2020年網絡安全趨勢：九大值得關注的威脅

Michael Nadeau

進行網絡安全預測很有意思，但是對于必須要確定威脅并應對威脅的安全專業人員而言，這些預測并不一定有幫助。Akamai安全情報響應團隊的高級工程師Chad Seaman說：“對于未來的發展，你無法真正做出準確的預測，因為總是有這樣或那樣的意外情況發生。”

如果2020年的最大威脅是新的并且無法預測的事物，那么我們如何才能更好地集中精力迎接新的一年？首先，我們要從規模和策略上研究2019年最大的威脅在2020年可能會發生什么變化。

首席安全官審查了有關2019年最常見的重大威脅的研究報告，并請這些研究人員就這些威脅的發展趨勢以及企業在2020年如何調整防御措施提出建議。

感染設備的惡意軟件

對于企業來說，保護端點仍然是一場戰斗。據卡巴斯基的《 2019年IT安全經濟學》報告顯示，2019年約有一半的企業出現了企業設備遭到了惡意軟件感染的情況。在這半數的企業當中，還出現了員工個人設備感染了惡意軟件的情況。

對于企業而言，卡巴斯基報告中的企業設備遭惡意軟件感染是代價最為昂貴的事件，平均每次事件的成本為273萬美元。對于中小型企業來說，這個數字要少得多，大約為11.7萬美元。

2020年展望：卡巴斯基安全研究員Dmitry Galov認為，員工擁有的設備在2020年帶來的風險會增加。公司更傾向于通過允許員工使用自己的設備來削減成本，實現遠程工作以及提高員工滿意度。這導致攻擊者只要對個人設備發動攻擊就可以繞過企業的防御體系。他說：“默認情況下，用戶的個人設備受保護的程度往往低于企業設備，因為普通用戶很少采取其他措施來保護手機和計算機免受潛在威脅的影響。只要這種趨勢持續下去，企業和員工擁有的設備就都會被感染。這種攻擊向量仍然具有吸引力，因為攻擊者不再需要再以公司賬戶為目標發動攻擊（例如，將釣魚郵件發送到企業）。”

針對2020年的最佳建議：企業必須審查并更新有關個人設備的策略，然后執行這些策略。Galov說：“嚴格的企業安全策略、正確的權限管理以及為用戶提供安全解決方案已成為保護企業及其數據的必備條件。除了管理技術問題外，安全意識培訓也很重要，因為它們可以在員工中培養并建立網絡安全意識。”

網絡釣魚

據2019年Verizon的《數據泄露調查報告》顯示，過去一年中，近1/3的數據泄露涉及網絡釣魚。對于網絡間諜攻擊，這個數字躍升至78%。2019年最糟糕的網絡釣魚新聞是，出現了制作精良的現成工具和模板，不法分子的網絡釣魚技術越來越高明。

Akamai的《2019年互聯網安全狀況報告：引誘上鉤》披露了一名網絡釣魚套件開發人員開發的網絡釣魚即服務。該開發人員擁有店面并在社交媒體上打起了廣告。價格從99美元起步，并根據所選的郵寄服務上調價格。所有套件均具有安全和規避功能。報告的作者稱：“低廉的價格和以頂級品牌為目標很有吸引力，這為犯罪分子展開網絡釣魚降低了門檻。”這些目標企業包括Target、谷歌、微軟、蘋果、Lyft和沃爾瑪等。

2020年展望：網絡釣魚套件開發人員將提供更多精致的產品，從而進一步降低展開網絡釣魚攻擊所需的技能。據市場研究機構IDG的《安全優先級研究》顯示，44%的企業表示，提高安全意識和員工培訓優先級是2020年的重中之重。作為回應，攻擊者將通過減少或隱藏網絡釣魚的常見跡象來提高網絡釣魚攻擊的質量。攻擊者可能會加大對商務電子郵件入侵（BEC）的使用力度，即通過欺詐性的或受感染的內部或第三方賬戶發送看起來沒有問題的郵件進行網絡釣魚。

針對2020年的最佳建議：在反網絡釣魚培訓中加入最新內容并使之持續進行下去。為了與BEC對抗，企業需要制定相應的策略，要求所有收到有關資金或付款說明請求的員工都必須通過電話進行確認。

