在过去的一年里,网络安全策略和实践经受了前所未有的考验。发展加速的数字转型、机会主义的网络钓鱼活动、缺乏连续性的网络安全运营以及财务的压力和限制,网络安全的虚拟世界,如同正在被COVID-19疫情破坏的现实世界一样,都在掀起一场完美的变局与风暴。网络安全人员了解这些挑战并主动改进组织的安全技术、方法、策略、流程,可以帮助其组织变得更强大。埃森哲网络威胁情报和事件响应小组多年来一直在创建关联、及时和可操作的威胁情报,对过去12个月的网络安全威胁变化进行详尽分析之后,发布了《2020年网络威胁报告》。报告提出了影响网络威胁格局的五个因素,展望了未来形势发展的五个要点。

在2020年初,由于COVID-19病毒大流行,全球大多数企业发现他们需要迅速切换到远程工作模式,有些企业是按照计划进行的,有些企业做出了反应,但没有按照计划进行,还有更多的企业甚至没有计划。远程工作以多种方式对企业安全监控提出了挑战,从用于通信的平台,使用的办公设备和他们传输数据的网络。随着网络间谍和网络犯罪组织试图利用不熟悉管理其技术环境的弱势员工,研究人员发现社会工程学攻击明显增加。世界范围内的经济和商业混乱给企业带来了巨大的财务压力和挑战。在预算日益紧张的情况下,这些压力不可避免地影响到网络安全工作,以维持或增加覆盖率。

复杂的威胁行为体正在使用新的TTP来帮助其实现长期目标,即政权生存、经济加速、军事优势、信息作战和网络间谍活动。埃森哲威胁情报分析人员已经监测到威胁行为者开发了新的植入物以及更复杂的命令和控制方法,专门用于对付Outlook Web Access(OWA)和Exchange环境,试图通过内部代理机制绕过检测机制。

网络犯罪分子持续将所获取的数据或网络访问权进行货币化(即转化为经济收益),这可能比以前更频繁,因为经济仍然低迷。正如今年所看到的,供应链攻击和现成的工具可能会成为一个重要的特征,不断有证据显示攻击者定制工具以逃避防御检测。

勒索软件在坏人中越来越受欢迎,因为数据被盗增加了受害者的压力。随着游戏规则的改变,勒索软件攻击,如Maze勒索,采取收不到赎金就公开数据的方式已成为新的趋势,这使人们对成本与破坏之间的关系产生了质疑。

在这样的环境下,随着各组织试图稳定其当前的业务,CISO应采取适当的控制措施,以创造一个安全可靠的环境。埃森哲已经确定了四个有助于实现自适应安全的要素:安全的心态、安全的网络访问、安全的工作环境和安全的协作。CISO应与企业领导人合作,在适当的资源和投资的支持下,规划、准备和实现更大的网络安全弹性。埃森哲认为,多维度的危机管理战略,有许多工作流程和团队紧密协作,通常每天都有合作,是帮助实现网络安全弹性的重要方法,可以帮助保护企业免受伤害。

《2020年网络威胁报告》深入分析了2020年确定的五大安全趋势。这些见解可以加强安全团队的工作,并将安全技术投资、安全流程和业务战略放在坚实的基础上,以帮助实现所需的网络弹性水平。

五大网络安全态势

COVID-19加快了对自适应安全性的需求

新冠病毒全球大流行带来的问题没有快速解决的办法。即使在社会和企业管理健康和人道主义方面,各组织也需要应对经济和运营方面的影响,这在中长期内为公司的信息安全运营造成重大财务和预算挑战。这一流行病为机会主义威胁打开了大门,创造了新的网络钓鱼活动等社会工程攻击机会。这也给企业带来了前所未有的压力,因为它们正努力应对业务连续性、旅行限制和远程工作。随着数据继续被视为一种高价值、受追捧的商品,安全领导者应考虑采用适应性安全,实施正确的控制和监控,以帮助企业创造一个安全可靠的工作环境。

业务连续性成为新型复杂TTP的目标

由于网络威胁行为者积极的使用客户端访问服务器(CAS)来攻击支持Microsoft Exchange7和OWA的系统,因此已建立的平台受到了围攻。这是恶意行为滋生的温床。面向网络、数据密集型的系统和服务通常对外通信,可以使对手更容易地在背景噪音中隐藏自己的流量,而身份验证服务可能为网络犯罪分子提供获取凭证的机会。针对此类平台的攻击并不总是很漂亮,它们可以是粗糙的、简单的、复杂的,尤其是当威胁行为体不断发展他们的技术来利用这些漏洞的时候。最近针对政府实体的活动涉及新设计的恶意软件家族,这些恶意软件家族配置了内部可路由的指挥和控制基础设施,很可能也是为逃避检测而设计的。这些创新可以挑战网络维护者。在大多数情况下,与国家结盟的运营商可能继续需要强调秘密性和持久性,以实现其情报收集目标。这种能力和检测规避方法强调了识别和跟踪对手的重要性,然后优先针对对手使用的特定行为进行威胁搜索。

