【編者按】隨著越來越多的企業依靠物聯網設備來采集數據,物聯網設備為黑客提供了進入企業網絡的通道。制造商為每個物聯網設備創建的應用程序種類繁多,黑客可以進入網絡并以多種方式造成破壞。根據SonicWall安全研究人員近日發布的2020年第三季度威脅情報,物聯網攻擊數量增加了30%,勒索軟件攻擊數量激增了40%,而惡意軟件總量連續三個季度下降,下降了39%。物聯網攻擊數量的增加可歸因于遠程工作人員的增加以及連接到公司網絡的不安全設備的數量增加。企業在享受IoT設備帶來的便利的同時,也應采取相應措施保護硬件設備及網絡免受日益復雜的勒索軟件攻擊。
一、勒索軟件攻擊威脅形勢嚴峻
SonicWall Capture Labs威脅研究人員2020年10月29日公布了該公司超過100多萬全球安全傳感器收集的第三季度威脅情報。截至2020年9月的最新年度調查結果顯示,網絡犯罪分子越來越多地使用勒索軟件、加密威脅和利用非標準端口的攻擊,而惡意軟件總量連續第三個季度下降。
SonicWall總裁兼首席執行官比爾·康納(BillConner)表示,“對大多數人來說,2020年是經濟幾乎停止、通勤結束、和傳統辦公場所消失的一年。然而,一夜之間出現的遠程工作人員和虛擬辦公室給了網絡犯罪分子提供了新的和有吸引力的載體。威脅行為者正在不懈地追求獲得不屬于自己的東西,以獲得金錢利益、經濟主導地位和全球認可。”
SonicWallCapture Labs的主要發現包括:
惡意軟件下降39%(年初至今44億),數量連續第三季度下降;
全球勒索軟件激增40%(1.997億);
入侵嘗試次數增加19%(3.5萬億);
物聯網惡意軟件增長30%(3240萬);
加密威脅增長3%(320萬);
加密劫持增加2%(5790萬)。
( 一 ) 物聯網設備遭受攻擊數量激增
COVID-19導致網絡上的設備數量異常增加,導致在新冠大流行期間仍保持運營的公司面臨的潛在威脅增加。SonicWall Capture Labs發現,IoT惡意軟件攻擊增加了30%,全球總量為3240萬次。
大多數物聯網設備,包括有語音功能的智能設備、門鈴、電視攝像機和電器,在設計時并沒有將安全放在第一位,這使得其容易受到攻擊,并為犯罪者提供了眾多的入口點。
康納表示,“員工過去依賴于公司提供的安全辦公網絡,但遠程辦公員工的增長擴展了為家庭和家庭辦公提供服務的分布式網絡。消費者需要確認空調控制、家庭報警系統或嬰兒監視器等設備是否安全部署。為獲得最佳保護,使用虛擬家庭辦公室的專業人士,尤其是高級主管級別的專業人士,應考慮對家庭網絡進行分段。”
SonicWall威脅情報數據還得出結論,雖然加密劫持(5790萬)、入侵嘗試(3.5萬億)和物聯網惡意軟件威脅(3240萬)在上半年的報告中呈上升趨勢,但它們繼續構成威脅,仍然是網絡犯罪分子的機會來源。
( 二 ) 勒索軟件爆發,Ryuk占所有攻擊的三分之一
勒索軟件攻擊每天都成為頭條新聞,因為會對企業、市政當局、醫療機構和教育機構造成嚴重破壞。SonicWall的研究人員在第三季度的每個月都追蹤到了強勁的增長,包括9月份的大幅增長。雖然印度(-29%)、英國(-32%)和德國(-86%)的數量有所下降,但美國的勒索軟件攻擊卻達到了驚人的1.452億,同比增長了139%。
值得注意的是,SonicWall研究人員觀察到2020年Ryuk勒索軟件的檢測數量顯著增加。截至2019年第三季度,SonicWall僅檢測到5123起Ryuk攻擊。到2020年第三季度,SonicWall檢測到6730萬次Ryuk攻擊,占今年勒索軟件攻擊總數的三分之一(33.7%)。
SonicWall平臺架構副總裁DmitriyAyrapetov表示,“有趣的是,Ryuk是一個相對年輕的勒索軟件家族,于2018年8月被發現,并在2020年人氣顯著上升。遠程辦公員工的增加似乎增加了該勒索軟件的感染率,不僅造成了經濟損失,而且還對醫療服務造成了攻擊,從而影響了醫療保健服務。Ryuk是特別危險的,因為它是有針對性的且手動的,并且經常通過Emotet和TrickBot惡意軟件進行的多階段攻擊加以利用。因此,如果一個組織感染了Ryuk,則表明該組織感染了多種類型的惡意軟件。”
