作者:朱莉·卡布哈特(Julie Cabuhat),杰伊·亚内扎(Jay Yaneza),吉尔伯特·森森(Gilbert Sison)和瑞安·玛格拉克(Ryan Maglaque)(趋势科技研究部) 趋势科技托管的数据 检测和响应显示了组织的网络安全策略如何通过其最常面临的威胁反映出来。 例如,更大程度地依赖物理设备和本地网络共享进行数据传输无疑会导致大量传播恶意软件。 了解导致组织比其他组织更容易受到某些威胁的内部因素是迈向更好的网络安全的重要一步。 图1.从4月份开始按月比较威胁 到九月
为说明组织面临的最普遍的威胁如何反映内部策略,我们查看了六个月期间来自东南亚的趋势科技™Smart Protection Network™基础结构的数据。
我们可以看到,从2018年第二季度到第三季度,较旧的威胁排在第一位,大规模传播的恶意软件是最普遍的威胁。 有一种观点认为,大规模传播的恶意软件已经过时且过时了,这就是为什么如此之多的检测量可能会令人惊讶的原因。 放眼全球的组织可能会认为,采取措施来应对在全球范围内占据中心地位的威胁已足够,例如“无文件”和加密货币挖掘恶意软件。 在这种情况下,为这些较新的威胁部署解决方案将是不匹配的。
相反,应针对组织量身定制网络安全投资。 如数据所示,威胁参与者不一定总是放弃旧的方法。 他们根据组织的弱点选择攻击。
在下一部分中,我们将查看更多使组织易受攻击的行为示例,并提出解决这些问题的策略。
不安全的数据传输机制传播了恶意软件
图2.按月批量检测恶意软件
鉴于该地区一些国家在采用云服务时面临的挑战,许多公司,尤其是中小型企业(SME)仍然依赖于USB闪存驱动器和外部硬盘驱动器等物理设备以及本地网络 用于在组织内传输数据的份额。 这种设置是大规模传播恶意软件的温床。 因此,难怪大规模传播恶意软件的数量几乎等于其他三个类别(勒索软件,特洛伊木马,共同采矿恶意软件)的总和。
这种组合也不限于较旧的恶意软件。 虽然最早的(Sality)出现于十年前,但最新的(Wmine)出现于2017年,使用的是WannaCry使用的同一服务器消息块(SMB)漏洞。
Gamarue(又名Androm,Andromeda或Bundpil)是需要其他组件才能正常运行的二进制文件,一直以来是传播最多的恶意软件,这可能是由于蠕虫与后门行为的结合。
建议
有明确的步骤来减少大规模传播的恶意软件的数量,特别是通过其主要到达媒介。 但是,这些严重依赖IT管理员来保护网络,包括实施旨在加强组织安全性的最佳实践,例如: 确保实际实施BYOD(自带设备)策略。 识别将导致权限限制到位的网络和用户,从而限制可以添加或修改共享网络文件夹中文件的人数。 仅对实际需要共享网络驱动器的用户进行访问。 阻止特定计算机上不必要的端口。 在所有Windows计算机上禁用自动运行功能,以防止滥用此功能的恶意软件影响系统。
不正确的修补和更新习惯会导致再次感染
图3.每月检测勒索软件
WannaCry(WCRY)首次登陆全球市场已有一年多了,但东南亚的数字表明,该地区的发展仍然强劲。 它既是东南亚顶级恶意软件家族,也是唯一的勒索软件家族。 鉴于WannaCry通过较旧且未打补丁的操作系统的传播,勒索软件的持久性很可能直接反映了不良的打补丁习惯。
建议
如果网络中的所有系统都进行了修补和更新,则可以防止WannaCry感染系统,而未修补它们可以导致继续感染。
不受管制的下载会分发木马
图4.每月比较特洛伊木马
缺乏对社会工程技术的教育和缺少(或不遵守)下载安全政策是导致特洛伊木马盛行的因素。 从本质上讲,木马通常是世界上最常见的恶意软件之一。 特洛伊木马通过许多到达媒介进行分发,最流行的是通过直接Web下载来传播,从而促进了它们的普遍存在。 它们还可以通过其他方式传播,例如通过嵌入式脚本和宏。 网络罪犯经常使用社会工程手段,通过将其呈现为PDF和Microsoft Word文档格式的合法文档来掩盖其攻击,从而传播木马。 对于东南亚而言,该细分市场中最流行的恶意软件家族是二进制文件。
