2020年网络安全趋势:9个值得关注的威胁

admin 2022年4月9日23:51:05评论28 views字数 7018阅读23分23秒阅读模式

2020年网络安全趋势:9个值得关注的威胁


进行网络安全预测很有趣,但对必须确定应对威胁的安全专业人员而言,并不一定有帮助。Akamai安全情报响应团队的高级工程师Chad Seaman说:“对于未来的发展,您无法真正做出正确的预测,因为总是有来自左领域的东西才真正成为问题。”  


2020年网络安全趋势:9个值得关注的威胁


如果您对2020年最大的威胁是新事物并且无法预测,那么您如何才能最好地集中精力迎接新的一年?首先,从规模和策略上来看今年最大的威胁在2020年可能会如何变化。


CSO审查了有关2019年最常见,重大威胁的领先研究,并请这些研究人员就这些威胁的发展趋势以及组织在2020年如何调整防御措施提供建议。


设备的恶意软件感染

保护端点仍然是组织的战斗。根据卡巴斯基的《 2019年IT安全经济学》报告,2019年约有一半的组织在公司拥有的设备上遭受了恶意软件感染。半数人还发现员工拥有的设备上感染了恶意软件。


对于企业而言,卡巴斯基报告中提到的公司设备上的恶意软件感染是最昂贵的事件,平均每次事件成本为273万美元。对于中小型企业来说,这个数字要少得多,为117,000美元。


2020年的期望:卡巴斯基安全研究员Dmitry Galov认为,员工拥有的设备在2020年带来的风险会增加。他认为公司更愿意允许员工使用自己的设备来削减成本,实现远程工作以及提高员工满意度。结果,攻击者将针对个人设备作为绕过公司防御的一种方式。他说:“默认情况下,用户的个人设备受保护的程度往往低于公司设备,因为普通用户很少采取其他措施来保护手机和计算机免受潜在威胁的影响。” “只要这种趋势持续下去,公司和员工拥有的设备就会出现感染。这种攻击方式仍然具有吸引力,因为攻击者不再需要定位公司帐户(例如,利用网络钓鱼) 电子邮件发送到公司邮件)。


2020年最佳建议:加洛夫认为,公司必须审查并更新有关个人设备的政策,然后执行这些政策。他说:“严格的公司安全政策,正确的权限管理以及为用户提供安全解决方案,已成为保护公司及其数据的必备条件。” “除了管理技术问题外,安全意识培训也很重要,因为它们可以在员工中培养网络卫生的标准。


网络钓鱼

根据《2019年Verizon数据泄露调查报告》,过去一年中,几乎所有违规事件中有近三分之一涉及网络钓鱼。对于网络间谍攻击,这一数字跃升至78%。2019年最糟糕的网络钓鱼新闻是,得益于现成的,现成的工具和模板,其犯罪者正在变得越来越好。


Akamai的SOTI报告:“引诱钩子”破坏了一个网络钓鱼套件开发人员提供的网络钓鱼即服务。该开发人员拥有店面并在社交媒体上做广告。价格从99美元起,并根据所选的邮寄服务而上涨。所有套件均具有安全性和逃避功能。报告的作者说:“低廉的价格和顶级品牌目标很有吸引力,这为想要开设商店的罪犯创造了进入钓鱼市场的低门槛。” 目标公司包括Target,谷歌,微软,苹果,Lyft和沃尔玛。


2020年的预期:网络钓鱼套件开发人员将提供更多精致的产品,从而进一步降低启动网络钓鱼活动所需的技能。根据IDG安全优先级研究,有44%的公司表示,提高安全意识和员工培训优先级是2020年的重中之重。攻击者将通过减少或隐藏网络钓鱼的常见迹象来提高网络钓鱼活动的质量,以做出响应。期望攻击者也通过欺诈性的或受感染的内部或第三方帐户发送看起来合法的网络钓鱼尝试,从而更多地使用企业电子邮件泄露(BEC)。


2020年最佳建议:保持最新的反网络钓鱼培训并使之持续进行。为了与BEC对抗,请制定相应的政策,要求所有收到有关金钱或付款说明的请求的员工都必须通过电话进行确认。


勒索软件攻击

勒索软件攻击不是最常见的网络安全事件,但可能是代价最高的事件之一。根据卡巴斯基的《 2019年IT安全经济学》报告,2019年约有40%的中小型企业和企业经历了勒索软件事件。在企业一级,每起事件的平均成本为146万美元。


根据Sophos Labs 2020威胁报告,端点保护工具在检测勒索软件方面变得越来越好,但这使勒索软件开发人员更好地学习了这些工具使用的技术。“改变恶意软件的外观要比改变其目的或行为容易得多,这就是为什么现代勒索软件依靠迷惑技术才能成功的原因,” Sophos下一代技术工程总监Mark Loman说。“但是,到2020年,勒索软件将通过更改或添加特征来混淆一些反勒索软件的保护,从而增加风险。


