赛门铁克发布新一期安全威胁报告

2015 年 4 月 25 日2630

  赛门铁克公司今日发布第二十期《互联网安全威胁报告》(ISTR)。报告揭示,在当今高度互联的世界中,遭受网络攻击只是时间问题,网络犯罪分子已经开始转变攻击战术,通过劫持大型企业的基础架构,侵入并躲过企业安全监测,实现对企业的攻击。

  赛门铁克公司亚太及日本地区大客户和战略副总裁梅正宇表示:“凭借密钥,网络攻击者能够轻易侵入公司网络。我们发现,网络犯罪分子会利用常见程序的软件更新植入木马,耐心等待并诱骗公司自行下载更新,从而受到感染。这种手段让网络攻击者可以随心所欲地访问企业网络。”

  网络犯罪分子的“得胜”之道:快速、准确

  赛门铁克公司的研究显示,零日漏洞的数量在2014年创历史最高。软件公司平均需要59天来生成和推出补丁,而在2013年仅需4天。网络攻击者在补丁尚未推出前充分利用该漏洞,以Heartbleed(心脏出血)为例,该漏洞在4个小时内迅速被利用并用于发动攻击。2014 年,共有24个零日漏洞被发现,网络犯罪分子在这些漏洞被修补之前毫无顾忌的利用已知的安全漏洞对企业发起攻击。

  与此同时,高级网络攻击者不断借助针对性极强的鱼叉式网络钓鱼攻击侵入网络。2014年,这种攻击手段的使用增长率为8%。值得关注的是,网络攻击的准确性大幅提高,结合更多隐蔽式强迫下载恶意软件(Drive-by malware downloads)和基于 Web 的漏洞,垃圾邮件数量即使减少了20%仍旧能够精准攻击目标受害者。

  此外,赛门铁克公司还发现网络攻击者会:

  从某公司盗取受害者的电子邮件账户,利用鱼叉式网络钓鱼手段对更高级的受害者进行攻击;

  潜出前,利用公司的管理工具和程序在公司网络中移动盗取的 IP;

  在受害者的网络内部构建定制的攻击软件,以进一步掩盖自己的攻击活动。

  “数字勒索”处于上升趋势

  电子邮件仍是网络犯罪分子的重要攻击途径,但他们继续针对移动设备和社交网络尝试新的攻击手段,以便达到事半功倍的效果。

  赛门铁克公司大中华区安全产品技术总监罗少辉表示:“网络犯罪分子本性懒惰,他们更喜欢利用自动化工具让不知情的消费者来帮助他们进行卑鄙勾当。2014年,攻击者利用人们对朋友所分享内容的信任,70%的社交媒体骗局都通过用户手动分享而传播。”

  尽管社交媒体骗局可以快速为网络犯罪分子带来收益,但他们却并不满足于此,网络犯罪分子还采用勒索软件等卑劣的攻击方法获取暴利,这样的攻击在去年增加了 113%。值得关注的是,在2013年,密码勒索软件攻击的受害者比以前增高了45倍。密码勒索软件的攻击策略并不会采取传统勒索软件那样伪装成执法部门对盗取内容收取罚金的方式,而是更加恶劣地劫持受害者的文件、照片和其他数字内容,毫不掩饰他们的攻击目的。

  加强保护!切勿丢失重要信息!

  当网络犯罪分子继续存在,并不断变换攻击手段时,企业和消费者需要采取更多保护自己的应对方法。赛门铁克公司建议用户采取以下方式:

  对于企业:

  不要毫无准备:采用高级威胁智能解决方案,帮助用户及时发现入侵信号并做出快速响应。

  保持强大的安全态势:部署多层端点安全防护、网络安全防护、加密、强大有效身份的验证和采取拥有高信誉的技术。与安全托管服务提供商合作,增强 IT 团队的防范能力。

  为最坏的情况做准备:事件管理可确保用户的安全框架得到优化,并具备可测量和可重复性,而且还可帮助用户吸取教训以改善安全态势。考虑与第三方专家开展合作,从而强化危机管理。

  提供长期且持续的教育和培训:创建指导方针及公司策略及程序,以保护个人和公司设备上的敏感数据。定期评估内部调查团队,进行实践演练,确保用户拥有有效对抗网络威胁的必要技能。

  对于消费者:

  使用安全性高的密码:无论如何强调该建议都不为过。为账户和设备设置强大而独特的密码,定期进行更新,建议每三个月进行一次。切勿将相同密码用于多个账户。

  谨慎使用社交媒体:切勿点击来源不明的网络链接,尤其是来自陌生人的电子邮件或社交媒体信息。诈骗者知道人们往往会点击来自朋友的链接,这会让他们侵入相关账户,并向账户拥有者的联系人发送恶意链接。

  了解自己所分享的权限:在安装家庭路由器、恒温器等网络连接设备或下载新应用时,认真审核权限许可,了解自己将会分享哪些数据。在不需要时禁用远程访问功能。

0 0