Top Network Security Issues, Threats, and Concerns

主要網路安全問題和趨勢

在《2021 年網路安全報告》中，Check Point 研究小組概述了 2020 年主要的網路安全問題、威脅和趨勢。

#1.供應鏈攻擊

2020 年 12 月 8 日，網路安全公司 FireEye 透露，他們在其網路上發現了 Sunburst 惡意軟體。對這種感染的調查發現了一項大規模的網絡攻擊活動，影響了 18,000 個組織，財星 500 強的 425 家公司（包括微軟），並且還針對政府機構。

SUNBURST 惡意軟體是透過 SolarWinds Orion 網路管理軟體的受損更新進行分發的。攻擊者利用針對其 Office 365 帳戶的新穎攻擊成功地破壞了 SolarWinds，這使得他們能夠為特權帳戶偽造 Azure Active Directory 令牌，並使用受損的管理員憑證來取得對公司更新管理伺服器的存取權。

透過存取 SolarWinds 更新管理伺服器，攻擊者能夠在開發管道中修改更新以包含後門惡意軟體。這種廣泛的攻擊使其成為迄今為止最成功的供應鏈攻擊。 在 SolarWinds 攻擊中，監控證明首先識別攻擊，然後對該攻擊進行反應至關重要。

防止未來的攻擊需要實施安全性最佳做法，例如：

• 最小權限和網路分段：這些最佳實踐可以幫助追蹤和控制組織網路內的活動。
• DevSecOps：將安全性整合到開發生命週期中可以幫助偵測軟體（如 Orion 更新）是否被惡意修改。
• 自動威脅防護和威脅搜尋：安全營運中心 (SOC) 分析師應主動防禦所有環境（包括網路、端點、雲端和行動裝置）的攻擊。

#2.維希恩

雖然網路釣魚是最著名的社會工程攻擊類型，但其他技術也同樣有效。通過電話，訪問者可以利用社會工程技術來訪問憑證和其他關鍵信息，繞過 2FA，或說服受害者打開文件或安裝惡意軟件。

維希對企業網路安全的威脅不斷增加。 2020 年 8 月，CISA 和 FBI 發布了有關網路釣魚攻擊的警告，而網路釣魚已被用於惡意軟體活動和 APT 組織。一次高級攻擊使一名青少年在 2020 年接管了幾個名人的推特帳戶。 隨著 deepfake 記錄技術的改進和更廣泛可用，視覺威脅只會變得更糟。

Vishing 是一種低技術攻擊，意味著員工教育對於防範它至關重要。 企業可以教育員工不要放棄敏感信息，並在遵守請求之前獨立驗證來電者身份。

＃3。勒索軟體

勒索軟體是 2020 年組織面臨的最昂貴的網路威脅之一。2020 年，企業的成本為 20 億美元，較 2019 年的 11.5 億美元上升。 在 2020 年第三季度，平均贖金支付為 233,817 美元，較上一季度增長 30％。

該季度，近一半的勒索軟體事件包含雙重勒索威脅。這項創新旨在提高受害者支付贖金的可能性。 它通過在加密文件之外採用新的第二個威脅，即提取敏感數據並威脅公眾曝光或銷售數據。 雖然備份可以使組織無需付費即可從勒索軟體攻擊中恢復，但敏感和個人資訊外洩的威脅為攻擊者提供了額外的籌碼。

這些雙重勒索攻擊的興起意味著組織必須採取威脅防護策略，而不僅僅是依賴偵測或補救。以預防為中心的策略應包括：

• 反勒索軟體解決方案：組織應部署專門設計的安全解決方案來偵測和根除系統上的勒索軟體感染。
• 脆弱性管理：修補易受攻擊的系統或使用虛擬修補技術（例如入侵防禦系統（IPS））對於關閉遠端桌面協定（RDP）等常見勒索軟體感染媒介是必要的。
• 員工教育：教育員工了解開啟惡意電子郵件中的附件或點擊惡意電子郵件中的連結的風險。

