云应用必须合规 电邮威胁再次增大

赵明

很多企业的首席信息安全官认为，确保云应用合规是面临的最大工作压力之一。赛门铁克不久前发布了第22期《互联网安全威胁报告》，与公众和IT专业人士分享了对全球威胁动态、网络犯罪趋势和攻击者动机的分析和洞察。

近日，全球网络安全领导厂商赛门铁克公司发布一项针对企业数据安全现状的全新调研报告。该报告覆盖全球11个市场，共邀请1100 名首席信息安全官（CISO）参与调研。报告结果显示，云安全是中国首席信息安全官最担忧的挑战。不仅如此，中国首席信息安全官更关注自身企业是否拥有快速应对网络攻击的能力。

针对云的攻击范围不断增大

赛门铁克的调查显示，云安全成为中国CISO所面临的棘手问题。绝大数的CISO（92%）认为，确保云应用合规是他们所面临的最大的工作压力之一。在行业合规性方面，中国CISO最担心自身企业是否能够充分跟踪已批准的云应用中的活动（29%），以及公司员工是否使用未被批准的云应用（23%）。

此外，中国CISO针对云安全的担忧还包括：在云应用中广泛分享合规所管控的敏感数据（21%），对企业所属移动设备的管理（16%），以及遵守国家和地区特定的数据保留和管理条例（11%）。

赛门铁克调研显示，针对云安全话题，中国CISO在2017年最关注的企业外部威胁主要包括：数据泄露（30%）、系统漏洞利用（23%）、身份认证和证书破坏（20%）。除此之外，CISO最关注的内部威胁包括：员工违反安全合规要求（26%）、不安全的企业应用（22%）、数据丢失（21%）。

对端到端解决方案的需求

赛门铁克的调研显示，为了加强信息安全，所有受访的中国CISO（100%）表示，计划在今年增加IT人员安全培训的支出，确保企业数据在本地系统、移动应用和云服务之间传输的安全性。新加入的IT员工在入职培训期间将接受平均13个小时的安全培训。值得提出的是，中国CISO所计划的支出高于所有其他受调研的国家。

对数据安全、满足合规性和数据保留等方面的需求，促使中国CISO寻找加密（Encryption）或标记化（Tokenization）解决方案来支持企业的软件即服务（SaaS）计划。赛门铁克的调查显示，绝大数（98%）的中国CISO认为，云数据标记化是满足数据保留和数据管理条例的最佳方式——80%的受访者表示使用标记化方法；77%的中国CISO表示使用加密技术来保护云中数据；60%的受访者表示自身企业同时使用加密技术和标记化方法。值得一提的是，与其他受访国家相比，中国CISO采用标记化方法的比例更高。

罗少辉表示：“网络罪犯组织在进行犯罪活动时往往伺机而动，他们会利用合法的操作系统、工具和云服务中的漏洞来破坏企业网络。为了有效地对抗这些犯罪行为，首席信息安全官需要拥有卓越的可见性和管控力，对用户通过云上传、存储和共享的敏感内容进行管理。出色的CISO不会依靠一次性修复和被动的补丁来保护机密信息，而是通过主动部署端到端解决方案来消除可被利用的潜在漏洞和威胁。”

电邮攻击再受关注

过去，网络攻击组织主要集中利用零日漏洞发动具有针对性的攻击。但随着“漏洞赏金” 计划的日益普及，产品在开发过程中对安全因素的重点关注，以及国家、企业和个人用户对安全解决方案的采用和部署，攻击者越来越难发现和利用零日漏洞，这迫使他们重新采用一些常用攻击途径——电子邮件就是其中之一。

赛门铁克第22期《互联网安全威胁报告》显示，2016年是网络攻击极其活跃的一年，全球先后发生多起大型网络攻击事件，例如令人震惊的造成数千万美元损失的虚拟银行劫案，蓄意破坏美国选举的黑客攻击，利用物联网设备发动的史上最大规模的DDoS攻击，以及近期席卷全球150个国家的WannaCry勒索软件攻击。

2016年，恶意电子邮件成为各类网络攻击团伙的首选 “武器” ，无论是有政府背景的间谍团伙，还是电子邮件群发勒索团伙都对其情有独钟。第22期赛门铁克《互联网安全威胁报告》指出，电子邮件中的恶意软件比例在2016年出现明显上升，达到1：131，成为五年来最高比例。在中国，该情况更为严重，比例为1：63——这意味着，每63封电子邮件中就有一封带有恶意软件。此外，利用鱼叉式网络钓鱼电子邮件的商务电邮诈骗（BEC）骗局也受到攻击者的青睐，在 2016 年出现明显的增加。