( 三 ) 惡意軟件數量下降,攻擊更有針對性、多樣化
盡管惡意軟件使用者和網絡罪犯仍忙于發動復雜的網絡攻擊,SonicWall Research得出的結論是,全球惡意軟件總量在2020年繼續穩步下降。與第三季度相比,SonicWall的研究人員記錄了44億次惡意軟件攻擊,全球范圍內下降了39%。
區域比較顯示,印度(-68%)和德國(-64%)的降幅比率高于美國(-33%)和英國(-44%)。惡意軟件數量減少并不意味著它會完全消失。相反,這是周期性衰退的一部分,很容易在短時間內恢復。
二、勒索軟件攻擊放大物聯網的安全風險
( 一 ) 物聯網會帶來安全風險
每個連接的設備都是黑客安裝IoT勒索軟件并要求付款的潛在入口。黑客使用惡意軟件感染IoT設備并將其轉變為僵尸網絡,黑客可以使用僵尸網絡來探查和探索啟動過程,以找到獲得網絡訪問的最佳方法。
黑客也會搜索IoT設備固件中存在的未禁用、未刪除、未更新的有效憑證。然后,攻擊者將受感染的設備用作企業網絡的入口點。在拉斯維加斯的一個大型水族館里,黑客通過智能恒溫器入侵了一家賭場。黑客通過恒溫器進入網絡,訪問他們的大型數據庫,并將數據移回云端。攻擊者還可以將IoT設備變成機器人程序,并感染其他連接的設備。
企業擁有太多的物聯網設備,這些設備將企業網絡擴展到傳統的安全邊界之外,從而導致安全問題。
( 二 ) 黑客通過物聯網獲得訪問權限
黑客通常通過向互聯網開放的IoT設備來訪問公司網絡。他們遠程掃描公司網絡以查找設備,掃描網絡中的已知漏洞,尤其是設備或設備運行的軟件,或使用惡意軟件攻擊醫院、研究機構和物流組織等特定機構。
黑客使用IoT設備來訪問公司網絡,因為它們通常不存儲數據。通過受信任的設備進行訪問意味著他們能夠在網絡中停留更長的時間,從而使他們有更多的時間規避最精致的檢測工具。黑客可能會使用在設備或軟件內存中運行的無文件惡意軟件。
犯罪分子越來越多地使用非標準端口來訪問IoT設備。這些端口通常不被基于代理的防火墻覆蓋,并且可以使IoT設備聯機。許多IT專業人員沒有時間、資源或專業知識來充分保護IoT設備的安全。
在企業淘汰傳統防火墻、嘗試保護非標準端口或為IT人員提供足夠的培訓和資源以確保其安全之前,IoT設備一直是進入網絡的便捷途徑。
( 三 ) 物聯網的攻擊增加的直接原因
當外全球經濟正在通過高級數字化轉型項目復蘇時,黑客進行攻擊的機會將會增加。對于那些不在公眾視野內的行業或機構來說亦是如此,例如物流和供應鏈公司,以及與健康相關的研究設施。根據組織的規模、預算和地理位置,組織可能缺乏大型公司擁有的網絡安全工具和資源來保護它們。對這些組織的犯罪攻擊也影響到至關重要的服務,包括政府服務、信息網站、電話服務和食品供應。
三、安全建議
愈演愈烈的勒索軟件攻擊,使企業/組織陷入了無盡的雙重勒索困擾之中。不支付贖金,幾乎就沒可能解密被加密的數據。而即使組織付清了攻擊者的勒索需求,通常也有可能無法完全拿到解密密鑰或解鎖網絡。而且,在美國,政府機構出臺了法律規定,支付贖金還可能面臨執法機構的處罰。某些勒索軟件,例如GermanWiper,即使受害者支付贖金也會刪除文件。
比如美國佛羅里達州湖城市支付了42個比特幣(折合50萬美元)來解鎖其網絡,但仍無法恢復所有贖回的數據,其中包括近100年的城市記錄。韓國網絡提供商Nayana在勒索軟件攻擊后支付了100萬美元,并由于試圖與黑客進行談判而丟失了部分客戶數據。
迅速發展的惡意軟件和物聯網技術使最新的網絡安全工具和方法難以保持最新。希望利用物聯網設備優勢的企業必須在安全協議和工具上進行更多投資。為了確保其IoT設備的安全并防止對其網絡的勒索軟件攻擊,IT專業人員必須依賴系統化、專業化的網絡安全防御體系,并且采取經過實踐檢驗的最佳作法。
在部署之前,通過互聯網評估設備受到黑客攻擊的可能性;
禁用設備上不必要或未使用的服務;
確保定期正確備份所有數據;
創建并實施適當的恢復程序,其中包括勒索軟件流程;
將從物聯網設備的訪問與數據和關鍵網絡進行分段;
使用最新的防火墻和其他網絡監控工具,來檢測和阻止新的入侵。