進行網(wǎng)絡(luò)安全預測很有趣,但對必須確定應(yīng)對威脅的安全專業(yè)人員而言,并不一定有幫助。Akamai公司安全情報響應(yīng)團隊的高級工程師Chad Seaman說:“對于未來的發(fā)展,其實無法真正做出正確的預測,因為總是有來自其他領(lǐng)域的東西才是真正的問題所在。”
如果人們對2020年最大的威脅是一些新事物并且無法預測,那么如何才能更好地集中精力迎接新的一年?首先從規(guī)模和策略上,了解2019年最常見的重大威脅,以及將在2020年在規(guī)模和策略上可能會有什么變化。
安全行業(yè)機構(gòu)調(diào)查和研究了有關(guān)2019年最常見、最重要威脅,研究人員就這些威脅的發(fā)展趨勢以及企業(yè)在2020年如何調(diào)整防御措施提供了建議。
1.設(shè)備的惡意軟件感染
保護端點仍然是企業(yè)面臨的難題。根據(jù)卡巴斯基公司發(fā)布的《2019年IT安全經(jīng)濟學》調(diào)查報告,2019年約有一半的企業(yè)的設(shè)備遭受了惡意軟件感染。一半企業(yè)還發(fā)現(xiàn)員工擁有的設(shè)備上感染了惡意軟件。
對于企業(yè)而言,卡巴斯基報告中提到的企業(yè)設(shè)備的惡意軟件感染是成本最昂貴的事件,平均每次事件損失成本為273萬美元。對于中小型企業(yè)來說,這個數(shù)字要少得多,平均損失為117,000美元。
2020年的預期:卡巴斯基安全研究員Dmitry Galov認為,企業(yè)員工擁有的設(shè)備在2020年帶來的風險將會增加。他認為企業(yè)更愿意允許員工使用自己的設(shè)備來削減成本、實現(xiàn)遠程工作以及提高員工滿意度。其結(jié)果是,網(wǎng)絡(luò)攻擊者將針對個人設(shè)備進行攻擊,并且可以繞過企業(yè)防火墻的防御。他說:“默認情況下,用戶的個人設(shè)備往往比企業(yè)設(shè)備受到的保護要少,因為普通用戶很少采取額外措施來保護自己的手機和電腦免受潛在威脅。只要這種趨勢持續(xù)下去,企業(yè)和員工擁有的設(shè)備感染就會出現(xiàn)。這種攻擊方式仍然具有吸引力,因為攻擊者不再需要以企業(yè)賬戶為目標(例如將釣魚郵件發(fā)送到公司郵箱)。”
2020年的最佳建議:Galov認為,企業(yè)必須審查和更新其針對個人設(shè)備的政策,然后實施這些政策。他說:“嚴格的企業(yè)安全政策、正確的權(quán)限管理以及為用戶提供安全解決方案都是保護企業(yè)及其數(shù)據(jù)的必備條件。除了管理技術(shù)問題之外,安全意識培訓也很重要,因為它們可以培養(yǎng)員工的網(wǎng)絡(luò)安全標準。”
2.網(wǎng)絡(luò)釣魚
根據(jù)Verizon公司發(fā)布的《2019年數(shù)據(jù)泄露調(diào)查報告》,在2019年,近三分之一的數(shù)據(jù)泄露涉及網(wǎng)絡(luò)釣魚。對于網(wǎng)絡(luò)犯罪分子的攻擊,這個數(shù)字上升到78%。由于功能齊全、現(xiàn)成的工具和模板,網(wǎng)絡(luò)犯罪分子的網(wǎng)絡(luò)釣魚技術(shù)變得越來越巧妙。
Akamai公司發(fā)布的SOTI報告指出:網(wǎng)絡(luò)釣魚套件開發(fā)商對外出售網(wǎng)絡(luò)釣魚即服務(wù)軟件。一些開發(fā)商擁有店面,并在社交媒體上進行宣傳,其價格從99美元起,并根據(jù)所選的郵件攻擊服務(wù)而上漲。所有套件均具有安全性和逃避功能。調(diào)查報告的作者說:“低廉的價格和頂級品牌目標很有吸引力,這為網(wǎng)絡(luò)犯罪分子創(chuàng)造了進入網(wǎng)絡(luò)釣魚市場的更低門檻。其中的一些頂級品牌目標包括Target、谷歌、微軟、蘋果、Lyft和沃爾瑪。”
