由于當(dāng)前的疫情環(huán)境,網(wǎng)絡(luò)犯罪迅速過度到遠(yuǎn)程辦公,再加上網(wǎng)絡(luò)犯罪分子利用恐懼,不確定性和懷疑的傾向,安全研究人員觀察到了網(wǎng)絡(luò)安全問題激增。網(wǎng)絡(luò)罪犯分子很快就會利用新的手段和設(shè)備,接入新手遠(yuǎn)程工作者、易受攻擊的家用計(jì)算機(jī)和網(wǎng)絡(luò),以及過度勞累的IT團(tuán)隊(duì)。
許多人甚至?xí)簳r(shí)放棄了以網(wǎng)絡(luò)為中心的傳統(tǒng)攻擊,并針對能使他們獲得寶貴數(shù)據(jù)和資源的新型安全漏洞展開研究。例如,僅在4月份,美國聯(lián)邦調(diào)查局每天就收到3,000-4,000例來自美國企業(yè)和用戶的網(wǎng)絡(luò)安全相關(guān)投訴,與平均每天1000例的投訴相比,大幅上升。
當(dāng)然,安全研究人員知道,重大的社交事件通常是引發(fā)新威脅的催化劑。無論是疫情,世界杯還是其他重大事件,總是會有壞人在危險(xiǎn)時(shí)刻利用這個(gè)契機(jī)。
在過去的幾個(gè)月中,F(xiàn)ortiGuard實(shí)驗(yàn)室一直在積極跟蹤與疫情相關(guān)的全球威脅問題和攻擊活動,包括信息竊取者,特洛伊木馬,勒索軟件以及社會工程誘餌的有效性。這揭示了以下最新趨勢:
電子郵件攻擊的最大高峰是4月2日,共進(jìn)行了330次單獨(dú)的COVID-19電子郵件活動。
4月也觀察到了許多的惡意電子郵件活動,總共發(fā)生了4,250多個(gè)與COVID-19相關(guān)的事件。
大多數(shù)電子郵件都附有惡意的.DOCX和.PDF文件(.DOCX是最高的),勒索軟件是最普遍的附件。
有趣的是,自4月以來,這些攻擊的數(shù)量一直在穩(wěn)定下降,其中5月發(fā)送了3,590個(gè)電子郵件活動,6月發(fā)送了2,841個(gè)電子郵件活動。
在過去的幾個(gè)月中,觀察到的三個(gè)主要的不良行為是利用情感進(jìn)行網(wǎng)絡(luò)欺詐,魚叉式網(wǎng)絡(luò)釣魚的興起以及遠(yuǎn)程工作所增加的風(fēng)險(xiǎn)。
利用情感謀取經(jīng)濟(jì)利益
從社會工程學(xué)的角度來看,網(wǎng)絡(luò)犯罪分子正在最大限度地利用這次疫情的恐慌心理,尤其是醫(yī)療設(shè)備和醫(yī)藥用品的短缺。我們的安全研究人員已經(jīng)看到針對醫(yī)院,醫(yī)療設(shè)備制造商和健康保險(xiǎn)公司的活動。
美國疾病控制中心(CDC)和世界衛(wèi)生組織(WHO)都在4月報(bào)告說,惡意行為者正通過冒充是該組織的工作人員進(jìn)行電話和電子郵件等的欺詐活動。要么是募集捐款,要么是假裝出售基本醫(yī)療用品。網(wǎng)絡(luò)釣魚電子郵件中包含從未訂購過的用品發(fā)票,或聲稱提供了重要的醫(yī)療信息。當(dāng)然,這些電子郵件包含受感染的文檔或指向受感染網(wǎng)站的鏈接。
魚叉式網(wǎng)絡(luò)釣魚攻擊也在增加
除了普遍的攻擊手段外,我們還看到了特別是在醫(yī)療供應(yīng)短缺的情況下,針對性較強(qiáng)的攻擊活動也在增加。我們最近觀察到的一項(xiàng)惡意魚叉式網(wǎng)絡(luò)釣魚活動是針對醫(yī)療設(shè)備供應(yīng)商的。在這種攻擊中,該攻擊者沒有提供出售的物品,而是詢問了由于需求量大而需要解決COVID-19疫情的各種材料。為了營造一種更強(qiáng)烈的緊迫感,該郵件中包含一個(gè)令人信服的聲明,即發(fā)件人已經(jīng)嘗試通過電話與收件人聯(lián)系。
在這種情況下,該電子郵件包含多個(gè)拼寫錯(cuò)誤,例如,主題行“有關(guān)醫(yī)療信息的查詢– [公司名稱]”。它還包含一個(gè)附件,聲稱包含查詢的詳細(xì)信息,并且該拼寫也是錯(cuò)誤的。拼寫錯(cuò)誤和語法不佳通常是騙局的典型標(biāo)志。這種情況下的目的顯然是要中斷救治所需的醫(yī)療用品的供應(yīng)鏈。