勒索軟件攻擊

勒索軟件攻擊不是最常見的網絡安全事件，但可能是代價最高的事件之一。卡巴斯基的《 2019年IT安全經濟學》報告指出，2019年大約40%的中小型企業和大型企業經歷了勒索軟件攻擊。在大型企業這一級，每起攻擊事件的平均成本為146萬美元。

Sophos Labs的《2020年威脅報告》指出，端點保護工具在檢測勒索軟件方面正變得越來越好，但這也迫使勒索軟件開發人員對這些工具所的使用技術展開了更為深入的研究。Sophos的下一代技術工程總監Mark Loman表示：“更改惡意軟件的外觀要比更改其目的或行為容易得多，這就是為什么現代勒索軟件依靠迷惑技術才能取得成功。但是到2020年，勒索軟件將通過更改或添加特征來迷惑一些反勒索軟件的保護措施，從而增加它們成功的機率。”

這種混淆是為了使勒索軟件看起來像是來自受信任的來源。Sophos報告引用了幾個示例：

·編制腳本列出目標計算機，并將它們與Microsoft Sysinternals的PsExec實用程序、特權域賬戶和勒索軟件集成在一起。

·通過Windows組策略對象利用登錄/注銷腳本

·濫用Windows管理界面在網絡內部大量分發

2020年展望：勒索軟件攻擊者將會繼續調整他們的方法以發揮自己的優勢。Loman說：“最明顯的發展趨勢是，越來越多的勒索軟件攻擊者是通過自動化的主動攻擊來提高成功率，這些攻擊將人的創造力與自動化工具結合在了一起，從而可將產生的影響發揮到最大。此外，通過僅加密每個文件中相對較小的部分或將操作系統引導到通常無法使用反勒索軟件保護的診斷模式，攻擊者可規避大多數防御。”

卡巴斯基的Galov說：“勒索軟件攻擊在2019年來勢洶洶，這種威脅在2020年沒有理由會減少。”勒索軟件正逐漸將目標鎖定為基礎設施、組織機構甚至是智慧城市。

勒索軟件開發人員將會讓他們的代碼變得更具隱匿性，以便他們可以在系統中建立立足點，加密更多數據而不會被發現，并伺機擴展到其他網絡。Galov說：“2019年，我們甚至看到了對網絡附加存儲（NAS）的攻擊，以往這在很大程度上被認為是安全可靠的。”

針對2020年的最佳建議：抵御勒索軟件的最佳方法是擁有所有關鍵數據的最新且經過測試的備份。請將這些備份與網絡隔離開來，以便它們不會被勒索軟件加密。員工培訓也至關重要。Galov稱：“為了保護自己免受勒索軟件的侵害，企業需要實施嚴格的安全策略，并對員工進行網絡安全培訓。此外，還需要采取其他的保護措施，例如確保對數據的訪問安全，確保備份的存儲安全以及在服務器上實施應用程序白名單技術。”

Loman則表示：“至關重要的是，強大的安全控制、監視和響應要覆蓋所有端點、網絡和系統，并及時更新軟件。”

第三方供應商風險

卡巴斯基在2019年發布的《 IT安全經濟學》報告中指出，在大型企業和中小型企業中涉及第三方供應商（服務和產品）的事件發生率分別為43%和38%，兩者之間的比例比較接近。One Identity的一項調查顯示，大多數企業（94%）會授予第三方訪問其網絡的權限，72%的企業授予的是優先訪問權限。只有22%的企業相信第三方沒有訪問未經授權的信息，18%的企業報告稱他們出現的數據泄露事件是由于第三方的訪問導致的。

卡巴斯基的研究表明，中小企業和大型企業都在強迫第三方供應商簽署安全策略協議，其中75%的中小企業和79%的大型企業都在使用它們。當第三方要對違規行為負責時，在第三方的賠償問題上有著很大的差異。在已制定策略的企業中，有71%的企業表示已獲得賠償，而沒有制定策略的企業中只有22%的企業獲得了賠償。

2020年展望：企業將與供應商和合作伙伴建立數字化聯系。這既增加了風險，也提高了對該風險的意識。不幸的是，攻擊者正變得越來越老練。

Galov說：“最近，我們發現諸如BARIUM或APT41之類的一些新組織為了滲透到全球的安全基礎設施當中，對軟件和硬件制造商進行了復雜的供應鏈攻擊。其中包括2017年和2019年發現的兩種復雜的供應鏈攻擊：CCleaner攻擊和ShadowPad攻擊，以及其他針對游戲公司的攻擊。處理這些威脅是一個復雜的過程，因為攻擊者通常會留下后門，以便他們以后可以返回并造成更大的破壞。”

