Michael Nadeau

進(jìn)行網(wǎng)絡(luò)安全預(yù)測很有意思，但是對于必須要確定威脅并應(yīng)對威脅的安全專業(yè)人員而言，這些預(yù)測并不一定有幫助。Akamai安全情報(bào)響應(yīng)團(tuán)隊(duì)的高級工程師Chad Seaman說：“對于未來的發(fā)展，你無法真正做出準(zhǔn)確的預(yù)測，因?yàn)榭偸怯羞@樣或那樣的意外情況發(fā)生?！?/p>

如果2020年的最大威脅是新的并且無法預(yù)測的事物，那么我們?nèi)绾尾拍芨玫丶芯τ有碌囊荒?？首先，我們要從?guī)模和策略上研究2019年最大的威脅在2020年可能會發(fā)生什么變化。

首席安全官審查了有關(guān)2019年最常見的重大威脅的研究報(bào)告，并請這些研究人員就這些威脅的發(fā)展趨勢以及企業(yè)在2020年如何調(diào)整防御措施提出建議。

感染設(shè)備的惡意軟件

對于企業(yè)來說，保護(hù)端點(diǎn)仍然是一場戰(zhàn)斗。據(jù)卡巴斯基的《 2019年IT安全經(jīng)濟(jì)學(xué)》報(bào)告顯示，2019年約有一半的企業(yè)出現(xiàn)了企業(yè)設(shè)備遭到了惡意軟件感染的情況。在這半數(shù)的企業(yè)當(dāng)中，還出現(xiàn)了員工個(gè)人設(shè)備感染了惡意軟件的情況。

對于企業(yè)而言，卡巴斯基報(bào)告中的企業(yè)設(shè)備遭惡意軟件感染是代價(jià)最為昂貴的事件，平均每次事件的成本為273萬美元。對于中小型企業(yè)來說，這個(gè)數(shù)字要少得多，大約為11.7萬美元。

2020年展望：卡巴斯基安全研究員Dmitry Galov認(rèn)為，員工擁有的設(shè)備在2020年帶來的風(fēng)險(xiǎn)會增加。公司更傾向于通過允許員工使用自己的設(shè)備來削減成本，實(shí)現(xiàn)遠(yuǎn)程工作以及提高員工滿意度。這導(dǎo)致攻擊者只要對個(gè)人設(shè)備發(fā)動(dòng)攻擊就可以繞過企業(yè)的防御體系。他說：“默認(rèn)情況下，用戶的個(gè)人設(shè)備受保護(hù)的程度往往低于企業(yè)設(shè)備，因?yàn)槠胀ㄓ脩艉苌俨扇∑渌胧﹣肀Ｗo(hù)手機(jī)和計(jì)算機(jī)免受潛在威脅的影響。只要這種趨勢持續(xù)下去，企業(yè)和員工擁有的設(shè)備就都會被感染。這種攻擊向量仍然具有吸引力，因?yàn)楣粽卟辉傩枰僖怨举~戶為目標(biāo)發(fā)動(dòng)攻擊（例如，將釣魚郵件發(fā)送到企業(yè)）。”

針對2020年的最佳建議：企業(yè)必須審查并更新有關(guān)個(gè)人設(shè)備的策略，然后執(zhí)行這些策略。Galov說：“嚴(yán)格的企業(yè)安全策略、正確的權(quán)限管理以及為用戶提供安全解決方案已成為保護(hù)企業(yè)及其數(shù)據(jù)的必備條件。除了管理技術(shù)問題外，安全意識培訓(xùn)也很重要，因?yàn)樗鼈兛梢栽趩T工中培養(yǎng)并建立網(wǎng)絡(luò)安全意識?！?p>

網(wǎng)絡(luò)釣魚

據(jù)2019年Verizon的《數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，過去一年中，近1/3的數(shù)據(jù)泄露涉及網(wǎng)絡(luò)釣魚。對于網(wǎng)絡(luò)間諜攻擊，這個(gè)數(shù)字躍升至78%。2019年最糟糕的網(wǎng)絡(luò)釣魚新聞是，出現(xiàn)了制作精良的現(xiàn)成工具和模板，不法分子的網(wǎng)絡(luò)釣魚技術(shù)越來越高明。

Akamai的《2019年互聯(lián)網(wǎng)安全狀況報(bào)告：引誘上鉤》披露了一名網(wǎng)絡(luò)釣魚套件開發(fā)人員開發(fā)的網(wǎng)絡(luò)釣魚即服務(wù)。該開發(fā)人員擁有店面并在社交媒體上打起了廣告。價(jià)格從99美元起步，并根據(jù)所選的郵寄服務(wù)上調(diào)價(jià)格。所有套件均具有安全和規(guī)避功能。報(bào)告的作者稱：“低廉的價(jià)格和以頂級品牌為目標(biāo)很有吸引力，這為犯罪分子展開網(wǎng)絡(luò)釣魚降低了門檻?！边@些目標(biāo)企業(yè)包括Target、谷歌、微軟、蘋果、Lyft和沃爾瑪?shù)取?/p>

