我们将在本文中介绍年的顶级威胁在年的可能发展演进方式,以及如何调整防御策略。
进行网络安全预测很有意思,但是对于必须要确定威胁并应对威胁的安全专业人员而言,这些预测并不一定有帮助。Akamai安全情报响应团队的高级工程师ChadSeaman说:“对于未来的发展,你无法真正做出准确的预测,因为总是有这样或那样的意外情况发生。”
如果年的最大威胁是新的并且无法预测的事物,那么我们如何才能更好地集中精力迎接新的一年?首先,我们要从规模和策略上研究年最大的威胁在年可能会发生什么变化。
首席安全官审查了有关年最常见的重大威胁的研究报告,并请这些研究人员就这些威胁的发展趋势以及企业在年如何调整防御措施提出建议。
感染设备的恶意软件
对于企业来说,保护端点仍然是一场战斗。据卡巴斯基的《年IT安全经济学》报告显示,年约有一半的企业出现了企业设备遭到了恶意软件感染的情况。在这半数的企业当中,还出现了员工个人设备感染了恶意软件的情况。
对于企业而言,卡巴斯基报告中的企业设备遭恶意软件感染是代价最为昂贵的事件,平均每次事件的成本为万美元。对于中小型企业来说,这个数字要少得多,大约为11.7万美元。
年展望:卡巴斯基安全研究员DmitryGalov认为,员工拥有的设备在年带来的风险会增加。公司更倾向于通过允许员工使用自己的设备来削减成本,实现远程工作以及提高员工满意度。这导致攻击者只要对个人设备发动攻击就可以绕过企业的防御体系。他说:“默认情况下,用户的个人设备受保护的程度往往低于企业设备,因为普通用户很少采取其他措施来保护手机和计算机免受潜在威胁的影响。只要这种趋势持续下去,企业和员工拥有的设备就都会被感染。这种攻击向量仍然具有吸引力,因为攻击者不再需要再以公司账户为目标发动攻击(例如,将钓鱼邮件发送到企业)。”
针对年的最佳建议:企业必须审查并更新有关个人设备的策略,然后执行这些策略。Galov说:“严格的企业安全策略、正确的权限管理以及为用户提供安全解决方案已成为保护企业及其数据的必备条件。除了管理技术问题外,安全意识培训也很重要,因为它们可以在员工中培养并建立网络安全意识。”
网络钓鱼
据年Verizon的《数据泄露调查报告》显示,过去一年中,近1/3的数据泄露涉及网络钓鱼。对于网络间谍攻击,这个数字跃升至78%。年最糟糕的网络钓鱼新闻是,出现了制作精良的现成工具和模板,不法分子的网络钓鱼技术越来越高明。
Akamai的《年互联网安全状况报告:引诱上钩》披露了一名网络钓鱼套件开发人员开发的网络钓鱼即服务。该开发人员拥有店面并在社交媒体上打起了广告。价格从99美元起步,并根据所选的邮寄服务上调价格。所有套件均具有安全和规避功能。报告的作者称:“低廉的价格和以顶级品牌为目标很有吸引力,这为犯罪分子展开网络钓鱼降低了门槛。”这些目标企业包括Target、谷歌、微软、苹果、Lyft和沃尔玛等。
年展望:网络钓鱼套件开发人员将提供更多精致的产品,从而进一步降低展开网络钓鱼攻击所需的技能。据市场研究机构IDG的《安全优先级研究》显示,44%的企业表示,提高安全意识和员工培训优先级是年的重中之重。作为回应,攻击者将通过减少或隐藏网络钓鱼的常见迹象来提高网络钓鱼攻击的质量。攻击者可能会加大对商务电子邮件入侵(BEC)的使用力度,即通过欺诈性的或受感染的内部或第三方账户发送看起来没有问题的邮件进行网络钓鱼。
针对年的最佳建议:在反网络钓鱼培训中加入最新内容并使之持续进行下去。为了与BEC对抗,企业需要制定相应的策略,要求所有收到有关资金或付款说明请求的员工都必须通过电话进行确认。
勒索软件攻击
勒索软件攻击不是最常见的网络安全事件,但可能是代价最高的事件之一。卡巴斯基的《年IT安全经济学》报告指出,年大约40%的中小型企业和大型企业经历了勒索软件攻击。在大型企业这一级,每起攻击事件的平均成本为万美元。
SophosLabs的《年威胁报告》指出,端点保护工具在检测勒索软件方面正变得越来越好,但这也迫使勒索软件开发人员对这些工具所的使用技术展开了更为深入的研究。Sophos的下一代技术工程总监MarkLoman表示:“更改恶意软件的外观要比更改其目的或行为容易得多,这就是为什么现代勒索软件依靠迷惑技术才能取得成功。但是到年,勒索软件将通过更改或添加特征来迷惑一些反勒索软件的保护措施,从而增加它们成功的机率。”
