攻擊策略正發(fā)生轉(zhuǎn)變企業(yè)準備好了嗎？

■ 北京 趙賢

編者按：新的攻擊方式層出不窮，網(wǎng)絡(luò)犯罪分子尤其善于利用各種熱點及最新技術(shù)，通過不斷完善其攻擊策略，來達到攻擊的目的。本文主要圍繞攻擊者策略的轉(zhuǎn)變，深入探討了各種場景下的安全防護短板及防御措施。

最近的相關(guān)威脅研究表明，在2020 年上半年中，網(wǎng)絡(luò)犯罪分子采用了常規(guī)的攻擊策略，特別是由于疫情而采用遠程工作模式以來，通過遠程連接的攻擊面大大增加了。對于負責保護企業(yè)網(wǎng)絡(luò)并準確鎖定威脅的安全團隊而言，了解這一趨勢至關(guān)重要。

或許最大的挑戰(zhàn)之一是NOC（網(wǎng)絡(luò)運營中心）和SOC（安全運營中心）團隊的協(xié)作，因為當前企業(yè)網(wǎng)絡(luò)連接的方式正在發(fā)生轉(zhuǎn)變——許多員工從以前的內(nèi)網(wǎng)辦公環(huán)境轉(zhuǎn)變?yōu)楝F(xiàn)在外網(wǎng)遠程連接企業(yè)網(wǎng)絡(luò)。這種轉(zhuǎn)變降低了企業(yè)網(wǎng)絡(luò)的可見性和控制力，使得企業(yè)不得不面臨許多突發(fā)和未知風險。不管企業(yè)愿不愿意接受，這就是事實，把自己“圈起來”隔絕于世的安全防護方式已經(jīng)一去不復返了，不受保護的家庭網(wǎng)絡(luò)現(xiàn)在已成為公司網(wǎng)絡(luò)擴展的一部分，各種各樣的漏洞也將成為公司網(wǎng)絡(luò)的一部分。

網(wǎng)絡(luò)犯罪分子充分了解并利用這一點，并隨之修改了其攻擊策略。近期的威脅數(shù)據(jù)表明，IPS 簽名已檢測到針對目標家庭路由器和IoT設(shè)備的攻擊正在急劇上升。此外，盡管漏洞披露的速度也在加快，并且2020 年有望發(fā)布史上數(shù)量最多的CVE，但針對以前漏洞的利用仍屢見不鮮。據(jù)稱，有65%的企業(yè)組織報告檢測到針對2018年漏洞的威脅，超過1/4 的公司IT 系統(tǒng)被披露涉及15年前的CVE 漏洞。

因此，這些舊的漏洞正成為安全防護的短板，網(wǎng)絡(luò)犯罪分子將目標轉(zhuǎn)移到家庭網(wǎng)絡(luò)上的安全性較低的設(shè)備，例如未打補丁的路由器和DVR 系統(tǒng)。通過在這些地方建立攻擊的“橋頭堡”，然后發(fā)起遠程攻擊，進而攻入企業(yè)網(wǎng)絡(luò)。

這種攻擊方式非常奏效，僵尸網(wǎng)絡(luò)活動正是這種攻擊方式的體現(xiàn)。在過去的六個月中，僵尸網(wǎng)絡(luò)攻擊通過利用兩個較舊的漏洞，迅速成為主流的安全威脅方式。例如，Mirai 僵尸網(wǎng)絡(luò)從2016年首次被檢測到以來，在過去六個月里一直在全球僵尸網(wǎng)絡(luò)活動中排名第一。

這些攻擊數(shù)據(jù)的增多與攻擊策略的急劇變化直接相關(guān)。例如利用與疫情相關(guān)的攻擊方式成為近期Web 和電子郵件網(wǎng)絡(luò)釣魚攻擊的熱點。瀏覽器如今也已經(jīng)成為主要的攻擊媒介，遠遠超過了電子郵件作為傳遞較舊惡意軟件有效載荷的主要來源。部分原因是由于遠程工作方式的增加，使得遠程工作人員在沒有公司防火墻保護的情況下更頻繁地連接網(wǎng)絡(luò)，而電子郵件則因受到公司電子郵件網(wǎng)關(guān)的安全保護而幸免。

這對安全團隊意味著什么？

通過了解這些最新的威脅趨勢，安全團隊需要采取措施以確保及時更新其安全策略（包括識別和跟蹤新的IOC），以便可以正確地監(jiān)視和關(guān)閉這些攻擊向量。以下是網(wǎng)絡(luò)安全人員需要特別考慮的一些方面。

1.升級和保護端點設(shè)備

遠程工作人員不可避免地會使用個人設(shè)備遠程連接到公司網(wǎng)絡(luò)資源，但決不可讓這些個人設(shè)備“裸奔”。安全防護措施主要包括對這些設(shè)備進行及時的漏洞修補，安裝安全軟件以及對遠程連接進行適當?shù)谋Ｗo，以防止在家庭網(wǎng)絡(luò)上運行的設(shè)備受到潛在的破壞。除傳統(tǒng)的AV/AM 軟件外，安全解決方案還應(yīng)包括新的端點檢測和響應(yīng)（EDR）工具，以識別更為復雜的攻擊，并防止在遠程設(shè)備上被執(zhí)行惡意軟件。還應(yīng)特別注意升級和強化瀏覽器，以及實施一種代理程序，通過基于云的Web 安全網(wǎng)關(guān)來保護所有Internet 瀏覽過程（無論是在網(wǎng)絡(luò)上還是在網(wǎng)絡(luò)之外）。