2020年展望：網(wǎng)絡(luò)釣魚套件開發(fā)人員將提供更多精致的產(chǎn)品，從而進(jìn)一步降低展開網(wǎng)絡(luò)釣魚攻擊所需的技能。據(jù)市場研究機(jī)構(gòu)IDG的《安全優(yōu)先級研究》顯示，44%的企業(yè)表示，提高安全意識和員工培訓(xùn)優(yōu)先級是2020年的重中之重。作為回應(yīng)，攻擊者將通過減少或隱藏網(wǎng)絡(luò)釣魚的常見跡象來提高網(wǎng)絡(luò)釣魚攻擊的質(zhì)量。攻擊者可能會加大對商務(wù)電子郵件入侵（BEC）的使用力度，即通過欺詐性的或受感染的內(nèi)部或第三方賬戶發(fā)送看起來沒有問題的郵件進(jìn)行網(wǎng)絡(luò)釣魚。

針對2020年的最佳建議：在反網(wǎng)絡(luò)釣魚培訓(xùn)中加入最新內(nèi)容并使之持續(xù)進(jìn)行下去。為了與BEC對抗，企業(yè)需要制定相應(yīng)的策略，要求所有收到有關(guān)資金或付款說明請求的員工都必須通過電話進(jìn)行確認(rèn)。

勒索軟件攻擊

勒索軟件攻擊不是最常見的網(wǎng)絡(luò)安全事件，但可能是代價(jià)最高的事件之一?？ò退够摹?2019年IT安全經(jīng)濟(jì)學(xué)》報(bào)告指出，2019年大約40%的中小型企業(yè)和大型企業(yè)經(jīng)歷了勒索軟件攻擊。在大型企業(yè)這一級，每起攻擊事件的平均成本為146萬美元。

Sophos Labs的《2020年威脅報(bào)告》指出，端點(diǎn)保護(hù)工具在檢測勒索軟件方面正變得越來越好，但這也迫使勒索軟件開發(fā)人員對這些工具所的使用技術(shù)展開了更為深入的研究。Sophos的下一代技術(shù)工程總監(jiān)Mark Loman表示：“更改惡意軟件的外觀要比更改其目的或行為容易得多，這就是為什么現(xiàn)代勒索軟件依靠迷惑技術(shù)才能取得成功。但是到2020年，勒索軟件將通過更改或添加特征來迷惑一些反勒索軟件的保護(hù)措施，從而增加它們成功的機(jī)率?！?/p>

這種混淆是為了使勒索軟件看起來像是來自受信任的來源。Sophos報(bào)告引用了幾個(gè)示例：

·編制腳本列出目標(biāo)計(jì)算機(jī)，并將它們與Microsoft Sysinternals的PsExec實(shí)用程序、特權(quán)域賬戶和勒索軟件集成在一起。

·通過Windows組策略對象利用登錄/注銷腳本

·濫用Windows管理界面在網(wǎng)絡(luò)內(nèi)部大量分發(fā)

2020年展望：勒索軟件攻擊者將會繼續(xù)調(diào)整他們的方法以發(fā)揮自己的優(yōu)勢。Loman說：“最明顯的發(fā)展趨勢是，越來越多的勒索軟件攻擊者是通過自動(dòng)化的主動(dòng)攻擊來提高成功率，這些攻擊將人的創(chuàng)造力與自動(dòng)化工具結(jié)合在了一起，從而可將產(chǎn)生的影響發(fā)揮到最大。此外，通過僅加密每個(gè)文件中相對較小的部分或?qū)⒉僮飨到y(tǒng)引導(dǎo)到通常無法使用反勒索軟件保護(hù)的診斷模式，攻擊者可規(guī)避大多數(shù)防御?！?/p>

卡巴斯基的Galov說：“勒索軟件攻擊在2019年來勢洶洶，這種威脅在2020年沒有理由會減少。”勒索軟件正逐漸將目標(biāo)鎖定為基礎(chǔ)設(shè)施、組織機(jī)構(gòu)甚至是智慧城市。

勒索軟件開發(fā)人員將會讓他們的代碼變得更具隱匿性，以便他們可以在系統(tǒng)中建立立足點(diǎn)，加密更多數(shù)據(jù)而不會被發(fā)現(xiàn)，并伺機(jī)擴(kuò)展到其他網(wǎng)絡(luò)。Galov說：“2019年，我們甚至看到了對網(wǎng)絡(luò)附加存儲（NAS）的攻擊，以往這在很大程度上被認(rèn)為是安全可靠的?！?/p>

