網絡威脅形勢在不斷發展。隨著網絡攻擊者變得更加熟練和有組織,他們的攻擊也變得更加復雜。今天,組織面臨第五代和第六代網絡威脅。這些攻擊者意識到近年來在企業網絡安全方面取得的進步,并定制了他們的攻擊以繞過和克服傳統防御。現代網絡攻擊是多向量的,并使用多態代碼來逃避檢測。因此,威脅檢測和響應比以往任何時候都更加困難。
前 8 種網絡攻擊類型
為了增加挑戰,許多組織在“照常營業”的執行方式上面臨著突然而劇烈的轉變。COVID-19 大流行促使許多組織在沒有充分準備的情況下采用大部分或完全遠程辦公的員工隊伍。對于安全策略依賴于在辦公室工作的員工的組織來說,適應這種新的生活方式是一項挑戰。
在遠程工作世界中,端點是網絡犯罪分子的主要目標,也是組織的第一道防線。保護遠程員工的安全需要組織了解其員工面臨的主要網絡威脅,并擁有能夠檢測、預防和補救這些攻擊的端點安全解決方案。
頂級網絡威脅內幕
網絡犯罪分子不斷創新,隨著攻擊者適應不斷變化的環境,組織面臨的主要網絡威脅也經常發生變化。Research持續跟蹤網絡威脅形勢的趨勢和變化,以下是組織當前最應該關注的威脅。
1. 勒索軟件
勒索軟件是一種惡意軟件,旨在使用加密來強制攻擊目標支付贖金要求。一旦出現在系統上,惡意軟件就會加密用戶的文件并要求付款以換取解密密鑰。由于現代加密算法在現有技術下是牢不可破的,因此恢復加密文件的唯一方法是從備份中恢復數據(如果可用)或支付隨機需求。
勒索軟件已成為最明顯和最多產的惡意軟件類型之一,而 COVID-19 大流行提供了此類惡意軟件蓬勃發展的環境。近年來,一些勒索軟件變種也演變為執行“雙重勒索”攻擊。Maze、Sodinokibi/REvil、DopplePaymer、Nemty 和其他勒索軟件變體在加密之前竊取文件副本,如果用戶拒絕支付贖金要求,就會威脅要破壞它們。雖然這一趨勢始于 2019 年底的 Maze,但隨著越來越多的團體在 2020 年采用它,它繼續增長。
2. 惡意軟件
勒索軟件是一種惡意軟件,但遠非唯一類型。惡意軟件有多種不同的形式,可用于實現許多不同的目標。惡意軟件變種的設計目的可能是從收集和竊取敏感信息到展示不需要的廣告,再到對受感染的機器造成永久性損壞。隨著不同類型的攻擊或多或少對攻擊者有利可圖,最常見的惡意軟件類型每年都會有所不同。2020 年,最常見的惡意軟件形式包括:
- Cryptominers:使用受害者的計算機來挖掘加密貨幣并為攻擊者獲利的惡意軟件。
- 移動惡意軟件:針對移動設備的惡意軟件,包括惡意應用程序和利用 SMS 和社交媒體應用程序的攻擊。
- 僵尸網絡惡意軟件:感染系統并將其添加到僵尸網絡的惡意軟件,在僵尸網絡控制器的指揮下參與網絡攻擊和其他非法活動。
- Infostealers:從受感染計算機收集敏感信息并將其發送給惡意軟件操作員的惡意軟件。
- 銀行木馬:專門針對財務信息并試圖竊取銀行網站憑據和類似信息的惡意軟件。
- 勒索軟件:加密用戶計算機上的文件并要求為解密密鑰付費的惡意軟件。
雖然“前六名”惡意軟件類型在全球范圍內保持不變,但每種類型惡意軟件的百分比因地理區域而異。例如,如網絡攻擊趨勢:2020 年年中報告所述,歐洲、中東和非洲地區是唯一一個僵尸網絡惡意軟件比針對移動設備的惡意軟件更常見的地區。在其他地區,排名保持不變,但相對百分比可能會有所不同。
3. 無文件攻擊
防病毒解決方案通常嘗試通過檢查設備上的每個文件是否存在惡意內容的跡象來檢測設備上的惡意軟件。無文件惡意軟件試圖通過不使用文件來繞過這種威脅檢測方法。取而代之的是,該惡意軟件被實現為一組內置于受感染計算機中的功能的命令。這使惡意軟件能夠實現相同的目標,但會使某些防御性解決方案更難檢測。
無文件惡意軟件的主要區別在于它缺少文件。它執行許多與傳統惡意軟件相同的功能。例如,FritzFrog——一種于 2020 年 8 月檢測到的無文件對等 (P2P) 僵尸網絡惡意軟件——旨在感染系統和挖掘加密貨幣。
4. 網絡釣魚
網絡釣魚是攻擊者用來訪問目標系統的最常用方法之一。通常,誘騙用戶點擊惡意鏈接或打開附件比定位并成功利用組織網絡中的漏洞更容易。網絡釣魚攻擊可以實現多種目標,包括憑據盜竊、惡意軟件傳遞、金融欺詐和敏感數據盜竊。
