■ 北京 趙賢

編者按：新的攻擊方式層出不窮，網(wǎng)絡(luò)犯罪分子尤其善于利用各種熱點(diǎn)及最新技術(shù)，通過不斷完善其攻擊策略，來(lái)達(dá)到攻擊的目的。本文主要圍繞攻擊者策略的轉(zhuǎn)變，深入探討了各種場(chǎng)景下的安全防護(hù)短板及防御措施。

最近的相關(guān)威脅研究表明，在2020 年上半年中，網(wǎng)絡(luò)犯罪分子采用了常規(guī)的攻擊策略，特別是由于疫情而采用遠(yuǎn)程工作模式以來(lái)，通過遠(yuǎn)程連接的攻擊面大大增加了。對(duì)于負(fù)責(zé)保護(hù)企業(yè)網(wǎng)絡(luò)并準(zhǔn)確鎖定威脅的安全團(tuán)隊(duì)而言，了解這一趨勢(shì)至關(guān)重要。

或許最大的挑戰(zhàn)之一是NOC（網(wǎng)絡(luò)運(yùn)營(yíng)中心）和SOC（安全運(yùn)營(yíng)中心）團(tuán)隊(duì)的協(xié)作，因?yàn)楫?dāng)前企業(yè)網(wǎng)絡(luò)連接的方式正在發(fā)生轉(zhuǎn)變——許多員工從以前的內(nèi)網(wǎng)辦公環(huán)境轉(zhuǎn)變?yōu)楝F(xiàn)在外網(wǎng)遠(yuǎn)程連接企業(yè)網(wǎng)絡(luò)。這種轉(zhuǎn)變降低了企業(yè)網(wǎng)絡(luò)的可見性和控制力，使得企業(yè)不得不面臨許多突發(fā)和未知風(fēng)險(xiǎn)。不管企業(yè)愿不愿意接受，這就是事實(shí)，把自己“圈起來(lái)”隔絕于世的安全防護(hù)方式已經(jīng)一去不復(fù)返了，不受保護(hù)的家庭網(wǎng)絡(luò)現(xiàn)在已成為公司網(wǎng)絡(luò)擴(kuò)展的一部分，各種各樣的漏洞也將成為公司網(wǎng)絡(luò)的一部分。

網(wǎng)絡(luò)犯罪分子充分了解并利用這一點(diǎn)，并隨之修改了其攻擊策略。近期的威脅數(shù)據(jù)表明，IPS 簽名已檢測(cè)到針對(duì)目標(biāo)家庭路由器和IoT設(shè)備的攻擊正在急劇上升。此外，盡管漏洞披露的速度也在加快，并且2020 年有望發(fā)布史上數(shù)量最多的CVE，但針對(duì)以前漏洞的利用仍屢見不鮮。據(jù)稱，有65%的企業(yè)組織報(bào)告檢測(cè)到針對(duì)2018年漏洞的威脅，超過1/4 的公司IT 系統(tǒng)被披露涉及15年前的CVE 漏洞。

因此，這些舊的漏洞正成為安全防護(hù)的短板，網(wǎng)絡(luò)犯罪分子將目標(biāo)轉(zhuǎn)移到家庭網(wǎng)絡(luò)上的安全性較低的設(shè)備，例如未打補(bǔ)丁的路由器和DVR 系統(tǒng)。通過在這些地方建立攻擊的“橋頭堡”，然后發(fā)起遠(yuǎn)程攻擊，進(jìn)而攻入企業(yè)網(wǎng)絡(luò)。

這種攻擊方式非常奏效，僵尸網(wǎng)絡(luò)活動(dòng)正是這種攻擊方式的體現(xiàn)。在過去的六個(gè)月中，僵尸網(wǎng)絡(luò)攻擊通過利用兩個(gè)較舊的漏洞，迅速成為主流的安全威脅方式。例如，Mirai 僵尸網(wǎng)絡(luò)從2016年首次被檢測(cè)到以來(lái)，在過去六個(gè)月里一直在全球僵尸網(wǎng)絡(luò)活動(dòng)中排名第一。

