保护受疫情影响的工作场所：趋势科技 2020 年年中网络安全报告

保护大流行中断的工作场所趋势科技 2020 年年中网络安全报告 趋势科技法律免责声明此处提供的信息仅用于一般信息和教育目的。它无意也不应被解释为构成法律建议。此处包含的信息可能不适用于所有人情况，可能无法反映最新情况。此处包含的任何内容均不得依赖或采取行动在没有获得法律建议的情况下，基于所呈现的特定事实和情况，本文中的任何内容均不应作其他解释。趋势科技保留随时修改本文档内容的权利，恕不另行通知。将任何材料翻译成其他语言只是为了方便。不保证也不暗示翻译的准确性。如果出现与翻译准确性有关的任何问题，请参阅文档的原始语言官方版本。任何翻译中产生的差异或差异不具有约束力，对于合规或执行目的没有法律效力。尽管趋势科技采取了合理的努力来包括准确和最新的信息，趋势科技对其准确性、时效性或完整性不做任何形式的保证或陈述。您同意访问、使用和依赖本文档及其内容的风险由您自行承担。趋势科技不提供任何形式的明示或暗示保证。趋势科技或参与创建、制作或交付本文档的任何一方均不对任何后果、损失或损害负责，包括直接、间接的、特殊的、后果性的、商业利润的损失，或因访问、使用或无法使用，或与使用本文档有关，或内容中的任何错误或遗漏而引起的任何特殊损害。使用此信息即表示接受在“原样”条件下使用。内容4Covid-19 对网络安全格局的影响17威胁行为者继续发起活动24尽管存在挑战，但脆弱性成为优先事项31多层防御有助于应对当今的多方面威胁32威胁形势回顾由...出版趋势科技研究经 Shutterstock.com 许可使用的库存图片对于 Raimund 基因 (1963-2017) 在 2020 年趋势科技安全预测报告中，我们试图预测在我们进入新的十年之际将塑造网络安全行业的变化。我们无法预料的是，由于 Covid-19 大流行而出现的“新常态”将如何影响我们与世界互动的方式。对于许多人来说，在家工作不仅成为一种选择，而且成为一种必要，因为大流行迫使世界各地的组织重新考虑他们的工作方式和工作地点。不幸的是，变化的速度和紧迫性让许多企业措手不及，导致家庭和实体工作场所的安全漏洞。恶意行为者利用这种情况，在包括电子邮件、社交媒体、恶意网站和虚假移动应用程序在内的各种平台上使用各种诱饵发起一系列以 Covid-19 为主题的攻击。视频会议应用程序成为网络犯罪分子最喜欢的目标，因为对有效通信的需求导致使用量增加。这些攻击范围从诸如 Zoombombing 之类的恶作剧到涉及与应用程序安装程序捆绑在一起的恶意软件的成熟活动。威胁行动团体无情地继续他们的活动。一些团体选择将他们的业务扩展到新的平台和操作系统，而另一些团体则围绕看似过时的技术开展活动，或利用通常被认为无害的恶意软件类型。勒索软件在本质上仍然是高度针对性的，一个知名组织决定放弃其公共业务，专注于私人活动。一些勒索软件运营商还威胁要将他们从受害者那里窃取的数据暴露给公众。微软在年初结束了对 Windows 7 的支持，同时投入了更多资源来修复漏洞。该公司在 2020 年上半年修复了创纪录数量的漏洞，其中还包括 CurveBall 等一些重大漏洞。存在数十年历史的第三方软件组件中存在的几个工业物联网 (IIoT) 漏洞证明，在 IIoT 系统方面缺乏标准化和安全编码指南。由于可能受影响的设备数量众多且相互关联，因此在可预见的未来很难确定这些漏洞的影响。2020 年已经从许多方面证明，网络安全行业并不存在于静态泡沫中，而是随着和响应周围世界的事件而变化和变化。在对我们的大部分生活产生巨大影响的一年中，我们来看看最重要的故事和趋势，以确定发生了什么变化以及我们可以从新常态中得到什么。 4 |保护受疫情影响的工作场所：趋势科技 2 0 2 0 年年中网络安全报告Covid-19 对网络安全格局的影响以 Covid-19 为主题的攻击呈上升趋势从 2020 年 1 月到 2020 年 6 月，趋势科技智能防护网络 (SPN) 检测到近 900 万个与 Covid-19 相关的威胁。