針對2020年的最佳建議：了解誰可以訪問你的網絡，并確保他們僅擁有所需的必要權限。制定用于交流和執行第三方訪問規則的策略。確保為所有第三方供應商都制定了安全策略，闡明了責任、安全期望以及事件發生時的后果。

Galov說：“保護自己免受此類攻擊的最佳企業不僅會確保他們自己，而且還會確保他們的合作伙伴都能夠遵守高標準的網絡安全標準。如果第三方供應商可以通過任何方式訪問內部基礎架構或數據，那么則應在集成過程之前建立網絡安全策略。”

DDoS攻擊

據卡巴斯基（Kaspersky）在2019年發布的《 IT安全經濟學》報告顯示，2019年有42%的大型企業和38%的中小型企業遭受了分布式拒絕服務（DDoS）攻擊。這一比例與勒索軟件事件相當，但是只有后者引起了媒體的廣泛關注。從財務角度來看，DDoS攻擊使中小企業平均損失13.8萬美元。

攻擊者在不斷創新以提高其DDoS攻擊的效率。例如，Akamai在去年9月份報告了一個新的DDoS向量：Web服務動態發現（WSD），這是一種用于在本地網絡上定位服務的多播發現協議。攻擊者通過WSD可以大規模定位和破壞配置錯誤的互聯網連接設備，從而擴大DDoS攻擊的范圍。

2020年展望：由于5G的興起和物聯網設備的數量增加，卡巴斯基的Galov認為2020年DDoS攻擊仍將“十分突出”。他說：“關鍵基礎設施的常規邊界，如供水，電網、軍事設施和金融機構，將進一步擴展到5G互聯世界中其他前所未有的領域。所有這些都需要新的安全標準，而連接速度的提升將為阻止DDoS攻擊的發生帶來新的挑戰。”

針對2020年的最佳建議：每個人都需要檢查自己的互聯網連接設備是否存在配置錯誤，是否存在未修補的漏洞。Akamai的Seaman說：“這是基本的安全標準。”

不幸的是，消費類設備正在導致DDoS攻擊風險不斷增加。Seaman說：“老奶奶去百思買購買一個新的網絡攝像頭放在她的私人車道上，這樣她就可以看到誰在擋路，但是她并不知道該設備的安全狀況。我們還發現了更大問題，那就是越南有的小商店安裝了VDR安全系統，店主根本就不關心他的網絡攝像頭是否已被用來對銀行發動DDoS攻擊。”

應用程序漏洞

市場研究機構Veracode的《軟件安全狀況》報告稱，他們測試的8.5萬個應用程序中有83%至少存在一個安全漏洞。許多應用程序存在更多的漏洞，因為他們的研究總共發現了1000萬個漏洞，而所有應用程序中有20%至少有一個高危漏洞。就潛在的零日漏洞和可利用的漏洞而言，這為攻擊者留下了很多機會。

報告作者對某些數據還是感到樂觀的，比如修復率，尤其是針對高危漏洞的修復率正在提高。總體修復率為56%，高于2018年的52%，高危漏洞修復率為75.7%。頻繁對軟件進行掃描和測試的DevSecOps方法可減少修復缺陷的時間。每年掃描12次或更少次數的應用程序的修復時間平均為68天，而每天進行掃描或更頻繁掃描的平均修復時間將提高至19天。

2020年展望：盡管安全和開發團隊做出了最大的努力，但是漏洞仍將繼續存在于軟件當中。Veracode的聯合創始人兼首席技術官Chris Wysopal說：“當今大多數軟件都是非常不安全的，這情況在2020年還將繼續下去，尤其是90%的應用程序使用的是開源庫中的代碼。我們在2019年看到了AppSec已經釋放出了積極的信號。企業關注的已經不僅是發現安全漏洞，而且要解決這些漏洞，并優先考慮那些最容易成為威脅的漏洞……。我們的數據表明，發現和修復漏洞與改進功能一樣，已經成為整個過程的一部分。”