Sophos发布 2017 年网络安全趋势报告

 

Sophos发布 2017 年网络安全趋势报告

2016-12-29 北京守护使计算机安全
破坏性 DDoS IOT 攻击将会增加

在 2016 年,Mirai恶意软件表现出利用不安全的消费者 IoT (物联网) 装置去发动具破坏力的 DDoS 攻击的潜力。Mirai 只攻击了一小部分装置和漏洞,并使用基本的密码猜测技术。然而,网络犯罪份子会发现扩展攻击面很容易,因为许多物联网装置所使用的老旧程序代码,都是根据维护不良的操作系统和具备已知漏洞的应用程序而开发。我们预期 IoT 漏洞、更有效的密码猜测技术和更多遭骇 IoT 装置会被用于 DDoS,或是用来锁定您网络中的其他装置。

从入侵漏洞转向成目标式的社交攻击。

网络犯罪份子越来越善于利用终极的弱点 - 人性。越来越精密和具说服力的目标式攻击,目的就是诱骗使用者自我妥协。例如,我们经常会看到电子邮件中指明收件人是谁,并宣称他们积欠未清债务,而发件人有权收款。透过令人震惊、恐吓或假装拥有执法单位的权威,都是常见和有效的战术。电子邮件会将受害者引导到恶意连结,只要使用者在恐慌中点击就会遭受攻击。我们已经很难在这种网络钓鱼攻击中发现明显错误来加以分辨。 

金融基础架构遭受攻击的风险更大。

使用目标式网络钓鱼和「捕鲸」式手法的情况继续增加。这些攻击使用和公司高阶主管相关的详细信息来诱骗员工付款给欺诈者或遭劫持的账户。我们预期还会发生更多针对重要金融基础架构的攻击,例如锁定与 SWIFT 相关机构的攻击,在 2 月就使孟加拉国国中央银行耗费 8100万美元的成本。SWIFT 最近在一封给客户银行的信中,承认还有其他类似的攻击存在,而且预期还会有更多出现:「这个威胁非常难缠并具高度适应力,而且非常复杂,已经挥之不去。」

利用因特网内在的不安全基础架构的漏洞。

所有因特网使用者使用的都是古老的基本通讯协议。由于它们无所不在,因此几乎不可能改造或更换它们。这些长期以来一直是因特网和商业网络的骨干的古老通讯协议有时糟得令人吃惊。例如,锁定 BGP (边界网关通讯协议) 的攻击可以破坏、劫持或瘫痪大部分的因特网。在 10 月份针对 Dyn 发动的 DDoS 攻击 (由数量庞大的 IoT 装置发动),瘫痪了 DNS 供应商以及部份网际网络的访问权限。这是我们见过最大型的攻击之一,而攻击者却宣称这还只是小试身手。大型 ISP 和企业尚可采取一些措施来响应,但如果个人或国家身陷因特网最深层的安全缺陷,可能就无法避免受到严重的损害。

攻击的复杂性增加。

结合多个技术和社交因素的攻击越来越普遍,并反映出对受害组织的网络长期仔细查探或许已经存在。攻击者在入侵多个服务器和工作站之前,早就已经开始窃取资料或积极采取行动。这些攻击是战略性而非战术性,而且由专家密切管理,可以造成更多伤害。这与我们熟知的预先程序化和自动化的恶意软件的威胁很不同 ─ 现今的复杂威胁具有耐力且能躲避侦测。  

使用内建的管理程序语言和工具进行更多攻击。

我们看到更多采用 PowerShell 的入侵程序,这是 Microsoft 用于自动化管理工作的程序语言。由于 PowerShell 是一种脚本语言,因此可以躲避针对可执行文件的防御。我们还看到更多攻击会使用渗透测试和其他网络上的管理工具,如此一来就不需要渗透,也不会被怀疑。这些强大的工具需要同样强大的管制措施。 

勒索软件继续进化。

随着越来越多用户意识到来自电子邮件的勒索软件风险,犯罪份子开始找寻其他管道。有些犯罪份子开始试验不同恶意软件,在勒索得手再次进行感染;有些则开始利用内建工具,因为如此一来根本没有可执行的恶意软件,能躲避针对可执行文件的端点保护侦测。最近有一个例子,受害者被要求将勒索软件传染给两个朋友以换取解开档案,这样其两个朋友也都要支付赎金才能解开自己的档案。勒索软件建立者也开始使用加密以外的技术,例如删除或损坏档案标头。最后,由于「旧款」勒索软件仍在网络上出现,用户可能会因为支付对象已经不再运作,无法挽救受害档案。 

