2020年网络安全趋势：九大值得关注的威胁

　　进行网络安全预测很有意思，但是对于必须要确定威胁并应对威胁的安全专业人员而言，这些预测并不一定有帮助。Akamai安全情报响应团队的高级工程师Chad Seaman说：“对于未来的发展，你无法真正做出准确的预测，因为总是有这样或那样的意外情况发生。”

　　如果2020年的最大威胁是新的并且无法预测的事物，那么我们如何才能更好地集中精力迎接新的一年？首先，我们要从规模和策略上研究2019年最大的威胁在2020年可能会发生什么变化。

　　首席安全官审查了有关2019年最常见的重大威胁的研究报告，并请这些研究人员就这些威胁的发展趋势以及企业在2020年如何调整防御措施提出建议。

　　感染设备的恶意软件

　　对于企业来说，保护端点仍然是一场战斗。据卡巴斯基的《 2019年IT安全经济学》报告显示，2019年约有一半的企业出现了企业设备遭到了恶意软件感染的情况。在这半数的企业当中，还出现了员工个人设备感染了恶意软件的情况。

　　对于企业而言，卡巴斯基报告中的企业设备遭恶意软件感染是代价最为昂贵的事件，平均每次事件的成本为273万美元。对于中小型企业来说，这个数字要少得多，大约为11.7万美元。

　　2020年展望：卡巴斯基安全研究员Dmitry Galov认为，员工拥有的设备在2020年带来的风险会增加。公司更倾向于通过允许员工使用自己的设备来削减成本，实现远程工作以及提高员工满意度。这导致攻击者只要对个人设备发动攻击就可以绕过企业的防御体系。他说：“默认情况下，用户的个人设备受保护的程度往往低于企业设备，因为普通用户很少采取其他措施来保护手机和计算机免受潜在威胁的影响。只要这种趋势持续下去，企业和员工拥有的设备就都会被感染。这种攻击向量仍然具有吸引力，因为攻击者不再需要再以公司账户为目标发动攻击（例如，将钓鱼邮件发送到企业）。”

　　针对2020年的最佳建议：企业必须审查并更新有关个人设备的策略，然后执行这些策略。Galov说：“严格的企业安全策略、正确的权限管理以及为用户提供安全解决方案已成为保护企业及其数据的必备条件。除了管理技术问题外，安全意识培训也很重要，因为它们可以在员工中培養并建立网络安全意识。”

　　网络钓鱼

　　据2019年Verizon的《数据泄露调查报告》显示，过去一年中，近1/3的数据泄露涉及网络钓鱼。对于网络间谍攻击，这个数字跃升至78%。2019年最糟糕的网络钓鱼新闻是，出现了制作精良的现成工具和模板，不法分子的网络钓鱼技术越来越高明。

　　Akamai的《2019年互联网安全状况报告：引诱上钩》披露了一名网络钓鱼套件开发人员开发的网络钓鱼即服务。该开发人员拥有店面并在社交媒体上打起了广告。价格从99美元起步，并根据所选的邮寄服务上调价格。所有套件均具有安全和规避功能。报告的作者称：“低廉的价格和以顶级品牌为目标很有吸引力，这为犯罪分子展开网络钓鱼降低了门槛。”这些目标企业包括Target、谷歌、微软、苹果、Lyft和沃尔玛等。

　　2020年展望：网络钓鱼套件开发人员将提供更多精致的产品，从而进一步降低展开网络钓鱼攻击所需的技能。据市场研究机构IDG的《安全优先级研究》显示，44%的企业表示，提高安全意识和员工培训优先级是2020年的重中之重。作为回应，攻击者将通过减少或隐藏网络钓鱼的常见迹象来提高网络钓鱼攻击的质量。攻击者可能会加大对商务电子邮件入侵（BEC）的使用力度，即通过欺诈性的或受感染的内部或第三方账户发送看起来没有问题的邮件进行网络钓鱼。

　　针对2020年的最佳建议：在反网络钓鱼培训中加入最新内容并使之持续进行下去。为了与BEC对抗，企业需要制定相应的策略，要求所有收到有关资金或付款说明请求的员工都必须通过电话进行确认。

