■ 北京 赵贤

编者按：新的攻击方式层出不穷，网络犯罪分子尤其善于利用各种热点及最新技术，通过不断完善其攻击策略，来达到攻击的目的。本文主要围绕攻击者策略的转变，深入探讨了各种场景下的安全防护短板及防御措施。

最近的相关威胁研究表明，在2020 年上半年中，网络犯罪分子采用了常规的攻击策略，特别是由于疫情而采用远程工作模式以来，通过远程连接的攻击面大大增加了。对于负责保护企业网络并准确锁定威胁的安全团队而言，了解这一趋势至关重要。

或许最大的挑战之一是NOC（网络运营中心）和SOC（安全运营中心）团队的协作，因为当前企业网络连接的方式正在发生转变——许多员工从以前的内网办公环境转变为现在外网远程连接企业网络。这种转变降低了企业网络的可见性和控制力，使得企业不得不面临许多突发和未知风险。不管企业愿不愿意接受，这就是事实，把自己“圈起来”隔绝于世的安全防护方式已经一去不复返了，不受保护的家庭网络现在已成为公司网络扩展的一部分，各种各样的漏洞也将成为公司网络的一部分。

网络犯罪分子充分了解并利用这一点，并随之修改了其攻击策略。近期的威胁数据表明，IPS 签名已检测到针对目标家庭路由器和IoT设备的攻击正在急剧上升。此外，尽管漏洞披露的速度也在加快，并且2020 年有望发布史上数量最多的CVE，但针对以前漏洞的利用仍屡见不鲜。据称，有65%的企业组织报告检测到针对2018年漏洞的威胁，超过1/4 的公司IT 系统被披露涉及15年前的CVE 漏洞。

因此，这些旧的漏洞正成为安全防护的短板，网络犯罪分子将目标转移到家庭网络上的安全性较低的设备，例如未打补丁的路由器和DVR 系统。通过在这些地方建立攻击的“桥头堡”，然后发起远程攻击，进而攻入企业网络。

这种攻击方式非常奏效，僵尸网络活动正是这种攻击方式的体现。在过去的六个月中，僵尸网络攻击通过利用两个较旧的漏洞，迅速成为主流的安全威胁方式。例如，Mirai 僵尸网络从2016年首次被检测到以来，在过去六个月里一直在全球僵尸网络活动中排名第一。

这些攻击数据的增多与攻击策略的急剧变化直接相关。例如利用与疫情相关的攻击方式成为近期Web 和电子邮件网络钓鱼攻击的热点。浏览器如今也已经成为主要的攻击媒介，远远超过了电子邮件作为传递较旧恶意软件有效载荷的主要来源。部分原因是由于远程工作方式的增加，使得远程工作人员在没有公司防火墙保护的情况下更频繁地连接网络，而电子邮件则因受到公司电子邮件网关的安全保护而幸免。

这对安全团队意味着什么？

通过了解这些最新的威胁趋势，安全团队需要采取措施以确保及时更新其安全策略（包括识别和跟踪新的IOC），以便可以正确地监视和关闭这些攻击向量。以下是网络安全人员需要特别考虑的一些方面。

1.升级和保护端点设备

远程工作人员不可避免地会使用个人设备远程连接到公司网络资源，但决不可让这些个人设备“裸奔”。安全防护措施主要包括对这些设备进行及时的漏洞修补，安装安全软件以及对远程连接进行适当的保护，以防止在家庭网络上运行的设备受到潜在的破坏。除传统的AV/AM 软件外，安全解决方案还应包括新的端点检测和响应（EDR）工具，以识别更为复杂的攻击，并防止在远程设备上被执行恶意软件。还应特别注意升级和强化浏览器，以及实施一种代理程序，通过基于云的Web 安全网关来保护所有Internet 浏览过程（无论是在网络上还是在网络之外）。

2.升级安全电子邮件网关

尽管浏览器已成为新攻击策略的主要攻击媒介，但毕竟电子邮件仍然是传统恶意软件传递的重要方式。如果电子邮件网关能够更有效地识别恶意附件，那么大多数攻击都是可以避免的。企业安全人员需要考虑升级或更新现有的安全电子邮件网关，以确保它们能够识别最新的威胁，通过新的内容拆解与重建（CDR）技术来清除嵌入在电子邮件中的恶意代码、宏病毒和恶意的可执行文件。

3.检查所有VPN 流量

即使采取了上述措施，仍旧可能有某些恶意的漏网之鱼混入。攻击者可能会将VPN 隧道作为目标来传递恶意软件和泄露数据，因为他们知道，大多数安全解决方案都没有足够的能力来检查流入和流出网络的VPN 流量。因此企业需要认真考虑使用能够检查加密流量的设备来替换旧式的防火墙，以避免其成为关键业务应用和工作流的安全短板。同样，经常访问敏感数据的企业超级用户（例如系统管理员、服务台人员和主管）也应该使用安全SD-WAN 技术来升级其连接家庭的网络。

4.增强OT 防御

越来越多的恶意软件和其他攻击将目标对准OT 环境。两个相关的典型例子是EKANS 勒索软件和Ramsay恶意软件，它们专门针对物理隔离物理或高度受限的网络，收集其中的敏感文件。网络犯罪分子通过利用这些恶意软件来试图找到渗透进OT 网络的新方法。因此，确保OT 的安全性就必须限制用户、设备、应用程序和工作流可以访问的资源。尤其是在OT 环境中，应当实施零信任策略（包括网络分段），以确保SCADA 和ICS 系统以及其他未修补的系统的安全性。这样即使恶意软件设法绕过了边缘安全控制，也只是影响到OT 网络的一小部分，而不会扩散至整个网络。

5.防范勒索软件

此前就已出现了许多以“新冠”为字眼的网络钓鱼攻击，包括各种各样的勒索软件有效载荷，诸如Netwalker、Ransomware-GVZ和CoViper 变体等。勒索软件即服务（RaaS）以此得到了快速发展，其所带来的另一个可怕的事实是，这些恶意软件降低了攻击的门槛和成本，使得非专业人员和也能够轻易发起攻击。例如，Phobos 作为最新的勒索软件工具之一，利用远程桌面协议（RDP）获得目标网络访问权限，给企业带来极大安全威胁。

企业必须制定完善的防勒索软件策略，例如将重要的数据和系统备份存储在脱机和离线网络中，以确保一旦受到破坏，能够快速得到恢复。但如今的攻击者为其攻击策略进行了“升级”——不仅将目标数据进行加密，而且其副本也被加载到服务器上，如果受害者不支付赎金，就连副本也无法幸免于难。因此，企业需要对网络内部（无论是处于静态的、使用中的还是传输过程中的）数据进行加密，以避免这些关键数据受到网络犯罪分子的破坏。部署能够检测这些恶意流量的下一代防火墙是一个有效的安全措施。

良好的安全性得益于有效的情报

CISO 和其他安全专业人员若要采取适当的安全策略，则必须紧跟最新的安全趋势，比如以上内容所讨论的2020 年上半年发生的攻击策略的重大转变。

更好的防御网络威胁的方法就是利用有效的威胁情报，包括利用关键威胁情报（威胁报告），收集情报源并为情报源做贡献，保留与网络连接的每个设备引用的IOC的更新列表。