请注意,在这种情况下,木马被定义为缺乏自我传播能力。 这意味着木马在野外的存在在很大程度上取决于它们是否在分发中。 恶意软件家族是否在分发中取决于威胁参与者的活动。 这可能解释了特定恶意软件家族突然缺失的情况,例如5月和6月没有特洛伊木马代理。 虽然其他地区的Emotet和Powload的侦破量激增,但东南亚仍以Starter和Equated为主。 这两个木马是已经活跃了十多年的大型家族的子集,并且具有从信息盗窃到拒绝服务(DoS)的各种功能。 它们的高检出率意味着尽管年龄大,它们仍然非常有效。
除非威胁行动者转而分发其他恶意软件家族,否则我们可以期望下个季度再次看到Equated和Starter。
建议
组织的安全性不仅限于安全团队-它还扩展到普通员工,而这些员工通常最终是不了解威胁的网关。 公司应确保最终用户实施最佳安全实践,包括了解威胁行为者使用的各种社会工程技术,避免使用可疑网站,以及避免单击可疑链接和下载具有合法性的文件。
旨在传播加密货币挖矿恶意软件的已知漏洞和用户
图5。每个月基于加密货币的恶意软件检测
基于Web的硬币矿工或密码劫持者(最早出现于2017年下半年)能够通过运行在开放式Web浏览器上的脚本,使用计算机资源来未经授权地开采cyrptocurrency。 此类威胁中最著名的例子也许是Coinhive,它通常嵌入在网站中,使它可以在用户设备不知情的情况下挖掘其资源。 截至2018年5月,COINHIVE已嵌入300多个网站中。
令人惊讶的是,在东南亚,加密货币挖矿恶意软件呈下降趋势。 下降的检测计数可能意味着很多事情: 加密货币炒作开始放缓。 与2017年最后一个季度接近20,000美元的创纪录高价相比,价格已大幅下跌。 威胁参与者可能正在转向其他赚钱方式。 东南亚的加密货币挖矿恶意软件可能不像其他地区那样赚钱。 由于人们越来越了解恶意软件的运行方式,因此人们现在有意识地避免使用加密货币挖掘恶意软件。 威胁参与者可能已经转移到尚未列入名单的其他加密货币挖掘恶意软件变种。
加密货币矿工本身不被视为恶意软件。 当他们在未经所有者授权或不知情的情况下使用设备的资源挖掘加密货币时,便成为恶意软件。 作为恶意软件,它们使受感染的计算机在生成加密货币方面承担了所有繁重的工作,而用户自己却没有获得任何利润。
尽管数字在下降,但请注意,加密货币挖矿恶意软件仍是该地区的主要威胁之一,应予以认真对待。
建议
挖掘加密货币的恶意软件是通过多种感染媒介(包括社会工程和漏洞利用)传播的。 与其他威胁一样,组织和个人用户都可以通过以下做法来帮助防止加密货币挖矿恶意软件影响其设备: 定期更新设备的固件,以避免利用已知漏洞的攻击。 更改设备的默认凭据并使用强密码来阻止未经授权的访问。 警惕已知的攻击媒介,例如社交工程链接,附件和来自不同网站,第三方应用程序和电子邮件的文件。 即使是某些合法的网站,也可能在后台运行了嵌入式加密货币矿工,因此,对特定网站是否搭载矿工进行研究将是一个好主意。
考虑托管检测和响应(MDR)
此处突出显示的威胁表明组织需要了解使其脆弱的原因并相应地调整其策略。 托管检测和响应(MDR)等托管安全服务可以帮助提供数据和见解,以确保最终产生的策略能够真正满足组织的网络安全需求。
尽管较大的组织拥有为此目的建立自己的团队的带宽,但是较小的公司可能很容易被所需的巨大努力所淹没。 此外,许多组织还面临警报疲劳的问题-必须筛选大量警报,才能确定哪些警报实际上是恶意的。 这使得对威胁的更多了解变得更具挑战性。 在最坏的情况下,某些警报可以忽略,从而在以后导致更大的问题。
MDR使组织可以与熟练的安全专业人员联系,他们可以提供更快的警报优先级,根本原因分析,详细研究和补救计划,从而使组织能够快速响应攻击。 MDR的重要特征之一是它具有将威胁关联起来的能力,以便对威胁的影响和来源进行更全面的了解,而这是无法轻易观察到的。 当涉及到有针对性的攻击或任何表现出一致模式的网络活动时,这一点尤其重要。
基于30年的威胁研究经验,趋势科技的托管检测和响应服务可让精通实时响应并熟悉可以为组织及其行业所发生的安全事件提供含义的产品的专家访问。 我们的专家拥有必要的工具和技术,可以分析威胁并协助组织维持良好的安全状态。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