2020年的預期:網(wǎng)絡(luò)釣魚套件開發(fā)商將提供更精細的產(chǎn)品,進一步提高發(fā)起網(wǎng)絡(luò)釣魚活動所需的技能。根據(jù)IDG公司安全優(yōu)先權(quán)的調(diào)查,44%的公司表示,提高安全意識和員工培訓優(yōu)先權(quán)是2020年的首要任務(wù)。網(wǎng)絡(luò)攻擊者將通過減少或隱藏網(wǎng)絡(luò)釣魚的常見跡象來提高其網(wǎng)絡(luò)釣魚活動的質(zhì)量。如果網(wǎng)絡(luò)攻擊者通過欺詐性或泄露的內(nèi)部或第三方賬戶發(fā)送看起來合法的網(wǎng)絡(luò)釣魚嘗試,也可能更多地使企業(yè)電子郵件泄露(BEC)。
2020年最佳建議:企業(yè)需要保持最新的反網(wǎng)絡(luò)釣魚培訓并使之持續(xù)進行。為了應(yīng)對企業(yè)電子郵件泄露(BEC),需要制定相應(yīng)的政策,要求所有收到有關(guān)資金或付款指示的員工都必須通過電話進行確認。
3.勒索軟件攻擊
勒索軟件攻擊并不是最常見的網(wǎng)絡(luò)安全事件,但可能是損失最高的事件之一。根據(jù)卡巴斯基公司發(fā)布的《2019年IT安全經(jīng)濟學》調(diào)查報告,2019年大約40%的企業(yè)經(jīng)歷了勒索軟件攻擊事件。對于大企業(yè)來說,每起勒索軟件攻擊事件的平均損失為146萬美元。
根據(jù)Sophos Labs發(fā)布的2020年威脅報告,端點保護工具在檢測勒索軟件方面變得越來越完善,但這已使勒索軟件開發(fā)人員更好地學習了這些工具使用的技術(shù)。Sophos公司下一代技術(shù)工程總監(jiān)Mark Loman說:“改變惡意軟件的外觀要比改變其目的或行為容易得多,這就是為什么現(xiàn)代勒索軟件依靠模糊處理技術(shù)才能成功的原因。但是,到2020年,勒索軟件將通過更改或添加特征來混淆一些反勒索軟件的保護,從而增加風險。”
這種混淆是為了使勒索軟件看起來像是來自受信任的來源。Sophos公司的調(diào)查報告引用了幾個示例:
•編寫腳本,列出目標計算機,并將它們與Microsoft Sysinternals的PsExec實用程序,特權(quán)域賬戶和勒索軟件結(jié)合在一起。
•通過Windows組策略對象利用登錄/注銷腳本。
•濫用Windows管理界面在網(wǎng)絡(luò)內(nèi)部大規(guī)模分發(fā)。
2020年的預期:Loman認為,勒索軟件攻擊者繼續(xù)完善自己的方法來發(fā)揮自己的優(yōu)勢。他說:“最顯著的進步是,勒索軟件攻擊者通過主動攻擊來提高成功率,這種主動攻擊將網(wǎng)絡(luò)攻擊者的創(chuàng)造力與自動化工具融合在一起,從而產(chǎn)生最大的影響。此外,通過僅加密每個文件的相對較小的部分,或?qū)⒉僮飨到y(tǒng)引導至通常無法使用反勒索軟件保護的診斷模式,大多數(shù)防御措施都難以抵御網(wǎng)絡(luò)攻擊者的攻擊。”
卡巴斯基公司的Galov說:“今年的勒索軟件攻擊來勢洶洶,沒有理由忽略這種威脅。勒索軟件越來越多地將基礎(chǔ)設(shè)施、企業(yè)甚至智慧城市作為攻擊的目標。”
勒索軟件開發(fā)人員將使他們的代碼更加隱蔽,以便他們可以在系統(tǒng)中建立立足點,加密更多數(shù)據(jù)而不會被發(fā)現(xiàn),并可能將操作擴展到其他網(wǎng)絡(luò)。Galov說:“今年,我們甚至看到了對網(wǎng)絡(luò)附加存儲(NAS)的攻擊。”
