人们需要关注2019年遇到的比较大网络威胁以及在2020年的发展趋势,并且为此如何改变防御策略。
进行网络安全预测很有趣,但对必须确定应对威胁的安全专业人员而言,并不一定有帮助。Akamai公司安全情报响应团队的高级工程师Chad Seaman说:“对于未来的发展,其实无法真正做出正确的预测,因为总是有来自其他领域的东西才是真正的问题所在。”
如果人们对2020年比较大的威胁是一些新事物并且无法预测,那么如何才能更好地集中精力迎接新的一年?首先从规模和策略上,了解2019年比较常见的重大威胁,以及将在2020年在规模和策略上可能会有什么变化。
安全行业机构调查和研究了有关2019年比较常见、比较重要威胁,研究人员就这些威胁的发展趋势以及企业在2020年如何调整防御措施提供了建议。
1.设备的恶意软件感染
保护端点仍然是企业面临的难题。根据卡巴斯基公司发布的《2019年IT安全经济学》调查报告,2019年约有一半的企业的设备遭受了恶意软件感染。一半企业还发现员工拥有的设备上感染了恶意软件。
对于企业而言,卡巴斯基报告中提到的企业设备的恶意软件感染是成本最昂贵的事件,平均每次事件损失成本为273万美元。对于中小型企业来说,这个数字要少得多,平均损失为117,000美元。
2020年的预期:卡巴斯基安全研究员Dmitry Galov认为,企业员工拥有的设备在2020年带来的风险将会增加。他认为企业更愿意允许员工使用自己的设备来削减成本、实现远程工作以及提高员工满意度。其结果是,网络攻击者将针对个人设备进行攻击,并且可以绕过企业防火墙的防御。他说:“默认情况下,用户的个人设备往往比企业设备受到的保护要少,因为普通用户很少采取额外措施来保护自己的手机和电脑免受潜在威胁。只要这种趋势持续下去,企业和员工拥有的设备感染就会出现。这种攻击方式仍然具有吸引力,因为攻击者不再需要以企业账户为目标(例如将钓鱼邮件发送到公司邮箱)。”
2020年的最佳建议:Galov认为,企业必须审查和更新其针对个人设备的政策,然后实施这些政策。他说:“严格的企业安全政策、正确的权限管理以及为用户提供安全解决方案都是保护企业及其数据的必备条件。除了管理技术问题之外,安全意识培训也很重要,因为它们可以培养员工的网络安全标准。”
2.网络钓鱼
根据Verizon公司发布的《2019年数据泄露调查报告》,在2019年,近三分之一的数据泄露涉及网络钓鱼。对于网络犯罪分子的攻击,这个数字上升到78%。由于功能齐全、现成的工具和模板,网络犯罪分子的网络钓鱼技术变得越来越巧妙。
Akamai公司发布的SOTI报告指出:网络钓鱼套件开发商对外出售网络钓鱼即服务软件。一些开发商拥有店面,并在社交媒体上进行宣传,其价格从99美元起,并根据所选的邮件攻击服务而上涨。所有套件均具有安全性和逃避功能。调查报告的作者说:“低廉的价格和顶级品牌目标很有吸引力,这为网络犯罪分子创造了进入网络钓鱼市场的更低门槛。其中的一些顶级品牌目标包括Target、谷歌、微软、苹果、Lyft和沃尔玛。”
2020年的预期:网络钓鱼套件开发商将提供更精细的产品,进一步提高发起网络钓鱼活动所需的技能。根据IDG公司安全优先权的调查,44%的公司表示,提高安全意识和员工培训优先权是2020年的首要任务。网络攻击者将通过减少或隐藏网络钓鱼的常见迹象来提高其网络钓鱼活动的质量。如果网络攻击者通过欺诈性或泄露的内部或第三方账户发送看起来合法的网络钓鱼尝试,也可能更多地使企业电子邮件泄露(BEC)。
2020年最佳建议:企业需要保持最新的反网络钓鱼培训并使之持续进行。为了应对企业电子邮件泄露(BEC),需要制定相应的政策,要求所有收到有关资金或付款指示的员工都必须通过电话进行确认。
3.勒索软件攻击
勒索软件攻击并不是最常见的网络安全事件,但可能是损失比较高的事件之一。根据卡巴斯基公司发布的《2019年IT安全经济学》调查报告,2019年大约40%的企业经历了勒索软件攻击事件。对于大企业来说,每起勒索软件攻击事件的平均损失为146万美元。