2.升級安全電子郵件網(wǎng)關(guān)

盡管瀏覽器已成為新攻擊策略的主要攻擊媒介，但畢竟電子郵件仍然是傳統(tǒng)惡意軟件傳遞的重要方式。如果電子郵件網(wǎng)關(guān)能夠更有效地識別惡意附件，那么大多數(shù)攻擊都是可以避免的。企業(yè)安全人員需要考慮升級或更新現(xiàn)有的安全電子郵件網(wǎng)關(guān)，以確保它們能夠識別最新的威脅，通過新的內(nèi)容拆解與重建（CDR）技術(shù)來清除嵌入在電子郵件中的惡意代碼、宏病毒和惡意的可執(zhí)行文件。

3.檢查所有VPN 流量

即使采取了上述措施，仍舊可能有某些惡意的漏網(wǎng)之魚混入。攻擊者可能會將VPN 隧道作為目標來傳遞惡意軟件和泄露數(shù)據(jù)，因為他們知道，大多數(shù)安全解決方案都沒有足夠的能力來檢查流入和流出網(wǎng)絡(luò)的VPN 流量。因此企業(yè)需要認真考慮使用能夠檢查加密流量的設(shè)備來替換舊式的防火墻，以避免其成為關(guān)鍵業(yè)務(wù)應(yīng)用和工作流的安全短板。同樣，經(jīng)常訪問敏感數(shù)據(jù)的企業(yè)超級用戶（例如系統(tǒng)管理員、服務(wù)臺人員和主管）也應(yīng)該使用安全SD-WAN 技術(shù)來升級其連接家庭的網(wǎng)絡(luò)。

4.增強OT 防御

越來越多的惡意軟件和其他攻擊將目標對準OT 環(huán)境。兩個相關(guān)的典型例子是EKANS 勒索軟件和Ramsay惡意軟件，它們專門針對物理隔離物理或高度受限的網(wǎng)絡(luò)，收集其中的敏感文件。網(wǎng)絡(luò)犯罪分子通過利用這些惡意軟件來試圖找到滲透進OT 網(wǎng)絡(luò)的新方法。因此，確保OT 的安全性就必須限制用戶、設(shè)備、應(yīng)用程序和工作流可以訪問的資源。尤其是在OT 環(huán)境中，應(yīng)當實施零信任策略（包括網(wǎng)絡(luò)分段），以確保SCADA 和ICS 系統(tǒng)以及其他未修補的系統(tǒng)的安全性。這樣即使惡意軟件設(shè)法繞過了邊緣安全控制，也只是影響到OT 網(wǎng)絡(luò)的一小部分，而不會擴散至整個網(wǎng)絡(luò)。

5.防范勒索軟件

此前就已出現(xiàn)了許多以“新冠”為字眼的網(wǎng)絡(luò)釣魚攻擊，包括各種各樣的勒索軟件有效載荷，諸如Netwalker、Ransomware-GVZ和CoViper 變體等。勒索軟件即服務(wù)（RaaS）以此得到了快速發(fā)展，其所帶來的另一個可怕的事實是，這些惡意軟件降低了攻擊的門檻和成本，使得非專業(yè)人員和也能夠輕易發(fā)起攻擊。例如，Phobos 作為最新的勒索軟件工具之一，利用遠程桌面協(xié)議（RDP）獲得目標網(wǎng)絡(luò)訪問權(quán)限，給企業(yè)帶來極大安全威脅。

企業(yè)必須制定完善的防勒索軟件策略，例如將重要的數(shù)據(jù)和系統(tǒng)備份存儲在脫機和離線網(wǎng)絡(luò)中，以確保一旦受到破壞，能夠快速得到恢復。但如今的攻擊者為其攻擊策略進行了“升級”——不僅將目標數(shù)據(jù)進行加密，而且其副本也被加載到服務(wù)器上，如果受害者不支付贖金，就連副本也無法幸免于難。因此，企業(yè)需要對網(wǎng)絡(luò)內(nèi)部（無論是處于靜態(tài)的、使用中的還是傳輸過程中的）數(shù)據(jù)進行加密，以避免這些關(guān)鍵數(shù)據(jù)受到網(wǎng)絡(luò)犯罪分子的破壞。部署能夠檢測這些惡意流量的下一代防火墻是一個有效的安全措施。

良好的安全性得益于有效的情報

CISO 和其他安全專業(yè)人員若要采取適當?shù)陌踩呗?，則必須緊跟最新的安全趨勢，比如以上內(nèi)容所討論的2020 年上半年發(fā)生的攻擊策略的重大轉(zhuǎn)變。

更好的防御網(wǎng)絡(luò)威脅的方法就是利用有效的威脅情報，包括利用關(guān)鍵威脅情報（威脅報告），收集情報源并為情報源做貢獻，保留與網(wǎng)絡(luò)連接的每個設(shè)備引用的IOC的更新列表。