2020年的最佳建議:一如既往,防范勒索軟件的最佳方法是對所有關(guān)鍵數(shù)據(jù)進行最新的、經(jīng)過測試的備份。將這些備份與企業(yè)網(wǎng)絡(luò)隔離,這樣它們也不會被勒索軟件加密。員工培訓也很重要。Galov說,“為了保護自己免受勒索,企業(yè)需要執(zhí)行嚴格的安全政策,并向員工介紹網(wǎng)絡(luò)安全培訓,需要額外的保護措施,如保護對數(shù)據(jù)的訪問,確保其備份的安全存儲,以及在服務(wù)器上實施應(yīng)用程序白名單技術(shù)。”
Loman說:“重要的是要有強大的安全控制、監(jiān)控和響應(yīng),覆蓋所有端點、網(wǎng)絡(luò)和系統(tǒng),并在發(fā)布軟件更新時安裝它們。”
4.第三方供應(yīng)商的風險
卡巴斯基公司在2019年發(fā)布的《IT安全經(jīng)濟學》報告中表示,大企業(yè)和中小企業(yè)都發(fā)現(xiàn)與第三方供應(yīng)商(服務(wù)和產(chǎn)品)有關(guān)的攻擊事件分別相似,分別為43%和38%。根據(jù)One Identity公司的一項調(diào)查顯示,大多數(shù)企業(yè)(94%)授予第三方訪問其網(wǎng)絡(luò)的權(quán)限,而72%的企業(yè)授予特權(quán)訪問的權(quán)限。但是,只有22%的企業(yè)對那些第三方?jīng)]有訪問未經(jīng)授權(quán)的信息充滿信心,而18%的企業(yè)報告說由于第三方的訪問而導致數(shù)據(jù)泄露。
卡巴斯基公司的研究表明,很多企業(yè)都在迫使第三方供應(yīng)商簽署安全政策協(xié)議——75%的中小企業(yè)和79%的企業(yè)使用這些協(xié)議。當?shù)谌綄`約行為負有責任時,從第三方獲得賠償,這就產(chǎn)生了很大的不同。在簽署安全政策協(xié)議的企業(yè)中,71%的企業(yè)表示獲得了補償,而沒有簽署安全政策協(xié)議的企業(yè)中只有22%獲得了補償。
2020年的預期:企業(yè)與供應(yīng)商和合作伙伴之間的數(shù)字聯(lián)系將更加緊密。這既增加了風險,也提高了人們對風險的認識。不幸的是網(wǎng)絡(luò)攻擊者變得越來越老練。
Galov說,“最近,我們發(fā)現(xiàn)諸如BARIUM或APT41之類的一些新組織對軟件和硬件制造商進行了復雜的供應(yīng)鏈攻擊,以便滲透到全球安全的基礎(chǔ)設(shè)施中。其中包括2017年和2019年發(fā)現(xiàn)的兩種復雜的供應(yīng)鏈攻擊:CCleaner攻擊和ShadowPad攻擊,以及其他針對游戲公司的攻擊。處理來自這些威脅參與者之一的妥協(xié)是一個復雜的過程,因為他們通常會留下后門,從而使他們在返回之后造成更大的破壞。”
2020年最佳建議:了解誰可以訪問企業(yè)的網(wǎng)絡(luò),并確保他們僅擁有所需的特權(quán)。制定政策、溝通和執(zhí)行第三方訪問規(guī)則。確保為所有第三方供應(yīng)商制定了安全政策,規(guī)定了責任、安全期望以及事故發(fā)生時的情況。
Galov說:“明智的企業(yè)可以保護自己免受此類攻擊,要確保不僅他們自己,而且他們的合作伙伴都遵守高網(wǎng)絡(luò)安全標準。如果第三方供應(yīng)商可以通過任何方式訪問內(nèi)部基礎(chǔ)設(shè)施或數(shù)據(jù),則應(yīng)在整合過程之前制定網(wǎng)絡(luò)安全政策。”
5.DDoS攻擊
