全球威胁态势研究建议:采用网络微隔离与零信任访问策略的安全措施
据Fortinet在《2019年第三季度威胁态势报告》显示,边缘服务攻击与恶意软件即服务(Malware-as-a-Service)威胁占据第三季度全球威胁列表top 2位置。
一提起网络犯罪,人们首先想到的就是那些轰动一时的复杂恶意软件或零日漏洞攻击事件。尽管这样的案件时有发生,但大多数不法分子还是倾向于就地取材。第三季度的主要安全威胁问题与以往相比变化不大。
网络不法分子瞄准边缘服务 由于超过 90% 的恶意软件仍然通过电子邮件传播,许多组织正加紧培训用户识别网络钓鱼电子邮件,避免盲目点击电子邮件附件,同时加强电子邮件安全解决方案的部署。因此,不法分子开始另谋它法,将目光瞄准了企业不太关注的攻击面。
例如,据 FortiGuard 威胁研究与响应实验室观察,上个季度有黑客通过远程代码执行漏洞攻击公共边缘服务。不法分子在边缘建立“据点”后,便会就地将恶意软件分发到网络内的攻击目标,从而达到与网络钓鱼相同的目的。
绕过广告拦截工具,将恶意网站列入白名单 另一种策略是让广告拦截安全工具无法再阻止访问恶意内容。以 Adblock Plus 为例,它是一款开源浏览器扩展程序,能够为所有主要浏览器提供内容过滤和广告拦截功能,包括 Edge、Opera、Yandex 和 Android。此外,它还使用密钥标记已批准的广告站点,以便将其列入白名单。但是,攻击者已经破解这个密钥,将自己的恶意网站添加到白名单中,以便投放恶意广告甚至进行网络钓鱼,向那些依靠去广告插件拦截恶意网站和内容的用户下黑手。
另外,在 2019 年第三季度肆虐全球各地的主要恶意软件变体中,检测这些网页的 HTML/Framer.INF!tr IPS 签名位列榜首。但值得注意的是,鉴于 Adblock 的设计方式,其中某些检测可能为误报,因此很难生成一个完全可靠的签名。
新型勒索软件即服务产品在暗网上现身 Emotet 在 MaaS 的基础上再添新花招 Emotet 是一种普遍且有效的银行木马,它也推出了一种类似的服务,即出租受 Emotet 木马感染的设备的访问权限。这种模式尤为有害,因为开发人员给它添加了一项散布恶意有效载荷的功能。这意味着只要使用这种新型恶意软件即服务,就可能有其他恶意软件感染目标网络(从先前受感染的设备上发起攻击),比如 Trickbot 木马和 Ryuk 勒索软件。
Emotet 还有另一个新伎俩,可大大提高通过网络钓鱼分发恶意软件的效率。毫无疑问,网络不法分子十分希望用户打开网络钓鱼电子邮件。Emotet 新网络钓鱼犯罪手法不仅会从受感染的设备中窃取电子邮件地址,还会盗取电子邮件线程。然后,它会生成一封假的回复信,伪装成发送人发送给收件人。事实证明,这种方法比单纯的网络钓鱼有效得多,甚至比有针对性的鱼叉式网络钓鱼更具诱骗性。
早期的网络威胁依然很顽固
进行网络分区 这些攻击和漏洞利用程序之所以能够得逞,是因为许多薄弱的系统都没有得到充分的保护。对于早期的漏洞,您可以进行风险评估,并利用 FortiGuard 安全评级服务对设备漏洞被利用的可能性进行排序。除了打补丁和升级设备外,组织还应该根据使用意图进行网络微隔离,并考虑实施零信任访问策略,以防止关键设备和易受攻击的系统被不法分子利用。网络分区可以减少攻击面,将入侵的风险降至最低。 部署涵盖所有攻击向量的安全架构 组织必须紧密关注最新威胁趋势。边缘服务攻击表明,组织必须采用全局覆盖法,确保分布在各处的网络环境都得到有效保护。这就需要部署全面的安全架构,实施一站式集中监控、管理和配置解决方案,并集成实时威胁情报,以确保网络始终能够适应最新威胁态势。 修补、升级、替换和保护系统 虽然这已是老生常谈,但实际情况是多数网络和设备攻击,仍是由于未修补、升级、替换薄弱系统或实施适当的接近控制而直接造成的。当然,打补丁也并非易事,尤其是在处理数千台设备或嵌入式系统时,后者更是只有关闭才方便更新。 网络不法分子瞄准边缘服务 由于超过 90% 的恶意软件仍然通过电子邮件传播,许多组织正加紧培训用户识别网络钓鱼电子邮件,避免盲目点击电子邮件附件,同时加强电子邮件安全解决方案的部署。因此,不法分子开始另谋它法,将目光瞄准了企业不太关注的攻击面。