这些威胁包括直接（例如，声称提供有关 Covid-19 信息的应用程序）或间接（例如由于病毒而延迟提供服务）的电子邮件、URL 和恶意文件。 38% 的此类威胁来自美国，其次是德国（14.6%）和法国（9.2%）。大部分检测发生在 4 月，与许多国家（尤其是欧洲）的 Covid-19 感染高峰期一致。29.0%其他4.1%英国4.7%比利时全部的8,840,33638.4%美国10M8,091,1939.2%法国14.6%德国0网址电子邮件威胁恶意软件图 1. 2020 年上半年 Covid-19 威胁的数量和分布来源：趋势科技云智能防护网络基础架构大流行的广泛影响导致许多人试图在 Covid-19 上找到尽可能多的信息。恶意行为者利用这种情况，使用旨在利用人们的恐惧和焦虑的计划。743,3485,795全部的：8,840,336 5 |保护受疫情影响的工作场所：趋势科技 2 0 2 0 年年中网络安全报告威胁演员使用了各种诱饵。我们在一个页面上汇总了几个与 Covid-19 相关的威胁，以便向公众提供网络犯罪分子使用的工具和技术的摘要。1 电子邮件威胁占所有 Covid-19 相关威胁的 91.5%，是最常见的威胁使用的入口点。3M0一月二月三月年利率可能君图 2. 2020 年上半年与 Covid-19 相关的电子邮件威胁的月度计数注意：数据是指与 Covid-19 相关的电子邮件威胁检测 来源：趋势科技智能保护网络基础架构我们发现了声称提供有关该病毒的最新消息和更新的电子邮件样本，但实际上却将恶意软件发送给了收件人。我们还观察到另一个计划，其中恶意行为者将自己表现为卫生组织。然后将加密货币钱包提供给电子邮件收件人以进行捐赠。一些垃圾邮件没有直接引用 Covid-19，而是通知收件人由于大流行导致的政府限制而导致运输延误。虽然这对诈骗者来说并不是一个新的噱头，但使用 Covid-19 来解释上述延迟使其既及时又可信。该邮件包含显示新发货时间表但包含恶意软件的附件。2,440,2151,829,324897,7114,7864,0282,915,129全部的：8,091,193 6 |保护受疫情影响的工作场所：趋势科技 2 0 2 0 年年中网络安全报告图 3. 一封带有恶意附件的电子邮件，通知收件人发货延迟我们检测到的绝大多数 (93.5%) 电子邮件威胁都包含恶意文件附件和恶意链接。令人惊讶的是，对既没有 URL 也没有附件的电子邮件威胁的检测率高于只有一个或另一个的电子邮件威胁，这表明恶意行为者倾向于在其活动中同时使用链接和附件。10M0没有附件和链接只有链接带附件和链接仅带附件图 4. 基于是否包含附件和/或链接的 Covid-19 相关电子邮件威胁检测分布。来源：趋势科技云智能防护网络基础架构527,0633680全部的：8,091,1937,563,762 7 |保护受疫情影响的工作场所：趋势科技 2 0 2 0 年年中网络安全报告诈骗者还使用与 Covid-19 相关的主题作为钩子的商业电子邮件泄露 (BEC) 方案。新的远程工作安排使得跟踪组织成员之间的通信变得更加困难，这些骗局的有效性可能得到了加强。1H 总计：10K 0一月二月三月年利率可能君整体 BEC尝试 与 Covid-19 相关的 BEC 尝试图 5. 2020 年上半年 Covid-19 BEC 尝试次数与常规 BEC 尝试次数的比较。与 Covid-19 相关的 BEC 尝试在 5 月达到顶峰。注意：数据是指看到的 BEC 尝试次数，并不表示攻击是否成功。在一个此类案例中，Agari 的研究人员调查了由 Ancient Tortoise 发起的 BEC 活动 2，Ancient Tortoise 是一个使用老化（应收账款）报告诈骗作为其运作的一部分的威胁行为者组织。在其最新计划中，该组织向潜在受害者发送电子邮件，通知他们由于大流行而改变了银行——新的“银行”是香港的一个骡子账户。