網(wǎng)絡(luò)威脅形勢(shì)在不斷發(fā)展。隨著網(wǎng)絡(luò)攻擊者變得更加熟練和有組織，他們的攻擊也變得更加復(fù)雜。今天，組織面臨第五代和第六代網(wǎng)絡(luò)威脅。這些攻擊者意識(shí)到近年來在企業(yè)網(wǎng)絡(luò)安全方面取得的進(jìn)步，并定制了他們的攻擊以繞過和克服傳統(tǒng)防御?，F(xiàn)代網(wǎng)絡(luò)攻擊是多向量的，并使用多態(tài)代碼來逃避檢測(cè)。因此，威脅檢測(cè)和響應(yīng)比以往任何時(shí)候都更加困難。

前 8 種網(wǎng)絡(luò)攻擊類型

為了增加挑戰(zhàn)，許多組織在“照常營(yíng)業(yè)”的執(zhí)行方式上面臨著突然而劇烈的轉(zhuǎn)變。COVID-19 大流行促使許多組織在沒有充分準(zhǔn)備的情況下采用大部分或完全遠(yuǎn)程辦公的員工隊(duì)伍。對(duì)于安全策略依賴于在辦公室工作的員工的組織來說，適應(yīng)這種新的生活方式是一項(xiàng)挑戰(zhàn)。

在遠(yuǎn)程工作世界中，端點(diǎn)是網(wǎng)絡(luò)犯罪分子的主要目標(biāo)，也是組織的第一道防線。保護(hù)遠(yuǎn)程員工的安全需要組織了解其員工面臨的主要網(wǎng)絡(luò)威脅，并擁有能夠檢測(cè)、預(yù)防和補(bǔ)救這些攻擊的端點(diǎn)安全解決方案。

頂級(jí)網(wǎng)絡(luò)威脅內(nèi)幕

網(wǎng)絡(luò)犯罪分子不斷創(chuàng)新，隨著攻擊者適應(yīng)不斷變化的環(huán)境，組織面臨的主要網(wǎng)絡(luò)威脅也經(jīng)常發(fā)生變化。Research持續(xù)跟蹤網(wǎng)絡(luò)威脅形勢(shì)的趨勢(shì)和變化，以下是組織當(dāng)前最應(yīng)該關(guān)注的威脅。

1. 勒索軟件

勒索軟件是一種惡意軟件，旨在使用加密來強(qiáng)制攻擊目標(biāo)支付贖金要求。一旦出現(xiàn)在系統(tǒng)上，惡意軟件就會(huì)加密用戶的文件并要求付款以換取解密密鑰。由于現(xiàn)代加密算法在現(xiàn)有技術(shù)下是牢不可破的，因此恢復(fù)加密文件的唯一方法是從備份中恢復(fù)數(shù)據(jù)（如果可用）或支付隨機(jī)需求。

勒索軟件已成為最明顯和最多產(chǎn)的惡意軟件類型之一，而 COVID-19 大流行提供了此類惡意軟件蓬勃發(fā)展的環(huán)境。近年來，一些勒索軟件變種也演變?yōu)閳?zhí)行“雙重勒索”攻擊。Maze、Sodinokibi/REvil、DopplePaymer、Nemty 和其他勒索軟件變體在加密之前竊取文件副本，如果用戶拒絕支付贖金要求，就會(huì)威脅要破壞它們。雖然這一趨勢(shì)始于 2019 年底的 Maze，但隨著越來越多的團(tuán)體在 2020 年采用它，它繼續(xù)增長(zhǎng)。

2. 惡意軟件

勒索軟件是一種惡意軟件，但遠(yuǎn)非唯一類型。惡意軟件有多種不同的形式，可用于實(shí)現(xiàn)許多不同的目標(biāo)。惡意軟件變種的設(shè)計(jì)目的可能是從收集和竊取敏感信息到展示不需要的廣告，再到對(duì)受感染的機(jī)器造成永久性損壞。隨著不同類型的攻擊或多或少對(duì)攻擊者有利可圖，最常見的惡意軟件類型每年都會(huì)有所不同。2020 年，最常見的惡意軟件形式包括：

• Cryptominers：使用受害者的計(jì)算機(jī)來挖掘加密貨幣并為攻擊者獲利的惡意軟件。
• 移動(dòng)惡意軟件：針對(duì)移動(dòng)設(shè)備的惡意軟件，包括惡意應(yīng)用程序和利用 SMS 和社交媒體應(yīng)用程序的攻擊。
• 僵尸網(wǎng)絡(luò)惡意軟件：感染系統(tǒng)并將其添加到僵尸網(wǎng)絡(luò)的惡意軟件，在僵尸網(wǎng)絡(luò)控制器的指揮下參與網(wǎng)絡(luò)攻擊和其他非法活動(dòng)。
• Infostealers：從受感染計(jì)算機(jī)收集敏感信息并將其發(fā)送給惡意軟件操作員的惡意軟件。
• 銀行木馬：專門針對(duì)財(cái)務(wù)信息并試圖竊取銀行網(wǎng)站憑據(jù)和類似信息的惡意軟件。
• 勒索軟件：加密用戶計(jì)算機(jī)上的文件并要求為解密密鑰付費(fèi)的惡意軟件。

