2020年上半年威胁态势显示：攻击者正在大规模利用全球疫情大流行

2020-08-26 11:49:56 福瑞鑫智能科技

本文着重介绍了Fortinet 全球威胁研究与响应实验室发布的《全球威胁态势报告》关于 2020 年上半年的关键要点。

没有人能预测到 2020 年网络安全行业内外会发生影响程度如此之深的变化。今年上半年，网络犯罪分子和国家级黑客利用新冠疫情的全球大流行在全球范围内发起众多针对性网络攻击，其目的性和攻击能力让人瞩目。他们利用个人的恐慌和大流行的不确定性作为攻击策略。这些攻击结合使用不同的策略，并主要将攻击矛头指向骤然增加的新晋远程办公人员。实际上，由于数百万远程办公人员易受攻击的家庭网络和设备以及不受保护的浏览器，数字攻击面几乎在一夜之间就扩大了数倍。

【完整报告下载链接：https://www.fortinet.com/content/dam/maindam/PUBLIC/02_MARKETING/08_Report/Threat-Report-H1-2020.pdf】

与此同时，其他攻击仍在继续上演。举例来说，网络犯罪分子还继续使用勒索软件，但比以往任何时候都更加依赖“勒索软件即服务”的模式，并且勒索方式有所改变。为了索取赎金，勒索攻击者不仅对有价值的数据进行加密，还威胁将这些数据的加密版本发布到网上。勒索攻击者要挟称，如果受害公司不支付赎金，就公开其从客户信息到知识产权等所有数据。

上半年回顾：《全球威胁态势报告》的关键要点

2020 年上半年，不断演进的工作环境以及对个人设备使用的日益依赖为更多网络威胁活动打开了大门。下面是《全球威胁态势报告》最新版中揭示的第一季度和第二季度的几大网络趋势：

利用全球性事件

攻击者之前利用新闻中的主题作为社会工程攻击的诱饵，但在 2020 年上半年，攻击手段达到一个新高度。从投机的网络钓鱼者到诡计多端的国家级攻击者，网络攻击者寻求通过多种方式来利用全球大流行，以牟取可观的非法利益。这包括网络钓鱼和企业电子邮件攻击、国家支持的攻击活动和勒索软件攻击。他们竭力最大程度地利用这场影响世界各地每个人的全球大流行，以及随之急剧扩大的数字攻击面。这些趋势不容小觑，并且充分表明了攻击者可以快速利用具有广泛社会影响的重大全球事件。

边界不断扩大

远程办公的兴起使公司网络几乎在一夜之间发生了急剧变化，网络攻击者也开始趁虚而入。2020 年上半年，针对多种消费级路由器和 IoT 设备的漏洞利用尝试位列 IPS 入侵检测榜首。此外，在有关最流行僵尸网络的检测中，Mirai 和 Gh0st 占主导地位，这是由于攻击者对物联网产品中的新旧漏洞的兴趣明显增长。这些趋势不容忽视，因为我们可以从中发现，随着网络犯罪分子通过利用远程工作者可能用来连接组织网络的设备在企业网络中获得立足点，网络边界已扩展到家庭。

网络浏览者也是目标

对于攻击者而言，向远程办公的转变为其通过多种方式将目标瞄准毫无戒心的受害者提供了前所未有的机遇。举例来说，在今年早些时候，网络钓鱼和其他诈骗活动对基于 Web 的恶意软件的使用量赶超传统的电子邮件传输载体。实际上，一种包含所有基于 Web 的网络钓鱼诱饵和欺诈的变体的恶意软件家族曾在 1 月和 2 月连续位居恶意软件排行榜首位，但在 6 月跌出前五名。这可能表明，当个人最易受攻击和受骗时，即在家中游览 Web 时，网络犯罪分子便会将他们锁定为攻击目标。随着网络犯罪分子不断将攻击目标瞄准远程工作者，Web 浏览器已不只是设备，还是网络犯罪分子的首要攻击目标，而且攻击力也许比往日更甚。

勒索软件依然坚挺

在过去六个月中，勒索软件等知名威胁并未偃旗息鼓。许多不同的勒索软件活动都使用以新冠肺炎疫情为主题的邮件和附件作为诱饵。而且调查发现，攻击者在对数据进行加密之前，会通过其他勒索软件重写计算机的主引导记录 (MBR)。此外，为了索取赎金，在越来越多的勒索软件攻击中，攻击者不仅锁定受害组织的数据，而且还窃取这些数据，并威胁进行大规模泄密。这一趋势大大增加了组织在未来的勒索软件攻击中丢失宝贵信息或其他敏感数据的风险。在全球范围内，没有任何行业可以幸免于勒索软件活动。数据显示，勒索软件攻击最感兴趣的五个行业分别是电信、MSSP、教育、政府和科技行业。不幸的是，将勒索软件作为服务销售 (RaaS) 的趋势以及部分变体的演变充分表明，勒索软件构成的威胁并没有消失。