根据Sophos Labs发布的2020年威胁报告,端点保护工具在检测勒索软件方面变得越来越完善,但这已使勒索软件开发人员更好地学习了这些工具使用的技术。Sophos公司下一代技术工程总监Mark Loman说:“改变恶意软件的外观要比改变其目的或行为容易得多,这就是为什么现代勒索软件依靠模糊处理技术才能成功的原因。但是,到2020年,勒索软件将通过更改或添加特征来混淆一些反勒索软件的保护,从而增加风险。”
这种混淆是为了使勒索软件看起来像是来自受信任的来源。Sophos公司的调查报告引用了几个示例:
- 编写脚本,列出目标计算机,并将它们与Microsoft Sysinternals的PsExec实用程序,特权域账户和勒索软件结合在一起。
- 通过Windows组策略对象利用登录/注销脚本。
- 滥用Windows管理界面在网络内部大规模分发。
2020年的预期:Loman认为,勒索软件攻击者继续完善自己的方法来发挥自己的优势。他说:“最显著的进步是,勒索软件攻击者通过主动攻击来提高成功率,这种主动攻击将网络攻击者的创造力与自动化工具融合在一起,从而产生较大的影响。此外,通过仅加密每个文件的相对较小的部分,或将操作系统引导至通常无法使用反勒索软件保护的诊断模式,大多数防御措施都难以抵御网络攻击者的攻击。”
卡巴斯基公司的Galov说:“今年的勒索软件攻击来势汹汹,没有理由忽略这种威胁。勒索软件越来越多地将基础设施、企业甚至智慧城市作为攻击的目标。”
勒索软件开发人员将使他们的代码更加隐蔽,以便他们可以在系统中建立立足点,加密更多数据而不会被发现,并可能将操作扩展到其他网络。Galov说:“今年,我们甚至看到了对网络附加存储(NAS)的攻击。”
2020年的优秀建议:一如既往,防范勒索软件的优秀方法是对所有关键数据进行最新的、经过测试的备份。将这些备份与企业网络隔离,这样它们也不会被勒索软件加密。员工培训也很重要。Galov说,“为了保护自己免受勒索,企业需要执行严格的安全政策,并向员工介绍网络安全培训,需要额外的保护措施,如保护对数据的访问,确保其备份的安全存储,以及在服务器上实施应用程序白名单技术。”
Loman说:“重要的是要有强大的安全控制、监控和响应,覆盖所有端点、网络和系统,并在发布软件更新时安装它们。”
4.第三方供应商的风险
卡巴斯基公司在2019年发布的《IT安全经济学》报告中表示,大企业和中小企业都发现与第三方供应商(服务和产品)有关的攻击事件分别相似,分别为43%和38%。根据One Identity公司的一项调查显示,大多数企业(94%)授予第三方访问其网络的权限,而72%的企业授予特权访问的权限。但是,只有22%的企业对那些第三方没有访问未经授权的信息充满信心,而18%的企业报告说由于第三方的访问而导致数据泄露。
卡巴斯基公司的研究表明,很多企业都在迫使第三方供应商签署安全政策协议——75%的中小企业和79%的企业使用这些协议。当第三方对违约行为负有责任时,从第三方获得赔偿,这就产生了很大的不同。在签署安全政策协议的企业中,71%的企业表示获得了补偿,而没有签署安全政策协议的企业中只有22%获得了补偿。
2020年的预期:企业与供应商和合作伙伴之间的数字联系将更加紧密。这既增加了风险,也提高了人们对风险的认识。不幸的是网络攻击者变得越来越老练。
Galov说,“最近,我们发现诸如BARIUM或APT41之类的一些新组织对软件和硬件制造商进行了复杂的供应链攻击,以便渗透到全球安全的基础设施中。其中包括2017年和2019年发现的两种复杂的供应链攻击:CCleaner攻击和ShadowPad攻击,以及其他针对游戏公司的攻击。处理来自这些威胁参与者之一的妥协是一个复杂的过程,因为他们通常会留下后门,从而使他们在返回之后造成更大的破坏。”
2020年优秀建议:了解谁可以访问企业的网络,并确保他们仅拥有所需的特权。制定政策、沟通和执行第三方访问规则。确保为所有第三方供应商制定了安全政策,规定了责任、安全期望以及事故发生时的情况。
Galov说:“明智的企业可以保护自己免受此类攻击,要确保不仅他们自己,而且他们的合作伙伴都遵守高网络安全标准。如果第三方供应商可以通过任何方式访问内部基础设施或数据,则应在整合过程之前制定网络安全政策。”