由于其易用性和高成功率,網絡釣魚歷來是網絡攻擊者發起活動的最常用方法。在 COVID-19 大流行期間,隨著網絡犯罪分子利用在辦公室外工作的員工和病毒的不確定性氣氛,這種趨勢只會加速。
COVID-19 大流行還放大了常見網絡釣魚誘餌的影響。例如,黑色星期五和網絡星期一是網絡釣魚者常用的借口,而由于 COVID-19 導致在線購物的興起使其在 2020 年特別有效。因此,網絡釣魚電子郵件的數量在幾周內翻了一番黑色星期五和網絡星期一與上月初相比。
5. 中間人(MitM)攻擊
許多網絡協議通過加密來防止竊聽者,這使得流量無法讀取。中間人 (MitM) 攻擊通過將連接分成兩部分來繞過這些保護。通過與客戶端和服務器創建單獨的加密連接,攻擊者可以讀取通過連接發送的數據并根據需要對其進行修改,然后再將其轉發到目的地。
中間人攻擊可以使用 HTTPS 等協議被擊敗。然而,移動設備的興??起使其成為更危險的攻擊媒介。移動應用程序很少或根本沒有向用戶提供有關其網絡連接的可見性,并且可能使用不安全的協議進行通信,容易受到中間人攻擊。
6. 惡意應用
許多組織將網絡安全工作集中在計算機上,但移動設備對組織的網絡安全構成的威脅越來越大。隨著員工越來越多地使用移動設備完成工作和訪問敏感的公司數據,惡意移動應用程序變得越來越危險。這些應用程序可以做任何桌面惡意軟件可以做的事情,包括竊取敏感數據、使用勒索軟件加密文件等等。
2020 年,移動惡意軟件是全球第二大最常見的惡意軟件類型。最常見的移動惡意軟件變種——包括 xHelper、PreAMo 和 Necro——都是具有附加功能的木馬,包括廣告欺詐和點擊欺詐。移動惡意軟件通常利用移動操作系統中的漏洞,例如2021 年 1 月在一批 43 個 Android 安全補丁中修復的遠程代碼執行 (RCE)漏洞。
7. 拒絕服務攻擊
組織的 IT 基礎架構和服務(如 Web 應用程序、電子郵件等)對其開展業務的能力至關重要。拒絕服務 (DoS) 攻擊旨在拒絕對關鍵服務的訪問。這可以通過利用應用程序中的漏洞(導致其崩潰)或通過向系統充斥超出其能夠管理的數據或請求(使其無法處理合法請求)來實現。在某些情況下,攻擊者會執行贖金 DoS 攻擊,要求支付贖金以阻止正在進行的攻擊或防止受到威脅的攻擊。
在 COVID-19 大流行推動的遠程工作和學習期間,遠程訪問解決方案是 DoS 攻擊的主要目標。在 2020-2021 學年,針對教育部門的分布式 DoS (DDoS) 攻擊急劇增加。這些攻擊試圖使遠程學習服務無法使用或索取贖金以防止或阻止攻擊。
8. 零日漏洞利用
軟件包含弱點和漏洞,其中許多漏洞都會在生產環境中被攻擊者利用。這些生產漏洞由公司內部、外部安全研究人員或網絡攻擊者發現。在第三種情況下,網絡攻擊者可以利用系統中的這些“零日”漏洞。在組織設法修補漏洞(使其安全)之前,系統的所有用戶都可能容易受到攻擊。
2020 年,最著名的零日漏洞之一是 Zerologon,它影響了 Windows 域控制器 (DC)。利用此漏洞的攻擊者可以完全控制易受攻擊的 DC 管理的網絡。在許多組織修補此漏洞之前,網絡犯罪分子正在積極利用此漏洞,促使美國政府發出緊急安全指令,要求政府機構立即應用補丁。
超越主要威脅
這份主要威脅列表并不詳盡,并未涵蓋對企業網絡安全的所有活躍威脅。其他常見的網絡安全威脅示例包括:
- DNS隧道
- DNS 欺騙
- SQL注入
- 越獄和生根
- 操作系統漏洞
雖然這些潛在的攻擊并未列入最常見和最危險的網絡威脅列表,但它們仍然構成重大風險。企業安全解決方案還應包括使用這些向量檢測、預防和修復攻擊的能力。
防范主要網絡威脅
隨著 COVID-19 推動的遠程工作激增,企業網絡安全變得更加困難。安全團隊現在需要保護在家工作的員工(可能在個人擁有的設備上),而不是大部分在現場工作的員工。這些直接連接到個人網絡和公共互聯網的系統更容易受到攻擊。因此,計算機和移動設備上的端點安全是企業網絡安全比以前更加優先考慮的問題。由于潛在的網絡安全威脅范圍廣泛,組織需要一個端點檢測和響應解決方案,能夠檢測并保護其所有員工的設備免受主要網絡威脅。
