趙明

很多企業(yè)的首席信息安全官認(rèn)為，確保云應(yīng)用合規(guī)是面臨的最大工作壓力之一。賽門鐵克不久前發(fā)布了第22期《互聯(lián)網(wǎng)安全威脅報(bào)告》，與公眾和IT專業(yè)人士分享了對(duì)全球威脅動(dòng)態(tài)、網(wǎng)絡(luò)犯罪趨勢和攻擊者動(dòng)機(jī)的分析和洞察。

近日，全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)廠商賽門鐵克公司發(fā)布一項(xiàng)針對(duì)企業(yè)數(shù)據(jù)安全現(xiàn)狀的全新調(diào)研報(bào)告。該報(bào)告覆蓋全球11個(gè)市場，共邀請(qǐng)1100 名首席信息安全官（CISO）參與調(diào)研。報(bào)告結(jié)果顯示，云安全是中國首席信息安全官最擔(dān)憂的挑戰(zhàn)。不僅如此，中國首席信息安全官更關(guān)注自身企業(yè)是否擁有快速應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力。

針對(duì)云的攻擊范圍不斷增大

賽門鐵克的調(diào)查顯示，云安全成為中國CISO所面臨的棘手問題。絕大數(shù)的CISO（92%）認(rèn)為，確保云應(yīng)用合規(guī)是他們所面臨的最大的工作壓力之一。在行業(yè)合規(guī)性方面，中國CISO最擔(dān)心自身企業(yè)是否能夠充分跟蹤已批準(zhǔn)的云應(yīng)用中的活動(dòng)（29%），以及公司員工是否使用未被批準(zhǔn)的云應(yīng)用（23%）。

此外，中國CISO針對(duì)云安全的擔(dān)憂還包括：在云應(yīng)用中廣泛分享合規(guī)所管控的敏感數(shù)據(jù)（21%），對(duì)企業(yè)所屬移動(dòng)設(shè)備的管理（16%），以及遵守國家和地區(qū)特定的數(shù)據(jù)保留和管理?xiàng)l例（11%）。

賽門鐵克調(diào)研顯示，針對(duì)云安全話題，中國CISO在2017年最關(guān)注的企業(yè)外部威脅主要包括：數(shù)據(jù)泄露（30%）、系統(tǒng)漏洞利用（23%）、身份認(rèn)證和證書破壞（20%）。除此之外，CISO最關(guān)注的內(nèi)部威脅包括：員工違反安全合規(guī)要求（26%）、不安全的企業(yè)應(yīng)用（22%）、數(shù)據(jù)丟失（21%）。

對(duì)端到端解決方案的需求

賽門鐵克的調(diào)研顯示，為了加強(qiáng)信息安全，所有受訪的中國CISO（100%）表示，計(jì)劃在今年增加IT人員安全培訓(xùn)的支出，確保企業(yè)數(shù)據(jù)在本地系統(tǒng)、移動(dòng)應(yīng)用和云服務(wù)之間傳輸?shù)陌踩?。新加入的IT員工在入職培訓(xùn)期間將接受平均13個(gè)小時(shí)的安全培訓(xùn)。值得提出的是，中國CISO所計(jì)劃的支出高于所有其他受調(diào)研的國家。

對(duì)數(shù)據(jù)安全、滿足合規(guī)性和數(shù)據(jù)保留等方面的需求，促使中國CISO尋找加密（Encryption）或標(biāo)記化（Tokenization）解決方案來支持企業(yè)的軟件即服務(wù)（SaaS）計(jì)劃。賽門鐵克的調(diào)查顯示，絕大數(shù)（98%）的中國CISO認(rèn)為，云數(shù)據(jù)標(biāo)記化是滿足數(shù)據(jù)保留和數(shù)據(jù)管理?xiàng)l例的最佳方式——80%的受訪者表示使用標(biāo)記化方法；77%的中國CISO表示使用加密技術(shù)來保護(hù)云中數(shù)據(jù)；60%的受訪者表示自身企業(yè)同時(shí)使用加密技術(shù)和標(biāo)記化方法。值得一提的是，與其他受訪國家相比，中國CISO采用標(biāo)記化方法的比例更高。

