云應用必須合規 電郵威脅再次增大

趙明

很多企業的首席信息安全官認為，確保云應用合規是面臨的最大工作壓力之一。賽門鐵克不久前發布了第22期《互聯網安全威脅報告》，與公眾和IT專業人士分享了對全球威脅動態、網絡犯罪趨勢和攻擊者動機的分析和洞察。

近日，全球網絡安全領導廠商賽門鐵克公司發布一項針對企業數據安全現狀的全新調研報告。該報告覆蓋全球11個市場，共邀請1100 名首席信息安全官（CISO）參與調研。報告結果顯示，云安全是中國首席信息安全官最擔憂的挑戰。不僅如此，中國首席信息安全官更關注自身企業是否擁有快速應對網絡攻擊的能力。

針對云的攻擊范圍不斷增大

賽門鐵克的調查顯示，云安全成為中國CISO所面臨的棘手問題。絕大數的CISO（92%）認為，確保云應用合規是他們所面臨的最大的工作壓力之一。在行業合規性方面，中國CISO最擔心自身企業是否能夠充分跟蹤已批準的云應用中的活動（29%），以及公司員工是否使用未被批準的云應用（23%）。

此外，中國CISO針對云安全的擔憂還包括：在云應用中廣泛分享合規所管控的敏感數據（21%），對企業所屬移動設備的管理（16%），以及遵守國家和地區特定的數據保留和管理條例（11%）。

賽門鐵克調研顯示，針對云安全話題，中國CISO在2017年最關注的企業外部威脅主要包括：數據泄露（30%）、系統漏洞利用（23%）、身份認證和證書破壞（20%）。除此之外，CISO最關注的內部威脅包括：員工違反安全合規要求（26%）、不安全的企業應用（22%）、數據丟失（21%）。

對端到端解決方案的需求

賽門鐵克的調研顯示，為了加強信息安全，所有受訪的中國CISO（100%）表示，計劃在今年增加IT人員安全培訓的支出，確保企業數據在本地系統、移動應用和云服務之間傳輸的安全性。新加入的IT員工在入職培訓期間將接受平均13個小時的安全培訓。值得提出的是，中國CISO所計劃的支出高于所有其他受調研的國家。

對數據安全、滿足合規性和數據保留等方面的需求，促使中國CISO尋找加密（Encryption）或標記化（Tokenization）解決方案來支持企業的軟件即服務（SaaS）計劃。賽門鐵克的調查顯示，絕大數（98%）的中國CISO認為，云數據標記化是滿足數據保留和數據管理條例的最佳方式——80%的受訪者表示使用標記化方法；77%的中國CISO表示使用加密技術來保護云中數據；60%的受訪者表示自身企業同時使用加密技術和標記化方法。值得一提的是，與其他受訪國家相比，中國CISO采用標記化方法的比例更高。

羅少輝表示：“網絡罪犯組織在進行犯罪活動時往往伺機而動，他們會利用合法的操作系統、工具和云服務中的漏洞來破壞企業網絡。為了有效地對抗這些犯罪行為，首席信息安全官需要擁有卓越的可見性和管控力，對用戶通過云上傳、存儲和共享的敏感內容進行管理。出色的CISO不會依靠一次性修復和被動的補丁來保護機密信息，而是通過主動部署端到端解決方案來消除可被利用的潛在漏洞和威脅。”

電郵攻擊再受關注

過去，網絡攻擊組織主要集中利用零日漏洞發動具有針對性的攻擊。但隨著“漏洞賞金” 計劃的日益普及，產品在開發過程中對安全因素的重點關注，以及國家、企業和個人用戶對安全解決方案的采用和部署，攻擊者越來越難發現和利用零日漏洞，這迫使他們重新采用一些常用攻擊途徑——電子郵件就是其中之一。

賽門鐵克第22期《互聯網安全威脅報告》顯示，2016年是網絡攻擊極其活躍的一年，全球先后發生多起大型網絡攻擊事件，例如令人震驚的造成數千萬美元損失的虛擬銀行劫案，蓄意破壞美國選舉的黑客攻擊，利用物聯網設備發動的史上最大規模的DDoS攻擊，以及近期席卷全球150個國家的WannaCry勒索軟件攻擊。

2016年，惡意電子郵件成為各類網絡攻擊團伙的首選 “武器” ，無論是有政府背景的間諜團伙，還是電子郵件群發勒索團伙都對其情有獨鐘。第22期賽門鐵克《互聯網安全威脅報告》指出，電子郵件中的惡意軟件比例在2016年出現明顯上升，達到1：131，成為五年來最高比例。在中國，該情況更為嚴重，比例為1：63——這意味著，每63封電子郵件中就有一封帶有惡意軟件。此外，利用魚叉式網絡釣魚電子郵件的商務電郵詐騙（BEC）騙局也受到攻擊者的青睞，在 2016 年出現明顯的增加。

