网络威胁形势在不断发展。随着网络攻击者变得更加熟练和有组织,他们的攻击也变得更加复杂。今天,组织面临第五代和第六代网络威胁。这些攻击者意识到近年来在企业网络安全方面取得的进步,并定制了他们的攻击以绕过和克服传统防御。现代网络攻击是多向量的,并使用多态代码来逃避检测。因此,威胁检测和响应比以往任何时候都更加困难。
前 8 种网络攻击类型
为了增加挑战,许多组织在“照常营业”的执行方式上面临着突然而剧烈的转变。COVID-19 大流行促使许多组织在没有充分准备的情况下采用大部分或完全远程办公的员工队伍。对于安全策略依赖于在办公室工作的员工的组织来说,适应这种新的生活方式是一项挑战。
在远程工作世界中,端点是网络犯罪分子的主要目标,也是组织的第一道防线。保护远程员工的安全需要组织了解其员工面临的主要网络威胁,并拥有能够检测、预防和补救这些攻击的端点安全解决方案。
顶级网络威胁内幕
网络犯罪分子不断创新,随着攻击者适应不断变化的环境,组织面临的主要网络威胁也经常发生变化。Research持续跟踪网络威胁形势的趋势和变化,以下是组织当前最应该关注的威胁。
1. 勒索软件
勒索软件是一种恶意软件,旨在使用加密来强制攻击目标支付赎金要求。一旦出现在系统上,恶意软件就会加密用户的文件并要求付款以换取解密密钥。由于现代加密算法在现有技术下是牢不可破的,因此恢复加密文件的唯一方法是从备份中恢复数据(如果可用)或支付随机需求。
勒索软件已成为最明显和最多产的恶意软件类型之一,而 COVID-19 大流行提供了此类恶意软件蓬勃发展的环境。近年来,一些勒索软件变种也演变为执行“双重勒索”攻击。Maze、Sodinokibi/REvil、DopplePaymer、Nemty 和其他勒索软件变体在加密之前窃取文件副本,如果用户拒绝支付赎金要求,就会威胁要破坏它们。虽然这一趋势始于 2019 年底的 Maze,但随着越来越多的团体在 2020 年采用它,它继续增长。
2. 恶意软件
勒索软件是一种恶意软件,但远非唯一类型。恶意软件有多种不同的形式,可用于实现许多不同的目标。恶意软件变种的设计目的可能是从收集和窃取敏感信息到展示不需要的广告,再到对受感染的机器造成永久性损坏。随着不同类型的攻击或多或少对攻击者有利可图,最常见的恶意软件类型每年都会有所不同。2020 年,最常见的恶意软件形式包括:
- Cryptominers:使用受害者的计算机来挖掘加密货币并为攻击者获利的恶意软件。
- 移动恶意软件:针对移动设备的恶意软件,包括恶意应用程序和利用 SMS 和社交媒体应用程序的攻击。
- 僵尸网络恶意软件:感染系统并将其添加到僵尸网络的恶意软件,在僵尸网络控制器的指挥下参与网络攻击和其他非法活动。
- Infostealers:从受感染计算机收集敏感信息并将其发送给恶意软件操作员的恶意软件。
- 银行木马:专门针对财务信息并试图窃取银行网站凭据和类似信息的恶意软件。
- 勒索软件:加密用户计算机上的文件并要求为解密密钥付费的恶意软件。
虽然“前六名”恶意软件类型在全球范围内保持不变,但每种类型恶意软件的百分比因地理区域而异。例如,如网络攻击趋势:2020 年年中报告所述,欧洲、中东和非洲地区是唯一一个僵尸网络恶意软件比针对移动设备的恶意软件更常见的地区。在其他地区,排名保持不变,但相对百分比可能会有所不同。
3. 无文件攻击
防病毒解决方案通常尝试通过检查设备上的每个文件是否存在恶意内容的迹象来检测设备上的恶意软件。无文件恶意软件试图通过不使用文件来绕过这种威胁检测方法。取而代之的是,该恶意软件被实现为一组内置于受感染计算机中的功能的命令。这使恶意软件能够实现相同的目标,但会使某些防御性解决方案更难检测。
无文件恶意软件的主要区别在于它缺少文件。它执行许多与传统恶意软件相同的功能。例如,FritzFrog——一种于 2020 年 8 月检测到的无文件对等 (P2P) 僵尸网络恶意软件——旨在感染系统和挖掘加密货币。
4. 网络钓鱼
网络钓鱼是攻击者用来访问目标系统的最常用方法之一。通常,诱骗用户点击恶意链接或打开附件比定位并成功利用组织网络中的漏洞更容易。网络钓鱼攻击可以实现多种目标,包括凭据盗窃、恶意软件传递、金融欺诈和敏感数据盗窃。
