王英哲

由于當(dāng)前的疫情環(huán)境，網(wǎng)絡(luò)犯罪迅速過(guò)渡到遠(yuǎn)程辦公，再加上網(wǎng)絡(luò)犯罪分子利用恐懼、不確定性以及懷疑的傾向，安全研究人員觀察到網(wǎng)絡(luò)安全問(wèn)題激增。網(wǎng)絡(luò)罪犯分子很快就會(huì)利用新的手段和設(shè)備，接入新手遠(yuǎn)程工作者、易受攻擊的家用計(jì)算機(jī)和網(wǎng)絡(luò)以及過(guò)度勞累的IT團(tuán)隊(duì)。

許多人甚至?xí)簳r(shí)放棄了以網(wǎng)絡(luò)為中心的傳統(tǒng)攻擊，針對(duì)能使他們獲得寶貴數(shù)據(jù)和資源的新型安全漏洞展開研究。例如，僅在2020年4月，美國(guó)聯(lián)邦調(diào)查局每天就收到3 000～ 4 000例來(lái)自美國(guó)企業(yè)和用戶的與網(wǎng)絡(luò)安全相關(guān)的投訴，與此前平均每天1 000例的投訴相比，大幅上升。

當(dāng)然，安全研究人員知道，重大的社交事件通常是引發(fā)新威脅的催化劑。無(wú)論是疫情、世界杯還是其他重大事件，總是會(huì)有壞人在危險(xiǎn)時(shí)刻利用這個(gè)契機(jī)。

過(guò)去的幾個(gè)月中，F(xiàn)ortiGuard實(shí)驗(yàn)室一直在積極跟蹤與疫情相關(guān)的全球威脅問(wèn)題和攻擊活動(dòng)，包括信息竊取者、特洛伊木馬、勒索軟件以及社會(huì)工程誘餌等。以下是最新趨勢(shì)：

電子郵件攻擊的最大高峰是2020年4月2日，共進(jìn)行了330次單獨(dú)的COVID-19電子郵件活動(dòng)；

4月觀察到了許多的惡意電子郵件活動(dòng)，總共發(fā)生了4 250多個(gè)與COVID-19相關(guān)的事件；

大多數(shù)電子郵件都是附有惡意的.DOCX和.PDF文件，勒索軟件是最普遍的附件。

有趣的是，自2020年4月以來(lái)，這些攻擊的數(shù)量一直在穩(wěn)定下降，其中5月發(fā)送了3 590個(gè)電子郵件活動(dòng)，6月發(fā)送了2 841個(gè)電子郵件活動(dòng)。

在過(guò)去的幾個(gè)月中，觀察到的3個(gè)主要不良行為是利用情感進(jìn)行網(wǎng)絡(luò)欺詐、魚叉式網(wǎng)絡(luò)釣魚的興起以及遠(yuǎn)程工作所增加的風(fēng)險(xiǎn)。

利用情感謀取經(jīng)濟(jì)利益

從社會(huì)工程學(xué)的角度來(lái)看，網(wǎng)絡(luò)犯罪分子正在最大限度地利用這次疫情的恐慌心理，尤其是醫(yī)療設(shè)備和醫(yī)藥用品的短缺。我們的安全研究人員已經(jīng)看到針對(duì)醫(yī)院、醫(yī)療設(shè)備制造商和健康保險(xiǎn)公司的活動(dòng)。

美國(guó)疾病控制中心和世界衛(wèi)生組織在4月報(bào)告說(shuō)，惡意行為者正通過(guò)冒充該組織的工作人員進(jìn)行電話和電子郵件等的欺詐活動(dòng)。要么是募集捐款，要么是假裝出售基本醫(yī)療用品；在網(wǎng)絡(luò)釣魚電子郵件中包含從未訂購(gòu)過(guò)的用品發(fā)票，或聲稱提供了重要的醫(yī)療信息。當(dāng)然，這些電子郵件都包含受感染的文檔或指向受感染網(wǎng)站的鏈接。

魚叉式網(wǎng)絡(luò)釣魚攻擊也在增加

除了普遍的攻擊手段外，特別是在醫(yī)療供應(yīng)短缺的情況下，針對(duì)性較強(qiáng)的攻擊活動(dòng)也在增加。最近觀察到的一項(xiàng)惡意魚叉式網(wǎng)絡(luò)釣魚活動(dòng)是針對(duì)醫(yī)療設(shè)備供應(yīng)商的。在這種攻擊中，該攻擊者沒有提供出售的物品，而是詢問(wèn)了解決疫情需要量大的各種材料。為了營(yíng)造一種更強(qiáng)烈的緊迫感，該郵件中包含一個(gè)令人信服的聲明，即發(fā)件人已經(jīng)嘗試通過(guò)電話與收件人聯(lián)系。

在這種情況下，該電子郵件包含多個(gè)拼寫錯(cuò)誤，例如，主題行“有關(guān)醫(yī)療信息的查詢—[公司名稱]”，它還包含一個(gè)附件，聲稱包含查詢的詳細(xì)信息，并且該拼寫也是錯(cuò)誤的。拼寫錯(cuò)誤和語(yǔ)法不佳通常是騙局的典型標(biāo)志，這種情況下的目的顯然是要中斷救治所需醫(yī)療用品的供應(yīng)鏈。