罗少辉认为：“电子邮件是当今极为重要的通信工具，无论企业还是个人都十分依赖电子邮件作为生活和工作的沟通工具。攻击者只需要通过简单的欺骗手段便能够成功诱惑受害者打开附件、点击链接或泄露凭据，无需任何漏洞就可以完成。”

伪装成信息化工具

随着人们对网络安全意识的提高，网络攻击者也在不断改进利用邮件的攻击手段，来确保目标在完善电子邮件安全防御前，抢占感染设备的先机。

Office宏和PowerShell成为常用的攻击工具，该钓鱼邮件伪装成来自 Gmail 官方管理员的邮件，并在邮件中表示：受害人的邮箱可能已经受到感染，提示他需要重设密码来确保账户的安全。该钓鱼邮件中包含了一个短URL来掩饰真正的恶意URL。当受害人点击该URL，就会进入一个“冒牌”的 Gmail账户密码重置网页。整个攻击过程中，黑客仅通过简单的社交诈骗技术，便轻松获取了目标设备的密码。

与此同时，越来越多的攻击者选择使用下载器在目标设备中安装恶意程序。大多数企业不愿意通过电子邮件网关拦截全部Office文件，因为这样可能影响合法的电子邮件，这一点是Office宏下载程序广泛流行的重要原因。同时，脚本文件的易混淆性可使其躲避检测，这是JavaScript下载程序泛滥加剧的原因之一。

BEC诈骗简单直接

前文提到攻击者在2016年愈发倾向于采用简单的工具和看起来平淡无奇的招数，而这却能够给企业和目标组织带来巨大的灾难。作为社交骗局的其中一种，商务电邮诈骗在去年出现显著的增加。此类攻击也被称为CEO欺诈或“鲸钓”攻击。诈骗者只需伪装成企业CEO或其他高管，向其员工发送仿冒电子邮件，随后要求员工进行网上转账，便可完成攻击。

赛门铁克通过分析2016年所发布的623起重大恶意电子邮件攻击活动后发现，BEC骗局所发送的邮件多是在工作日，邮件主题通常包含“请求（Request）”“付款（Payment）”“紧急（Urgent）”“发票（Invoice）”“订单（Order）”“账单（Bill）”等字样。其中，“请求”是BEC诈骗邮件主题中最常用的关键字（25%），紧随其后的分别是“付款” （15%）和“紧急”（10%）。

使用金融关键字发起攻击已经成为恶意电子邮件攻击的特征之一。这一发现表明，攻击者利用这种手段的成功率非常高。由于大多数企业每天都会收到大量来自客户和供应商的常规业务邮件，因此一旦这些电子邮件成功躲避安全软件，用户十分容易受到蒙蔽，从而点击邮件。由于BEC骗局的利益回报率十分诱人，预计在2017 年，此类诈骗将会继续呈现增长势头。

电邮成为勒索危害主要途径

2016 年，勒索软件成为个人和企业所面临的重大网络威胁之一。而通过伪装成企业通知或发票等常规业务沟通内容的恶意电子邮件成为勒索软件传播的热门途径。2016 年，勒索软件团伙利用Necurs僵尸网络每天发出上万封恶意电子邮件。而多数如Locky （Ransom.Locky）这样广泛传播的勒索软件都是通过电子邮件进行散播。许多情况下，受害者会收到一封主题为企业发票或收据的邮件，该邮件会以精心撰写的内容诱使收件人打开恶意附件。此后，恶意下载程序便会下载并将勒索软件安装在设备中，随即开始加密计算机上已预编程的一系列文件，然后实施勒索。

大多数最新的勒索软件使用强密码手段，这就意味着，受害者在没有加密密钥的情况下几乎不可能打開被加密文件。由于勒索软件变种会不定期出现，赛门铁克强烈建议用户对尤其包含URL和附件的未知电子邮件保持警惕。罗少辉认为：“利用电子邮件发动网络攻击数据的增长表明，攻击者正在利用这种方式大发横财，我们预计在未来一年，电子邮件依然会继续成为网络攻击的主要途径之一。