攻擊策略正發生轉變企業準備好了嗎？

■ 北京 趙賢

編者按：新的攻擊方式層出不窮，網絡犯罪分子尤其善于利用各種熱點及最新技術，通過不斷完善其攻擊策略，來達到攻擊的目的。本文主要圍繞攻擊者策略的轉變，深入探討了各種場景下的安全防護短板及防御措施。

最近的相關威脅研究表明，在2020 年上半年中，網絡犯罪分子采用了常規的攻擊策略，特別是由于疫情而采用遠程工作模式以來，通過遠程連接的攻擊面大大增加了。對于負責保護企業網絡并準確鎖定威脅的安全團隊而言，了解這一趨勢至關重要。

或許最大的挑戰之一是NOC（網絡運營中心）和SOC（安全運營中心）團隊的協作，因為當前企業網絡連接的方式正在發生轉變——許多員工從以前的內網辦公環境轉變為現在外網遠程連接企業網絡。這種轉變降低了企業網絡的可見性和控制力，使得企業不得不面臨許多突發和未知風險。不管企業愿不愿意接受，這就是事實，把自己“圈起來”隔絕于世的安全防護方式已經一去不復返了，不受保護的家庭網絡現在已成為公司網絡擴展的一部分，各種各樣的漏洞也將成為公司網絡的一部分。

網絡犯罪分子充分了解并利用這一點，并隨之修改了其攻擊策略。近期的威脅數據表明，IPS 簽名已檢測到針對目標家庭路由器和IoT設備的攻擊正在急劇上升。此外，盡管漏洞披露的速度也在加快，并且2020 年有望發布史上數量最多的CVE，但針對以前漏洞的利用仍屢見不鮮。據稱，有65%的企業組織報告檢測到針對2018年漏洞的威脅，超過1/4 的公司IT 系統被披露涉及15年前的CVE 漏洞。

因此，這些舊的漏洞正成為安全防護的短板，網絡犯罪分子將目標轉移到家庭網絡上的安全性較低的設備，例如未打補丁的路由器和DVR 系統。通過在這些地方建立攻擊的“橋頭堡”，然后發起遠程攻擊，進而攻入企業網絡。

這種攻擊方式非常奏效，僵尸網絡活動正是這種攻擊方式的體現。在過去的六個月中，僵尸網絡攻擊通過利用兩個較舊的漏洞，迅速成為主流的安全威脅方式。例如，Mirai 僵尸網絡從2016年首次被檢測到以來，在過去六個月里一直在全球僵尸網絡活動中排名第一。

這些攻擊數據的增多與攻擊策略的急劇變化直接相關。例如利用與疫情相關的攻擊方式成為近期Web 和電子郵件網絡釣魚攻擊的熱點。瀏覽器如今也已經成為主要的攻擊媒介，遠遠超過了電子郵件作為傳遞較舊惡意軟件有效載荷的主要來源。部分原因是由于遠程工作方式的增加，使得遠程工作人員在沒有公司防火墻保護的情況下更頻繁地連接網絡，而電子郵件則因受到公司電子郵件網關的安全保護而幸免。

這對安全團隊意味著什么？

通過了解這些最新的威脅趨勢，安全團隊需要采取措施以確保及時更新其安全策略（包括識別和跟蹤新的IOC），以便可以正確地監視和關閉這些攻擊向量。以下是網絡安全人員需要特別考慮的一些方面。

1.升級和保護端點設備

遠程工作人員不可避免地會使用個人設備遠程連接到公司網絡資源，但決不可讓這些個人設備“裸奔”。安全防護措施主要包括對這些設備進行及時的漏洞修補，安裝安全軟件以及對遠程連接進行適當的保護，以防止在家庭網絡上運行的設備受到潛在的破壞。除傳統的AV/AM 軟件外，安全解決方案還應包括新的端點檢測和響應（EDR）工具，以識別更為復雜的攻擊，并防止在遠程設備上被執行惡意軟件。還應特別注意升級和強化瀏覽器，以及實施一種代理程序，通過基于云的Web 安全網關來保護所有Internet 瀏覽過程（無論是在網絡上還是在網絡之外）。