雖然“前六名”惡意軟件類型在全球范圍內(nèi)保持不變，但每種類型惡意軟件的百分比因地理區(qū)域而異。例如，如網(wǎng)絡(luò)攻擊趨勢(shì)：2020 年年中報(bào)告所述，歐洲、中東和非洲地區(qū)是唯一一個(gè)僵尸網(wǎng)絡(luò)惡意軟件比針對(duì)移動(dòng)設(shè)備的惡意軟件更常見的地區(qū)。在其他地區(qū)，排名保持不變，但相對(duì)百分比可能會(huì)有所不同。

3. 無(wú)文件攻擊

防病毒解決方案通常嘗試通過檢查設(shè)備上的每個(gè)文件是否存在惡意內(nèi)容的跡象來檢測(cè)設(shè)備上的惡意軟件。無(wú)文件惡意軟件試圖通過不使用文件來繞過這種威脅檢測(cè)方法。取而代之的是，該惡意軟件被實(shí)現(xiàn)為一組內(nèi)置于受感染計(jì)算機(jī)中的功能的命令。這使惡意軟件能夠?qū)崿F(xiàn)相同的目標(biāo)，但會(huì)使某些防御性解決方案更難檢測(cè)。

無(wú)文件惡意軟件的主要區(qū)別在于它缺少文件。它執(zhí)行許多與傳統(tǒng)惡意軟件相同的功能。例如，F(xiàn)ritzFrog——一種于 2020 年 8 月檢測(cè)到的無(wú)文件對(duì)等 (P2P) 僵尸網(wǎng)絡(luò)惡意軟件——旨在感染系統(tǒng)和挖掘加密貨幣。

4. 網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚是攻擊者用來訪問目標(biāo)系統(tǒng)的最常用方法之一。通常，誘騙用戶點(diǎn)擊惡意鏈接或打開附件比定位并成功利用組織網(wǎng)絡(luò)中的漏洞更容易。網(wǎng)絡(luò)釣魚攻擊可以實(shí)現(xiàn)多種目標(biāo)，包括憑據(jù)盜竊、惡意軟件傳遞、金融欺詐和敏感數(shù)據(jù)盜竊。

由于其易用性和高成功率，網(wǎng)絡(luò)釣魚歷來是網(wǎng)絡(luò)攻擊者發(fā)起活動(dòng)的最常用方法。在 COVID-19 大流行期間，隨著網(wǎng)絡(luò)犯罪分子利用在辦公室外工作的員工和病毒的不確定性氣氛，這種趨勢(shì)只會(huì)加速。

COVID-19 大流行還放大了常見網(wǎng)絡(luò)釣魚誘餌的影響。例如，黑色星期五和網(wǎng)絡(luò)星期一是網(wǎng)絡(luò)釣魚者常用的借口，而由于 COVID-19 導(dǎo)致在線購(gòu)物的興起使其在 2020 年特別有效。因此，網(wǎng)絡(luò)釣魚電子郵件的數(shù)量在幾周內(nèi)翻了一番黑色星期五和網(wǎng)絡(luò)星期一與上月初相比。

5. 中間人（MitM）攻擊

許多網(wǎng)絡(luò)協(xié)議通過加密來防止竊聽者，這使得流量無(wú)法讀取。中間人 (MitM) 攻擊通過將連接分成兩部分來繞過這些保護(hù)。通過與客戶端和服務(wù)器創(chuàng)建單獨(dú)的加密連接，攻擊者可以讀取通過連接發(fā)送的數(shù)據(jù)并根據(jù)需要對(duì)其進(jìn)行修改，然后再將其轉(zhuǎn)發(fā)到目的地。

中間人攻擊可以使用 HTTPS 等協(xié)議被擊敗。然而，移動(dòng)設(shè)備的興??起使其成為更危險(xiǎn)的攻擊媒介。移動(dòng)應(yīng)用程序很少或根本沒有向用戶提供有關(guān)其網(wǎng)絡(luò)連接的可見性，并且可能使用不安全的協(xié)議進(jìn)行通信，容易受到中間人攻擊。

6. 惡意應(yīng)用

許多組織將網(wǎng)絡(luò)安全工作集中在計(jì)算機(jī)上，但移動(dòng)設(shè)備對(duì)組織的網(wǎng)絡(luò)安全構(gòu)成的威脅越來越大。隨著員工越來越多地使用移動(dòng)設(shè)備完成工作和訪問敏感的公司數(shù)據(jù)，惡意移動(dòng)應(yīng)用程序變得越來越危險(xiǎn)。這些應(yīng)用程序可以做任何桌面惡意軟件可以做的事情，包括竊取敏感數(shù)據(jù)、使用勒索軟件加密文件等等。

