2020年,“新冠”疫情的爆发使多数行业均遭受了不小冲击,但网络安全威胁却“异军突起”,大有愈演愈烈的态势。
近日,360安全大脑发布了《2020年PC安全趋势年终总结报告》(以下简称《总结》),通过整合360安全卫士拦截、查杀勒索、挖矿、驱动木马等流行威胁趋势,汇总无文件攻击、横向渗透、钓鱼邮件等流行攻击手法,盘点重大数据泄漏事件及最新披露的多个攻击面,对2020全年流行威胁进行了系统梳理。
流行木马威胁加剧
过去一年里,勒索、挖矿、驱动木马依然是个人和企业用户面临的头号威胁,钓鱼邮件也随“新冠疫情”等热点新闻一度数量激增,提升员工安全意识迫在眉睫。
在上述几种流行病毒中,勒索病毒的威胁依然是最大的,且流行采用“双重勒索”模式——即攻击者在加密数据文件前会先窃取未加密的文件,以泄漏敏感数据来逼迫受害者缴纳赎金。这种简单粗暴的做法给个人和企业带来了严重的经济损失,其中Ryuk、CL0P、DoppelPaymer、LockBit等勒索病毒便是“双重勒索”的典型代表。
对此,360安全大脑建议用户,通过及时修补系统补丁,加强口令管理,严格访问控制,安装杀毒软件等措施,加强企业安全防护体系;并对重要数据进行备份——备份数据可以在遭受到勒索病毒攻击后最大程度缓解企业损失;而在已经遭受攻击并无数据备份情况下,应当及时联系专业的反勒索病毒团队进行处理。
相比于勒索病毒,挖矿木马在近一年的涨幅并不明显,但累计感染量依然超过600万,其活跃度在一定程度上受到虚拟货币价格的影响。从技术手段来看,挖矿木马更偏向于采用无文件攻击的方式,最后通过开源挖矿程序进行挖矿;从地域分布来看,中国、美国、俄罗斯依然是无文件攻击的重灾区。
驱动木马主要通过篡改用户的浏览器主页,达成导流的目的,从而牟取利益。而且病毒网站还会有诱导用户退出安全软件的各种提示,以避免被杀软拦截。为此,360安全大脑提醒广大用户,切勿轻信退出安全软件等诱导提示,安全软件可以及时拦截和查杀恶意软件,保护系统安全,不会影响用户使用正常的软件;而一旦出现浏览器主页被篡改等病毒现象,可使用360安全卫士或360急救箱进行查杀。
伴随着新型冠状病毒疫情的爆发,以“新冠”疫情为标题的钓鱼邮件攻击数量激增。为了让受害者激活携带的恶意载荷,攻击者会配合极具诱导性的文字内容,欺骗受害者打开恶意附件,而通过钓鱼邮件传播的恶意软件类型则主要以后门和窃密类木马为主。由此可见,攻击者善于利用人们迫切看到热点新闻内容而忽视安全问题的弱点,通过社会工程学这种看似简单,却行之有效的方式进行攻击。针对钓鱼邮件攻击,360安全团队建议用户在收到来源不明的电子邮件时,先应经过安全软件检测或交由安全部门进行检测,在确定邮件安全性的前提下查阅邮件内容。此外,开启360安全卫士邮件安全防护功能,也可针对性查杀钓鱼邮件。
内网安全困境凸显
除流行木马威胁外,过去一年间,内网安全形势同样不容乐观,弱口令、NDAY依然泛滥,无文件攻击、横向渗透等技术愈发成熟,数据泄漏事件更是频频发生。
在很多内网坏境中,不少管理员对于口令强度的意识不够深入,会出现使用弱口令管理机器或使用相同密码管理多台机器等情况。一旦攻击者通过系统漏洞或者一些其他手段进入到企业内网后,很可能会进一步向内网中的重要资产渗透,或者通过控制更多机器来进行后续攻击。特别是,当攻击者获得大量有效凭据之后,通常会选择通过横向渗透的攻击技巧批量下发恶意软件。为此,360安全卫士于2020年5月推出“横向渗透防护”功能,补足企业内网中对于横向渗透防护的缺失。
此外,由于内网大多存在资产较多、管理混乱的情况,导致有部分机器处于长期不打系统补丁的状态。这就导致NDAY漏洞成为了企业内网中另一严重的安全隐患。对此,360安全团队建议用户及时更新系统补丁,阻断NDAY漏洞的利用。特别是对于已停服的Windows 7系统,可安装360安全卫士并开启WIN7盾甲进行防护。