這些攻擊數(shù)據(jù)的增多與攻擊策略的急劇變化直接相關(guān)。例如利用與疫情相關(guān)的攻擊方式成為近期Web 和電子郵件網(wǎng)絡(luò)釣魚攻擊的熱點(diǎn)。瀏覽器如今也已經(jīng)成為主要的攻擊媒介，遠(yuǎn)遠(yuǎn)超過了電子郵件作為傳遞較舊惡意軟件有效載荷的主要來(lái)源。部分原因是由于遠(yuǎn)程工作方式的增加，使得遠(yuǎn)程工作人員在沒有公司防火墻保護(hù)的情況下更頻繁地連接網(wǎng)絡(luò)，而電子郵件則因受到公司電子郵件網(wǎng)關(guān)的安全保護(hù)而幸免。

這對(duì)安全團(tuán)隊(duì)意味著什么？

通過了解這些最新的威脅趨勢(shì)，安全團(tuán)隊(duì)需要采取措施以確保及時(shí)更新其安全策略（包括識(shí)別和跟蹤新的IOC），以便可以正確地監(jiān)視和關(guān)閉這些攻擊向量。以下是網(wǎng)絡(luò)安全人員需要特別考慮的一些方面。

1.升級(jí)和保護(hù)端點(diǎn)設(shè)備

遠(yuǎn)程工作人員不可避免地會(huì)使用個(gè)人設(shè)備遠(yuǎn)程連接到公司網(wǎng)絡(luò)資源，但決不可讓這些個(gè)人設(shè)備“裸奔”。安全防護(hù)措施主要包括對(duì)這些設(shè)備進(jìn)行及時(shí)的漏洞修補(bǔ)，安裝安全軟件以及對(duì)遠(yuǎn)程連接進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，以防止在家庭網(wǎng)絡(luò)上運(yùn)行的設(shè)備受到潛在的破壞。除傳統(tǒng)的AV/AM 軟件外，安全解決方案還應(yīng)包括新的端點(diǎn)檢測(cè)和響應(yīng)（EDR）工具，以識(shí)別更為復(fù)雜的攻擊，并防止在遠(yuǎn)程設(shè)備上被執(zhí)行惡意軟件。還應(yīng)特別注意升級(jí)和強(qiáng)化瀏覽器，以及實(shí)施一種代理程序，通過基于云的Web 安全網(wǎng)關(guān)來(lái)保護(hù)所有Internet 瀏覽過程（無(wú)論是在網(wǎng)絡(luò)上還是在網(wǎng)絡(luò)之外）。

2.升級(jí)安全電子郵件網(wǎng)關(guān)

盡管瀏覽器已成為新攻擊策略的主要攻擊媒介，但畢竟電子郵件仍然是傳統(tǒng)惡意軟件傳遞的重要方式。如果電子郵件網(wǎng)關(guān)能夠更有效地識(shí)別惡意附件，那么大多數(shù)攻擊都是可以避免的。企業(yè)安全人員需要考慮升級(jí)或更新現(xiàn)有的安全電子郵件網(wǎng)關(guān)，以確保它們能夠識(shí)別最新的威脅，通過新的內(nèi)容拆解與重建（CDR）技術(shù)來(lái)清除嵌入在電子郵件中的惡意代碼、宏病毒和惡意的可執(zhí)行文件。

3.檢查所有VPN 流量

即使采取了上述措施，仍舊可能有某些惡意的漏網(wǎng)之魚混入。攻擊者可能會(huì)將VPN 隧道作為目標(biāo)來(lái)傳遞惡意軟件和泄露數(shù)據(jù)，因?yàn)樗麄冎?，大多?shù)安全解決方案都沒有足夠的能力來(lái)檢查流入和流出網(wǎng)絡(luò)的VPN 流量。因此企業(yè)需要認(rèn)真考慮使用能夠檢查加密流量的設(shè)備來(lái)替換舊式的防火墻，以避免其成為關(guān)鍵業(yè)務(wù)應(yīng)用和工作流的安全短板。同樣，經(jīng)常訪問敏感數(shù)據(jù)的企業(yè)超級(jí)用戶（例如系統(tǒng)管理員、服務(wù)臺(tái)人員和主管）也應(yīng)該使用安全SD-WAN 技術(shù)來(lái)升級(jí)其連接家庭的網(wǎng)絡(luò)。

