人們需要關注2019年遇到的比較大網絡威脅以及在2020年的發展趨勢，并且為此如何改變防御策略。

[[286587]]

進行網絡安全預測很有趣，但對必須確定應對威脅的安全專業人員而言，并不一定有幫助。Akamai公司安全情報響應團隊的高級工程師Chad Seaman說：“對于未來的發展，其實無法真正做出正確的預測，因為總是有來自其他領域的東西才是真正的問題所在。”

如果人們對2020年比較大的威脅是一些新事物并且無法預測，那么如何才能更好地集中精力迎接新的一年?首先從規模和策略上，了解2019年比較常見的重大威脅，以及將在2020年在規模和策略上可能會有什么變化。

安全行業機構調查和研究了有關2019年比較常見、比較重要威脅，研究人員就這些威脅的發展趨勢以及企業在2020年如何調整防御措施提供了建議。

1.設備的惡意軟件感染

保護端點仍然是企業面臨的難題。根據卡巴斯基公司發布的《2019年IT安全經濟學》調查報告，2019年約有一半的企業的設備遭受了惡意軟件感染。一半企業還發現員工擁有的設備上感染了惡意軟件。

對于企業而言，卡巴斯基報告中提到的企業設備的惡意軟件感染是成本最昂貴的事件，平均每次事件損失成本為273萬美元。對于中小型企業來說，這個數字要少得多，平均損失為117,000美元。

2020年的預期：卡巴斯基安全研究員Dmitry Galov認為，企業員工擁有的設備在2020年帶來的風險將會增加。他認為企業更愿意允許員工使用自己的設備來削減成本、實現遠程工作以及提高員工滿意度。其結果是，網絡攻擊者將針對個人設備進行攻擊，并且可以繞過企業防火墻的防御。他說：“默認情況下，用戶的個人設備往往比企業設備受到的保護要少，因為普通用戶很少采取額外措施來保護自己的手機和電腦免受潛在威脅。只要這種趨勢持續下去，企業和員工擁有的設備感染就會出現。這種攻擊方式仍然具有吸引力，因為攻擊者不再需要以企業賬戶為目標(例如將釣魚郵件發送到公司郵箱)。”

2020年的最佳建議：Galov認為，企業必須審查和更新其針對個人設備的政策，然后實施這些政策。他說：“嚴格的企業安全政策、正確的權限管理以及為用戶提供安全解決方案都是保護企業及其數據的必備條件。除了管理技術問題之外，安全意識培訓也很重要，因為它們可以培養員工的網絡安全標準。”

2.網絡釣魚

根據Verizon公司發布的《2019年數據泄露調查報告》，在2019年，近三分之一的數據泄露涉及網絡釣魚。對于網絡犯罪分子的攻擊，這個數字上升到78%。由于功能齊全、現成的工具和模板，網絡犯罪分子的網絡釣魚技術變得越來越巧妙。

Akamai公司發布的SOTI報告指出：網絡釣魚套件開發商對外出售網絡釣魚即服務軟件。一些開發商擁有店面，并在社交媒體上進行宣傳，其價格從99美元起，并根據所選的郵件攻擊服務而上漲。所有套件均具有安全性和逃避功能。調查報告的作者說：“低廉的價格和頂級品牌目標很有吸引力，這為網絡犯罪分子創造了進入網絡釣魚市場的更低門檻。其中的一些頂級品牌目標包括Target、谷歌、微軟、蘋果、Lyft和沃爾瑪。”

2020年的預期：網絡釣魚套件開發商將提供更精細的產品，進一步提高發起網絡釣魚活動所需的技能。根據IDG公司安全優先權的調查，44%的公司表示，提高安全意識和員工培訓優先權是2020年的首要任務。網絡攻擊者將通過減少或隱藏網絡釣魚的常見跡象來提高其網絡釣魚活動的質量。如果網絡攻擊者通過欺詐性或泄露的內部或第三方賬戶發送看起來合法的網絡釣魚嘗試，也可能更多地使企業電子郵件泄露(BEC)。

2020年最佳建議：企業需要保持最新的反網絡釣魚培訓并使之持續進行。為了應對企業電子郵件泄露(BEC)，需要制定相應的政策，要求所有收到有關資金或付款指示的員工都必須通過電話進行確認。

3.勒索軟件攻擊

勒索軟件攻擊并不是最常見的網絡安全事件，但可能是損失比較高的事件之一。根據卡巴斯基公司發布的《2019年IT安全經濟學》調查報告，2019年大約40%的企業經歷了勒索軟件攻擊事件。對于大企業來說，每起勒索軟件攻擊事件的平均損失為146萬美元。

