2019年有可能遭遇到的高級網絡釣魚攻擊場景
2018年的網絡攻擊再創新高,2019年這一趨勢仍將延續。攻擊者繼續將電子郵件作為主要攻擊途徑,應用更高端的網絡釣魚技術繞過傳統電子郵件安全防御措施,令政府機構和私營產業的網絡安全倡議/項目越來越復雜。因此,可以說,高級網絡釣魚威脅,比如BEC、魚叉式網絡釣魚、勒索軟件和品牌假冒攻擊,在2019年將繼續增長。
2019威脅態勢
攻擊者對公司企業和政府機構的攻擊一直在穩步增長,經濟利益就是他們最主要的驅動力。2018年,勒索軟件和欺詐攻擊分別增長了350%和250%。美國證券交易委員會(SEC)報告稱,2018年網絡安全事件平均損失750萬美元,比2017年的490萬美元增加了53.1%。無論從任何角度看,這些統計數據都相當令人警醒,但更令人擔憂的是市政機構和各類公司企業受到網絡攻擊的數量。
2018年3月,亞特蘭大市線上服務系統被勒索軟件攻擊切斷,迫使該美國第六大城市的市政府享受了一周時間的紙筆辦公時代。Gov Tech 網站指稱,雖然歸因尚不明確,大多數安全官員認為民族國家黑客一直在對美國選舉和政府機構實施攻擊,幾起重大行動還是針對美國參議員和關鍵基礎設施的。同時,雖然針對中小企業的網絡攻擊激增,運動用品公司安德瑪、社交網站Facebook、食品企業Panera、線上旅游公司Orbitz等主流企業2018年也都遭受了重大數據泄露。
過去一年里,攻擊者以頻率取勝,大中小企業一把抓,不再區分目標精耕細作。如今,發起自動化網絡釣魚攻擊是一項低成本高收益的活動。所以電子郵件驅動的網絡犯罪在未來不會減少,另外還有一些趨勢也是可以預見的:
1. 低端攻擊者發起的復雜攻擊增多
各種技術水平的攻擊者如今都可以入手一系列在線黑市工具,包括操作指南、人工智能驅動的程序和基于云的網絡釣魚即服務解決方案,每個人都有能力組織起復雜攻擊。他們還從社交媒體過濾有用信息,交叉比對公司網站和招聘站點,積累個人信息。
2. 國家級攻擊繼續
受近期斬獲和制裁缺乏的鼓勵,民族國家的網絡攻擊在2019年不會停歇。隨著政府機構安全工作的加強,國家支持的黑客團伙也可能將目光轉向檢測與響應能力更弱些的商業公司和私營實體。ZDnet.com上一篇文章稱,數家網絡安全公司預測2019年是網絡戰和國家網絡行動問題重重的一年。
3. 攻擊將變得更智能和自動化
正如人工智能和機器學習可以輔助檢測與預防網絡釣魚攻擊,網絡罪犯也可利用這兩種技術驅動自身網絡行動。攻擊者如今就在利用此類技術掃描漏洞,創建可以更好地規避檢測的惡意軟件。賽門鐵克高管在最近一篇博客文章中稱,過去定制個人郵件耗時耗力,如今AI驅動的工具包就能讓魚叉式網絡釣魚攻擊快速方便地多點開花。
4. 歷史重演
攻擊者不僅開發新技術新策略,還會讓老戰術煥發新生。電子郵件洪水是上世紀90年代的老舊策略,如今被攻擊者當作BEC攻擊、魚叉式網絡釣魚和惡意軟件攻擊的煙霧彈,在他們實施欺詐交易時迷惑受害者。AppRiver的全球安全報告揭示,網絡罪犯用分布式垃圾郵件干擾(DSD)對賬戶實行12-24小時的轟炸。以20美元的低價就能從暗網電子郵件炸彈即服務收獲目標電子郵件賬戶被5,000封垃圾郵件轟炸的效果。早前一款簡單有效的勒索軟件Kraken也在2018年9月死灰復燃,被捆綁到了一個漏洞利用工具包里。
5. 雙因子身份驗證規避嘗試仍在繼續
2018年,黑客一直在嘗試繞過雙因子身份驗證。McAfee實驗室《2019網絡安全威脅報告》指出, 沒有任何跡象表明2019年里黑客的雙因子身份驗證規避嘗試會放緩,因為網絡罪犯還在繼續開發更健壯更復雜的地下網絡來組織與發現身份驗證關鍵信息(如用戶名、口令和網頁會話cookie)的新利用方式。
自動化的優勢與不足
緩解網絡釣魚風險的最大挑戰就是該攻擊的巨大數量。Fidelis Cybersecurity 對多個行業公司企業的安全人員做了調查,發現60%的分析師每天僅能處理8項事件調查。
為跟上威脅襲來的速度,一些電子郵件安全解決方案引入了自動化,理論上應是安全運營中心和安全團隊的好幫手,因為自動化技術能卸下人工網絡釣魚調查與響應的重擔。
然而,盡管引入了自動化,自動化電子郵件安全工具在某些情況下卻只能提供部分自動化功能。比如說,非常基本的預設過程、標準化的操作和基于YARA規則的線性技術等不完全的自動化就不能切實剩下安全團隊的時間,因為仍有太多人工輸入需要他們完成。
對攻擊趨勢有個基本認知和了解現代攻擊者的偏好往往只是風險削減的第一步。僅僅有認知還不夠,還需要用自動化來幫助安全團隊縮減從威脅識別到攻擊緩解的時間差。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