針對2020年的最佳建議：抵御勒索軟件的最佳方法是擁有所有關(guān)鍵數(shù)據(jù)的最新且經(jīng)過測試的備份。請將這些備份與網(wǎng)絡(luò)隔離開來，以便它們不會被勒索軟件加密。員工培訓(xùn)也至關(guān)重要。Galov稱：“為了保護(hù)自己免受勒索軟件的侵害，企業(yè)需要實(shí)施嚴(yán)格的安全策略，并對員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)。此外，還需要采取其他的保護(hù)措施，例如確保對數(shù)據(jù)的訪問安全，確保備份的存儲安全以及在服務(wù)器上實(shí)施應(yīng)用程序白名單技術(shù)。”

Loman則表示：“至關(guān)重要的是，強(qiáng)大的安全控制、監(jiān)視和響應(yīng)要覆蓋所有端點(diǎn)、網(wǎng)絡(luò)和系統(tǒng)，并及時(shí)更新軟件?！?h3>第三方供應(yīng)商風(fēng)險(xiǎn)

卡巴斯基在2019年發(fā)布的《 IT安全經(jīng)濟(jì)學(xué)》報(bào)告中指出，在大型企業(yè)和中小型企業(yè)中涉及第三方供應(yīng)商（服務(wù)和產(chǎn)品）的事件發(fā)生率分別為43%和38%，兩者之間的比例比較接近。One Identity的一項(xiàng)調(diào)查顯示，大多數(shù)企業(yè)（94%）會授予第三方訪問其網(wǎng)絡(luò)的權(quán)限，72%的企業(yè)授予的是優(yōu)先訪問權(quán)限。只有22%的企業(yè)相信第三方?jīng)]有訪問未經(jīng)授權(quán)的信息，18%的企業(yè)報(bào)告稱他們出現(xiàn)的數(shù)據(jù)泄露事件是由于第三方的訪問導(dǎo)致的。

卡巴斯基的研究表明，中小企業(yè)和大型企業(yè)都在強(qiáng)迫第三方供應(yīng)商簽署安全策略協(xié)議，其中75%的中小企業(yè)和79%的大型企業(yè)都在使用它們。當(dāng)?shù)谌揭獙`規(guī)行為負(fù)責(zé)時(shí)，在第三方的賠償問題上有著很大的差異。在已制定策略的企業(yè)中，有71%的企業(yè)表示已獲得賠償，而沒有制定策略的企業(yè)中只有22%的企業(yè)獲得了賠償。

2020年展望：企業(yè)將與供應(yīng)商和合作伙伴建立數(shù)字化聯(lián)系。這既增加了風(fēng)險(xiǎn)，也提高了對該風(fēng)險(xiǎn)的意識。不幸的是，攻擊者正變得越來越老練。

Galov說：“最近，我們發(fā)現(xiàn)諸如BARIUM或APT41之類的一些新組織為了滲透到全球的安全基礎(chǔ)設(shè)施當(dāng)中，對軟件和硬件制造商進(jìn)行了復(fù)雜的供應(yīng)鏈攻擊。其中包括2017年和2019年發(fā)現(xiàn)的兩種復(fù)雜的供應(yīng)鏈攻擊：CCleaner攻擊和ShadowPad攻擊，以及其他針對游戲公司的攻擊。處理這些威脅是一個(gè)復(fù)雜的過程，因?yàn)楣粽咄ǔ粝潞箝T，以便他們以后可以返回并造成更大的破壞?！?/p>

針對2020年的最佳建議：了解誰可以訪問你的網(wǎng)絡(luò)，并確保他們僅擁有所需的必要權(quán)限。制定用于交流和執(zhí)行第三方訪問規(guī)則的策略。確保為所有第三方供應(yīng)商都制定了安全策略，闡明了責(zé)任、安全期望以及事件發(fā)生時(shí)的后果。

Galov說：“保護(hù)自己免受此類攻擊的最佳企業(yè)不僅會確保他們自己，而且還會確保他們的合作伙伴都能夠遵守高標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。如果第三方供應(yīng)商可以通過任何方式訪問內(nèi)部基礎(chǔ)架構(gòu)或數(shù)據(jù)，那么則應(yīng)在集成過程之前建立網(wǎng)絡(luò)安全策略?！?h3>DDoS攻擊

據(jù)卡巴斯基（Kaspersky）在2019年發(fā)布的《 IT安全經(jīng)濟(jì)學(xué)》報(bào)告顯示，2019年有42%的大型企業(yè)和38%的中小型企業(yè)遭受了分布式拒絕服務(wù)（DDoS）攻擊。這一比例與勒索軟件事件相當(dāng)，但是只有后者引起了媒體的廣泛關(guān)注。從財(cái)務(wù)角度來看，DDoS攻擊使中小企業(yè)平均損失13.8萬美元。