根據Sophos Labs發布的2020年威脅報告，端點保護工具在檢測勒索軟件方面變得越來越完善，但這已使勒索軟件開發人員更好地學習了這些工具使用的技術。Sophos公司下一代技術工程總監Mark Loman說：“改變惡意軟件的外觀要比改變其目的或行為容易得多，這就是為什么現代勒索軟件依靠模糊處理技術才能成功的原因。但是，到2020年，勒索軟件將通過更改或添加特征來混淆一些反勒索軟件的保護，從而增加風險。”

這種混淆是為了使勒索軟件看起來像是來自受信任的來源。Sophos公司的調查報告引用了幾個示例：

• 編寫腳本，列出目標計算機，并將它們與Microsoft Sysinternals的PsExec實用程序，特權域賬戶和勒索軟件結合在一起。
• 通過Windows組策略對象利用登錄/注銷腳本。
• 濫用Windows管理界面在網絡內部大規模分發。

2020年的預期：Loman認為，勒索軟件攻擊者繼續完善自己的方法來發揮自己的優勢。他說：“最顯著的進步是，勒索軟件攻擊者通過主動攻擊來提高成功率，這種主動攻擊將網絡攻擊者的創造力與自動化工具融合在一起，從而產生較大的影響。此外，通過僅加密每個文件的相對較小的部分，或將操作系統引導至通常無法使用反勒索軟件保護的診斷模式，大多數防御措施都難以抵御網絡攻擊者的攻擊。”

卡巴斯基公司的Galov說：“今年的勒索軟件攻擊來勢洶洶，沒有理由忽略這種威脅。勒索軟件越來越多地將基礎設施、企業甚至智慧城市作為攻擊的目標。”

勒索軟件開發人員將使他們的代碼更加隱蔽，以便他們可以在系統中建立立足點，加密更多數據而不會被發現，并可能將操作擴展到其他網絡。Galov說：“今年，我們甚至看到了對網絡附加存儲(NAS)的攻擊。”

2020年的優秀建議：一如既往，防范勒索軟件的優秀方法是對所有關鍵數據進行最新的、經過測試的備份。將這些備份與企業網絡隔離，這樣它們也不會被勒索軟件加密。員工培訓也很重要。Galov說，“為了保護自己免受勒索，企業需要執行嚴格的安全政策，并向員工介紹網絡安全培訓，需要額外的保護措施，如保護對數據的訪問，確保其備份的安全存儲，以及在服務器上實施應用程序白名單技術。”

Loman說：“重要的是要有強大的安全控制、監控和響應，覆蓋所有端點、網絡和系統，并在發布軟件更新時安裝它們。”

4.第三方供應商的風險

卡巴斯基公司在2019年發布的《IT安全經濟學》報告中表示，大企業和中小企業都發現與第三方供應商(服務和產品)有關的攻擊事件分別相似，分別為43%和38%。根據One Identity公司的一項調查顯示，大多數企業(94%)授予第三方訪問其網絡的權限，而72%的企業授予特權訪問的權限。但是，只有22%的企業對那些第三方沒有訪問未經授權的信息充滿信心，而18%的企業報告說由于第三方的訪問而導致數據泄露。

卡巴斯基公司的研究表明，很多企業都在迫使第三方供應商簽署安全政策協議——75%的中小企業和79%的企業使用這些協議。當第三方對違約行為負有責任時，從第三方獲得賠償，這就產生了很大的不同。在簽署安全政策協議的企業中，71%的企業表示獲得了補償，而沒有簽署安全政策協議的企業中只有22%獲得了補償。

2020年的預期：企業與供應商和合作伙伴之間的數字聯系將更加緊密。這既增加了風險，也提高了人們對風險的認識。不幸的是網絡攻擊者變得越來越老練。

Galov說，“最近，我們發現諸如BARIUM或APT41之類的一些新組織對軟件和硬件制造商進行了復雜的供應鏈攻擊，以便滲透到全球安全的基礎設施中。其中包括2017年和2019年發現的兩種復雜的供應鏈攻擊：CCleaner攻擊和ShadowPad攻擊，以及其他針對游戲公司的攻擊。處理來自這些威脅參與者之一的妥協是一個復雜的過程，因為他們通常會留下后門，從而使他們在返回之后造成更大的破壞。”

2020年優秀建議：了解誰可以訪問企業的網絡，并確保他們僅擁有所需的特權。制定政策、溝通和執行第三方訪問規則。確保為所有第三方供應商制定了安全政策，規定了責任、安全期望以及事故發生時的情況。

Galov說：“明智的企業可以保護自己免受此類攻擊，要確保不僅他們自己，而且他們的合作伙伴都遵守高網絡安全標準。如果第三方供應商可以通過任何方式訪問內部基礎設施或數據，則應在整合過程之前制定網絡安全政策。”