5.DDoS攻击
卡巴斯基公司在2019年发布的《IT安全经济学》调查报告表明,2019年有42%的大企业和38%的中小型企业遭受了分布式拒绝服务(DDoS)攻击。这与勒索软件事件的发生率相当,勒索软件事件更受媒体关注。从财务角度来看,每次DDoS攻击将使中小企业平均损失138000美元。
攻击者不断创新以提高其DDoS攻击的效率。 例如,在今年9月,Akamai报告了一个新的DDoS向量:Web服务动态发现(WSD),这是一种用于在本地网络上定位服务的多播发现协议。使用Web服务动态发现(WSD),网络攻击者可以大规模定位和破坏配置错误的与全球互联网连接的设备,从而扩大DDoS攻击的范围。
2020年的预期:由于5G的兴起和物联网设备的数量增加,卡巴斯基公司Galov认为2020年DDoS攻击仍将相当突出。他说:“供水、电网、军事设施和金融机构等关键基础设施的传统边界将进一步扩展到5G世界中的其他前所未有的领域。所有这些都需要新的安全标准,而提高连接速度将在阻止DDoS攻击发生方面带来新的挑战。”
2020年优秀建议:Akamai的Seaman说,“企业需要检查其互联网连接设备是否配置错误和未修补的漏洞,这是基本的网络安全措施。”
不幸的是,这并不能帮助减少消费类设备的DDoS攻击风险。
6.应用程序漏洞
根据Veracode公司发布的软件安全状态第10卷调查报告,在该公司测试的85000个应用程序中,83%的应用程序至少有一个安全缺陷。很多应用程序都有更多的漏洞,因为研究发现总共有1000万个漏洞,20%的应用程序至少有一个严重性很高的漏洞。这就给网络攻击者留下了许多潜在的零日漏洞和可利用的漏洞。
2020年的预期:尽管安全和开发团队做出了较大的努力,漏洞仍将继续渗透到软件中。Veracode公司联合创始人兼首席技术官Chris Wysopal说,“当今大多数软件都是非常不安全的。这一趋势将在2020年持续,尤其是90%的应用程序使用开源库中的代码。我们在2019年看到了应用程序安全的积极迹象。企业越来越关注于不仅要发现安全漏洞,而且要解决这些漏洞,并优先考虑使它们最容易受到威胁的漏洞。我们的调查表明,发现和修复漏洞与改善功能一样,已成为整个过程的一部分。”
2020年优秀建议:正如Veracode公司研究显示的那样,更频繁地扫描和测试企业的应用程序是否存在漏洞,同时优先解决最严重的漏洞,这是一种有效的防御措施。Wysopal还敦促企业密切注意担保债务。他说:“应用程序安全性内日益增长的威胁之一是安全债务的概念,无论应用程序是累积的还是随着时间的推移消除了缺陷。越来越多的安全债务使企业容易受到攻击。
Wysopal表示:“就像信用卡债务一样,如果企业在开始时有大量余额,并且仅支付每个月的新支出,那么将永远不会消除余额。企业必须解决新的安全性隐患,同时又要消除旧的安全性隐患。”
7.云服务/托管基础设施泄露事件
根据卡巴斯基公司在2019年发布的《IT安全经济学》报告,2019年有43%的企业发生了影响第三方云服务的安全事件。虽然与云计算相关的泄露事件并没有成为中小企业最常见的列表,但对于通常更依赖托管服务的中小公司来说,这些事件代价高昂。影响中小型企业托管基础设施的泄露事件平均为162000美元。
在线支付欺诈是2019年欺诈活动增加的一个领域。去年,犯罪集团Magecart公司在过去的一年里相当忙碌。该组织使用代码,利用云中的错误配置修改购物车代码。使用在线电子商务服务的企业直到客户投诉欺诈性收费时才意识到这一事件。
企业仍然需要担心云服务的错误配置会导致数据暴露在互联网上。攻击者定期扫描互联网以获取公开数据。幸运的是,亚马逊和谷歌等云计算供应商在2019年推出了新的工具和服务,帮助企业正确配置其云计算系统,并发现导致数据不受保护的错误。
2020年的预期:恶意代码的持久力和经济回报(仅Magecart公司获利估计就达数百万美元)意味着在线支付欺诈在2020年将会增加。Magecart公司的成功势必会激发模仿者采取行动。企业将通过在云安全方面花费更多的资金来应对这种和其他云计算威胁。根据IDG公司安全优先研究,只有27%的企业在生产中使用云计算数据保护技术,但是49%的企业正在研究或试用该技术。