攻擊者在不斷創(chuàng)新以提高其DDoS攻擊的效率。例如，Akamai在去年9月份報(bào)告了一個(gè)新的DDoS向量：Web服務(wù)動(dòng)態(tài)發(fā)現(xiàn)（WSD），這是一種用于在本地網(wǎng)絡(luò)上定位服務(wù)的多播發(fā)現(xiàn)協(xié)議。攻擊者通過WSD可以大規(guī)模定位和破壞配置錯(cuò)誤的互聯(lián)網(wǎng)連接設(shè)備，從而擴(kuò)大DDoS攻擊的范圍。

2020年展望：由于5G的興起和物聯(lián)網(wǎng)設(shè)備的數(shù)量增加，卡巴斯基的Galov認(rèn)為2020年DDoS攻擊仍將“十分突出”。他說：“關(guān)鍵基礎(chǔ)設(shè)施的常規(guī)邊界，如供水，電網(wǎng)、軍事設(shè)施和金融機(jī)構(gòu)，將進(jìn)一步擴(kuò)展到5G互聯(lián)世界中其他前所未有的領(lǐng)域。所有這些都需要新的安全標(biāo)準(zhǔn)，而連接速度的提升將為阻止DDoS攻擊的發(fā)生帶來新的挑戰(zhàn)?！?/p>

針對2020年的最佳建議：每個(gè)人都需要檢查自己的互聯(lián)網(wǎng)連接設(shè)備是否存在配置錯(cuò)誤，是否存在未修補(bǔ)的漏洞。Akamai的Seaman說：“這是基本的安全標(biāo)準(zhǔn)。”

不幸的是，消費(fèi)類設(shè)備正在導(dǎo)致DDoS攻擊風(fēng)險(xiǎn)不斷增加。Seaman說：“老奶奶去百思買購買一個(gè)新的網(wǎng)絡(luò)攝像頭放在她的私人車道上，這樣她就可以看到誰在擋路，但是她并不知道該設(shè)備的安全狀況。我們還發(fā)現(xiàn)了更大問題，那就是越南有的小商店安裝了VDR安全系統(tǒng)，店主根本就不關(guān)心他的網(wǎng)絡(luò)攝像頭是否已被用來對銀行發(fā)動(dòng)DDoS攻擊?！?h3>應(yīng)用程序漏洞

市場研究機(jī)構(gòu)Veracode的《軟件安全狀況》報(bào)告稱，他們測試的8.5萬個(gè)應(yīng)用程序中有83%至少存在一個(gè)安全漏洞。許多應(yīng)用程序存在更多的漏洞，因?yàn)樗麄兊难芯靠偣舶l(fā)現(xiàn)了1000萬個(gè)漏洞，而所有應(yīng)用程序中有20%至少有一個(gè)高危漏洞。就潛在的零日漏洞和可利用的漏洞而言，這為攻擊者留下了很多機(jī)會。

報(bào)告作者對某些數(shù)據(jù)還是感到樂觀的，比如修復(fù)率，尤其是針對高危漏洞的修復(fù)率正在提高?？傮w修復(fù)率為56%，高于2018年的52%，高危漏洞修復(fù)率為75.7%。頻繁對軟件進(jìn)行掃描和測試的DevSecOps方法可減少修復(fù)缺陷的時(shí)間。每年掃描12次或更少次數(shù)的應(yīng)用程序的修復(fù)時(shí)間平均為68天，而每天進(jìn)行掃描或更頻繁掃描的平均修復(fù)時(shí)間將提高至19天。

2020年展望：盡管安全和開發(fā)團(tuán)隊(duì)做出了最大的努力，但是漏洞仍將繼續(xù)存在于軟件當(dāng)中。Veracode的聯(lián)合創(chuàng)始人兼首席技術(shù)官Chris Wysopal說：“當(dāng)今大多數(shù)軟件都是非常不安全的，這情況在2020年還將繼續(xù)下去，尤其是90%的應(yīng)用程序使用的是開源庫中的代碼。我們在2019年看到了AppSec已經(jīng)釋放出了積極的信號。企業(yè)關(guān)注的已經(jīng)不僅是發(fā)現(xiàn)安全漏洞，而且要解決這些漏洞，并優(yōu)先考慮那些最容易成為威脅的漏洞……。我們的數(shù)據(jù)表明，發(fā)現(xiàn)和修復(fù)漏洞與改進(jìn)功能一樣，已經(jīng)成為整個(gè)過程的一部分。”