#4.線程劫持

線程劫持攻擊會使用您自己的電子郵件針對您。 在破壞內部電子郵件帳戶後，攻擊者可能會使用包含惡意軟體的附件來回應電子郵件執行緒。這些攻擊利用了電子郵件線程看起來合法的事實... 因為它是。

Emotet 銀行惡意軟體是最大的殭屍網路之一，在惡意軟體排名中名列前茅，並在 2020 年以近 20% 的全球組織為目標。感染受害者後，它會使用受害者的電子郵件將惡意文件發送給新受害者。 另一種銀行惡意軟體 Qbot 採用了類似的電子郵件收集技術。

防止線程劫持需要培訓員工觀察電子郵件是否有網路釣魚跡象，即使來自受信任的來源也是如此，並且如果電子郵件看起來可疑，請透過電話驗證寄件者的身份。組織還應該部署電子郵件安全解決方案，使用人工智慧來偵測網路釣魚並隔離帶有惡意附件和/或連結的電子郵件。

＃5。遠端存取脆弱性

2019 冠狀病毒疫情後，遠端工作的激增使遠端存取成為 2020 年網絡犯罪分子的常見目標。 上半年，針對 RDP 和 VPN 等遠端存取技術的攻擊急劇增加。每天偵測到近一百萬次針對 RDP 的攻擊。

下半年，隨著這些系統中新的脆弱性逐漸為人所知，網路犯罪分子將注意力轉向易受攻擊的 VPN 入口網站、閘道器和應用程式。Check Point 感測器網路針對遠端存取裝置中的八種已知脆弱性的攻擊增加，包括 Cisco 和 Citrix。

為了管理遠端存取的風險，組織應該直接修補易受攻擊的系統或部署虛擬修補技術，例如 IPS。他們還應該透過利用端點檢測和回應 (EDR) 技術部署全面的端點保護來保護遠端用戶，以增強修復和威脅追蹤。

#6.行動威脅

COVID-19 主導行動威脅領域。 由於遠端工作，行動裝置的使用急劇增加，偽裝成與冠狀病毒相關的應用程式的惡意應用程式也是如此。

行動裝置也是大型惡意軟體活動的目標，包括美國的 Ghimob、EventBot 和 ThiefBot 等銀行惡意軟體。APT 組織也針對行動裝置，例如伊朗繞過 2FA 監視伊朗僑民的活動。行動裝置上值得注意的脆弱性是高通晶片中的 Achilles 400 弱點以及 Instagram、蘋果登入系統和 WhatsApp 等應用程式中的脆弱性。

企業可以使用針對非託管裝置的輕量級行動安全解決方案來保護使用者的行動裝置。他們還應該通過僅從官方應用程序商店安裝應用程序來培訓用戶保護自己，以最大程度地減少風險

#7.雲端權限提升

在我們的主要安全性問題的總結中，我們完全關注 SolarWinds 攻擊技術。 與先前的雲端攻擊不同，先前的雲端攻擊依賴錯誤配置，導致 S3 儲存桶等雲端資產暴露（這仍然是一個問題），而雲端基礎設施本身現在也受到攻擊。

SolarWinds 攻擊者的目標是 Active Directory 聯合服務 (ADFS) 伺服器，這些伺服器也用於該組織的單一登入 (SSO) 系統，用於存取 Office 365 等雲端服務。此時，攻擊者使用一種稱為 Golden SAML 的技術來獲得對受害者雲端服務的持久性和難以檢測的完全存取權。

針對雲端身分和存取管理 (IAM) 系統的其他攻擊也很引人注目。IAM 角色可能會被 16 個 AWS 服務中的 22 個應用程式開發介面濫用。這些攻擊依賴於對基礎架構式服務和軟體即服務提供者的元件、架構和信任策略的深入了解。