2.升級安全電子郵件網關

盡管瀏覽器已成為新攻擊策略的主要攻擊媒介，但畢竟電子郵件仍然是傳統惡意軟件傳遞的重要方式。如果電子郵件網關能夠更有效地識別惡意附件，那么大多數攻擊都是可以避免的。企業安全人員需要考慮升級或更新現有的安全電子郵件網關，以確保它們能夠識別最新的威脅，通過新的內容拆解與重建（CDR）技術來清除嵌入在電子郵件中的惡意代碼、宏病毒和惡意的可執行文件。

3.檢查所有VPN 流量

即使采取了上述措施，仍舊可能有某些惡意的漏網之魚混入。攻擊者可能會將VPN 隧道作為目標來傳遞惡意軟件和泄露數據，因為他們知道，大多數安全解決方案都沒有足夠的能力來檢查流入和流出網絡的VPN 流量。因此企業需要認真考慮使用能夠檢查加密流量的設備來替換舊式的防火墻，以避免其成為關鍵業務應用和工作流的安全短板。同樣，經常訪問敏感數據的企業超級用戶（例如系統管理員、服務臺人員和主管）也應該使用安全SD-WAN 技術來升級其連接家庭的網絡。

4.增強OT 防御

越來越多的惡意軟件和其他攻擊將目標對準OT 環境。兩個相關的典型例子是EKANS 勒索軟件和Ramsay惡意軟件，它們專門針對物理隔離物理或高度受限的網絡，收集其中的敏感文件。網絡犯罪分子通過利用這些惡意軟件來試圖找到滲透進OT 網絡的新方法。因此，確保OT 的安全性就必須限制用戶、設備、應用程序和工作流可以訪問的資源。尤其是在OT 環境中，應當實施零信任策略（包括網絡分段），以確保SCADA 和ICS 系統以及其他未修補的系統的安全性。這樣即使惡意軟件設法繞過了邊緣安全控制，也只是影響到OT 網絡的一小部分，而不會擴散至整個網絡。

5.防范勒索軟件

此前就已出現了許多以“新冠”為字眼的網絡釣魚攻擊，包括各種各樣的勒索軟件有效載荷，諸如Netwalker、Ransomware-GVZ和CoViper 變體等。勒索軟件即服務（RaaS）以此得到了快速發展，其所帶來的另一個可怕的事實是，這些惡意軟件降低了攻擊的門檻和成本，使得非專業人員和也能夠輕易發起攻擊。例如，Phobos 作為最新的勒索軟件工具之一，利用遠程桌面協議（RDP）獲得目標網絡訪問權限，給企業帶來極大安全威脅。

企業必須制定完善的防勒索軟件策略，例如將重要的數據和系統備份存儲在脫機和離線網絡中，以確保一旦受到破壞，能夠快速得到恢復。但如今的攻擊者為其攻擊策略進行了“升級”——不僅將目標數據進行加密，而且其副本也被加載到服務器上，如果受害者不支付贖金，就連副本也無法幸免于難。因此，企業需要對網絡內部（無論是處于靜態的、使用中的還是傳輸過程中的）數據進行加密，以避免這些關鍵數據受到網絡犯罪分子的破壞。部署能夠檢測這些惡意流量的下一代防火墻是一個有效的安全措施。

良好的安全性得益于有效的情報

CISO 和其他安全專業人員若要采取適當的安全策略，則必須緊跟最新的安全趨勢，比如以上內容所討論的2020 年上半年發生的攻擊策略的重大轉變。

更好的防御網絡威脅的方法就是利用有效的威脅情報，包括利用關鍵威脅情報（威脅報告），收集情報源并為情報源做貢獻，保留與網絡連接的每個設備引用的IOC的更新列表。