卡巴斯基公司在2019年發(fā)布的《IT安全經(jīng)濟學》調(diào)查報告表明,2019年有42%的大企業(yè)和38%的中小型企業(yè)遭受了分布式拒絕服務(wù)(DDoS)攻擊。這與勒索軟件事件的發(fā)生率相當,勒索軟件事件更受媒體關(guān)注。從財務(wù)角度來看,每次DDoS攻擊將使中小企業(yè)平均損失138000美元。
攻擊者不斷創(chuàng)新以提高其DDoS攻擊的效率。 例如,在今年9月,Akamai報告了一個新的DDoS向量:Web服務(wù)動態(tài)發(fā)現(xiàn)(WSD),這是一種用于在本地網(wǎng)絡(luò)上定位服務(wù)的多播發(fā)現(xiàn)協(xié)議。使用Web服務(wù)動態(tài)發(fā)現(xiàn)(WSD),網(wǎng)絡(luò)攻擊者可以大規(guī)模定位和破壞配置錯誤的與全球互聯(lián)網(wǎng)連接的設(shè)備,從而擴大DDoS攻擊的范圍。
2020年的預期:由于5G的興起和物聯(lián)網(wǎng)設(shè)備的數(shù)量增加,卡巴斯基公司Galov認為2020年DDoS攻擊仍將相當突出。他說:“供水、電網(wǎng)、軍事設(shè)施和金融機構(gòu)等關(guān)鍵基礎(chǔ)設(shè)施的傳統(tǒng)邊界將進一步擴展到5G世界中的其他前所未有的領(lǐng)域。所有這些都需要新的安全標準,而提高連接速度將在阻止DDoS攻擊發(fā)生方面帶來新的挑戰(zhàn)。”
2020年最佳建議:Akamai的Seaman說,“企業(yè)需要檢查其互聯(lián)網(wǎng)連接設(shè)備是否配置錯誤和未修補的漏洞,這是基本的網(wǎng)絡(luò)安全措施。”
不幸的是,這并不能幫助減少消費類設(shè)備的DDoS攻擊風險。
6.應(yīng)用程序漏洞
根據(jù)Veracode公司發(fā)布的軟件安全狀態(tài)第10卷調(diào)查報告,在該公司測試的85000個應(yīng)用程序中,83%的應(yīng)用程序至少有一個安全缺陷。很多應(yīng)用程序都有更多的漏洞,因為研究發(fā)現(xiàn)總共有1000萬個漏洞,20%的應(yīng)用程序至少有一個嚴重性很高的漏洞。這就給網(wǎng)絡(luò)攻擊者留下了許多潛在的零日漏洞和可利用的漏洞。
2020年的預期:盡管安全和開發(fā)團隊做出了最大的努力,漏洞仍將繼續(xù)滲透到軟件中。Veracode公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Chris Wysopal說,“當今大多數(shù)軟件都是非常不安全的。這一趨勢將在2020年持續(xù),尤其是90%的應(yīng)用程序使用開源庫中的代碼。我們在2019年看到了應(yīng)用程序安全的積極跡象。企業(yè)越來越關(guān)注于不僅要發(fā)現(xiàn)安全漏洞,而且要解決這些漏洞,并優(yōu)先考慮使它們最容易受到威脅的漏洞。我們的調(diào)查表明,發(fā)現(xiàn)和修復漏洞與改善功能一樣,已成為整個過程的一部分。”
2020年最佳建議:正如Veracode公司研究顯示的那樣,更頻繁地掃描和測試企業(yè)的應(yīng)用程序是否存在漏洞,同時優(yōu)先解決最嚴重的漏洞,這是一種有效的防御措施。Wysopal還敦促企業(yè)密切注意擔保債務(wù)。他說:“應(yīng)用程序安全性內(nèi)日益增長的威脅之一是安全債務(wù)的概念,無論應(yīng)用程序是累積的還是隨著時間的推移消除了缺陷。越來越多的安全債務(wù)使企業(yè)容易受到攻擊。
Wysopal表示:“就像信用卡債務(wù)一樣,如果企業(yè)在開始時有大量余額,并且僅支付每個月的新支出,那么將永遠不會消除余額。企業(yè)必須解決新的安全性隱患,同時又要消除舊的安全性隱患。”