企業需要跨公有雲環境的整體可見性，並部署統一、自動化的雲端原生保護。這使企業能夠獲得雲端帶來的好處，同時確保持續的安全性和合規性。

2020 年醫療保健攻擊是前所未有的

COVID-19 使醫療保健組織成為所有人的首選，包括網絡犯罪分子。 一些惡意軟體活動承諾放棄針對醫療保健的攻擊，但這些承諾沒有任何實質意義——醫院仍然是 Maze 和 DopplePaymer 惡意軟體的焦點。

10 月，CISA、FBI 和 DHS 發布了有關針對醫療保健的攻擊的警告，其中提到了用於部署 Ryuk 勒索軟體的 Trickbot 惡意軟體。此外，國家贊助的 APT 攻擊針對涉及 COVID-19 疫苗開發的機構。

美國醫療保健是網絡攻擊者最受到的目標。 Check Point 研究發現，9 月至 10 月成長了 71%，11 月和 12 月全球成長超過 45%。

銀色襯裡

在了解 2020 年網路安全問題威脅的同時，也必須注意執法部門在網路安全社群的支持下採取的許多成功行動，以追蹤並起訴世界各地參與網路犯罪的眾多個人和威脅團體。

2020 年網絡執法行動成功的一些例子包括：

• 10 月，連接到超過一百萬個受感染主機的 Trickbot 基礎架構被卸下。
• 歐盟主持調查以取消 DISRUPTOR 行動，其中 179 名非法商品賣家被捕，並被執法機關檢獲的非法貨品。
• 已針對俄羅斯和中國的 APT 集團威脅參與者發出認證。
• 微軟領導的努力，例如 TrickBot 移除，也消滅了 Necurs 殭屍網絡。
• 英國國家網路安全中心 (NCSC) 取締了超過 22,000 個與冠狀病毒相關的詐騙網址。
• 網絡威脅聯盟（CTC）全球網絡威脅聯盟聯盟共享 COVID-19 IOCs。
• 網路安全研究人員不斷發現並負責任地揭露脆弱性。
• Check Point 發現並揭露了雲端中的 RCE 脆弱性，CVE 風險評分最高為 10.0，以及 Windows DNS 伺服器中的 SigRed 脆弱性。
• 產業研究人員發現 Pulse Secure VPN 和 F5 Big-IP 中存在錯誤。
• 發現惡意軟體中的錯誤有助於消除該惡意軟體。
• Emotet 中的緩衝區溢位錯誤作為終止開關，可以停用 6 個月，然後在 2021 年 1 月移除 Emotet 殭屍網絡。

保持安全的建議

2020年的網路威脅和網路安全問題不僅限於2020年。其中許多攻擊趨勢仍在持續，2021 年將帶來新的網路安全問題和網路犯罪創新。為了防範不斷演變的網絡威脅環境，我們制定了以下建議：

• 專注於即時預防：事件偵測和回應非常重要，但是發生一次攻擊時偵測，意味著損害可能已經造成了。 專注於威脅防護而非偵測可以限制與網路攻擊相關的損害和成本。
• 保護一切：網絡犯罪分子攻擊低落的水果，這意味著他們將去尋找簡單的目標。 組織需要保護其攻擊面的各個方面，包括網路、雲端基礎設施、使用者、端點和行動裝置。
• 整合以獲得可見性：獨立的網路安全解決方案可能很好地解決一個問題，但是連線中斷的安全解決方案混亂對安全團隊來說，導致偵測錯誤。 統一的安全性使團隊更有效率，更有能力快速偵測和回應攻擊。
• 套用零信任範例：過多的權限和存取權限使錯誤或遭入侵的帳戶太容易變成重大安全事件。 實施零信任可讓組織依個案管理對資源的存取，從而將網路安全風險降至最低。
• 保持威脅情資最新：網路威脅情勢不斷發展。組織需要即時存取威脅情報，以保護自己免受最新的網路威脅。

要了解有關當今主要網路安全問題的更多信息，請查看完整的2021 年網路安全報告。您也可以要求進行安全檢查，以識別使組織安全威脅的問題。