羅少輝認為：“電子郵件是當今極為重要的通信工具，無論企業還是個人都十分依賴電子郵件作為生活和工作的溝通工具。攻擊者只需要通過簡單的欺騙手段便能夠成功誘惑受害者打開附件、點擊鏈接或泄露憑據，無需任何漏洞就可以完成。”

偽裝成信息化工具

隨著人們對網絡安全意識的提高，網絡攻擊者也在不斷改進利用郵件的攻擊手段，來確保目標在完善電子郵件安全防御前，搶占感染設備的先機。

Office宏和PowerShell成為常用的攻擊工具，該釣魚郵件偽裝成來自 Gmail 官方管理員的郵件，并在郵件中表示：受害人的郵箱可能已經受到感染，提示他需要重設密碼來確保賬戶的安全。該釣魚郵件中包含了一個短URL來掩飾真正的惡意URL。當受害人點擊該URL，就會進入一個“冒牌”的 Gmail賬戶密碼重置網頁。整個攻擊過程中，黑客僅通過簡單的社交詐騙技術，便輕松獲取了目標設備的密碼。

與此同時，越來越多的攻擊者選擇使用下載器在目標設備中安裝惡意程序。大多數企業不愿意通過電子郵件網關攔截全部Office文件，因為這樣可能影響合法的電子郵件，這一點是Office宏下載程序廣泛流行的重要原因。同時，腳本文件的易混淆性可使其躲避檢測，這是JavaScript下載程序泛濫加劇的原因之一。

BEC詐騙簡單直接

前文提到攻擊者在2016年愈發傾向于采用簡單的工具和看起來平淡無奇的招數，而這卻能夠給企業和目標組織帶來巨大的災難。作為社交騙局的其中一種，商務電郵詐騙在去年出現顯著的增加。此類攻擊也被稱為CEO欺詐或“鯨釣”攻擊。詐騙者只需偽裝成企業CEO或其他高管，向其員工發送仿冒電子郵件，隨后要求員工進行網上轉賬，便可完成攻擊。

賽門鐵克通過分析2016年所發布的623起重大惡意電子郵件攻擊活動后發現，BEC騙局所發送的郵件多是在工作日，郵件主題通常包含“請求（Request）”“付款（Payment）”“緊急（Urgent）”“發票（Invoice）”“訂單（Order）”“賬單（Bill）”等字樣。其中，“請求”是BEC詐騙郵件主題中最常用的關鍵字（25%），緊隨其后的分別是“付款” （15%）和“緊急”（10%）。

使用金融關鍵字發起攻擊已經成為惡意電子郵件攻擊的特征之一。這一發現表明，攻擊者利用這種手段的成功率非常高。由于大多數企業每天都會收到大量來自客戶和供應商的常規業務郵件，因此一旦這些電子郵件成功躲避安全軟件，用戶十分容易受到蒙蔽，從而點擊郵件。由于BEC騙局的利益回報率十分誘人，預計在2017 年，此類詐騙將會繼續呈現增長勢頭。

電郵成為勒索危害主要途徑

2016 年，勒索軟件成為個人和企業所面臨的重大網絡威脅之一。而通過偽裝成企業通知或發票等常規業務溝通內容的惡意電子郵件成為勒索軟件傳播的熱門途徑。2016 年，勒索軟件團伙利用Necurs僵尸網絡每天發出上萬封惡意電子郵件。而多數如Locky （Ransom.Locky）這樣廣泛傳播的勒索軟件都是通過電子郵件進行散播。許多情況下，受害者會收到一封主題為企業發票或收據的郵件，該郵件會以精心撰寫的內容誘使收件人打開惡意附件。此后，惡意下載程序便會下載并將勒索軟件安裝在設備中，隨即開始加密計算機上已預編程的一系列文件，然后實施勒索。

大多數最新的勒索軟件使用強密碼手段，這就意味著，受害者在沒有加密密鑰的情況下幾乎不可能打開被加密文件。由于勒索軟件變種會不定期出現，賽門鐵克強烈建議用戶對尤其包含URL和附件的未知電子郵件保持警惕。羅少輝認為：“利用電子郵件發動網絡攻擊數據的增長表明，攻擊者正在利用這種方式大發橫財，我們預計在未來一年，電子郵件依然會繼續成為網絡攻擊的主要途徑之一。