　　勒索软件攻击

　　勒索软件攻击不是最常见的网络安全事件，但可能是代价最高的事件之一。卡巴斯基的《 2019年IT安全经济学》报告指出，2019年大约40%的中小型企业和大型企业经历了勒索软件攻击。在大型企业这一级，每起攻击事件的平均成本为146万美元。

　　Sophos Labs的《2020年威胁报告》指出，端点保护工具在检测勒索软件方面正变得越来越好，但这也迫使勒索软件开发人员对这些工具所的使用技术展开了更为深入的研究。Sophos的下一代技术工程总监Mark Loman表示：“更改恶意软件的外观要比更改其目的或行为容易得多，这就是为什么现代勒索软件依靠迷惑技术才能取得成功。但是到2020年，勒索软件将通过更改或添加特征来迷惑一些反勒索软件的保护措施，从而增加它们成功的机率。”

　　这种混淆是为了使勒索软件看起来像是来自受信任的来源。Sophos报告引用了几个示例：

　　·编制脚本列出目标计算机，并将它们与Microsoft Sysinternals的PsExec实用程序、特权域账户和勒索软件集成在一起。

　　·通过Windows组策略对象利用登录/注销脚本

　　·滥用Windows管理界面在网络内部大量分发

　　2020年展望：勒索软件攻击者将会继续调整他们的方法以发挥自己的优势。Loman说：“最明显的发展趋势是，越来越多的勒索软件攻击者是通过自动化的主动攻击来提高成功率，这些攻击将人的创造力与自动化工具结合在了一起，从而可将产生的影响发挥到最大。此外，通过仅加密每个文件中相对较小的部分或将操作系统引导到通常无法使用反勒索软件保护的诊断模式，攻击者可规避大多数防御。”

　　卡巴斯基的Galov说：“勒索软件攻击在2019年来势汹汹，这种威胁在2020年没有理由会减少。”勒索软件正逐渐将目标锁定为基础设施、组织机构甚至是智慧城市。

　　勒索软件开发人员将会让他们的代码变得更具隐匿性，以便他们可以在系统中建立立足点，加密更多数据而不会被发现，并伺机扩展到其他网络。Galov说：“2019年，我们甚至看到了对网络附加存储（NAS）的攻击，以往这在很大程度上被认为是安全可靠的。”

　　针对2020年的最佳建议：抵御勒索软件的最佳方法是拥有所有关键数据的最新且经过测试的备份。请将这些备份与网络隔离开来，以便它们不会被勒索软件加密。员工培训也至关重要。Galov称：“为了保护自己免受勒索软件的侵害，企业需要实施严格的安全策略，并对员工进行网络安全培训。此外，还需要采取其他的保护措施，例如确保对数据的访问安全，确保备份的存储安全以及在服务器上实施应用程序白名单技术。”

　　Loman则表示：“至关重要的是，强大的安全控制、监视和响应要覆盖所有端点、网络和系统，并及时更新软件。”

　　第三方供应商风险

　　卡巴斯基在2019年发布的《 IT安全经济学》报告中指出，在大型企业和中小型企业中涉及第三方供应商（服务和产品）的事件发生率分别为43%和38%，两者之间的比例比较接近。One Identity的一项调查显示，大多数企业（94%）会授予第三方访问其网络的权限，72%的企业授予的是优先访问权限。只有22%的企业相信第三方没有访问未经授权的信息，18%的企业报告称他们出现的数据泄露事件是由于第三方的访问导致的。

　　卡巴斯基的研究表明，中小企业和大型企业都在强迫第三方供应商签署安全策略协议，其中75%的中小企业和79%的大型企业都在使用它们。当第三方要对违规行为负责时，在第三方的赔偿问题上有着很大的差异。在已制定策略的企业中，有71%的企业表示已获得赔偿，而没有制定策略的企业中只有22%的企业获得了赔偿。

　　2020年展望：企业将与供应商和合作伙伴建立数字化联系。这既增加了风险，也提高了对该风险的意识。不幸的是，攻击者正变得越来越老练。

　　Galov说：“最近，我们发现诸如BARIUM或APT41之类的一些新组织为了渗透到全球的安全基础设施当中，对软件和硬件制造商进行了复杂的供应链攻击。其中包括2017年和2019年發现的两种复杂的供应链攻击：CCleaner攻击和ShadowPad攻击，以及其他针对游戏公司的攻击。处理这些威胁是一个复杂的过程，因为攻击者通常会留下后门，以便他们以后可以返回并造成更大的破坏。”

