無軟件勒索只需30分鐘,網絡攻擊企業平均響應時間20.09小時
?2021釣魚攻擊增長51%,越來越多來自非郵件渠道
2021年,來自數字網絡渠道的釣魚攻擊引發的黑客攻擊行為急劇增加。根據SlashNext發布報告顯示,2021年發現的1400多萬個惡意URL中,超過半數目的為憑據竊取,從而作為勒索軟件攻擊的入口。相比2020年三位數的增長,今年釣魚攻擊事件增加51%,攻擊越來越多來自非郵件渠道。
由于抓住人們通過APP、瀏覽器作為生活工作連接工具特點,網絡犯罪人員更多選擇手機短信、社交媒體、游戲、協同工具及搜索類應用等,從事網絡犯罪活動。自今年8月以來,從基礎設施發起的魚叉式釣魚攻擊及人為黑客攻擊迅速增加。在識別到的所有惡意URL中,12%(79300個)來自AWS、outlook.com、Azure、sharepoint.com等云基礎設施。
網絡攻擊大量從郵件攻擊轉移到手機短信、社交媒體及網頁為基礎的平臺,社會工程攻擊2020年也迅速增長,從原本只占6%上升到40%。對于企業安全人員而言,攻擊者將網絡釣魚轉移到郵件之外,需要考慮除郵件安全網關、防火墻、代理服務器,還有其他更多類型的威脅,同時還需加強對各種網絡釣魚層面的員工安全培訓與演練。
遠程工作VPN存安全漏洞,可考慮多種安全替代方案
據csoonline指出,隨著2020年疫情出現,大規模的企業員工實行在家遠程辦公,使得VPN暴露出更多其他安全問題。疫情期間,很多企業只快速部署了通用VPN,確保員工可以訪問系統。
但大多數VPN只是針對兩端流量進行加密,提供最低水平的安全性,通常不強制使用多因素身份認證(MFA),而一旦員工在家中遭到攻擊,就可能導致攻擊者通過完全可信的員工訪問憑證訪問公司網絡,大大增加了企業自身的攻擊面。
對此,無論是完全取代VPN,還是增加其他補充安全解決方案,企業都必須意識到并部署更適合大規模遠程工作的替代性方案,并結合自身安全態勢與風險偏好選擇。下面這幾種方案安全專家都一致認為非常有效:
· 零信任網絡訪問(ZTNA)本質上是通過代理訪問網絡應用程序與數據,它能通過最低權限訪問、身份認證、工作憑證以及憑證存儲等額外形式增加安全性,同時執行對特定系統和網絡訪問等VPN的基本功能。在被授予訪問權限之前,該方案總是假設設備或員工賬戶可能會被泄露,會對用戶和設備雙方進行質疑與確認;
· 安全接入服務邊緣(SASE)技術 作為一種基于云的模型,SASE將網絡和安全功能結合為單一的架構服務,從而可以讓企業能夠用一個屏幕以單點統一整個網絡。SASE這種解決方案,主要是滿足了當前企業在網絡性能與安全側的需求,通過額外的網絡功能層以及底層云原生安全架構為企業提供簡化的管理與操作,更低的成本,提升安全可見性及安全性,從而保證企業在任何地方都能安全工作,解決了零信任網絡無法監控端到端流量的問題。
· 統一終端管理(UEM)工具 通過統一終端管理工具進行的條件訪問能夠通過條件訪問能力提供一個無VPN的體驗,在設備上運行的代理會評估各種條件,然后才允許用戶訪問特定資源,如該工具會評估設備的合規性、身份信息、用戶行為等,從而確定該用戶是否確實可以訪問企業數據。通常來說,UEM 提供商會與 ZTNA 提供商集成,從而提供額外保護。
· 虛擬桌面基礎設施(VDI)或桌面即服務工具 這種方案本質是從云(或者本地部署服務器)進行流計算,因此不會有任何東西留在設備本地。不過,企業采用這種作為VPN的替代方案時,仍然需要在設備級檢查,進行用戶身份驗證,從而確保安全。與傳統VPN相比,優點就是不會有數據從虛擬會話復制到本地客戶端。
· 軟件定義邊界(SDP)是基于軟件而不是硬件的網絡邊界,屬于經典 VPN 解決方案的有效替代品。它不僅可以使用多因素身份驗證,對網絡進行分割,同時還可以配置用戶以及連接的設備,創建規則只接入不同場景下真正需要的內容。一旦在網絡中檢測到可疑行為,SDP 能更輕松阻止對資源的訪問,有效隔離潛在威脅,最大限度減少攻擊造成的損害,并在誤報情況下保持生產,而不是完全禁用設備。