这种混淆是为了使勒索软件看起来像是来自受信任的来源。Sophos报告引用了几个示例:


  • 制作一个脚本,列出目标计算机,并将它们与Microsoft Sysinternals的PsExec实用程序,特权域帐户和勒索软件合并在一起。

  • 通过Windows组策略对象利用登录/注销脚本

  • 滥用Windows管理界面在网络内部大量分发


2020年的期望值: Loman看到勒索软件攻击者继续调整自己的方法来发挥自己的优势。他说:“最明显的进步是,勒索软件攻击者的增加是通过自动主动攻击来提高风险的,这种主动攻击将人的创造力与自动化工具融为一体,从而产生最大的影响。” “此外,通过仅加密每个文件的相对较小的部分或将操作系统引导至通常无法使用反勒索软件保护的诊断模式,攻击者将继续逃避大多数防御措施。” 


卡巴斯基的加洛夫说:“勒索软件攻击今年来势汹汹,没有理由减少这种威胁。”勒索软件越来越多地瞄准基础设施,组织甚至智慧城市。


勒索软件开发人员将使他们的代码更易逃避,以便他们可以在系统中建立立足点,加密更多数据而不会被发现,并可能将操作扩展到其他网络。Galov说:“今年,我们甚至看到了对网络附加存储(NAS)的攻击,这在很大程度上被认为是安全可靠的。


2020年最佳建议:一如既往,抵御勒索软件的最佳方法是拥有所有关键数据的最新,经过测试的备份。将那些备份与您的网络隔离开,这样它们也不会被勒索软件加密。员工培训也至关重要。“为了保护自己免受勒索软件的侵害,组织需要实施严格的安全策略,并对员工进行网络安全培训,”加洛夫说。“需要采取其他保护措施,例如确保对数据的访问安全,确保备份的存储安全以及在服务器上实施应用程序白名单技术。


Loman说:“至关重要的是要有覆盖所有端点,网络和系统的健壮的安全控制,监视和响应,并在每次发布时安装软件更新。


第三方供应商风险

卡巴斯基在2019年发布的《 IT安全经济学》报告显示,企业和中小型企业都看到涉及第三方供应商(服务和产品)的事件发生率分别为43%和38%相似。根据One Identity的调查,大多数组织(94%)授予第三方访问其网络的权限,而72%的组织授予特权访问的权限。但是,只有22%的人对那些第三方没有访问未经授权的信息充满信心,而18%的人报告说由于第三方的访问造成了违规。


卡巴斯基的研究表明,中小企业和企业都在强迫第三方供应商签署安全策略协议,其中75%的中小企业和79%的企业都在使用它们。在第三方对违约行为负责时,从第三方那里获得赔偿时,这有很大的不同。在已制定政策的企业中,有71%的企业表示已获得补偿,而没有政策的企业中只有22%的企业获得了补偿。


2020年的期望:企业将与供应商和合作伙伴建立数字化联系。这既增加了风险,也提高了对该风险的意识。不幸的是,攻击者变得越来越老练。


“最近,我们发现诸如BARIUM或APT41之类的一些新组织对软件和硬件制造商进行了复杂的供应链攻击,以渗透到全球安全的基础设施中,” Galov说。“其中包括2017年和2019年发现的两种复杂的供应链攻击:CCleaner攻击和ShadowPad攻击,以及其他针对游戏公司的攻击。处理来自这些威胁参与者之一的妥协是一个复杂的过程,因为他们通常会离开后门,从而使他们以后可以返回并造成更大的破坏。


2020年最佳建议:了解谁可以访问您的网络,并确保他们仅拥有所需的特权。制定用于交流和执行第三方访问规则的策略。确保为所有第三方供应商制定了安全政策,阐明了责任,安全期望以及事件发生时的后果。


Galov说:“最好的组织可以保护自己免受此类攻击,是要确保不仅他们自己,而且他们的合作伙伴都遵守高网络安全标准。” “如果第三方供应商可以通过任何方式访问内部基础架构或数据,则应在集成过程之前建立网络安全策略。


DDoS攻击

根据卡巴斯基的《 2019年IT安全经济学》报告,2019年有42%的企业和38%的SMB遭受了分布式拒绝服务(DDoS)攻击。这与勒索软件事件相当,后者引起了更多媒体关注。从财务角度来看,DDoS攻击使中小企业平均损失138,000美元。 


