这都是关于机器人的:研究2020年的主要趋势
自从组织被迫转换他们的网络以支持大型远程劳动力的网络以来,已经专注于安全性 - 或者缺乏路由器,DVR和其他互联网连接的设备工作人员在他们的家庭网络中安装了相当大的关注。2020年上半年,FortiGuard Labs威胁研究人员看到了大量证据表明网络犯罪分子瞄准了偏远工人的稳定设备和网络,以建立对公司网络的后门访问。
尽管网络犯罪分子一直致力于利用对COVID-19的恐惧,通过恶意电子邮件和网络活动损害终端用户设备,但攻击者也一直热衷于利用基于消费者的物联网产品的新旧漏洞。例如,到2020年的前6个月,针对一些消费级路由器和物联网设备的入侵检测尝试一直是IPS检测的首选。
但是,IPS检测只是攻击景观方程的一部分。仅仅因为已触发IPS设备并不一定意味着设备已被损害或已发生违规行为。检测僵尸网络活动是一个更准确的评估网络危害。
一旦被感染,物联网设备通常会与远程主机通信,并且可以收集并关联这些流量,从而更好地了解网络范围内正在发生的事情。从僵尸网络流量评估中收集到的信息应该引起IT团队的深切关注。
了解当前的威胁情况
就僵尸网络活动而言,Mirai和GH0St是被检测到最普遍的僵尸网络。Mirai于2016年首次发布,GH0ST于2014年前两年发现。僵尸网络往往比大多数恶意软件更长的寿命;Mirai一直进出了自发行以来就进入了前10名。然而,这些僵尸网络移动到列表的顶端并在那里停留了几个月的事实表明,攻击者已经成功地攻击了没有打补丁或其他保护的旧设备。
在当今流行驱动的威胁环境中,一个令人担忧的问题是,攻击者正在寻求利用内部系统的安全性,以在企业网络上获得立足点。网络犯罪分子可以通过破坏在家办公的员工用来连接企业网络的设备,或者攻击家庭网络上可以跟踪这些连接的设备来实现这一目标。通过利用这些设备在美国,犯罪分子能够快速组装大型僵尸网络,然后用来发起分布式拒绝服务攻击或分发恶意软件。
一旦到位,僵尸网络难以铲出。每次检查僵尸网络数据时,它赋予的主要课程是普遍性和持久的控制是网络犯罪分子中的珍贵商品。
mirai和gh0st继续占据主导地位
2020年上半年,Mirai是全球最具主导地位的僵尸网络。在5月和6月,90%的注册僵尸网络活动的组织都检测到了这种病毒。攻击者越来越关注消费者物联网产品的老漏洞,受此推动,Mirai在5月初向家庭办公转型的高峰期占据了榜首位置。
在2020年的前四个月,Gh0st紧随Mirai之后。Gh0st的变体。大鼠在70%的组织检测到僵尸网络活动。攻击者还将Gh0st用于针对在家办公用户和应用程序的活动。特别值得关注的是,Gh0st是一个远程访问僵尸网络,它允许攻击者完全控制一个受感染的系统,例如记录击键、劫持实时网络摄像头和麦克风、下载和上传文件,以及执行其他非法活动。
僵尸网络的活动因地区而异
在比较全球区域和僵尸网络检测时,Mirai和GH0st的普遍普遍无处不在。但即便如此,他们的活动也不是全球的统一。例如,检测到与Mirai变体相关的流量的组织的比例在欧洲比亚洲更高的20%以上。然而,欧洲在GH0ST活动中排名第三。北美和大洋洲是GH0ST活动最高的地方。
对其余前20个僵尸网络的分析揭示了一些更大的区域差异:
- 普什多僵尸网络和零访问僵尸网络在全世界15%到20%的组织中被发现。北美是普什多人活动最普遍的地区,紧随其后的是欧洲。
- 非洲,亚洲和中东的人格和枸杞僵尸网络比世界上任何地方都有三倍。
- Finfisher和Zeus在亚洲特别活跃。Finfisher在亚洲的更多组织中检测到亚洲的八倍,而不是其他任何地方。
- Emotet。Cridex是我们看到的唯一一个在拉丁美洲率先检测的僵尸网络。
多个因素占此类差异,包括目标,基础架构,技术采用,安全配置和用户行为。关键是,不考虑区域变异的组织可能不会有效地捍卫自己,以防止最有可能瞄准它们的攻击。
留在你的网络安全脚趾上
威胁载体可以随时改变,因为敏捷和老练的罪犯随时准备利用任何机会。防御者不仅要面对他们网络上更多的漏洞,还要面对更多的漏洞在野外被积极利用。当网络发生变革时,无论是应对全球大流行还是数字创新的正常过程,这些变化都会成倍增加。
显而易见的是,修补和更新——或者至少——接近控制从未如此重要过。但要想真正有效,各组织还必须获得最新的威胁情报,以便提前得到警告和武装。安全解决方案必须与针对从数据中心、云、网络边界和家庭网络扩展的企业IT环境的最佳威胁防护集成。在这个前所未有的网络风险季节,必须覆盖所有基地。
所有IOT议程网络贡献者负责其帖子的内容和准确性。意见是作者,不一定能够传达物联盟议程的思想。