网络安全公司CrowdStrike近期发布了《CrowdStrike 2021年全球威胁报告》(以下简称“报告”),该报告揭示了未来一年值得关注的那些正在不断上升的威胁,尤其是对企业而言。
报告显示,攻击者将目光进一步的转向高价值的目标,如企业、机构等,这一趋势在近年来已经显现,因为这些目标可以令攻击者预期获得的潜在利润更高,同时,不同的攻击者或组织,不仅在持续的研发新的攻击工具和程序,同时还会结成联盟,从而加强其攻击的力度和范围。
CroweStrike高级副总裁Adam Meyers在接受采访时表示,在过去的18个月里,攻击者的动作不断升级,他们意图“窃取尽可能多的数据”,然后他们会G告知受害者,‘如果你不付钱,那么就会公布所有这些敏感数据’,这可能会对声誉、监管两方面产生不利影响。
在疫情下,攻击者们非常关注大量企业、机构因此而转为远程办公模式所带来的“机会”,而一些公共卫生部门也成为了他们的目标。在这份报告中,有71%的网络安全领域受访者表达了对利用疫情来发起的勒索软件攻击,而另一方面,2020年还发生了可能是历史上最复杂且影响最深远的供应链攻击。
对企业而言,最好的防御手段是获知正在不断进化的威胁,在遇到攻击事件时可以迅速采取行动,并尽量主动使用先进的安全解决方案。“你必须采用下一代的解决方案,传统的反病毒已经死了(Antivirus is dead)”Adam Meyers说到。
CroweStrike的这份长达40页的报告跟踪和分析了全球主要网络攻击者的活动,其调查结果是利用机器学习、来自一线网络分析师的第一手观察等汇编而成,内容中涉及了是针对目标企业的趋势、威胁和安全最佳实践。
围绕疫情展开的网络攻击威胁
卫生健康部门毫无疑问将会面临重大的安全威胁,特别是制药公司、生物医学研究公司和政府实体等都会被重点关注,攻击者早期针对的可能是疫情相关的数据(如感染率以及疫情应对措施等),而后则转向这些企业、机构在疫苗研究方面的数据,报告显示,至少有104个医疗机构已经感染了勒索病毒。
另外,利用疫情发起的网络钓鱼攻击也同样高发,报告称在此类攻击多针对的是如美国企业救助计划(PPE)、财政援助以及其他相关的经济刺激计划。同时,攻击者他们还冒充世界卫生组织(WHO)和美国疾病预防控制中心(CDC)等医疗机构提供检测和治疗信息的方式用以实施攻击。
与疫情密切相关的还有办公模式的转变,随着远程办公这种模式被越来越多的企业所使用,但其中不少企业在与之相应的安全措施方面却并不到位,这意味着大量承担工作任务的个人电脑自身都存在着巨大的安全隐患,包括一些家庭中使用的其他具有安全隐患网络共享设备一旦感染恶意软件,都有可能会给企业带来危害。
供应链攻击将会达到新的高度
供应链攻击并非是新鲜事物,但2020年发生的事件一时间成为了网络安全界的头条新闻——一个有着深厚背景的黑客组织入侵了IT软件供应商Solarwinds的网络,并隐藏了264天,并通过隐藏在多个软件更新中的恶意软件攻击客户。报告指出,SEC确认了至少1.8万个潜在受害者,包括顶级企业和政府。
供应链攻击具有极强的破坏性,有着多米诺骨牌效应,通过一个入侵就可能会导致多个下游目标遭受攻击。Adam Meyers表示:“这次袭击的范围、深度和持续时间都是前所未有的。”
勒索软件攻击仍会增长
在不断增加的勒索软件攻击活动中,多重勒索的方式被加速应用,该报告警告称,这种做法在2021年可能会继续增加。这与数据保护专家Acronis最近发布的另一份报告相呼应,那份报告宣称“2021年将是敲诈勒索之年”。
攻击者利用暗网发布部分窃取的数据内容,并作出详细的说明,以证明自己已经获取了受害者的敏感数据,然后通过这种方式向受害者施加压力,以满足自己的赎金要求。报告称,在2020年中,至少有23家主要的勒索软件运营组织通过这种方式发起攻击,而受害者平均支付的赎金数额高达110万美元。
攻击者还把目光放在那些非传统行业的企业,尤其是品牌价值高的,对于这些企业而言,如果发生数据泄露事件,无疑将会立刻成为新闻和社交媒体的热点,具有轰动效应,这对那些勒索软件攻击者而言就成为了索取高额赎金的筹码。
报告指出,工业、制造业都会是勒索软件攻击的主要目标,此外在科技和零售行业的风险也很高。
企业应如何做好防御
那么面对这些风险,应如何防御?Adam Meyers建议企业要做好5件事。
1、做好企业内的安全措施。这并非空话,它意味着企业要遵循一些最佳实践去建立、拥有多种保护措施,包括可靠的漏洞管理、补丁周期和最小权限原则等等。
2、做好防御相应。CrowdStrike推荐1-10-60规则,指的是在一分钟内识别攻击,在10分钟内做出反应并进行调查,以阻止攻击者在一小时内实现目标。Adam Meyers建议采用XDR或EDR。
3、配备下一代解决方案。杀毒软件的弱点是在于识别以前已经出现过的威胁,而基于机器学习的解决方案可以在从未见过威胁的情况下破译威胁。在勒索软件不断增长的今天,这种差异至关重要。(也是Meyers认为Antivirus is dead的原因。)
4、做好培训。包括高管、董事和董事会成员都要参与培训,了解所可能会遇到的威胁,并制定应对计划。同时,还需让所有员工了解在遇到安全事件时需要联系谁,而不要等着有人来处理突发事件。
5、做好情报工作。了解这些威胁,包括它们的技术和工具,以及哪些特定的威胁针对你的行业或你所处的区域位置。