攻击者不断创新以提高其DDoS攻击的效率。例如,在9月,Akamai报告了一个新的DDoS向量:Web服务动态发现(WSD),这是一种用于在本地网络上定位服务的多种发现协议。使用WSD,攻击者可以大规模定位和破坏配置错误的,与Internet连接的设备,从而扩大DDoS攻击的范围。


2020年的预期:由于5G的兴起和物联网设备的数量增加,卡巴斯基(Kasperksy)的Galov认为2020年 DDoS攻击仍将“突出”。他说:“供水,能源网,军事设施和金融机构等关键基础设施的传统边界将进一步扩展到5G连接世界中的其他空前领域。” “所有这些都将要求新的安全标准,而提高连接速度将在阻止DDoS攻击发生方面带来新的挑战。


2020年最佳建议:请大家帮忙,并检查您的互联网连接设备是否配置错误和未修补的漏洞。“这是安全卫生,是基本的安全卫生,” Akamai的Seaman说。


不幸的是,这不会帮助连接的消费类设备带来DDoS攻击的风险。Seaman说:“奶奶去百思买拿起一个新的摄像头放在车道上,这样她就可以看到谁拉着车不知道该设备的卫生状况。” “那是我们继续看到更大问题的地方,而不是奶奶。越南确实有一个小商店拥有VDR安全系统的人。他最后担心的是他的网络摄像头是否已被用来对银行进行DDoS。


应用程序漏洞

根据Veracode的软件安全状态卷。报告称,它测试的85,000个应用程序中有83%至少具有一个安全漏洞。许多人拥有更多的漏洞,因为他们的研究发现总共有1000万个漏洞,而所有应用程序中有20%至少有一个高严重漏洞。就潜在的零日漏洞和可利用的漏洞而言,这为攻击者留下了很多机会。


报告作者对某些数据感到乐观。修复率,尤其是针对高严重性漏洞的修复率正在提高。总体修复率为56%,高于2018年的52%,严重性最高的漏洞修复率为75.7%。但是,最大的好处是,频繁扫描和测试软件的DevSecOps方法将减少修复缺陷的时间。每年扫描12次或更少的应用程序的维修时间中位数为68天,而每天或更长时间的平均扫描速度将其降低到19天。


2020年的预期:尽管安全和开发团队做出了最大的努力,漏洞仍将继续渗透到软件中。“当今大多数软件都是非常不安全的。这将在2020年继续,尤其是90%的应用程序使用开源库中的代码。” Veracode的联合创始人兼CTO Chris Wysopal说。“我们在2019年看到了AppSec的积极迹象。组织越来越关注于不仅要发现安全漏洞,而且要解决这些漏洞,并优先考虑使它们最容易受到威胁的漏洞……。我们的数据表明,发现和修复漏洞与改善功能一样,已经成为整个过程的一部分。” 


2020年最佳建议:正如Veracode研究表明的那样,在优先解决最严重的缺陷的同时,更频繁地扫描和测试应用程序中的漏洞是一种有效的防御措施。Wysopal还敦促公司密切注意担保债务。他说:“应用程序安全性内日益增长的威胁之一是安全债务的概念-无论应用程序是随着时间的推移累积还是消除了缺陷,” 越来越多的安全债务使组织容易受到攻击。


Wysopal说:“就像信用卡债务一样,如果您开始时有大量余额,并且仅支付每个月的新支出,那么您将永远不会消除余额。” “在AppSec中,您必须解决新的安全性发现,同时又要消除旧的安全性。


云服务/托管基础架构事件

根据卡巴斯基的《 2019年IT安全经济学》报告,2019年有43%的企业业务发生了影响第三方云服务的安全事件。尽管与云相关的事件并没有使SMB成为最常见的事件,但对于较小的公司而言,它们的代价是很高的,因为这些公司通常更依赖托管服务。影响中小型企业托管基础架构的平均事件代价为$ 162,000。


在线支付欺诈是2019年活动增加的一个领域。去年,Magecart犯罪集团尤其忙。该小组使用利用云中错误配置的代码来修改购物车代码。使用在线电子商务服务的企业直到客户抱怨欺诈性费用之前才意识到这一变化。


组织仍然需要担心以错误的方式配置云服务,使数据暴露在互联网上。攻击者会定期扫描互联网以获取这些裸露的数据。幸运的是,诸如Amazon和Google之类的云平台供应商已在2019年推出了新的工具和服务,以帮助组织正确配置其云系统并查找使数据不受保护的错误。


2020年的预期:恶意代码的持久力和经济回报(仅Magecart的获利估计就达数百万美元)意味着在线支付欺诈在2020年将会增加。Magecart的成功势必会激发模仿者。企业将通过在云安全方面花费更多的资金来应对这种和其他云威胁。根据IDG安全优先研究,只有27%的组织在生产中使用云数据保护技术,但是49%的组织正在研究或试用该技术。