遠(yuǎn)程工作引入了新的攻擊媒介
網(wǎng)絡(luò)罪犯深知快速過渡的時(shí)期會給組織造成嚴(yán)重破壞。為了確保業(yè)務(wù)連續(xù)性,諸如安全協(xié)議之類的東西可能會被忽略或擱置。與往常一樣,網(wǎng)絡(luò)犯罪分子正在尋找任何機(jī)會利用無意中出現(xiàn)的安全漏洞。
在疫情的這種情況下,突然發(fā)現(xiàn)自己處于封鎖狀態(tài),那么前所未有的未受保護(hù)的用戶和設(shè)備會突然同時(shí)在線。在任何一個(gè)家庭中,很可能有兩個(gè)或兩個(gè)以上的人通過他們的家庭互聯(lián)網(wǎng)連接進(jìn)行遠(yuǎn)程工作。也可能有一個(gè)或多個(gè)孩子參加學(xué)校的在線課程,更不用說參加在線游戲社區(qū)或其他社交活動了。
另一個(gè)復(fù)雜因素是,并不是每個(gè)組織都能為現(xiàn)在需要遠(yuǎn)程工作的每個(gè)員工購買用于工作的筆記本電腦。因此,許多遠(yuǎn)程工作人員被迫使用他們的個(gè)人設(shè)備連接到公司網(wǎng)絡(luò),而這些個(gè)人設(shè)備較大概率沒有公司購買的同類設(shè)備那樣安全。
之所以如此危險(xiǎn),是因?yàn)檫@些個(gè)人設(shè)備甚至無需直接受到攻擊即可被破壞。它們還連接到不安全的家庭網(wǎng)絡(luò),這使攻擊者可以利用其他攻擊媒介,包括利用連接到家庭網(wǎng)絡(luò)的易受攻擊的物聯(lián)網(wǎng)設(shè)備或游戲機(jī)。然后,他們的目標(biāo)是找到一種方法,以回到企業(yè)網(wǎng)絡(luò)及其寶貴的數(shù)字資源中,從而可以竊取數(shù)據(jù),并將惡意軟件傳播給其他遠(yuǎn)程工作者。這尤其具有破壞性,因?yàn)檫h(yuǎn)程工作人員沒有機(jī)會請求公司專業(yè)人員幫助他們恢復(fù)受攻擊的計(jì)算機(jī)系統(tǒng)。如果無法通過電話對問題進(jìn)行故障排除來解決設(shè)備問題,則需要將其郵寄,使員工離線數(shù)天。
解決方案
作為一名與網(wǎng)絡(luò)安全相關(guān)的專業(yè)人士,您了解網(wǎng)絡(luò)安全的重要性。但是,至關(guān)重要的是,在當(dāng)前日益嚴(yán)峻的威脅形勢下,我們不能放松警惕。以下是您組織中需要加強(qiáng)的三個(gè)方面:
加強(qiáng)網(wǎng)絡(luò)安全衛(wèi)生:建議持續(xù)不斷更新所有IPS和AV定義。每當(dāng)供應(yīng)商更新時(shí),就應(yīng)保持主動修補(bǔ)程序。如果修補(bǔ)設(shè)備不可行,我們建議進(jìn)行風(fēng)險(xiǎn)評估,以確定其他緩解措施。
更新關(guān)鍵安全技術(shù):最有效的安全策略是將風(fēng)險(xiǎn)排除在系統(tǒng)之外。確保安全的電子郵件網(wǎng)關(guān)和Web應(yīng)用程序防火墻配備沙盒和內(nèi)容解除防護(hù)和恢復(fù)(CDR)技術(shù),以識別和阻止特定類型文件,包括網(wǎng)絡(luò)釣魚攻擊,并在威脅到達(dá)用戶之前解除其防護(hù)。并確保端點(diǎn)設(shè)備具有最新的端點(diǎn)檢測和響應(yīng)(EDR)軟件,以防止執(zhí)行主動威脅。
用戶培訓(xùn):進(jìn)行持續(xù)的員工培訓(xùn)課程,以告知他們最新的網(wǎng)絡(luò)釣魚/魚叉式網(wǎng)絡(luò)釣魚攻擊,并提醒他們不要打開陌生人的附件。用戶還需要接受培訓(xùn)以發(fā)現(xiàn)社會工程學(xué)攻擊,并使用即興發(fā)送的安全電子郵件通過安全測試小組秘密發(fā)送的測試電子郵件進(jìn)行評估。
令人驚訝的是,始終如一地實(shí)施的基本安全原則可以幫助擊敗最狡猾的攻擊媒介。同樣令人驚訝的是,很少有組織能夠一以貫之的做到這些事情。但是,通過致力于對上述三個(gè)方面的執(zhí)行,您的組織將更好地做準(zhǔn)備抵御企圖利用疫情環(huán)境影響下的攻擊者。
