流的瓶頸��。同樣��,需要訪問敏感數(shù)據(jù)的公司超級用戶(例如系統(tǒng)管理員����,服務臺人員和主管)也應該使用安全SD-WAN技術升級其家庭網(wǎng)絡�。
增加OT防御–來自家庭工人的惡意軟件����,以及新的勒索軟件和其他攻擊,越來越多地針對OT環(huán)境��。該EKANS勒索軟件和Ramsay間諜框架(旨在收集和泄漏在間隔較大或高度受限的網(wǎng)絡中的敏感文件)只是網(wǎng)絡犯罪分子如何找到滲透OT網(wǎng)絡新方法的兩個例子���。OT安全性必須限制用戶�����,設備��,應用程序和工作流可以訪問的資源���。應當在整個網(wǎng)絡中實施實施零信任網(wǎng)絡訪問(ZTNA)策略(包括網(wǎng)絡分段),尤其是在OT環(huán)境中�,以確保SCADA和ICS系統(tǒng)以及較舊的未修補監(jiān)視和管理系統(tǒng)的安全。這將確保即使惡意軟件設法繞過邊緣安全控制����,它仍將限于OT網(wǎng)絡的一小部分。
審查勒索軟件的安全措施–以COVID-19為主題的網(wǎng)絡釣魚攻擊包括各種勒索軟件有效載荷���,包括Netwalker�,Ransomware-GVZ和CoViper變體。勒索即服務(RaaS)攻擊范圍也擴大了��,使非熟練和業(yè)余攻擊者也可以進入競爭�。Phobos是利用遠程桌面協(xié)議(RDP)獲得網(wǎng)絡訪問權的勒索軟件,它是最新的勒索軟件工具之一����,可在暗網(wǎng)上作為一種服務提供。組織應該已經(jīng)擁有強大的勒索軟件策略�,例如將完整的數(shù)據(jù)和系統(tǒng)備份存儲在脫機和離線網(wǎng)絡中,以確�����?焖倩謴����。但是,網(wǎng)絡勒索者為其攻擊策略增加了新的缺陷���。不僅數(shù)據(jù)被加密�����,而且副本也被加載到服務器上���,存在著如果不支付贖金就將其公開的威脅。這意味著需要對網(wǎng)絡內部的數(shù)據(jù)(無論是處于靜止狀態(tài)����,處于使用狀態(tài)還是處于移動狀態(tài))進行加密,以使網(wǎng)絡罪犯無法使用或公開這些數(shù)據(jù)��。當然�,
良好的安全性始于良好的情報
如果CISO和其他安全專業(yè)人員要采取適當?shù)膶Σ?/span>,則必須緊跟最新的安全趨勢���,例如2020年上半年發(fā)生的攻擊策略的重大轉變��。現(xiàn)在��,比以往任何時候都更好的防御網(wǎng)絡威脅的方法就是提供良好的信息��。如果安全團隊要保持領先地位�,則至關重要的是�����,利用關鍵威脅情報(包括威脅報告),收集情報源并為情報源做貢獻�,并保留與網(wǎng)絡連接的每個設備交叉引用的IOC的更新列表。當今的網(wǎng)絡犯罪策略����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