7.云服務(wù)/托管基礎(chǔ)設(shè)施泄露事件
根據(jù)卡巴斯基公司在2019年發(fā)布的《IT安全經(jīng)濟學》報告,2019年有43%的企業(yè)發(fā)生了影響第三方云服務(wù)的安全事件。雖然與云計算相關(guān)的泄露事件并沒有成為中小企業(yè)最常見的列表,但對于通常更依賴托管服務(wù)的中小公司來說,這些事件代價高昂。影響中小型企業(yè)托管基礎(chǔ)設(shè)施的泄露事件平均為162000美元。
在線支付欺詐是2019年欺詐活動增加的一個領(lǐng)域。去年,犯罪集團Magecart公司在過去的一年里相當忙碌。該組織使用代碼,利用云中的錯誤配置修改購物車代碼。使用在線電子商務(wù)服務(wù)的企業(yè)直到客戶投訴欺詐性收費時才意識到這一事件。
企業(yè)仍然需要擔心云服務(wù)的錯誤配置會導致數(shù)據(jù)暴露在互聯(lián)網(wǎng)上。攻擊者定期掃描互聯(lián)網(wǎng)以獲取公開數(shù)據(jù)。幸運的是,亞馬遜和谷歌等云計算供應(yīng)商在2019年推出了新的工具和服務(wù),幫助企業(yè)正確配置其云計算系統(tǒng),并發(fā)現(xiàn)導致數(shù)據(jù)不受保護的錯誤。
2020年的預期:惡意代碼的持久力和經(jīng)濟回報(僅Magecart公司獲利估計就達數(shù)百萬美元)意味著在線支付欺詐在2020年將會增加。Magecart公司的成功勢必會激發(fā)模仿者采取行動。企業(yè)將通過在云安全方面花費更多的資金來應(yīng)對這種和其他云計算威脅。根據(jù)IDG公司安全優(yōu)先研究,只有27%的企業(yè)在生產(chǎn)中使用云計算數(shù)據(jù)保護技術(shù),但是49%的企業(yè)正在研究或試用該技術(shù)。
2020年最佳建議:對電子商務(wù)腳本進行源代碼審查,并實現(xiàn)資源完整性,以便未經(jīng)企業(yè)的許可不會加載修改后的腳本。確保企業(yè)的云計算提供商對自己的代碼進行評估以防止欺詐。定期掃描配置錯誤,防止企業(yè)數(shù)據(jù)在全球互聯(lián)網(wǎng)上公開。
8.物聯(lián)網(wǎng)漏洞
根據(jù)美國安全行業(yè)協(xié)會(SIA)2019年安全大趨勢的調(diào)查報告,物聯(lián)網(wǎng)(IoT)及其生成的數(shù)據(jù)是2019年對安全從業(yè)人員影響第二大的趨勢。物聯(lián)網(wǎng)的發(fā)展充滿熱情并且難以預測。研究機構(gòu)Statista公司估計,到2020年將有66億到300億個互聯(lián)網(wǎng)連接設(shè)備。
對于大多數(shù)企業(yè)而言,物聯(lián)網(wǎng)帶來的威脅已成為2019年的頭等大事。Marsh Microsoft 公司發(fā)布的2019年全球風險感知調(diào)查報告表明,66%的受訪者將物聯(lián)網(wǎng)視為網(wǎng)絡(luò)風險,23%的受訪者認為該風險極高。Cyber??X公司副總裁、工業(yè)網(wǎng)絡(luò)安全總裁Phil Neray說。“這些物聯(lián)網(wǎng)設(shè)備是攻擊者的軟目標,因為它們通常沒有打補丁或者配置錯誤,并且由于不支持端點安全代理而被不受管理。其結(jié)果是,它們很容易受到對手的侵害,從而在企業(yè)網(wǎng)絡(luò)中立足,進行破壞性勒索軟件攻擊,竊取敏感知識產(chǎn)權(quán),并進行DDoS攻擊和加密劫持而竊取計算資源。”