2020年数据泄漏事件频发,其中无密码保护的数据库、错误的安全配置、内部员工非授权访问等,成为了导致数据泄漏的主要原因。对此,360安全团队建议,对重要的用户数据进行隔离保存,严格对用户数据的访问权限,同时定期审核对内部资产的安全访问权限,检测到配置不当,错误配置时应及时修改。更为重要的是,要切实员工安全意识,严禁将工作代码、配置文件、用户数据等上传到托管平台或公共网盘。
新型攻击方式不断出现
随着网络对抗的发展,新的攻击思路也在不断的呈现。
其中,有的可通过最简单的传输介质(U盘),在复杂的内网坏境中开辟了一条通向隔离网络的通道;有的病毒可寄存于UEFI/BIOS固件——初始化过程优先于操作系统,所以即使即使重装系统也无法彻底清除;有的病毒甚至可以提前数年植入软件供应商的产品中,一旦爆发造成的危害难以估量;甚至还有针对电子邮件服务器的攻击,通过监控目标网络中的电子邮件,窃取大量的敏感数据。
去年12月,某黑客组织便是借助基础网络管理软件供应商SolarWinds的产品缺陷,相继入侵美国财政部、美国商务部下属的国家通信和信息管理局(NTIA),以及其他政府机构和私营企业。据了解,这是一次非常复杂的网络攻击事件,最早从2019年便开始筹备,在跨越两年的攻击活动中,攻击者可能已经获取了SolarWinds内网最高权限,通过多个有限账号令牌绕过安全防护,在目标产品中植入恶意代码,并通过SolarWinds与客户之间的相互信任关系,将恶意代码扩散至更大范围。
对此,360安全团队建议,将固件更新到最新状态,并启用BIOS写入保护,并验证固件完整性,以防被恶意篡改;建立纵深防御和持续监控运营机制,对重点资产,服务器,主机实施主机行为管控措施,对异常网络请求,主机行为做闭环运行处理;加固邮件服务器,包括及时安装系统补丁,关闭无用端口,对服务器进行网络隔离,严格实行访问控制。总的来说,面对不断涌现的新型攻击方式,用户唯有不断提升安全意识,才能在最大程度上规避潜在的风险。
360政企终端安全产品体系护航大终端安全
随着全球数字化转型数字技术的发展,网络攻击已经变得更有针对性、隐蔽性和持久性。于是,在“大安全”时代背景下,360政企安全集团重磅推出了由360终端安全防护系统、360终端安全防护系统(信创版)、360安全卫士团队版、360企业安全浏览器等全方位集结的终端安全产品体系,剑指终端安全新威胁,论道终端防护硬实力。
其中,360 终端安全管理系统是在360安全大脑极智赋能下,以大数据、云计算、人工智能等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控于一体的企业级安全产品,可提供病毒查杀、漏洞修复、资产管理、运维管控、移动存储管理、安全审计、Win7盾甲、主动防御等诸多功能,帮助企业快速掌控全网终端安全状态,有效保障全网终端安全。
360安全卫士团队版则是专注于企业级用户的在线安全解决方案,以360安全大脑赋能,依托全网安全数据平台为支撑、借助威胁情报云、知识库AI云、安全专家云,能够为用户精准检测已知病毒木马、未知风险程序,并提供终端资产管理、漏洞补丁管理、安全运维管控,终端安全统计等诸多防护功能,从而有效防御恶意攻击,满足企业对安全统一管理的需求,让网络更安全,管理更轻松。
传统攻击手段依然猖獗,新型攻击方式不断出现,在刚刚过去的2020年,网络安全形势呈现出愈发严峻的态势。未来,360安全团队将继续在技术实现、安全服务等多方面不断创新,打造多维联动的安防体系,从而帮助更多的个人和政企用户提升网络安全防御能力。