无论是最新的漏洞资讯还是你的企业真实面临的网络攻击,都无时无刻不在警醒着我们新型安全威胁的存在。想要追踪企业面临的每个风险因素当然是不可能实现的。但是一个无法回避的现实是,网络犯罪或网络间谍活动行为者正在全方位采取各种方式来传播恶意软件,从传统的恶意广告软件到连接到物联网中的新设备,无一不存在安全威胁。
每个安全专家对于“哪种威胁应该放在首要关注位置”以及“企业对哪种威胁关注度不够”都有自己不同的观点。以下是一些安全专家总结得出的企业最容易忽略的8大安全威胁类型,一起看看你中招没?
1. 恶意广告软件
Malwarebytes首席恶意软件情报分析师Jerome Segura表示,目前恶意广告软件依然是一大威胁,只是它改变了攻击目标。攻击者以前主要用恶意软件攻击知名度高的媒体网站,但是发现引起的关注过大时,他们转而针对具有足够流量且不那么醒目的小型网站,例如国外网站以及文件共享站点等。这些网站通常会对恶意广告软件放松警惕,让攻击者有可乘之机。
攻击者主要依赖恶意广告软件来产生收益,但是也会用于收集个人信息或安装恶意软件,以便将来把这些受感染设备添加到僵尸网络中。
例如,近日,据媒体报道称,中国Rafotech公司使用“FireBall”恶意广告软件,成功感染了全球超过2.5亿台计算机设备,该恶意软件可以跟踪收集受害者的个人信息,还可以侦测受害者的网络流量,在受感染的设备上运行任何恶意代码、安装插件、甚至可以充当高效的恶意软件下载器以及将受感染设备部署到僵尸网络中等。
与管理网站的全职员工相比,承包商更有可能会忽略这种恶意广告软件威胁。SiteLock公司安全专家Logan Kipp表示,
如果不是全职的管理团队对恶意广告软件不会很熟悉,他们经常会忽视它,因为它们看上去跟合法软件很像,除非这些人去查看源代码,否则他们一般看不出端倪。
而每天需要维护应用程序的全职人员则更可能会注意到恶意广告软件的存在。企业可以通过修补系统和使用广告拦截器来降低恶意软件的传播风险。
2. 物联网(IoT)
SentinelOne的安全策略主管Jeremiah Grossman说,如果说到容易忽略的安全威胁,人们可能不会想到物联网设备(或者说是想到某些物联网设备)。
当提及物联网设备时,很多人只会想到智能配件或联网设备。但是其实,它不一定都是小的设备,也有可能是更大的东西,比如“工业控制系统(ICS)”等。像是Target公司2013年发生的攻击事件,攻击者就是从其HVAC(供热通风与空气调节)系统实施的渗透活动。
Optiv公司执行董事Dawn-Marie Hutchinson表示,也就是说,企业也不知道关键基础设施之外的新型物联网设备也有将其置于危险之中的可能性。
调查发现,如今64%的美国人在家办公,假设他们联网的冰箱遭到黑客入侵,那么可能会使其公司数据面临风险。但是大多数人并没有意识到这种风险的存在,所以没有对其家庭网络采取完善的保护措施。
Hutchinson继续说道,
如果你的冰箱能够攻破,它和你的笔记本电脑一起连接在网络上,那么如何保护你的电脑安全?企业知道保护自己的关键基础设施,但是他们不太了解,家用电器、婴儿监视器甚至智能门锁同样会对企业安全带来威胁。
物联网安全的部分原因是制造商不提供长期支持,使得技术暴露。从他们的角度来说,在不到十年的时间内停产一种产品更有意义,因为改变硬件的成本太高。
3. 薄弱的加密实践
企业不会忽视加密,但是他们会忽视正确的加密方式。大多数人已经掌握对传输数据进行加密,但是却忽略对静态数据进行加密保护,如此一来,也无法实现加密的全部意义。
Hutchinson说,
如果我们没有合适的安全平台——关键控件,身份访问管理——那么加密什么都不是。身份策略和软件数据管理实践不当会将信息置于危险之中。
同时,薄弱的密钥管理也会降低网络犯罪分子的进入门槛。许多企业选择将密钥存储在与数据相同的系统上,并向很多员工提供密钥信息。如果说每个人都可以访问密钥,那么加密与不加密又有什么不同呢?