个人 IoT 攻击出现

家庭 IoT 设备的使用者可能会忽略甚至不在乎他们的婴儿监视器是否遭到劫持,成为攻击他人网站的跳板。但一旦攻击者「掌控」家庭网络上的一部设备,他们就有机会入侵其他设备,例如包含重要个人资料的笔记本电脑。我们预期会发生更多这种攻击,也会出现更多使用摄影机和麦克风来窥探家庭的攻击。网络犯罪份子总是会找到获利的方式。

恶意广告增长和网络广告生态系统的劣化。

透过在线广告网络和网页来传播恶意软件的恶意广告已经存在多年了。但在 2016 年,我们看到更多恶意广告出现。这些攻击突显出整个广告生态系统的更大问题,例如点击诈欺,亦即产生不符合真实客户兴趣的付费点击。恶意广告实际上就是创造点击欺诈,会同时危害使用者和窃取广告客户的金钱。   

加密的缺点日渐暴露。

随着加密无处不在,安全产品将更难检查流量,使得犯罪份子更容易躲藏而不被发现。不出所料,网络犯罪份子正在以创新的方式使用加密。安全产品需要紧密整合网络和客户端功能,以便在端点上解密程序代码后快速识别安全事件。 

针对虚拟化和云端系统的攻击日益增加。

对实体硬件的攻击(如 Rowhammer)增加了锁定虚拟化云端系统的新型漏洞入侵的可能性。攻击者可能会滥用在共享主机上运作的主机或其他客户端、攻击权限模式,并有可能会存取到其他人的数据。并且,随着 Docker 和整体容器 (或「无服务器」) 生态系统变得越来越流行,攻击者将越能在这个相对较新的运算趋势中发现和利用漏洞。我们预期会出现积极尝试发动这类攻击的情形。 

对国家和社会级别系统的技术攻击趋势产生。

以技术为基础的攻击已变得越来越政治化。社会面临着假信息 (如「假新闻」) 和投票系统遭劫持的风险。例如,研究人员已经证明有可能出现让某当地选民反复投票而不被发现的攻击。即使国家从来没有涉入干扰对手的选举,但由于这攻击本身是一个强大的武器,所以大众仍会认为是有可能发生的。 

第二部分:

相关组织应该如何防范这些新的威胁?

 

 

不幸的是

许多组织仍然没有正确的安全基础

我们提供六个组织应该实行的措施

以帮助他们防范更复杂的威胁

 

由多层式转换成整合式安全。

许多组织现在拥有多个安全解决方案,这些解决方案曾经都是同级最佳的产品,但现在成本太高,而且难以管理。转换成整合式的解决方案,让所有组件可以彼此沟通和协同作业,有助于解决这个问题。例如,如果恶意软件让端点的安全软件脱机,网络安全机制就应该自动隔离该设备,从而降低整个环境的风险。 

部署新一代端点保护。

随着勒索软件变得无所不在,加上端点变得越来越多样化,组织必须重新将重心放在端点保护。但是采用特征码为基础的解决方案已经自顾不暇,而且可能会漏失零时差攻击。请选择能够识别和防止几乎在所有漏洞中使用的技术和行为的解决方案。

根据风险安排安全的优先性。

没有组织能够有系统地保护一切资源,100%的预防已经不切实际。请厘清与每个系统相关的风险,并据此安排适当的资源。风险瞬息万变:请找寻可以动态追踪它们的工具,并相应做出反应。但务必确保这些工具简单且足堪使用。 

自动化基础防护。

你不能日复一日浪费时间在产生相同的报告以及执行日常的安全工作上。在可行之处简单且轻松地实现自动化,藉此您可以将宝贵的资源集中在严重的风险和高价值的工作上。 

教育员工和建立流程以阻止和减缓社交攻击。

由于社交攻击现在占主导地位,因此教育使用者和让他们参与预防更加重要。将教育重点放在每个群体最有可能遇到的威胁。并确保流程保持更新:如有关网络钓鱼的过时指南可能会适得其反,产生安全错觉。

改善防范措施的协调作业。

网络犯罪是有组织的犯罪;防范也必须组织化。这意味着应该选择可以消除组织内部障碍的工具和流程,藉此每个人都可以对相同攻击做出快速响应。这也可能意味着您应该在法律和实务面与其他公司和政府合作,藉此可以抵挡广泛攻击,并可从别人的经验中学习。