　　针对2020年的最佳建议：了解谁可以访问你的网络，并确保他们仅拥有所需的必要权限。制定用于交流和执行第三方访问规则的策略。确保为所有第三方供应商都制定了安全策略，阐明了责任、安全期望以及事件发生时的后果。

　　Galov说：“保护自己免受此类攻击的最佳企业不仅会确保他们自己，而且还会确保他们的合作伙伴都能够遵守高标准的网络安全标准。如果第三方供应商可以通过任何方式访问内部基础架构或数据，那么则应在集成过程之前建立网络安全策略。”

　　DDoS攻击

　　据卡巴斯基（Kaspersky）在2019年发布的《 IT安全经济学》报告显示，2019年有42%的大型企业和38%的中小型企业遭受了分布式拒绝服务（DDoS）攻击。这一比例与勒索软件事件相当，但是只有后者引起了媒体的广泛关注。从财务角度来看，DDoS攻击使中小企业平均损失13.8万美元。

　　攻击者在不断创新以提高其DDoS攻击的效率。例如，Akamai在去年9月份报告了一个新的DDoS向量：Web服务动态发现（WSD），这是一种用于在本地网络上定位服务的多播发现协议。攻击者通过WSD可以大规模定位和破坏配置错误的互联网连接设备，从而扩大DDoS攻击的范围。

　　2020年展望：由于5G的兴起和物联网设备的数量增加，卡巴斯基的Galov认为2020年DDoS攻击仍将“十分突出”。他说：“关键基础设施的常规边界，如供水，电网、军事设施和金融机构，将进一步扩展到5G互联世界中其他前所未有的领域。所有这些都需要新的安全标准，而连接速度的提升将为阻止DDoS攻击的发生带来新的挑战。”

　　针对2020年的最佳建议：每个人都需要检查自己的互联网连接设备是否存在配置错误，是否存在未修补的漏洞。Akamai的Seaman说：“这是基本的安全标准。”

　　不幸的是，消费类设备正在导致DDoS攻击风险不断增加。Seaman说：“老奶奶去百思买购买一个新的网络摄像头放在她的私人车道上，这样她就可以看到谁在挡路，但是她并不知道该设备的安全状况。我们还发现了更大问题，那就是越南有的小商店安装了VDR安全系统，店主根本就不关心他的网络摄像头是否已被用来对银行发动DDoS攻击。”

　　应用程序漏洞

　　市场研究机构Veracode的《软件安全状况》报告称，他们测试的8.5万个应用程序中有83%至少存在一个安全漏洞。许多应用程序存在更多的漏洞，因为他们的研究总共发现了1000万个漏洞，而所有应用程序中有20%至少有一个高危漏洞。就潜在的零日漏洞和可利用的漏洞而言，这为攻击者留下了很多机会。

　　报告作者对某些数据还是感到乐观的，比如修复率，尤其是针对高危漏洞的修复率正在提高。总体修复率为56%，高于2018年的52%，高危漏洞修复率为75.7%。频繁对软件进行扫描和测试的DevSecOps方法可减少修复缺陷的时间。每年扫描12次或更少次数的应用程序的修复时间平均为68天，而每天进行扫描或更频繁扫描的平均修复时间将提高至19天。

　　2020年展望：尽管安全和开发团队做出了最大的努力，但是漏洞仍将继续存在于软件当中。Veracode的联合创始人兼首席技术官Chris Wysopal说：“当今大多数软件都是非常不安全的，这情况在2020年还将继续下去，尤其是90%的应用程序使用的是开源库中的代码。我们在2019年看到了AppSec已经释放出了积极的信号。企业关注的已经不仅是发现安全漏洞，而且要解决这些漏洞，并优先考虑那些最容易成为威胁的漏洞……。我们的数据表明，发现和修复漏洞与改进功能一样，已经成为整个过程的一部分。”

Michael Nadeau