Cyber??X公司發(fā)布的《2020年全球IoT/ICS風險》調(diào)查報告指出了過去12個月中使物聯(lián)網(wǎng)設(shè)備易受攻擊的最常見安全漏洞。報告表明一些方面得到顯著改善。遠程訪問的物聯(lián)網(wǎng)設(shè)備減少30%,其中在54%的設(shè)備中發(fā)現(xiàn)了此漏洞。直接互聯(lián)網(wǎng)連接也從40%下降到27%。
另一方面,71%的網(wǎng)站發(fā)現(xiàn)了過時的操作系統(tǒng),而去年這一比例為53%,66%的網(wǎng)站未能進行自動防病毒更新,而去年這一比例為43%。
2020年的預期:Neray認為,隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的增加以及網(wǎng)絡(luò)罪犯的動機和成熟度的增加,2020年工業(yè)環(huán)境將面臨嚴重風險,其中包括能源設(shè)施、制造業(yè)、化工行業(yè)等,他表示,“對于藥品、石油和天然氣等行業(yè)領(lǐng)域的攻擊可能導致更嚴重的后果,將導致代價高昂的工廠停工、對人身安全的威脅和環(huán)境事故。”
Neray說,“建筑物管理系統(tǒng)(BMS)將成為網(wǎng)絡(luò)攻擊者的主要目標。它們通常由對安全性缺乏專門知識的設(shè)施管理團隊進行部署,通常不知不覺地暴露于全球互聯(lián)網(wǎng),并且不受企業(yè)安全運營中心(SOC)的監(jiān)視。”
2020年最佳建議:Neray建議企業(yè)遵循多層次的縱深防御策略,例如:
•更加強大的網(wǎng)絡(luò)細分
•限制具有強大訪問控制(例如2FA和密碼庫)的第三方承包商對工業(yè)控制網(wǎng)絡(luò)的遠程訪問
•無代理網(wǎng)絡(luò)安全監(jiān)控,可在對手攻擊或關(guān)閉其設(shè)施之前快速檢測和緩解物聯(lián)網(wǎng)攻擊。
最終,最好的防御措施更多地取決于企業(yè)而不是技術(shù)方法。Neray說,“在TRITON對沙特阿拉伯一家石化廠的安全系統(tǒng)的攻擊中,主要缺陷之一是沒有人認為自己最終對工業(yè)控制網(wǎng)絡(luò)的安全負責。其結(jié)果是,安全監(jiān)控嚴重失誤,沒有人檢查安裝在DMZ中的防火墻是否已由外包公司正確配置。我們對企業(yè)首席登記處安全官的建議是找到立足點,掌握物聯(lián)網(wǎng)和運營技術(shù)安全性,并以整體方式將聯(lián)網(wǎng)和運營技術(shù)安全性與IT安全性相結(jié)合,并集成到企業(yè)安全運營中心(SOC)的監(jiān)視工作流和安全性堆棧中。”
9.加密貨幣劫持
最后,以一些好消息來結(jié)束這個趨勢預測:預計到2020年,加密貨幣攻擊將會減少。盡管在卡巴斯基公司的《2019年信息技術(shù)安全經(jīng)濟學》調(diào)查報告中,加密貨幣攻擊并沒有成為大企業(yè)或中小企業(yè)最頻繁攻擊的列表,但事實證明,在2019年,這些攻擊對很多企業(yè)來說代價高昂,他們的平均成本損失為162萬美元。
2020年的預期:加密貨幣的發(fā)生率隨著加密貨幣的價值波動而變化,但是攻擊者執(zhí)行加密貨幣劫持方案的難易程度意味著這種威脅將持續(xù)到2020年。Galov說,“在2019年,加密貨幣一直在穩(wěn)步下降,我們看不出有什么理由這種趨勢會發(fā)生變化。加密貨幣的獲利能力下降,也受到與這種威脅作斗爭的影響。”
2020年最佳建議:使用安全解決方案來檢測加密貨幣威脅,并密切注意加密貨幣價值的迅速上漲,這將促使更多的加密劫持的攻擊。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號