2021 年伊始,正是反思 Check Point 研究小組在 2020 年看到的威脅、為來年做好準備的好時機。根據《2021 年網路安全報告》,侵犯數千個政府和私營部門組織的 Sunburst 攻擊只是 2020 年網路攻擊的冰山一角。事實上,87% 的組織都經歷過對已知脆弱性的嘗試利用。
除了 Sunburst 的民族國家式攻擊之外,出於經濟動機的威脅行為者還繼續發起惡意軟體活動。他們正在改進其技術,以使用語音網路釣魚、雙重勒索勒索軟體、電子郵件線程劫持以及針對雲端基礎設施的攻擊。也就是說,地平線上也有一些銀色襯裡。
在《2021 年網路安全報告》中,Check Point 研究小組概述了 2020 年主要的網路安全問題、威脅和趨勢。
2020 年 12 月 8 日,網路安全公司 FireEye 透露,他們在其網路上發現了 Sunburst 惡意軟體。對這種感染的調查發現了一項大規模的網絡攻擊活動,影響了 18,000 個組織,財星 500 強的 425 家公司(包括微軟),並且還針對政府機構。
SUNBURST 惡意軟體是透過 SolarWinds Orion 網路管理軟體的受損更新進行分發的。攻擊者利用針對其 Office 365 帳戶的新穎攻擊成功地破壞了 SolarWinds,這使得他們能夠為特權帳戶偽造 Azure Active Directory 令牌,並使用受損的管理員憑證來取得對公司更新管理伺服器的存取權。
透過存取 SolarWinds 更新管理伺服器,攻擊者能夠在開發管道中修改更新以包含後門惡意軟體。這種廣泛的攻擊使其成為迄今為止最成功的供應鏈攻擊。 在 SolarWinds 攻擊中,監控證明首先識別攻擊,然後對該攻擊進行反應至關重要。
防止未來的攻擊需要實施安全性最佳做法,例如:
雖然網路釣魚是最著名的社會工程攻擊類型,但其他技術也同樣有效。通過電話,訪問者可以利用社會工程技術來訪問憑證和其他關鍵信息,繞過 2FA,或說服受害者打開文件或安裝惡意軟件。
維希對企業網路安全的威脅不斷增加。 2020 年 8 月,CISA 和 FBI 發布了有關網路釣魚攻擊的警告,而網路釣魚已被用於惡意軟體活動和 APT 組織。一次高級攻擊使一名青少年在 2020 年接管了幾個名人的推特帳戶。 隨著 deepfake 記錄技術的改進和更廣泛可用,視覺威脅只會變得更糟。
Vishing 是一種低技術攻擊,意味著員工教育對於防範它至關重要。 企業可以教育員工不要放棄敏感信息,並在遵守請求之前獨立驗證來電者身份。
勒索軟體是 2020 年組織面臨的最昂貴的網路威脅之一。2020 年,企業的成本為 20 億美元,較 2019 年的 11.5 億美元上升。 在 2020 年第三季度,平均贖金支付為 233,817 美元,較上一季度增長 30%。
該季度,近一半的勒索軟體事件包含雙重勒索威脅。這項創新旨在提高受害者支付贖金的可能性。 它通過在加密文件之外採用新的第二個威脅,即提取敏感數據並威脅公眾曝光或銷售數據。 雖然備份可以使組織無需付費即可從勒索軟體攻擊中恢復,但敏感和個人資訊外洩的威脅為攻擊者提供了額外的籌碼。
這些雙重勒索攻擊的興起意味著組織必須採取威脅防護策略,而不僅僅是依賴偵測或補救。以預防為中心的策略應包括:
線程劫持攻擊會使用您自己的電子郵件針對您。 在破壞內部電子郵件帳戶後,攻擊者可能會使用包含惡意軟體的附件來回應電子郵件執行緒。這些攻擊利用了電子郵件線程看起來合法的事實... 因為它是。
Emotet 銀行惡意軟體是最大的殭屍網路之一,在惡意軟體排名中名列前茅,並在 2020 年以近 20% 的全球組織為目標。感染受害者後,它會使用受害者的電子郵件將惡意文件發送給新受害者。 另一種銀行惡意軟體 Qbot 採用了類似的電子郵件收集技術。
防止線程劫持需要培訓員工觀察電子郵件是否有網路釣魚跡象,即使來自受信任的來源也是如此,並且如果電子郵件看起來可疑,請透過電話驗證寄件者的身份。組織還應該部署電子郵件安全解決方案,使用人工智慧來偵測網路釣魚並隔離帶有惡意附件和/或連結的電子郵件。