130個不同勒索家族近一年半內保持活躍,Wannacry排第五
近日,谷歌發布報告,通過對過去一年半內VirusTotal服務的超過 8000 萬個勒索軟件樣本進行分析,發現自 2020 年 1 月以來至少有 130 個不同勒索軟件家族處于活躍狀態。在對大約100萬個有代表性且經過雙重檢查的勒索軟件樣本更深入分析時,發現最活躍的五個軟件家族分別是Gandcrab、Babuk、Ceber、Matsnu、Wannacry。
報告指出,Gandcrab勒索軟件即服務操作占據最常見勒索軟家族榜首,占比78.5%,在2020年第一季度異常活躍,之后急劇下降,但當前仍然活躍。排在第二位的Babuk,則在今年7月的用戶提交量達到頂峰。另外,還有一項讓人吃驚的發現,即只有 5% 的檢查樣本包含漏洞利用,典型的勒索軟件不會利用漏洞來破壞企業的防御,主要原因在于勒索軟件樣本通常是使用社會工程或通過病毒釋放器(即安裝惡意軟件的小程序)部署。
在勒索軟件分發方面,除非特權提升和惡意軟件在內部網絡傳播需要,攻擊者似乎不需要漏洞利用。不過,這并不代表企業不需要對漏洞進行修補,相反企業仍需加強對漏洞的管理,同時讓企業所有員工提高對于勒索軟件的認識,并采取相關技術手段加強業務安全性。
無需勒索軟件,快速網絡敲詐勒索時間可在30分鐘甚至更短
據NCC集團威脅情報團隊的報告顯示,一個名為 SnapMC 的新組織可在30分鐘甚至更短的時間內破壞企業系統,并竊取敏感數據,要求被勒索企業付款,整個過程不需要勒索軟件。
據了解,該組織使用用于 ASPX.NET 的Telerik UI中的CVE-2019-18935遠程代碼執行錯誤以及使用 SQL 注入的網絡服務器應用程序,成功破壞了未修補且易受攻擊的 VPN,并沒有通過鎖定目標企業的數據和系統來擾亂業務運營,而是專注于直接敲詐勒索。
分析師稱,這次完全放棄攻擊的加密部分,屬于勒索軟件商業模式的進一步演變,這種在更短的時間進行簡單攻擊的趨勢,可能會持續下去。對此,企業需要確保只有經過授權且安全的用戶或設備才能訪問企業基礎設施,同時隨著數據泄露勒索攻擊需要的時間、技術深度與技能更少,通過更加精準的檢測能力及時檢測到此類攻擊,并在短時間內執行事件響應計劃至關重要。
世界網絡攻擊平均響應時間為20.09小時,金融行業響應最快
近日,網絡安全公司Deep Instinct發布最新研究,世界各地企業響應網絡攻擊平均需要2個工作日以上,報告基于對11個國家1500名高級網絡安全專業人士進行調研。調查顯示,全球針對網絡攻擊的平均響應時間為20.09小時,較大企業響應更快,平均響應時間為15小時,較小企業行動相對較慢,平均需要25個小時才采取行動。
從行業角度來說,金融行業的響應速度更快,平均響應時間為16個小時。公共部門和醫療衛生部門可能出于資源不足響應最慢,各自平均需要24.4小時和24.0小時來解決。
研究也暴露了企業的安全狀況差距,包括缺乏對端點的全面覆蓋,云存儲風險的暴露以及惡意文件被內部上傳到生產系統。根據報告指出,限制企業威脅防護能力最重要的四個因素分別是:企業當前堆棧缺乏全新惡意軟件的全面預防、無法在0day威脅激活前將其識別、缺乏訓練有素的安全人員能夠實施防御措施以及受限于需要保護的終端數量。
另外,有三分之一的受訪者認為,部署終端代理的最大挑戰是云;80%的受訪者表示存儲在云中的漏洞會成為不會被檢查到的漏洞;68%的則表示,擔心同事會不小心上傳惡意文件。對此,企業不僅需要將員工這第一道防線進一步牢固,還需通過自動化響應提升整體的響應速度,進一步發揮終端代理的作用,提升終端代理的運營效率。