伪装的网络攻击使检测复杂化

网络威胁行为者通常把现成的工具(通常是指系统自带的工具、渗透测试的常见工具等)和Living off the Land(LotL)策略联系在一起,该策略描述了对现成工具的创造性滥用,使检测和归因复杂化。由于现成工具具有可否认性、持续有效性和易用性等优点,因此在可预见的未来,它们的加速使用可能会继续下去。鱼叉式网络钓鱼也加快了速度。公认的威胁组织以政府组织和公司为目标,导致信息被盗。这些活动发生在欧洲、北美洲和拉丁美洲,而且有一些针对新兴经济体和印度的重大攻击活动。越来越多的威胁行为体,有组织的网络犯罪集团继续试图破坏受害者的供应链。托管服务提供商和软件供应商成为目标,但从事联合项目的同行组织之间的直接联系也在被利用。针对特定组织结构定制的持续威胁情报是当务之急,从战略到战术和技术,以及一种以情报为主导的安全方法,其重点是为已确定的对手提供最重要的缓解措施。组织应该确保他们了解常用的工具和技术,特别是那些涉及恶意使用本机系统和渗透测试工具的工具和技术,并验证在其环境中可以检测到它们。

勒索软件提出新型可盈利、可扩展的商业模式

除了找到用勒索软件感染企业的新方法外,威胁行为者也在寻找迫使受害者支付赎金的新方法。2019年11月,一种新的、改变游戏规则的勒索软件“Maze”感染了一家大型安保人员公司,窃取了公司数据,并通知了媒体,最终在受害者未支付赎金的情况下公布了700MB的数据。尽管执法部门和网络安全行业一直建议不要支付赎金,但这种“点名羞辱”的做法增加了受害者支付赎金的压力。勒索软件恢复响应者Coveware公司指出,在2020年第一季度,平均赎金支付额增至178254美元,比前年同期增长60%,情况可能还会持续恶化。随着威胁行为者收益的增加,他们可以创新并投资开发更先进的勒索软件,并利用远程工作的更大漏洞。埃森哲预计,在2020年剩余时间及以后,使用这些策略的威胁行为体将继续演进和扩散。

连通性所带来的后果

随着功能越来越强大的技术以及更大连接性的实现,更多的关键系统公开暴露,互联网攻击者正在寻找新的方法来利用这些系统。越来越多的企业正在使用未打补丁和未经测试的设备,这些设备构成了一个更现实、更易访问的目标。云和互联网连接的设备更为广泛。安全领导者正在使用公共漏洞赏金计划和检测框架进行反击,但运营技术(OT)威胁仍然需要更有效的安全控制。安全测试的成本可能很高,而且很难评估每个设备所带来的风险,小型和大型制造商在设备安全测试方面存在巨大差异。威胁正在缓慢的被发现并予以补救。正如本报告所述,今年研究人员报告的OT漏洞数量有所增加,这些漏洞由供应商提供补丁来解决。许多影响物联网设备的常见漏洞类别已经部分解决,现在的挑战是在任何适用的地方应用这些知识。展望未来,安全领导应该分享这些知识,并开发出简单、易于集成、经过严密审查的标准化系统。

未来展望

一年前,没有人能够预测到2020年席卷全球的健康和人道主义危机的影响。人们也无法预见,这种前所未有的情况将如何打开创新网络犯罪的大门。随着网络攻击者通过提供伪造可信来源的诱饵和陷阱来攻击新远程员工,安全运营中心发现他们需要利用战术、操作和战略威胁情报来识别威胁业务连续性的趋势和技术。如果满足以下条件,组织可以适应并采取措施来实现更加灵活和安全的未来。

“随时随地”思考

无论用户、设备和网络位于何处,都可以始终保持相同程度的有效性,以确保安全。请记住,安全的网络访问和应用程序与没有安全的网络访问和应用程序一样快。

增加透明化

让用户在需要时访问他们需要的东西。让这些改变对他们来说是透明的,而不是要求他们“跳出障碍”来有效地完成他们的工作。

激发镇定和信心

让安全领导成为变革的催化剂,利用同理心和同情心来提供更灵活的响应。采用自适应安全性可以建立信心;例如,组织可以使用云或扩展对更多远程用户的访问。

追求极简化

考虑托管服务并在有意义的地方实现自动化。例如,事件管理工具和人工响应工具可以从中受益。

增强抵御能力

随着组织不断壮大,业务连续性和危机管理计划必须适合目标。商业领袖应该期待更频繁的危机。他们需要改变他们对安全的看法。一切都在内部做真的划算吗?他们是否应该利用全球参与者来保护他们的生态系统?在适当的资源和投资的支持下,与业务负责人合作,规划、准备和实践更大的网络安全弹性。

通过采取这些措施,组织可以克服不确定性,从危机中脱颖而出,并获得更大的网络弹性。

参考来源

【1】https://www.accenture.com/_acnmedia/PDF-136/Accenture-2020-Cyber-Threatscape-Executive-Summary.pdf

【2】https://www.accenture.com/us-en/insights/security/cyber-threatscape-report

【3】https://newsroom.accenture.com/news/state-sponsored-hackers-and-ransomware-gangs-are-diversifying-tactics-to-inflict-more-harm-according-to-accenture-report.htm

声明:本文来自天地和兴,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。