2020 年发生了很多史无前例的事,连网络攻击也不例外。来自云原生网络安全公司 CrowdStrike 的《CrowdStrike 2021 全球威胁报告》指出,“这可能是我们记忆中网络威胁最活跃的一年。”
特别是对于企业来说,这份报告揭示了来年需要关注的日益增长的威胁。恶意行为者进一步转向攻击企业等高价值目标,这种行为被称为“大猎杀”(big game hunting)。近年来,这种行为变得越来越流行,因为它有可能带来更多利润。
恶意行为者还开发了新的工具和程序,并结成联盟,以增强攻击的强度和范围。最重要的是,他们越来越多地将勒索和勒索技术集成到勒索软件操作中。
CrowdStrike 高级副总裁 Adam Meyers 表示,在过去的 18 个月中,恶意行为者的活动不断升级。他们想窃取尽可能多的数据,然后发出威胁“如果你不付钱给我们,我们就要公布所有这些敏感数据。”这些行为可能会影响受害公司的声誉,甚至会对相关法规产生影响。
网络犯罪分子还利用了 COVID-19 病毒,利用人们的恐惧瞄准卫生部门,并利用了人们突然转向远程工作的机会。根据这份报告,71% 接受调查的网络安全专家表示,他们更担心由于 COVID-19 而导致的勒索软件攻击。此外,2020 年发生了可能是历史上最复杂和影响最深远的供应链攻击。
对于企业来说,最好的防御是了解不断变化的威胁,在发生攻击时迅速采取行动,并积极主动地采用先进的安全解决方案。Adam Meyers 说:“你必须有一个新一代的解决方案,杀毒软件已经死了。”
这份长达 40 页的报告追踪并分析了全球主要网络对手的活动,报告中的发现是利用机器学习、公司前线网络分析师的第一手观察资料,以及来自众包威胁测量的洞察汇编而成的。根据该报告,以下是针对目标企业的趋势、威胁和安全最佳实践。
在过去的一年里,医疗保健部门面临着重大的安全威胁,与大流行病相关的利害关系只会引起更多的关注,特别是制药公司、生物医学研究公司和政府实体。
虽然有针对性的入侵行为早期目标可能包括获取关于感染率或国家一级应对措施的信息,但目标很快转向了疫苗开发。来自中国、朝鲜和俄罗斯的恶意行为者都将目标对准了疫苗研究。据 CrowdStrike 调查,2020 年,至少有 104 家医疗机构感染勒索软件。
COVID-19 网络钓鱼也被证明是有效的,这种技术通常在挖掘人类的希望、恐惧和好奇心时最为成功。钓鱼诈骗针对的是联邦 COVID-19 保护局的企业救济计划、财政援助和其他政府刺激计划。他们还假装提供有关检测和治疗的信息,并冒充医疗机构,包括世界卫生组织(WHO)和美国疾病控制和预防中心(CDC)。
而且,突然转向远程工作使许多企业陷入了它们没有做好准备的安全状况。例如,个人电脑突然被用于工作,意味着许多人正在使用可能已经感染了恶意软件的设备。另一个风险来自于家庭成员之间共享设备,这些家庭成员可能没有意识到他们遇到的安全威胁。
Adam Meyers 说:“最大的影响是,它增加了攻击面。”他是指,恶意行为者可以借此来获取访问权限的入口点总数。
面临最大风险的企业包括: 私人和政府医疗机构,新近建立的组织。
除了疫苗开发,这份报告显示,知识产权部门也受到了威胁。CrowdStrike 经过调查后称,这种情况还会延续到 2021 年。
一些国家行为者也对访问网络安全公司自己的工具包感兴趣,这些工具包可以帮助他们进行进一步的攻击,例如 FireEye。
另一个威胁来自与其他国家的公司签订的双边协议或合资收购,这些国家的行为者希望从中获利。除了知识产权,一家公司的谈判策略、扩张计划等都是潜在的目标。