2020 年，移動(dòng)惡意軟件是全球第二大最常見的惡意軟件類型。最常見的移動(dòng)惡意軟件變種——包括 xHelper、PreAMo 和 Necro——都是具有附加功能的木馬，包括廣告欺詐和點(diǎn)擊欺詐。移動(dòng)惡意軟件通常利用移動(dòng)操作系統(tǒng)中的漏洞，例如2021 年 1 月在一批 43 個(gè) Android 安全補(bǔ)丁中修復(fù)的遠(yuǎn)程代碼執(zhí)行 (RCE)漏洞。

7. 拒絕服務(wù)攻擊

組織的 IT 基礎(chǔ)架構(gòu)和服務(wù)（如 Web 應(yīng)用程序、電子郵件等）對(duì)其開展業(yè)務(wù)的能力至關(guān)重要。拒絕服務(wù) (DoS) 攻擊旨在拒絕對(duì)關(guān)鍵服務(wù)的訪問。這可以通過利用應(yīng)用程序中的漏洞（導(dǎo)致其崩潰）或通過向系統(tǒng)充斥超出其能夠管理的數(shù)據(jù)或請(qǐng)求（使其無(wú)法處理合法請(qǐng)求）來實(shí)現(xiàn)。在某些情況下，攻擊者會(huì)執(zhí)行贖金 DoS 攻擊，要求支付贖金以阻止正在進(jìn)行的攻擊或防止受到威脅的攻擊。

在 COVID-19 大流行推動(dòng)的遠(yuǎn)程工作和學(xué)習(xí)期間，遠(yuǎn)程訪問解決方案是 DoS 攻擊的主要目標(biāo)。在 2020-2021 學(xué)年，針對(duì)教育部門的分布式 DoS (DDoS) 攻擊急劇增加。這些攻擊試圖使遠(yuǎn)程學(xué)習(xí)服務(wù)無(wú)法使用或索取贖金以防止或阻止攻擊。

8. 零日漏洞利用

軟件包含弱點(diǎn)和漏洞，其中許多漏洞都會(huì)在生產(chǎn)環(huán)境中被攻擊者利用。這些生產(chǎn)漏洞由公司內(nèi)部、外部安全研究人員或網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)。在第三種情況下，網(wǎng)絡(luò)攻擊者可以利用系統(tǒng)中的這些“零日”漏洞。在組織設(shè)法修補(bǔ)漏洞（使其安全）之前，系統(tǒng)的所有用戶都可能容易受到攻擊。

2020 年，最著名的零日漏洞之一是 Zerologon，它影響了 Windows 域控制器 (DC)。利用此漏洞的攻擊者可以完全控制易受攻擊的 DC 管理的網(wǎng)絡(luò)。在許多組織修補(bǔ)此漏洞之前，網(wǎng)絡(luò)犯罪分子正在積極利用此漏洞，促使美國(guó)政府發(fā)出緊急安全指令，要求政府機(jī)構(gòu)立即應(yīng)用補(bǔ)丁。

超越主要威脅

這份主要威脅列表并不詳盡，并未涵蓋對(duì)企業(yè)網(wǎng)絡(luò)安全的所有活躍威脅。其他常見的網(wǎng)絡(luò)安全威脅示例包括：

• DNS隧道
• DNS 欺騙
• SQL注入
• 越獄和生根
• 操作系統(tǒng)漏洞

雖然這些潛在的攻擊并未列入最常見和最危險(xiǎn)的網(wǎng)絡(luò)威脅列表，但它們?nèi)匀粯?gòu)成重大風(fēng)險(xiǎn)。企業(yè)安全解決方案還應(yīng)包括使用這些向量檢測(cè)、預(yù)防和修復(fù)攻擊的能力。

防范主要網(wǎng)絡(luò)威脅

隨著 COVID-19 推動(dòng)的遠(yuǎn)程工作激增，企業(yè)網(wǎng)絡(luò)安全變得更加困難。安全團(tuán)隊(duì)現(xiàn)在需要保護(hù)在家工作的員工（可能在個(gè)人擁有的設(shè)備上），而不是大部分在現(xiàn)場(chǎng)工作的員工。這些直接連接到個(gè)人網(wǎng)絡(luò)和公共互聯(lián)網(wǎng)的系統(tǒng)更容易受到攻擊。因此，計(jì)算機(jī)和移動(dòng)設(shè)備上的端點(diǎn)安全是企業(yè)網(wǎng)絡(luò)安全比以前更加優(yōu)先考慮的問題。由于潛在的網(wǎng)絡(luò)安全威脅范圍廣泛，組織需要一個(gè)端點(diǎn)檢測(cè)和響應(yīng)解決方案，能夠檢測(cè)并保護(hù)其所有員工的設(shè)備免受主要網(wǎng)絡(luò)威脅。