疫情環境下的網絡安全趨勢和解決方案
由于當前的疫情環境,網絡犯罪迅速過度到遠程辦公,再加上網絡犯罪分子利用恐懼,不確定性和懷疑的傾向,安全研究人員觀察到了網絡安全問題激增。網絡罪犯分子很快就會利用新的手段和設備,接入新手遠程工作者、易受攻擊的家用計算機和網絡,以及過度勞累的IT團隊。
許多人甚至暫時放棄了以網絡為中心的傳統攻擊,并針對能使他們獲得寶貴數據和資源的新型安全漏洞展開研究。例如,僅在4月份,美國聯邦調查局每天就收到3,000-4,000例來自美國企業和用戶的網絡安全相關投訴,與平均每天1000例的投訴相比,大幅上升。
當然,安全研究人員知道,重大的社交事件通常是引發新威脅的催化劑。無論是疫情,世界杯還是其他重大事件,總是會有壞人在危險時刻利用這個契機。
在過去的幾個月中,FortiGuard實驗室一直在積極跟蹤與疫情相關的全球威脅問題和攻擊活動,包括信息竊取者,特洛伊木馬,勒索軟件以及社會工程誘餌的有效性。這揭示了以下最新趨勢:
- 電子郵件攻擊的最大高峰是4月2日,共進行了330次單獨的COVID-19電子郵件活動。
- 4月也觀察到了許多的惡意電子郵件活動,總共發生了4,250多個與COVID-19相關的事件。
- 大多數電子郵件都附有惡意的.DOCX和.PDF文件(.DOCX是最高的),勒索軟件是最普遍的附件。
- 有趣的是,自4月以來,這些攻擊的數量一直在穩定下降,其中5月發送了3,590個電子郵件活動,6月發送了2,841個電子郵件活動。
在過去的幾個月中,觀察到的三個主要的不良行為是利用情感進行網絡欺詐,魚叉式網絡釣魚的興起以及遠程工作所增加的風險。
利用情感謀取經濟利益
從社會工程學的角度來看,網絡犯罪分子正在最大限度地利用這次疫情的恐慌心理,尤其是醫療設備和醫藥用品的短缺。我們的安全研究人員已經看到針對醫院,醫療設備制造商和健康保險公司的活動。
美國疾病控制中心(CDC)和世界衛生組織(WHO)都在4月報告說,惡意行為者正通過冒充是該組織的工作人員進行電話和電子郵件等的欺詐活動。要么是募集捐款,要么是假裝出售基本醫療用品。網絡釣魚電子郵件中包含從未訂購過的用品發票,或聲稱提供了重要的醫療信息。當然,這些電子郵件包含受感染的文檔或指向受感染網站的鏈接。
魚叉式網絡釣魚攻擊也在增加
除了普遍的攻擊手段外,我們還看到了特別是在醫療供應短缺的情況下,針對性較強的攻擊活動也在增加。我們最近觀察到的一項惡意魚叉式網絡釣魚活動是針對醫療設備供應商的。在這種攻擊中,該攻擊者沒有提供出售的物品,而是詢問了由于需求量大而需要解決COVID-19疫情的各種材料。為了營造一種更強烈的緊迫感,該郵件中包含一個令人信服的聲明,即發件人已經嘗試通過電話與收件人聯系。
在這種情況下,該電子郵件包含多個拼寫錯誤,例如,主題行“有關醫療信息的查詢– [公司名稱]”。它還包含一個附件,聲稱包含查詢的詳細信息,并且該拼寫也是錯誤的。拼寫錯誤和語法不佳通常是騙局的典型標志。這種情況下的目的顯然是要中斷救治所需的醫療用品的供應鏈。
遠程工作引入了新的攻擊媒介
網絡罪犯深知快速過渡的時期會給組織造成嚴重破壞。為了確保業務連續性,諸如安全協議之類的東西可能會被忽略或擱置。與往常一樣,網絡犯罪分子正在尋找任何機會利用無意中出現的安全漏洞。
在疫情的這種情況下,突然發現自己處于封鎖狀態,那么前所未有的未受保護的用戶和設備會突然同時在線。在任何一個家庭中,很可能有兩個或兩個以上的人通過他們的家庭互聯網連接進行遠程工作。也可能有一個或多個孩子參加學校的在線課程,更不用說參加在線游戲社區或其他社交活動了。
另一個復雜因素是,并不是每個組織都能為現在需要遠程工作的每個員工購買用于工作的筆記本電腦。因此,許多遠程工作人員被迫使用他們的個人設備連接到公司網絡,而這些個人設備較大概率沒有公司購買的同類設備那樣安全。
之所以如此危險,是因為這些個人設備甚至無需直接受到攻擊即可被破壞。它們還連接到不安全的家庭網絡,這使攻擊者可以利用其他攻擊媒介,包括利用連接到家庭網絡的易受攻擊的物聯網設備或游戲機。然后,他們的目標是找到一種方法,以回到企業網絡及其寶貴的數字資源中,從而可以竊取數據,并將惡意軟件傳播給其他遠程工作者。這尤其具有破壞性,因為遠程工作人員沒有機會請求公司專業人員幫助他們恢復受攻擊的計算機系統。如果無法通過電話對問題進行故障排除來解決設備問題,則需要將其郵寄,使員工離線數天。
解決方案
作為一名與網絡安全相關的專業人士,您了解網絡安全的重要性。但是,至關重要的是,在當前日益嚴峻的威脅形勢下,我們不能放松警惕。以下是您組織中需要加強的三個方面:
- 加強網絡安全衛生:建議持續不斷更新所有IPS和AV定義。每當供應商更新時,就應保持主動修補程序。如果修補設備不可行,我們建議進行風險評估,以確定其他緩解措施。
- 更新關鍵安全技術:最有效的安全策略是將風險排除在系統之外。確保安全的電子郵件網關和Web應用程序防火墻配備沙盒和內容解除防護和恢復(CDR)技術,以識別和阻止特定類型文件,包括網絡釣魚攻擊,并在威脅到達用戶之前解除其防護。并確保端點設備具有最新的端點檢測和響應(EDR)軟件,以防止執行主動威脅。
- 用戶培訓:進行持續的員工培訓課程,以告知他們最新的網絡釣魚/魚叉式網絡釣魚攻擊,并提醒他們不要打開陌生人的附件。用戶還需要接受培訓以發現社會工程學攻擊,并使用即興發送的安全電子郵件通過安全測試小組秘密發送的測試電子郵件進行評估。
令人驚訝的是,始終如一地實施的基本安全原則可以幫助擊敗最狡猾的攻擊媒介。同樣令人驚訝的是,很少有組織能夠一以貫之的做到這些事情。但是,通過致力于對上述三個方面的執行,您的組織將更好地做準備抵御企圖利用疫情環境影響下的攻擊者。