随着时间的推移，用户尝试访问与 Covid-19 相关的恶意 URL 的次数不断增加，在 4 月达到顶峰，而 5 月和 6 月则持续活跃。全面的新冠肺炎一月94,488,5773,916二月100,468,8749,497行进111,026,60234,197四月224,187,318348,767可能252,588,246168,576六月146,542,789178,395全部的929,302,406743,348表 1. 与 Covid-19 相关的恶意 URL 的月计数与恶意 URL 的总计数相比2020年上半年网址注意：数据是指访问 Web 信誉服务 (WRS) 检测到的恶意 Covid-19 相关 URL。来源：趋势科技云智能防护网络基础架构8,7527,2076,8323,4091,49315102180323134 7459,21136,904 8 |保护受疫情影响的工作场所：趋势科技 2 0 2 0 年年中网络安全报告其中许多 URL 被用于网络钓鱼诈骗。我们在 4 月份检测到访问以 Covid-19 为主题的网络钓鱼站点的尝试次数最多。随后，访问这些网站的大量用户在某种程度上受到了诈骗的影响。全面的新冠肺炎一月14,242,47130二月13,171,7186,472行进14,463,72615,788四月13,606,95725,466可能38,075,93716,894六月8,751,48015,936表 2. 检测到的非唯一尝试访问 Covid-19 网络钓鱼网站的次数，与2020 年上半年检测到的访问钓鱼网站的非唯一尝试总数注意：对同一 URL 的三个阻止访问实例计为三个非唯一尝试 来源：趋势科技云安全智能防护网络基础架构全面的新冠肺炎一月763,9896二月889,044536行进1,361,1734,457四月1,540,9284,678可能1,369,8832,841六月894,4431,718表 3. 受 Covid-19 网络钓鱼网站影响的唯一用户数量与2020 年上半年受钓鱼网站影响的独立用户总数注意：尝试访问同一 URL 三次的一台计算机计为一个唯一用户 来源：趋势科技云安全智能防护网络基础架构其中一些网站推广了据称保护其用户免受 Covid-19 侵害的应用程序。然而，这些应用程序实际上所做的是用一种虚拟疾病感染其用户：BlackNET RAT。该工具将其感染的机器添加到僵尸网络中，恶意行为者可利用该僵尸网络发起分布式拒绝服务 (DDoS) 攻击、上传文件、执行脚本和收集信息等。 3一些恶意行为者采取更直接的方法，跳过使用恶意软件，而是直接询问潜在受害者的信用卡信息，正如我们在一个网站上看到的那样，该网站正在兜售不存在的世界卫生组织 (WHO) 批准的疫苗包4.95 美元的“低价”。 9 |保护受疫情影响的工作场所：趋势科技 2 0 2 0 年年中网络安全报告另一个网站欺骗了英国政府的一个页面，通过承诺某种形式的援助或救济来诱骗毫无戒心的用户泄露他们的个人信息和银行账户凭证。仔细查看上述网站，可以发现“缓解”一词的使用存在明显错误——即刻表明该页面不合法。图 6. 一个旨在收集个人信息和银行凭证的虚假政府网站。请注意“缓解”一词的错误用法。在其他情况下，攻击者通过社交媒体应用程序向潜在受害者发送消息。我们遇到的一种网络钓鱼诈骗涉及提供免费的 Netflix 订阅，以诱使受害者点击恶意链接。然后，用户要么被重定向到一个旨在捕获其登录凭据的虚假 Netflix 页面，要么被重定向到一个虚假调查，该调查欺骗受访者将欺诈性链接分享给他们的朋友和社交媒体组。我们看到在 2020 年上半年引入了几个与 Covid-19 相关的恶意移动应用程序。4 月，我们发现了一个应用程序，乍一看似乎提供了有关病毒的更新。4 但是，该应用程序的真正目的是从受感染的手机中收集文件和信息，例如来自消息应用程序的消