4. 内存(in-memory)攻击
Grossman说,内存攻击占据他每天观察到的感染总数的20%-30%。攻击者通过让受害者从恶意的Word或Excel文档,或通过受感染网页上的浏览器启动恶意软件,来执行恶意软件。
他说,无文件威胁是防病毒软件不起作用的主要原因。因为防病毒系统主要通过签名二进制文件进行操作;而如果内存中没有二进制文件,那么就无所谓什么签名了。
Malwarebytes的Segura表示,无文件攻击是非常复杂的威胁,因为磁盘上根本无迹可寻。内存攻击是非常有趣的,因为其传播过程非常隐蔽,被捕获的机会很小。一旦设备重新启动,攻击也就消失了。
企业可以通过禁用任何端点或计算上不需要的宏(macro)来防御这种内存攻击。
5. 开源应用程序开发组件
BluVector首席执行官Kris Lovejoy说,几年前,当我们构建一个应用程序时,我们会考虑这个问题。但是现在,构建应用程序的是没有安全经验的第三方机构,而且他们正在跳过我们过去所使用的检查点(checkpoints)和测试。
开发人员正在不安全的开发环境中,用着可能是恶意的工具来构建和测试应用程序。攻击者可以针对仍在生产中的应用程序实施攻击,那些看似无关紧要的应用程序可能正是通往更敏感信息的网关。
Lovejoy说,
人们正在使用由恶意行为者开发的技术。我们购买和整合软件组件的方式已经从根本上发生了变化。
如今的开发人员使用框架和小部件创建应用程序。他们更喜欢开源工具,但是他们或许不知道其中很多都是恶意行为者构建的。这些恶意行为者正期待你使用他创建的工具,然后寻找后门窃取个人和企业的数据信息。
虽然开发人员不一定需要进行安全培训,但是他们应该与安全团队合作,以确保自己行为的正确性。Lovejoy指出,自动化可以帮助开发人员在无需考虑这一点的情况下做出安全的决策。
6. “邪恶女仆”(Evil maid)攻击
越来越多的人习惯将未加密的企业设备带到家中、咖啡馆、酒店、机场以及其他联网的地方,这会增加企业遭遇攻击的风险。
2009年,知名安全专家Bruce Schneier在博客上讨论了一种名叫“邪恶女仆(evil maid)”的攻击方式。这种攻击方式很简单:第一步,攻击者需要接触你的电脑,通过从独立硬盘或分区启动计算机后,攻击者修改bootloader引导程序,关闭电脑;
第二步,你使用修改过的bootloader启动电脑,输入加密钥匙,当加密硬盘解锁后,这个引导程序就可能会安装恶意程序去获得密钥,通过互联网发送到指定地点或储存在非加密分区。
这种攻击方式之所以叫“邪恶女仆”,就是因为它类似于一种虚构情节:当你将加密笔记本留在饭店内离开去办事之后,女仆可以偷偷的进来修改bootloader,然后第二天再来抹掉痕迹。
商务旅行以及其他方式都是加重这类安全隐患,企业对此需要提高警惕,做好必备的防护措施。
7. 数据流通
越来越多的人开始依赖使用移动设备办公,但是企业并没有采取措施对存储在这些移动设备上的数据进行保护。越来越多的数据流通正在构成威胁。
Hutchinson说,
如今,用笔记本电脑办公的时代已经逐渐过去,人们正在使用智能手机、平板电脑等设备进行办公,办公过程中,我们必须用这些设备访问大量的数据,但是必须注意的是,想在这些设备中存储数据可与笔记本电脑不同,用户需要进行许多配置管理,以确保将数据存储在了正确的位置,而不是在他们的个人iCloud帐户中。
其实不仅是企业数据存在风险。许多终端用户在提交社交信息时也无法做到三思而行。他们为了获得赠品和折扣而不假思索地提交各种数据,包括电子邮件地址、家庭住址、用户名、联系方式以及Facebook信息等,所有这些数据在发生数据泄漏后都可以被轻松地利用、出售、滥用。
8.教育程度低下的员工
Optiv公司的Hutchinson说,
对个人隐私和数据安全缺乏基本认识,这不仅是被企业忽略的威胁之一,同时也是被整个社会忽略的威胁之一。
安全通常被认为是技术问题,而不是企业中每个成员的问题。学生们在年轻时也只是沉浸在技术研究中,在他们步入社会成为企业成员前很少会关注网络安全策略方面的知识。
Hutchinson说,
如果董事会成员不了解网络安全知识,我们会感到非常惊讶。企业中每个人都希望依赖首席信息安全官(CISO)来保障企业安全,但是CISO独自一个人根本无法阻断所有的入侵行为。企业早期进行更多安全和隐私培训的原因之一,就是帮助人们了解数据泄漏可以达到何种规模,以及其对个人生活的影响。
将培训扩展到企业组织中的每个人是至关重要的。黑客喜欢针对那些能够访问敏感数据的弱势群体,而不是更为了解风险的高管人员。我们要记住的是,现在哪家公司没有在线业务?我们所做的一切都是在线的,所以一定要重视上文总结的8项容易被忽视的安全威胁,正视之兼重视之,莫给威胁者留有可乘之机。
除了上述类型,你认为还存在哪些容易忽视的安全威胁类型?欢迎给我们留言分享你的观点。