由于其易用性和高成功率,网络钓鱼历来是网络攻击者发起活动的最常用方法。在 COVID-19 大流行期间,随着网络犯罪分子利用在办公室外工作的员工和病毒的不确定性气氛,这种趋势只会加速。
COVID-19 大流行还放大了常见网络钓鱼诱饵的影响。例如,黑色星期五和网络星期一是网络钓鱼者常用的借口,而由于 COVID-19 导致在线购物的兴起使其在 2020 年特别有效。因此,网络钓鱼电子邮件的数量在几周内翻了一番黑色星期五和网络星期一与上月初相比。
5. 中间人(MitM)攻击
许多网络协议通过加密来防止窃听者,这使得流量无法读取。中间人 (MitM) 攻击通过将连接分成两部分来绕过这些保护。通过与客户端和服务器创建单独的加密连接,攻击者可以读取通过连接发送的数据并根据需要对其进行修改,然后再将其转发到目的地。
中间人攻击可以使用 HTTPS 等协议被击败。然而,移动设备的兴起使其成为更危险的攻击媒介。移动应用程序很少或根本没有向用户提供有关其网络连接的可见性,并且可能使用不安全的协议进行通信,容易受到中间人攻击。
6. 恶意应用
许多组织将网络安全工作集中在计算机上,但移动设备对组织的网络安全构成的威胁越来越大。随着员工越来越多地使用移动设备完成工作和访问敏感的公司数据,恶意移动应用程序变得越来越危险。这些应用程序可以做任何桌面恶意软件可以做的事情,包括窃取敏感数据、使用勒索软件加密文件等等。
2020 年,移动恶意软件是全球第二大最常见的恶意软件类型。最常见的移动恶意软件变种——包括 xHelper、PreAMo 和 Necro——都是具有附加功能的木马,包括广告欺诈和点击欺诈。移动恶意软件通常利用移动操作系统中的漏洞,例如2021 年 1 月在一批 43 个 Android 安全补丁中修复的远程代码执行 (RCE)漏洞。
7. 拒绝服务攻击
组织的 IT 基础架构和服务(如 Web 应用程序、电子邮件等)对其开展业务的能力至关重要。拒绝服务 (DoS) 攻击旨在拒绝对关键服务的访问。这可以通过利用应用程序中的漏洞(导致其崩溃)或通过向系统充斥超出其能够管理的数据或请求(使其无法处理合法请求)来实现。在某些情况下,攻击者会执行赎金 DoS 攻击,要求支付赎金以阻止正在进行的攻击或防止受到威胁的攻击。
在 COVID-19 大流行推动的远程工作和学习期间,远程访问解决方案是 DoS 攻击的主要目标。在 2020-2021 学年,针对教育部门的分布式 DoS (DDoS) 攻击急剧增加。这些攻击试图使远程学习服务无法使用或索取赎金以防止或阻止攻击。
8. 零日漏洞利用
软件包含弱点和漏洞,其中许多漏洞都会在生产环境中被攻击者利用。这些生产漏洞由公司内部、外部安全研究人员或网络攻击者发现。在第三种情况下,网络攻击者可以利用系统中的这些“零日”漏洞。在组织设法修补漏洞(使其安全)之前,系统的所有用户都可能容易受到攻击。
2020 年,最著名的零日漏洞之一是 Zerologon,它影响了 Windows 域控制器 (DC)。利用此漏洞的攻击者可以完全控制易受攻击的 DC 管理的网络。在许多组织修补此漏洞之前,网络犯罪分子正在积极利用此漏洞,促使美国政府发出紧急安全指令,要求政府机构立即应用补丁。
超越主要威胁
这份主要威胁列表并不详尽,并未涵盖对企业网络安全的所有活跃威胁。其他常见的网络安全威胁示例包括:
- DNS隧道
- DNS 欺骗
- SQL注入
- 越狱和生根
- 操作系统漏洞
虽然这些潜在的攻击并未列入最常见和最危险的网络威胁列表,但它们仍然构成重大风险。企业安全解决方案还应包括使用这些向量检测、预防和修复攻击的能力。
防范主要网络威胁
随着 COVID-19 推动的远程工作激增,企业网络安全变得更加困难。安全团队现在需要保护在家工作的员工(可能在个人拥有的设备上),而不是大部分在现场工作的员工。这些直接连接到个人网络和公共互联网的系统更容易受到攻击。因此,计算机和移动设备上的端点安全是企业网络安全比以前更加优先考虑的问题。由于潜在的网络安全威胁范围广泛,组织需要一个端点检测和响应解决方案,能够检测并保护其所有员工的设备免受主要网络威胁。