风险最大企业包括:清洁能源、医疗技术、数字农业、网络安全、采矿/有限供应资源和新兴技术。
虽然供应链攻击并不是什么新鲜事,但在 2020 年发生了一起网络安全专家称之为“十年黑客”的事件。黑客入侵了 IT 软件供应商 SolarWinds 的网络,将访问维持了 264 天,并通过隐藏在多个软件更新中的隐形恶意软件攻击客户。美国证交会确认了至少 1.8 万名此次攻击的潜在受害者,其中包括一些顶级公司和政府机构。这位黑客甚至研究并下载了微软的源代码来验证客户身份。
供应链攻击具有多米诺骨牌效应,因此具有独特的破坏力,其中一次入侵可以进一步破坏多个下游目标。
数据敲诈和勒索技术的加速整合
在不断增加的勒索软件活动中,2020 年还出现了数据敲诈和勒索技术的加速整合。报告警告说,这种做法今年可能会增加。这与数据保护专家 Acronis 最近的另一份报告相呼应,该报告宣称“2021 年将是勒索之年”。
造成这个局面其中很大一部分原因是引入了专门的泄露网站(DLSs) ,这些网站是暗网帖子,其中恶意行为者提供详细信息ーー包括他们窃取的确切数据的证据,旨在增加对目标的压力,以满足赎金要求。一个值得注意的例子是对纽约 Grubman Shire Meiselas & Sacks 律师事务所的袭击。这个犯罪团伙发布了一些帖子暗示他们拥有一些公司和名人的文件,包括麦当娜、布鲁斯·斯普林斯廷、 Facebook 等等,最终发布了一个 2.4 GB 的存档,里面有 Lady Gaga 的法律文件。总体而言,2020 年至少有 23 家主要勒索软件运营商采用了这种方法。平均赎金为 110 万美元。
黑客采用了新的数据勒索技术,这包括在组织内追求非传统的目标,比如 VMware ESXi 这样的管理程序。他们还错开了泄露被盗数据的时间,对于那些品牌知名度高的企业来说,这会产生新闻和社交媒体的轰动效应,增加谈判的压力。黑客还在勒索活动中进行合作,形成了自称为 Maze Cartel 的联盟。这可能会演变成托管彼此的受害者数据,增加其被共享或出售的风险,并使谈判完全删除或销毁被盗数据变得更加困难。
攻击者还引入了新的勒索软件变种,还有一位攻击者推出了勒索软件即服务(RaaS)。该报告还详细说明了访问代理的使用增加的情况,即获得企业后端访问权限的黑客直接将其出售给恶意软件参与者。这消除了识别目标和获取访问权限所花费的时间,使他们能够更快地部署更多的恶意软件。
面临最大风险的企业: 虽然大多数勒索软件操作是机会主义的,但工业、工程和制造业在 2020 年特别受到了攻击。科技和零售行业也面临着高风险。
按照 Meyers 的说法,这些是企业应该做的五件事。
1.保护企业安全。这意味着要遵循最佳实践并采用多种保障措施,包括可靠的漏洞管理、一致的补丁周期和“最小特权原则”。
2.做好防御准备。CrowdStrike 建议使用 1-10-60 规则: 在 1 分钟内识别攻击,在 10 分钟内响应调查它,并阻止攻击者在 1 小时内实现目标。按照 Meyers 的说法,无论是跨层检测(XDR)还是端点检测和响应(EDR)都应该到位。
3.有新的解决方案。防病毒需要提前看到过威胁,但是基于机器学习的解决方案可以在没有看到威胁的情况下破译这些威胁。这种区别对于今天勒索软件的增长率至关重要。
4.培训和实践。召集高管、董事和董事会成员一起制定应对计划。
5.理解力。注意这些威胁、它们的技术和工具,以及针对您的行业和地理位置的具体威胁。