5.DDoS攻擊

卡巴斯基公司在2019年發布的《IT安全經濟學》調查報告表明，2019年有42%的大企業和38%的中小型企業遭受了分布式拒絕服務(DDoS)攻擊。這與勒索軟件事件的發生率相當，勒索軟件事件更受媒體關注。從財務角度來看，每次DDoS攻擊將使中小企業平均損失138000美元。

攻擊者不斷創新以提高其DDoS攻擊的效率。 例如，在今年9月，Akamai報告了一個新的DDoS向量：Web服務動態發現(WSD)，這是一種用于在本地網絡上定位服務的多播發現協議。使用Web服務動態發現(WSD)，網絡攻擊者可以大規模定位和破壞配置錯誤的與全球互聯網連接的設備，從而擴大DDoS攻擊的范圍。

2020年的預期：由于5G的興起和物聯網設備的數量增加，卡巴斯基公司Galov認為2020年DDoS攻擊仍將相當突出。他說：“供水、電網、軍事設施和金融機構等關鍵基礎設施的傳統邊界將進一步擴展到5G世界中的其他前所未有的領域。所有這些都需要新的安全標準，而提高連接速度將在阻止DDoS攻擊發生方面帶來新的挑戰。”

2020年優秀建議：Akamai的Seaman說，“企業需要檢查其互聯網連接設備是否配置錯誤和未修補的漏洞，這是基本的網絡安全措施。”

不幸的是，這并不能幫助減少消費類設備的DDoS攻擊風險。

6.應用程序漏洞

根據Veracode公司發布的軟件安全狀態第10卷調查報告，在該公司測試的85000個應用程序中，83%的應用程序至少有一個安全缺陷。很多應用程序都有更多的漏洞，因為研究發現總共有1000萬個漏洞，20%的應用程序至少有一個嚴重性很高的漏洞。這就給網絡攻擊者留下了許多潛在的零日漏洞和可利用的漏洞。

2020年的預期：盡管安全和開發團隊做出了較大的努力，漏洞仍將繼續滲透到軟件中。Veracode公司聯合創始人兼首席技術官Chris Wysopal說，“當今大多數軟件都是非常不安全的。這一趨勢將在2020年持續，尤其是90%的應用程序使用開源庫中的代碼。我們在2019年看到了應用程序安全的積極跡象。企業越來越關注于不僅要發現安全漏洞，而且要解決這些漏洞，并優先考慮使它們最容易受到威脅的漏洞。我們的調查表明，發現和修復漏洞與改善功能一樣，已成為整個過程的一部分。”

2020年優秀建議：正如Veracode公司研究顯示的那樣，更頻繁地掃描和測試企業的應用程序是否存在漏洞，同時優先解決最嚴重的漏洞，這是一種有效的防御措施。Wysopal還敦促企業密切注意擔保債務。他說：“應用程序安全性內日益增長的威脅之一是安全債務的概念，無論應用程序是累積的還是隨著時間的推移消除了缺陷。越來越多的安全債務使企業容易受到攻擊。

Wysopal表示：“就像信用卡債務一樣，如果企業在開始時有大量余額，并且僅支付每個月的新支出，那么將永遠不會消除余額。企業必須解決新的安全性隱患，同時又要消除舊的安全性隱患。”

7.云服務/托管基礎設施泄露事件

根據卡巴斯基公司在2019年發布的《IT安全經濟學》報告，2019年有43%的企業發生了影響第三方云服務的安全事件。雖然與云計算相關的泄露事件并沒有成為中小企業最常見的列表，但對于通常更依賴托管服務的中小公司來說，這些事件代價高昂。影響中小型企業托管基礎設施的泄露事件平均為162000美元。

在線支付欺詐是2019年欺詐活動增加的一個領域。去年，犯罪集團Magecart公司在過去的一年里相當忙碌。該組織使用代碼，利用云中的錯誤配置修改購物車代碼。使用在線電子商務服務的企業直到客戶投訴欺詐性收費時才意識到這一事件。

企業仍然需要擔心云服務的錯誤配置會導致數據暴露在互聯網上。攻擊者定期掃描互聯網以獲取公開數據。幸運的是，亞馬遜和谷歌等云計算供應商在2019年推出了新的工具和服務，幫助企業正確配置其云計算系統，并發現導致數據不受保護的錯誤。

2020年的預期：惡意代碼的持久力和經濟回報(僅Magecart公司獲利估計就達數百萬美元)意味著在線支付欺詐在2020年將會增加。Magecart公司的成功勢必會激發模仿者采取行動。企業將通過在云安全方面花費更多的資金來應對這種和其他云計算威脅。根據IDG公司安全優先研究，只有27%的企業在生產中使用云計算數據保護技術，但是49%的企業正在研究或試用該技術。