例如,据 FortiGuard 威胁研究与响应实验室观察,上个季度有黑客通过远程代码执行漏洞攻击公共边缘服务。不法分子在边缘建立“据点”后,便会就地将恶意软件分发到网络内的攻击目标,从而达到与网络钓鱼相同的目的。
绕过广告拦截工具,将恶意网站列入白名单 另一种策略是让广告拦截安全工具无法再阻止访问恶意内容。以 Adblock Plus 为例,它是一款开源浏览器扩展程序,能够为所有主要浏览器提供内容过滤和广告拦截功能,包括 Edge、Opera、Yandex 和 Android。此外,它还使用密钥标记已批准的广告站点,以便将其列入白名单。但是,攻击者已经破解这个密钥,将自己的恶意网站添加到白名单中,以便投放恶意广告甚至进行网络钓鱼,向那些依靠去广告插件拦截恶意网站和内容的用户下黑手。
另外,在 2019 年第三季度肆虐全球各地的主要恶意软件变体中,检测这些网页的 HTML/Framer.INF!tr IPS 签名位列榜首。但值得注意的是,鉴于 Adblock 的设计方式,其中某些检测可能为误报,因此很难生成一个完全可靠的签名。 新型勒索软件即服务产品在暗网上现身 Emotet 在 MaaS 的基础上再添新花招 Emotet 是一种普遍且有效的银行木马,它也推出了一种类似的服务,即出租受 Emotet 木马感染的设备的访问权限。这种模式尤为有害,因为开发人员给它添加了一项散布恶意有效载荷的功能。这意味着只要使用这种新型恶意软件即服务,就可能有其他恶意软件感染目标网络(从先前受感染的设备上发起攻击),比如 Trickbot 木马和 Ryuk 勒索软件。
Emotet 还有另一个新伎俩,可大大提高通过网络钓鱼分发恶意软件的效率。毫无疑问,网络不法分子十分希望用户打开网络钓鱼电子邮件。Emotet 新网络钓鱼犯罪手法不仅会从受感染的设备中窃取电子邮件地址,还会盗取电子邮件线程。然后,它会生成一封假的回复信,伪装成发送人发送给收件人。事实证明,这种方法比单纯的网络钓鱼有效得多,甚至比有针对性的鱼叉式网络钓鱼更具诱骗性。
早期的网络威胁依然很顽固
进行网络分区 这些攻击和漏洞利用程序之所以能够得逞,是因为许多薄弱的系统都没有得到充分的保护。对于早期的漏洞,您可以进行风险评估,并利用 FortiGuard 安全评级服务对设备漏洞被利用的可能性进行排序。除了打补丁和升级设备外,组织还应该根据使用意图进行网络微隔离,并考虑实施零信任访问策略,以防止关键设备和易受攻击的系统被不法分子利用。网络分区可以减少攻击面,将入侵的风险降至最低。 部署涵盖所有攻击向量的安全架构 组织必须紧密关注最新威胁趋势。边缘服务攻击表明,组织必须采用全局覆盖法,确保分布在各处的网络环境都得到有效保护。这就需要部署全面的安全架构,实施一站式集中监控、管理和配置解决方案,并集成实时威胁情报,以确保网络始终能够适应最新威胁态势。 修补、升级、替换和保护系统 虽然这已是老生常谈,但实际情况是多数网络和设备攻击,仍是由于未修补、升级、替换薄弱系统或实施适当的接近控制而直接造成的。当然,打补丁也并非易事,尤其是在处理数千台设备或嵌入式系统时,后者更是只有关闭才方便更新。 |