2020年最佳建议:对电子商务脚本进行源代码审查,并实现  子资源完整性, 以便未经您的许可不会加载修改后的脚本。确保您的云提供商对自己的代码进行评估以防止欺诈。定期扫描配置错误,以使您的数据在Internet上公开。


物联网漏洞

根据安全行业协会(SIA)2019年安全大趋势报告,物联网(IoT)及其生成的数据是2019年对安全从业人员影响第二大的趋势。物联网的发展充满了狂热和难以预测。研究公司Statista估计,到2020年,将有66亿到300亿个互联网连接设备,这个范围太大而无济于事。


对于大多数组织而言,物联网带来的威胁已成为2019年的头等大事。根据微软2019全球风险认知调查发现,66%的受访看到物联网的网络风险; 23%的受访者认为该风险“极高”。“这些IoT设备是攻击者的软目标,因为它们通常没有打补丁和配置错误,并且由于不支持端点安全代理而被'不受管理',”副总裁Phil Neray说。 CyberX工业网络安全总裁。“结果,它们很容易受到对手的侵害,从而在企业网络中立足,进行破坏性的勒索软件攻击,窃取敏感知识产权,并为DDoS攻击和加密劫持而窃取计算资源。


CyberX2020年全球IoT / ICS风险报告打破了过去12个月中使IoT设备易受攻击的最常见的安全漏洞。它显示了一些方面的显着改善。远程访问的设备下降了30个百分点,其中54%的调查站点发现了此漏洞。直接互联网连接也从40%下降到27%。


不利的一面是,过时的操作系统在71%的站点中被发现,而去年是53%,而66%的站点未能执行自动防病毒更新,而上一年是43%。


2020年的预期:  随着连接设备的数量增加和“民族国家对手和网络犯罪分子的动机和复杂性增加,Neray会发现,暴露的IoT设备在2020年的风险会增加。”工业环境,如能源公用事业,制造业,化工行业他说,药品,石油和天然气将特别危险。“这些妥协可能导致更严重的后果,包括代价高昂的工厂停机时间,对人类安全的威胁和环境事件。


Neray将建筑物管理系统(BMS)确定为攻击者的主要目标。“它们通常由对安全性缺乏专门知识的设施管理团队进行部署,通常不知不觉地暴露于Internet,并且通常不受公司安全运营中心(SOC)的监视。” 


2020年最佳建议: Neray建议公司遵循多层次的纵深防御策略,


更强大的网络细分

具有强大访问控制(例如2FA和密码库)的第三方承包商对工业控制网络的远程访问进行了限制

无代理网络安全监控,可在敌人炸毁或关闭其设施之前快速检测和缓解IoT攻击。

最终,最好的防御措施更多地取决于组织而不是技术方法。“在TRITON对沙特阿拉伯一家石化厂的安全系统的攻击中,主要缺陷之一是没有人认为自己最终对工业控制网络的安全负责,” Neray说。“结果是,安全监控严重失误,没有人检查安装在DMZ中的防火墙是否已由外包公司正确配置。我们对CISO的建议是站稳脚跟,掌握IoT和OT安全性,并以整体方式将IoT和OT安全性与IT安全性相结合,并集成到SOC工作流和安全性堆栈中。


加密劫持

让我们以一些好消息来结束此列表:加密矿攻击预计将在2020年下降。尽管加密矿攻击并未在卡巴斯基的《 2019年IT安全经济学》报告中成为企业或中小型企业中最频繁的列表,但事实证明,它们对2019年的企业而言代价高昂对他们的平均财务影响为162万美元。


2020年的预期:加密货币的发生率随加密货币的值而上升或下降,但是攻击者执行加密劫持方案的难易程度意味着这种威胁将持续到2020年。“整个2019年,采矿业一直在稳步下降,我们看不出有什么理由这种趋势会发生变化,”加洛夫(Galov)说。“加密货币的获利能力下降了,并非没有受到与这种威胁作斗争的加密货币的影响。


2020年最佳建议:使用安全解决方案来检测加密矿威胁,并密切注意加密货币价值的飙升,这将鼓励更多的加密劫持攻击。



2020年网络安全趋势:9个值得关注的威胁

点击图片阅读更多
2020年网络安全趋势:9个值得关注的威胁
2020年网络安全趋势:9个值得关注的威胁
2020年网络安全趋势:9个值得关注的威胁
2020年网络安全趋势:9个值得关注的威胁


混迹安全圈,每日必看2020年网络安全趋势:9个值得关注的威胁

原文始发于微信公众号(红数位):2020年网络安全趋势:9个值得关注的威胁

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月9日23:51:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2020年网络安全趋势:9个值得关注的威胁http://cn-sec.com/archives/637032.html

发表评论

匿名网友 填写信息