羅少輝表示：“網(wǎng)絡(luò)罪犯組織在進(jìn)行犯罪活動(dòng)時(shí)往往伺機(jī)而動(dòng)，他們會(huì)利用合法的操作系統(tǒng)、工具和云服務(wù)中的漏洞來破壞企業(yè)網(wǎng)絡(luò)。為了有效地對(duì)抗這些犯罪行為，首席信息安全官需要擁有卓越的可見性和管控力，對(duì)用戶通過云上傳、存儲(chǔ)和共享的敏感內(nèi)容進(jìn)行管理。出色的CISO不會(huì)依靠一次性修復(fù)和被動(dòng)的補(bǔ)丁來保護(hù)機(jī)密信息，而是通過主動(dòng)部署端到端解決方案來消除可被利用的潛在漏洞和威脅。”

電郵攻擊再受關(guān)注

過去，網(wǎng)絡(luò)攻擊組織主要集中利用零日漏洞發(fā)動(dòng)具有針對(duì)性的攻擊。但隨著“漏洞賞金” 計(jì)劃的日益普及，產(chǎn)品在開發(fā)過程中對(duì)安全因素的重點(diǎn)關(guān)注，以及國家、企業(yè)和個(gè)人用戶對(duì)安全解決方案的采用和部署，攻擊者越來越難發(fā)現(xiàn)和利用零日漏洞，這迫使他們重新采用一些常用攻擊途徑——電子郵件就是其中之一。

賽門鐵克第22期《互聯(lián)網(wǎng)安全威脅報(bào)告》顯示，2016年是網(wǎng)絡(luò)攻擊極其活躍的一年，全球先后發(fā)生多起大型網(wǎng)絡(luò)攻擊事件，例如令人震驚的造成數(shù)千萬美元損失的虛擬銀行劫案，蓄意破壞美國選舉的黑客攻擊，利用物聯(lián)網(wǎng)設(shè)備發(fā)動(dòng)的史上最大規(guī)模的DDoS攻擊，以及近期席卷全球150個(gè)國家的WannaCry勒索軟件攻擊。

2016年，惡意電子郵件成為各類網(wǎng)絡(luò)攻擊團(tuán)伙的首選 “武器” ，無論是有政府背景的間諜團(tuán)伙，還是電子郵件群發(fā)勒索團(tuán)伙都對(duì)其情有獨(dú)鐘。第22期賽門鐵克《互聯(lián)網(wǎng)安全威脅報(bào)告》指出，電子郵件中的惡意軟件比例在2016年出現(xiàn)明顯上升，達(dá)到1：131，成為五年來最高比例。在中國，該情況更為嚴(yán)重，比例為1：63——這意味著，每63封電子郵件中就有一封帶有惡意軟件。此外，利用魚叉式網(wǎng)絡(luò)釣魚電子郵件的商務(wù)電郵詐騙（BEC）騙局也受到攻擊者的青睞，在 2016 年出現(xiàn)明顯的增加。

羅少輝認(rèn)為：“電子郵件是當(dāng)今極為重要的通信工具，無論企業(yè)還是個(gè)人都十分依賴電子郵件作為生活和工作的溝通工具。攻擊者只需要通過簡單的欺騙手段便能夠成功誘惑受害者打開附件、點(diǎn)擊鏈接或泄露憑據(jù)，無需任何漏洞就可以完成?！?/p>

偽裝成信息化工具

隨著人們對(duì)網(wǎng)絡(luò)安全意識(shí)的提高，網(wǎng)絡(luò)攻擊者也在不斷改進(jìn)利用郵件的攻擊手段，來確保目標(biāo)在完善電子郵件安全防御前，搶占感染設(shè)備的先機(jī)。

Office宏和PowerShell成為常用的攻擊工具，該釣魚郵件偽裝成來自 Gmail 官方管理員的郵件，并在郵件中表示：受害人的郵箱可能已經(jīng)受到感染，提示他需要重設(shè)密碼來確保賬戶的安全。該釣魚郵件中包含了一個(gè)短URL來掩飾真正的惡意URL。當(dāng)受害人點(diǎn)擊該URL，就會(huì)進(jìn)入一個(gè)“冒牌”的 Gmail賬戶密碼重置網(wǎng)頁。整個(gè)攻擊過程中，黑客僅通過簡單的社交詐騙技術(shù)，便輕松獲取了目標(biāo)設(shè)備的密碼。