4.增強(qiáng)OT 防御

越來(lái)越多的惡意軟件和其他攻擊將目標(biāo)對(duì)準(zhǔn)OT 環(huán)境。兩個(gè)相關(guān)的典型例子是EKANS 勒索軟件和Ramsay惡意軟件，它們專門針對(duì)物理隔離物理或高度受限的網(wǎng)絡(luò)，收集其中的敏感文件。網(wǎng)絡(luò)犯罪分子通過利用這些惡意軟件來(lái)試圖找到滲透進(jìn)OT 網(wǎng)絡(luò)的新方法。因此，確保OT 的安全性就必須限制用戶、設(shè)備、應(yīng)用程序和工作流可以訪問的資源。尤其是在OT 環(huán)境中，應(yīng)當(dāng)實(shí)施零信任策略（包括網(wǎng)絡(luò)分段），以確保SCADA 和ICS 系統(tǒng)以及其他未修補(bǔ)的系統(tǒng)的安全性。這樣即使惡意軟件設(shè)法繞過了邊緣安全控制，也只是影響到OT 網(wǎng)絡(luò)的一小部分，而不會(huì)擴(kuò)散至整個(gè)網(wǎng)絡(luò)。

5.防范勒索軟件

此前就已出現(xiàn)了許多以“新冠”為字眼的網(wǎng)絡(luò)釣魚攻擊，包括各種各樣的勒索軟件有效載荷，諸如Netwalker、Ransomware-GVZ和CoViper 變體等。勒索軟件即服務(wù)（RaaS）以此得到了快速發(fā)展，其所帶來(lái)的另一個(gè)可怕的事實(shí)是，這些惡意軟件降低了攻擊的門檻和成本，使得非專業(yè)人員和也能夠輕易發(fā)起攻擊。例如，Phobos 作為最新的勒索軟件工具之一，利用遠(yuǎn)程桌面協(xié)議（RDP）獲得目標(biāo)網(wǎng)絡(luò)訪問權(quán)限，給企業(yè)帶來(lái)極大安全威脅。

企業(yè)必須制定完善的防勒索軟件策略，例如將重要的數(shù)據(jù)和系統(tǒng)備份存儲(chǔ)在脫機(jī)和離線網(wǎng)絡(luò)中，以確保一旦受到破壞，能夠快速得到恢復(fù)。但如今的攻擊者為其攻擊策略進(jìn)行了“升級(jí)”——不僅將目標(biāo)數(shù)據(jù)進(jìn)行加密，而且其副本也被加載到服務(wù)器上，如果受害者不支付贖金，就連副本也無(wú)法幸免于難。因此，企業(yè)需要對(duì)網(wǎng)絡(luò)內(nèi)部（無(wú)論是處于靜態(tài)的、使用中的還是傳輸過程中的）數(shù)據(jù)進(jìn)行加密，以避免這些關(guān)鍵數(shù)據(jù)受到網(wǎng)絡(luò)犯罪分子的破壞。部署能夠檢測(cè)這些惡意流量的下一代防火墻是一個(gè)有效的安全措施。

良好的安全性得益于有效的情報(bào)

CISO 和其他安全專業(yè)人員若要采取適當(dāng)?shù)陌踩呗?，則必須緊跟最新的安全趨勢(shì)，比如以上內(nèi)容所討論的2020 年上半年發(fā)生的攻擊策略的重大轉(zhuǎn)變。

更好的防御網(wǎng)絡(luò)威脅的方法就是利用有效的威脅情報(bào)，包括利用關(guān)鍵威脅情報(bào)（威脅報(bào)告），收集情報(bào)源并為情報(bào)源做貢獻(xiàn)，保留與網(wǎng)絡(luò)連接的每個(gè)設(shè)備引用的IOC的更新列表。