2019 冠狀病毒疫情後,遠端工作的激增使遠端存取成為 2020 年網絡犯罪分子的常見目標。 上半年,針對 RDP 和 VPN 等遠端存取技術的攻擊急劇增加。每天偵測到近一百萬次針對 RDP 的攻擊。
下半年,隨著這些系統中新的脆弱性逐漸為人所知,網路犯罪分子將注意力轉向易受攻擊的 VPN 入口網站、閘道器和應用程式。Check Point 感測器網路針對遠端存取裝置中的八種已知脆弱性的攻擊增加,包括 Cisco 和 Citrix。
為了管理遠端存取的風險,組織應該直接修補易受攻擊的系統或部署虛擬修補技術,例如 IPS。他們還應該透過利用端點檢測和回應 (EDR) 技術部署全面的端點保護來保護遠端用戶,以增強修復和威脅追蹤。
COVID-19 主導行動威脅領域。 由於遠端工作,行動裝置的使用急劇增加,偽裝成與冠狀病毒相關的應用程式的惡意應用程式也是如此。
行動裝置也是大型惡意軟體活動的目標,包括美國的 Ghimob、EventBot 和 ThiefBot 等銀行惡意軟體。APT 組織也針對行動裝置,例如伊朗繞過 2FA 監視伊朗僑民的活動。行動裝置上值得注意的脆弱性是高通晶片中的 Achilles 400 弱點以及 Instagram、蘋果登入系統和 WhatsApp 等應用程式中的脆弱性。
企業可以使用針對非託管裝置的輕量級行動安全解決方案來保護使用者的行動裝置。他們還應該通過僅從官方應用程序商店安裝應用程序來培訓用戶保護自己,以最大程度地減少風險
在我們的主要安全性問題的總結中,我們完全關注 SolarWinds 攻擊技術。 與先前的雲端攻擊不同,先前的雲端攻擊依賴錯誤配置,導致 S3 儲存桶等雲端資產暴露(這仍然是一個問題),而雲端基礎設施本身現在也受到攻擊。
SolarWinds 攻擊者的目標是 Active Directory 聯合服務 (ADFS) 伺服器,這些伺服器也用於該組織的單一登入 (SSO) 系統,用於存取 Office 365 等雲端服務。此時,攻擊者使用一種稱為 Golden SAML 的技術來獲得對受害者雲端服務的持久性和難以檢測的完全存取權。
針對雲端身分和存取管理 (IAM) 系統的其他攻擊也很引人注目。IAM 角色可能會被 16 個 AWS 服務中的 22 個應用程式開發介面濫用。這些攻擊依賴於對基礎架構式服務和軟體即服務提供者的元件、架構和信任策略的深入了解。
企業需要跨公有雲環境的整體可見性,並部署統一、自動化的雲端原生保護。這使企業能夠獲得雲端帶來的好處,同時確保持續的安全性和合規性。
COVID-19 使醫療保健組織成為所有人的首選,包括網絡犯罪分子。 一些惡意軟體活動承諾放棄針對醫療保健的攻擊,但這些承諾沒有任何實質意義——醫院仍然是 Maze 和 DopplePaymer 惡意軟體的焦點。
10 月,CISA、FBI 和 DHS 發布了有關針對醫療保健的攻擊的警告,其中提到了用於部署 Ryuk 勒索軟體的 Trickbot 惡意軟體。此外,國家贊助的 APT 攻擊針對涉及 COVID-19 疫苗開發的機構。
美國醫療保健是網絡攻擊者最受到的目標。 Check Point 研究發現,9 月至 10 月成長了 71%,11 月和 12 月全球成長超過 45%。
在了解 2020 年網路安全問題威脅的同時,也必須注意執法部門在網路安全社群的支持下採取的許多成功行動,以追蹤並起訴世界各地參與網路犯罪的眾多個人和威脅團體。
2020 年網絡執法行動成功的一些例子包括:
2020年的網路威脅和網路安全問題不僅限於2020年。其中許多攻擊趨勢仍在持續,2021 年將帶來新的網路安全問題和網路犯罪創新。為了防範不斷演變的網絡威脅環境,我們制定了以下建議:
要了解有關當今主要網路安全問題的更多信息,請查看完整的2021 年網路安全報告。您也可以要求進行安全檢查,以識別使組織安全威脅的問題。
反映意見