與此同時(shí)，越來越多的攻擊者選擇使用下載器在目標(biāo)設(shè)備中安裝惡意程序。大多數(shù)企業(yè)不愿意通過電子郵件網(wǎng)關(guān)攔截全部Office文件，因?yàn)檫@樣可能影響合法的電子郵件，這一點(diǎn)是Office宏下載程序廣泛流行的重要原因。同時(shí)，腳本文件的易混淆性可使其躲避檢測，這是JavaScript下載程序泛濫加劇的原因之一。

BEC詐騙簡單直接

前文提到攻擊者在2016年愈發(fā)傾向于采用簡單的工具和看起來平淡無奇的招數(shù)，而這卻能夠給企業(yè)和目標(biāo)組織帶來巨大的災(zāi)難。作為社交騙局的其中一種，商務(wù)電郵詐騙在去年出現(xiàn)顯著的增加。此類攻擊也被稱為CEO欺詐或“鯨釣”攻擊。詐騙者只需偽裝成企業(yè)CEO或其他高管，向其員工發(fā)送仿冒電子郵件，隨后要求員工進(jìn)行網(wǎng)上轉(zhuǎn)賬，便可完成攻擊。

賽門鐵克通過分析2016年所發(fā)布的623起重大惡意電子郵件攻擊活動(dòng)后發(fā)現(xiàn)，BEC騙局所發(fā)送的郵件多是在工作日，郵件主題通常包含“請(qǐng)求（Request）”“付款（Payment）”“緊急（Urgent）”“發(fā)票（Invoice）”“訂單（Order）”“賬單（Bill）”等字樣。其中，“請(qǐng)求”是BEC詐騙郵件主題中最常用的關(guān)鍵字（25%），緊隨其后的分別是“付款” （15%）和“緊急”（10%）。

使用金融關(guān)鍵字發(fā)起攻擊已經(jīng)成為惡意電子郵件攻擊的特征之一。這一發(fā)現(xiàn)表明，攻擊者利用這種手段的成功率非常高。由于大多數(shù)企業(yè)每天都會(huì)收到大量來自客戶和供應(yīng)商的常規(guī)業(yè)務(wù)郵件，因此一旦這些電子郵件成功躲避安全軟件，用戶十分容易受到蒙蔽，從而點(diǎn)擊郵件。由于BEC騙局的利益回報(bào)率十分誘人，預(yù)計(jì)在2017 年，此類詐騙將會(huì)繼續(xù)呈現(xiàn)增長勢頭。

電郵成為勒索危害主要途徑

2016 年，勒索軟件成為個(gè)人和企業(yè)所面臨的重大網(wǎng)絡(luò)威脅之一。而通過偽裝成企業(yè)通知或發(fā)票等常規(guī)業(yè)務(wù)溝通內(nèi)容的惡意電子郵件成為勒索軟件傳播的熱門途徑。2016 年，勒索軟件團(tuán)伙利用Necurs僵尸網(wǎng)絡(luò)每天發(fā)出上萬封惡意電子郵件。而多數(shù)如Locky （Ransom.Locky）這樣廣泛傳播的勒索軟件都是通過電子郵件進(jìn)行散播。許多情況下，受害者會(huì)收到一封主題為企業(yè)發(fā)票或收據(jù)的郵件，該郵件會(huì)以精心撰寫的內(nèi)容誘使收件人打開惡意附件。此后，惡意下載程序便會(huì)下載并將勒索軟件安裝在設(shè)備中，隨即開始加密計(jì)算機(jī)上已預(yù)編程的一系列文件，然后實(shí)施勒索。

大多數(shù)最新的勒索軟件使用強(qiáng)密碼手段，這就意味著，受害者在沒有加密密鑰的情況下幾乎不可能打開被加密文件。由于勒索軟件變種會(huì)不定期出現(xiàn)，賽門鐵克強(qiáng)烈建議用戶對(duì)尤其包含URL和附件的未知電子郵件保持警惕。羅少輝認(rèn)為：“利用電子郵件發(fā)動(dòng)網(wǎng)絡(luò)攻擊數(shù)據(jù)的增長表明，攻擊者正在利用這種方式大發(fā)橫財(cái)，我們預(yù)計(jì)在未來一年，電子郵件依然會(huì)繼續(xù)成為網(wǎng)絡(luò)攻擊的主要途徑之一。