2020年優秀建議：對電子商務腳本進行源代碼審查，并實現資源完整性，以便未經企業的許可不會加載修改后的腳本。確保企業的云計算提供商對自己的代碼進行評估以防止欺詐。定期掃描配置錯誤，防止企業數據在全球互聯網上公開。

8.物聯網漏洞

根據美國安全行業協會(SIA)2019年安全大趨勢的調查報告，物聯網(IoT)及其生成的數據是2019年對安全從業人員影響第二大的趨勢。物聯網的發展充滿熱情并且難以預測。研究機構Statista公司估計，到2020年將有66億到300億個互聯網連接設備。

對于大多數企業而言，物聯網帶來的威脅已成為2019年的頭等大事。Marsh Microsoft 公司發布的2019年全球風險感知調查報告表明，66%的受訪者將物聯網視為網絡風險，23%的受訪者認為該風險極高。Cyber​​X公司副總裁、工業網絡安全總裁Phil Neray說。“這些物聯網設備是攻擊者的軟目標，因為它們通常沒有打補丁或者配置錯誤，并且由于不支持端點安全代理而被不受管理。其結果是，它們很容易受到對手的侵害，從而在企業網絡中立足，進行破壞性勒索軟件攻擊，竊取敏感知識產權，并進行DDoS攻擊和加密劫持而竊取計算資源。”

Cyber​​X公司發布的《2020年全球IoT/ICS風險》調查報告指出了過去12個月中使物聯網設備易受攻擊的最常見安全漏洞。報告表明一些方面得到顯著改善。遠程訪問的物聯網設備減少30%，其中在54%的設備中發現了此漏洞。直接互聯網連接也從40%下降到27%。

另一方面，71%的網站發現了過時的操作系統，而去年這一比例為53%，66%的網站未能進行自動防病毒更新，而去年這一比例為43%。

2020年的預期：Neray認為，隨著物聯網設備數量的增加以及網絡罪犯的動機和成熟度的增加，2020年工業環境將面臨嚴重風險，其中包括能源設施、制造業、化工行業等，他表示，“對于藥品、石油和天然氣等行業領域的攻擊可能導致更嚴重的后果，將導致代價高昂的工廠停工、對人身安全的威脅和環境事故。”

Neray說，“建筑物管理系統(BMS)將成為網絡攻擊者的主要目標。它們通常由對安全性缺乏專門知識的設施管理團隊進行部署，通常不知不覺地暴露于全球互聯網，并且不受企業安全運營中心(SOC)的監視。”

2020年優秀建議：Neray建議企業遵循多層次的縱深防御策略，例如：

• 更加強大的網絡細分
• 限制具有強大訪問控制(例如2FA和密碼庫)的第三方承包商對工業控制網絡的遠程訪問
• 無代理網絡安全監控，可在對手攻擊或關閉其設施之前快速檢測和緩解物聯網攻擊。

最終，最好的防御措施更多地取決于企業而不是技術方法。Neray說，“在TRITON對沙特阿拉伯一家石化廠的安全系統的攻擊中，主要缺陷之一是沒有人認為自己最終對工業控制網絡的安全負責。其結果是，安全監控嚴重失誤，沒有人檢查安裝在DMZ中的防火墻是否已由外包公司正確配置。我們對企業首席登記處安全官的建議是找到立足點，掌握物聯網和運營技術安全性，并以整體方式將聯網和運營技術安全性與IT安全性相結合，并集成到企業安全運營中心(SOC)的監視工作流和安全性堆棧中。”

9.加密貨幣劫持

最后，以一些好消息來結束這個趨勢預測：預計到2020年，加密貨幣攻擊將會減少。盡管在卡巴斯基公司的《2019年信息技術安全經濟學》調查報告中，加密貨幣攻擊并沒有成為大企業或中小企業最頻繁攻擊的列表，但事實證明，在2019年，這些攻擊對很多企業來說代價高昂，他們的平均成本損失為162萬美元。

2020年的預期：加密貨幣的發生率隨著加密貨幣的價值波動而變化，但是攻擊者執行加密貨幣劫持方案的難易程度意味著這種威脅將持續到2020年。Galov說，“在2019年，加密貨幣一直在穩步下降，我們看不出有什么理由這種趨勢會發生變化。加密貨幣的獲利能力下降，也受到與這種威脅作斗爭的影響。”

2020年優秀建議：使用安全解決方案來檢測加密貨幣威脅，并密切注意加密貨幣價值的迅速上漲，這將促使更多的加密劫持的攻擊。