2020年优秀建议:对电子商务脚本进行源代码审查,并实现资源完整性,以便未经企业的许可不会加载修改后的脚本。确保企业的云计算提供商对自己的代码进行评估以防止欺诈。定期扫描配置错误,防止企业数据在全球互联网上公开。
8.物联网漏洞
根据美国安全行业协会(SIA)2019年安全大趋势的调查报告,物联网(IoT)及其生成的数据是2019年对安全从业人员影响第二大的趋势。物联网的发展充满热情并且难以预测。研究机构Statista公司估计,到2020年将有66亿到300亿个互联网连接设备。
对于大多数企业而言,物联网带来的威胁已成为2019年的头等大事。Marsh Microsoft 公司发布的2019年全球风险感知调查报告表明,66%的受访者将物联网视为网络风险,23%的受访者认为该风险极高。CyberX公司副总裁、工业网络安全总裁Phil Neray说。“这些物联网设备是攻击者的软目标,因为它们通常没有打补丁或者配置错误,并且由于不支持端点安全代理而被不受管理。其结果是,它们很容易受到对手的侵害,从而在企业网络中立足,进行破坏性勒索软件攻击,窃取敏感知识产权,并进行DDoS攻击和加密劫持而窃取计算资源。”
CyberX公司发布的《2020年全球IoT/ICS风险》调查报告指出了过去12个月中使物联网设备易受攻击的最常见安全漏洞。报告表明一些方面得到显著改善。远程访问的物联网设备减少30%,其中在54%的设备中发现了此漏洞。直接互联网连接也从40%下降到27%。
另一方面,71%的网站发现了过时的操作系统,而去年这一比例为53%,66%的网站未能进行自动防病毒更新,而去年这一比例为43%。
2020年的预期:Neray认为,随着物联网设备数量的增加以及网络罪犯的动机和成熟度的增加,2020年工业环境将面临严重风险,其中包括能源设施、制造业、化工行业等,他表示,“对于药品、石油和天然气等行业领域的攻击可能导致更严重的后果,将导致代价高昂的工厂停工、对人身安全的威胁和环境事故。”
Neray说,“建筑物管理系统(BMS)将成为网络攻击者的主要目标。它们通常由对安全性缺乏专门知识的设施管理团队进行部署,通常不知不觉地暴露于全球互联网,并且不受企业安全运营中心(SOC)的监视。”
2020年优秀建议:Neray建议企业遵循多层次的纵深防御策略,例如:
- 更加强大的网络细分
- 限制具有强大访问控制(例如2FA和密码库)的第三方承包商对工业控制网络的远程访问
- 无代理网络安全监控,可在对手攻击或关闭其设施之前快速检测和缓解物联网攻击。
最终,最好的防御措施更多地取决于企业而不是技术方法。Neray说,“在TRITON对沙特阿拉伯一家石化厂的安全系统的攻击中,主要缺陷之一是没有人认为自己最终对工业控制网络的安全负责。其结果是,安全监控严重失误,没有人检查安装在DMZ中的防火墙是否已由外包公司正确配置。我们对企业首席登记处安全官的建议是找到立足点,掌握物联网和运营技术安全性,并以整体方式将联网和运营技术安全性与IT安全性相结合,并集成到企业安全运营中心(SOC)的监视工作流和安全性堆栈中。”
9.加密货币劫持
最后,以一些好消息来结束这个趋势预测:预计到2020年,加密货币攻击将会减少。尽管在卡巴斯基公司的《2019年信息技术安全经济学》调查报告中,加密货币攻击并没有成为大企业或中小企业最频繁攻击的列表,但事实证明,在2019年,这些攻击对很多企业来说代价高昂,他们的平均成本损失为162万美元。
2020年的预期:加密货币的发生率随着加密货币的价值波动而变化,但是攻击者执行加密货币劫持方案的难易程度意味着这种威胁将持续到2020年。Galov说,“在2019年,加密货币一直在稳步下降,我们看不出有什么理由这种趋势会发生变化。加密货币的获利能力下降,也受到与这种威胁作斗争的影响。”
2020年优秀建议:使用安全解决方案来检测加密货币威胁,并密切注意加密货币价值的迅速上涨,这将促使更多的加密劫持的攻击。