这种混淆是为了使勒索软件看起来像是来自受信任的来源。Sophos报告引用了几个示例:
·编制脚本列出目标计算机,并将它们与MicrosoftSysinternals的PsExec实用程序、特权域账户和勒索软件集成在一起。
·通过Windows组策略对象利用登录/注销脚本
·滥用Windows管理界面在网络内部大量分发
年展望:勒索软件攻击者将会继续调整他们的方法以发挥自己的优势。Loman说:“最明显的发展趋势是,越来越多的勒索软件攻击者是通过自动化的主动攻击来提高成功率,这些攻击将人的创造力与自动化工具结合在了一起,从而可将产生的影响发挥到最大。此外,通过仅加密每个文件中相对较小的部分或将操作系统引导到通常无法使用反勒索软件保护的诊断模式,攻击者可规避大多数防御。”
卡巴斯基的Galov说:“勒索软件攻击在年来势汹汹,这种威胁在年没有理由会减少。”勒索软件正逐渐将目标锁定为基础设施、组织机构甚至是智慧城市。
勒索软件开发人员将会让他们的代码变得更具隐匿性,以便他们可以在系统中建立立足点,加密更多数据而不会被发现,并伺机扩展到其他网络。Galov说:“年,我们甚至看到了对网络附加存储(NAS)的攻击,以往这在很大程度上被认为是安全可靠的。”
针对年的最佳建议:抵御勒索软件的最佳方法是拥有所有关键数据的最新且经过测试的备份。请将这些备份与网络隔离开来,以便它们不会被勒索软件加密。员工培训也至关重要。Galov称:“为了保护自己免受勒索软件的侵害,企业需要实施严格的安全策略,并对员工进行网络安全培训。此外,还需要采取其他的保护措施,例如确保对数据的访问安全,确保备份的存储安全以及在服务器上实施应用程序白名单技术。”
Loman则表示:“至关重要的是,强大的安全控制、监视和响应要覆盖所有端点、网络和系统,并及时更新软件。”
第三方供应商风险
卡巴斯基在年发布的《IT安全经济学》报告中指出,在大型企业和中小型企业中涉及第三方供应商(服务和产品)的事件发生率分别为43%和38%,两者之间的比例比较接近。OneIdentity的一项调查显示,大多数企业(94%)会授予第三方访问其网络的权限,72%的企业授予的是优先访问权限。只有22%的企业相信第三方没有访问未经授权的信息,18%的企业报告称他们出现的数据泄露事件是由于第三方的访问导致的。
卡巴斯基的研究表明,中小企业和大型企业都在强迫第三方供应商签署安全策略协议,其中75%的中小企业和79%的大型企业都在使用它们。当第三方要对违规行为负责时,在第三方的赔偿问题上有着很大的差异。在已制定策略的企业中,有71%的企业表示已获得赔偿,而没有制定策略的企业中只有22%的企业获得了赔偿。
年展望:企业将与供应商和合作伙伴建立数字化联系。这既增加了风险,也提高了对该风险的意识。不幸的是,攻击者正变得越来越老练。
Galov说:“最近,我们发现诸如BARIUM或APT41之类的一些新组织为了渗透到全球的安全基础设施当中,对软件和硬件制造商进行了复杂的供应链攻击。其中包括年和年发现的两种复杂的供应链攻击:CCleaner攻击和ShadowPad攻击,以及其他针对游戏公司的攻击。处理这些威胁是一个复杂的过程,因为攻击者通常会留下后门,以便他们以后可以返回并造成更大的破坏。”
针对年的最佳建议:了解谁可以访问你的网络,并确保他们仅拥有所需的必要权限。制定用于交流和执行第三方访问规则的策略。确保为所有第三方供应商都制定了安全策略,阐明了责任、安全期望以及事件发生时的后果。
Galov说:“保护自己免受此类攻击的最佳企业不仅会确保他们自己,而且还会确保他们的合作伙伴都能够遵守高标准的网络安全标准。如果第三方供应商可以通过任何方式访问内部基础架构或数据,那么则应在集成过程之前建立网络安全策略。”
DDoS攻击
据卡巴斯基(Kaspersky)在年发布的《IT安全经济学》报告显示,年有42%的大型企业和38%的中小型企业遭受了分布式拒绝服务(DDoS)攻击。这一比例与勒索软件事件相当,但是只有后者引起了媒体的广泛