遠(yuǎn)程工作引入了新的攻擊媒介

網(wǎng)絡(luò)罪犯深知快速過(guò)渡時(shí)期會(huì)給組織造成嚴(yán)重破壞。為了確保業(yè)務(wù)連續(xù)性，諸如安全協(xié)議之類的東西可能會(huì)被忽略或擱置。與往常一樣，網(wǎng)絡(luò)犯罪分子正在尋找任何機(jī)會(huì)利用無(wú)意中出現(xiàn)的安全漏洞。

在疫情這種情況下，突然發(fā)現(xiàn)自己處于封鎖狀態(tài)，那么前所未有未受保護(hù)的用戶和設(shè)備會(huì)突然同時(shí)在線。在任何一個(gè)家庭中，很可能有2個(gè)或2個(gè)以上的人通過(guò)他們的家庭互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程工作。也可能有一個(gè)或多個(gè)孩子參加學(xué)校的在線課程，更不用說(shuō)參加在線游戲社區(qū)或其他社交活動(dòng)了。

另一個(gè)復(fù)雜因素是，并不是每個(gè)組織都能為現(xiàn)在需要遠(yuǎn)程工作的每個(gè)員工購(gòu)買用于工作的筆記本電腦。因此，許多遠(yuǎn)程工作人員被迫使用他們的個(gè)人設(shè)備連接到公司網(wǎng)絡(luò)，而這些個(gè)人設(shè)備較大概率沒有公司購(gòu)買的同類設(shè)備那樣安全。之所以如此危險(xiǎn)，是因?yàn)檫@些個(gè)人設(shè)備甚至無(wú)需直接受到攻擊即可被破壞。他們還連接到不安全的家庭網(wǎng)絡(luò)，使攻擊者可以利用其他攻擊媒介，包括利用連接到家庭網(wǎng)絡(luò)的易受攻擊的物聯(lián)網(wǎng)設(shè)備或游戲機(jī)。他們的目標(biāo)是找到一種方法，以回到企業(yè)網(wǎng)絡(luò)及其寶貴的數(shù)字資源中，從而竊取數(shù)據(jù)，并將惡意軟件傳播給其他遠(yuǎn)程工作者。這尤其具有破壞性，因?yàn)檫h(yuǎn)程工作人員沒有機(jī)會(huì)請(qǐng)求公司專業(yè)人員幫助他們恢復(fù)受攻擊的計(jì)算機(jī)系統(tǒng)。如果無(wú)法通過(guò)電話對(duì)問(wèn)題進(jìn)行故障排除，則需要將其郵寄，這可能會(huì)使員工離線數(shù)天。

解決方案

作為一名與網(wǎng)絡(luò)安全相關(guān)的專業(yè)人士，您了解網(wǎng)絡(luò)安全的重要性。但重要的是，在當(dāng)前日益嚴(yán)峻的威脅形勢(shì)下，我們不能放松警惕。以下是組織中需要加強(qiáng)的3個(gè)方面。

加強(qiáng)網(wǎng)絡(luò)安全：建議持續(xù)不斷更新所有IPS和AV定義。每當(dāng)供應(yīng)商更新時(shí)，就應(yīng)保持主動(dòng)修補(bǔ)程序。如果修補(bǔ)設(shè)備不可行，建議進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定其他緩解措施。

更新關(guān)鍵安全技術(shù)：最有效的安全策略是將風(fēng)險(xiǎn)排除在系統(tǒng)之外。確保安全的電子郵件網(wǎng)關(guān)和Web應(yīng)用程序防火墻，配備沙盒和內(nèi)容解除防護(hù)與恢復(fù)技術(shù)，以識(shí)別和阻止特定類型文件，包括網(wǎng)絡(luò)釣魚攻擊，并在威脅到達(dá)用戶之前解除其防護(hù)。并確保端點(diǎn)設(shè)備具有最新的端點(diǎn)檢測(cè)和響應(yīng)軟件，以防止執(zhí)行主動(dòng)威脅。

用戶培訓(xùn)：進(jìn)行持續(xù)的員工培訓(xùn)課程，以告知他們最新的網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚攻擊，并提醒他們不要打開陌生人的附件。用戶還需要接受培訓(xùn)以發(fā)現(xiàn)社會(huì)工程學(xué)攻擊，并使用即興發(fā)送的安全電子郵件通過(guò)安全測(cè)試小組秘密發(fā)送的測(cè)試電子郵件進(jìn)行評(píng)估。

始終如一地實(shí)施基本安全原則可以幫助擊敗最狡猾的攻擊媒介，令人驚訝的是，很少有組織能夠一以貫之地做到這些事情。但是，通過(guò)對(duì)上述3個(gè)方面的執(zhí)行，您的組織將會(huì)更好地抵御企圖利用疫情環(huán)境的攻擊者。