2020年上半年威胁态势显示：攻击者正在大规模利用全球疫情大流行

【图：2020年上半年检测到勒索软件威胁的行业百分比】

Stuxnet 之后的OT威胁

今年 6 月是 Stuxnet 问世十周年，该病毒对OT相关威胁的演进和OT安全发展起到了重要作用。多年以后的今天，OT网络仍然是网络攻击者的攻击目标。今年早些时候出现的 EKANS 勒索软件表明了攻击者正不断扩大勒索软件攻击范围，以涵盖OT环境。此外，Ramsay 间谍框架旨在收集和窃取物理隔离网络或高度受限的网络中的敏感文件，这是攻击者寻求通过新方式入侵这类网络的一个例证。针对监控和数据采集 (SCADA) 系统以及其他类型的工业控制系统 (ICS) 的威胁在数量上少于影响 IT 的威胁，但这并不会削弱这一趋势的重要性。

漏洞利用攻击趋势

通过查看历来的 CVE 漏洞列表，可以发现在过去几年中，新公布漏洞的数量增加，从而引发了人们对补丁优先级的讨论。尽管 2020 年公布的漏洞数量有望打破单年纪录，但今年新增漏洞其利用率也创下了 CVE 漏洞列表 20 年来的最低水平。同时，2018 年的漏洞利用率最高，达到 65％，并且超过四分之一的组织报告称遭到了存在 15 年之久的 CVE 漏洞的尝试攻击。对于网络攻击者而言，通过合法和恶意黑客工具进行大规模漏洞利用开发和分发仍需要时间。

现在这对首席信息安全官 (CISO) 意味着什么？

CISO 应利用本报告中提供的情报来评估和更新当前的安全措施，从而确保以适当的方式防御这些攻击媒介和策略。

保护远程工作者的端点设备

第一步是重新审视远程工作者的安全状况，以确保采取适当的安全措施来保护在远程位置使用的数据、应用和资源，并确保它们不会为恶意软件潜入公司网络提供可乘之机。这首先要确保在最终用户设备上实施适当的安全措施，尤其是要注意保护浏览器的活动，因为 2020 年上半年通过网络钓鱼和其他诈骗活动发送的基于 Web 的恶意软件超过了传统的电子邮件传输载体。

仅使用传统杀毒 (AV) 和端点保护措施已无法有效保护端点设备。FortiEDR 等新端点检测和恢复 (EDR) 解决方案不仅能识别复杂攻击，还能阻止任何未知应用（例如恶意软件）在未经分析的情况下运行。

检查勒索软件安全措施

组织应该已经制定了可靠的勒索软件策略。这应该包括使用内容撤防和重建工具清除电子邮件中的恶意内容的能力。作为 ZTNA 策略的一部分，需要对网络进行分段，以限制可能受影响的资源。并且需要离线存储完整的数据备份，以确保快速恢复。此外，还需要对网络内部的数据进行加密，以确保网络犯罪分子无法使用或暴露这些数据。这些都需要与定期实施的全面响应策略结合使用，从而消除停机时间。

确保检查所有虚拟专用网流量

随着针对家庭路由器及其连接设备（例如 DVR）的攻击的不断增加，必须对VPN连接进行全面检查以查找源自远程办公者家庭网络的恶意软件，这一点至关重要。这就要求部署适当的防火墙——不仅能够管理急剧增加的 VPN 流量，而且还可以管理检查加密流量所需的繁重处理负载。

加强OT环境的安全性

考虑到运营技术环境攻击的日益增加，必须实施适当的安全措施来限制用户、设备、应用和工作流可以访问的资源。Fortinet的全面零信任网络访问 (ZTNA) 解决方案将旨在保护运营技术环境和系统的访问控制和网络安全解决方案与访问点和网络分段等网络功能结合在一起。这可以确保即使恶意软件成功绕过了边缘安全策略，也会被限制在一个很小的OT网络分段内。

根据报告调查结果，采取关键对策

这只是对 2020 年上半年《全球威胁态势报告》全文的简要概述，强烈建议首席信息安全官 (CISO) 和其他安全专业人员阅读该报告，查看其中的建议，并采取适当措施以应对文中详述的趋势。

众所周知，攻击和数据泄露尝试是不可避免的。因此，除上述具体建议外，组织还应集中精力于战略层面的工作，包括开发强调预防和事件响应的安全框架，同时借助 AI 功能减少攻击事件的经济影响。根据波耐蒙研究所开展的一项研究，全球六年的平均数据泄露成本高达 378 万美元。尽管数据泄露的经济影响可能会因多种因素而有所不同，包括根本原因、网络规模和组织所拥有的数据类型，但该成本只会随着针对性攻击的增多而增加。

2020年上半年威胁态势显示：攻击者正在大规模利用全球疫情大流行

购物指南

售后服务

支付方式

配送方式