2022年已进入尾声,降低数字化风险、增强安全防御能力依然是众多企业组织数字化发展中的重要需求和目标。
网络世界充满了各种类型威胁,随着技术的不断进步,网络攻击者的攻击成本不断降低,同时攻击方式更加先进。纵观2022年,全球重大网络安全事件频发,网络钓鱼、勒索软件、复合攻击等层出不穷,且变得更具危害性,而这些趋势将延续至新的一年。
普通却有效更多组织遭遇网络钓鱼
网络钓鱼攻击是IT部门普遍存在的安全威胁,许多人仍然成为网络钓鱼电子邮件的受害者。网络犯罪分子攻击、恶意URL和网络钓鱼电子邮件在网络上仍然很普遍,只是它们现在具有高度本地化的地理目标,并且更加个性化。攻击者很容易伪装成信任的人。网络钓鱼是社会工程相关事件的罪魁祸首,占比超过60%。此外,网络钓鱼还是恶意攻击者实现入侵的三大媒介之一,另外两个是程序下载和勒索软件。
其中,商业电子邮件泄露(BEC)攻击,通过让攻击者获得对合法电子邮件账户的访问权限并冒充其所有者发送邮件的方式来达到恶意目的。攻击者认为受害者不会质疑来自可信来源的电子邮件,事实上,他们所认为的并没有错,相比之下,BEC攻击的成功率的确更高。
不过电子邮件并不是攻击者用来进行社会工程攻击的唯一有效手段,随着数字化转型的持续推进,当前企业对于数字应用的依赖也越来越重,无论是VPN、云服务、各类通信工具还是其他各种在线服务等。在实际场景中,这些数字应用、服务彼此之间并非是割裂的,而是相关联的,因而任何一个环节出现了问题,其他环节也难以保全。攻击者一旦对其中某一个应用或服务的攻击得手,势必会威胁到其他应用或服务。
同时,组织也不能只关注网络钓鱼和BEC攻击,尤其是在商业应用程序入侵(BAC)呈现出上升趋势时。
在防范网络钓鱼此类攻击方面,一些组织采用了浏览器隔离技术,把浏览器活动与本地硬件分隔开来,在用户的设备/网络与Web代码执行环境之间建立一个安全隔离带。主要有两种:一种是操作系统或应用程序级别的本地浏览器环境隔离;一种是在云端用容器化的实例来隔离,即远程浏览器。
另外,使用者一定要检查你要输入登录信息的任何网站的URL(统一资源定位系统);对从未知来源收到的URL持怀疑态度;为了增加保护,组织可以让使用者使用安全的办公空间,如数影,对网站进行分类分级管理,并强制在地址栏提示给使用者,帮助使用者识别钓鱼网站。
安全企业亦未幸免勒索软件攻击事态恶化
目前,世界上最流行的攻击类型之一除了网络钓鱼,就是勒索软件攻击。攻击者获得对信息或系统的未经授权访问,或完全剥夺用户对信息的访问权限,直到公司或用户向黑客支付一定金额的钱,才能恢复对数据的访问或解密。
今年1月,美国新墨西哥州最大的县就受到勒索软件攻击的影响,导致多个公共事业部门和政府办公室系统下线,此次勒索软件攻击还致使监狱系统下线。
今年2月底,全球芯片制造巨头英伟达被曝遭到勒索软件攻击,入侵者成功访问并在线泄露了员工私密信息及登录数据,黑客向英伟达索取100万美元的赎金和一定比例的未指明费用。
除了广泛针对政府、教育、医疗、商业机构进行攻击,2022第三季度的勒索软件攻击还出现了新的情况。
虽然一些科技巨鳄受到了勒索软件攻击,但鲜见的是,就算是网络安全企业,也没能在广泛威胁之下幸免于难。
另据微软旗下网络安全公司RiskIQ的数据,全球每分钟就有6家企业遭到勒索攻击,每年有315万家企业遭到勒索攻击。网络安全问题导致全世界企业的损失每分钟达到180万美金,一年下来这一损失接近1万亿美元。
目前,与软件即服务模式类似,勒索攻击产业也发展出“勒索软件即服务”的黑灰产模式。有开发者开发勒索软件包、支付工具等,也有人执行勒索攻击并负责与受害者沟通。勒索软件攻击者在与网络犯罪分子和受害企业接触的过程中,也通过客户服务和满意度调查使自身行为变得越来越“有序”。
复合型网络攻击越演愈烈
除了传统愈演愈烈的攻击方式,一种新的攻击趋势正在出现——复合型攻击。“相比传统使用单一方法的攻击,黑客会使用多种攻击手法,比如大量使用攻击机器人,或者僵尸网络,甚至还会用到养号,比如养手机号码、养银行卡等进行恶意注册、恶意登录,导致业务被恶意中断。”
结语
安全本身具有较高的复杂度,需要有很强的专业背景和复杂的操作配置,即使具有计算机背景的IT人士,面对复杂的网络安全,也可能不知所措。因此,企业要想具备较强的网络安全,一方面是强化安全制度和提升员工整体安全意识,另一方面是依靠先进的安全工具、产品、解决方案,两者形成合力,才能确保在和攻击者的动态对抗中保持平衡甚至领先,让攻击者望而却步。
免责申明:此文章转载至网络如有侵权请联系第一时间删除