无软件勒索只需30分钟

这里是《微步一周荐读》，每周微步在线会从国内外 站筛选出最新、最具价值的安全资讯和技术文章，让大家每周只花5分钟，就能获得安全最新趋势解读。

2021钓鱼攻击增长51%，越来越多来自非邮件渠道

2021年，来自数字 络渠道的钓鱼攻击引发的黑客攻击行为急剧增加。根据SlashNext发布 告显示，2021年发现的1400多万个恶意URL中，超过半数目的为凭据窃取，从而作为勒索软件攻击的入口。相比2020年三位数的增长，今年钓鱼攻击事件增加51%，攻击越来越多来自非邮件渠道。

由于抓住人们通过APP、浏览器作为生活工作连接工具特点， 络犯罪人员更多选择手机短信、 交媒体、游戏、协同工具及搜索类应用等，从事 络犯罪活动。自今年8月以来，从基础设施发起的鱼叉式钓鱼攻击及人为黑客攻击迅速增加。在识别到的所有恶意URL中，12%（79300个）来自AWS、outlook.com、Azure、sharepoint.com等云基础设施。

络攻击大量从邮件攻击转移到手机短信、 交媒体及 页为基础的平台， 会工程攻击2020年也迅速增长，从原本只占6%上升到40%。对于企业安全人员而言，攻击者将 络钓鱼转移到邮件之外，需要考虑除邮件安全 关、防火墙、代理服务器，还有其他更多类型的威胁，同时还需加强对各种 络钓鱼层面的员工安全培训与演练。

远程工作VPN存安全漏洞，可考虑多种安全替代方案

据csoonline指出，随着2020年疫情出现，大规模的企业员工实行在家远程办公，使得VPN暴露出更多其他安全问题。疫情期间，很多企业只快速部署了通用VPN，确保员工可以访问系统。

但大多数VPN只是针对两端流量进行加密，提供最低水平的安全性，通常不强制使用多因素身份认证（MFA)，而一旦员工在家中遭到攻击，就可能导致攻击者通过完全可信的员工访问凭证访问公司 络，大大增加了企业自身的攻击面。

对此，无论是完全取代VPN，还是增加其他补充安全解决方案，企业都必须意识到并部署更适合大规模远程工作的替代性方案，并结合自身安全态势与风险偏好选择。下面这几种方案安全专家都一致认为非常有效：

· 零信任 络访问（ZTNA）本质上是通过代理访问 络应用程序与数据，它能通过最低权限访问、身份认证、工作凭证以及凭证存储等额外形式增加安全性，同时执行对特定系统和 络访问等VPN的基本功能。在被授予访问权限之前，该方案总是假设设备或员工账户可能会被泄露，会对用户和设备双方进行质疑与确认；

· 安全接入服务边缘（SASE）技术 作为一种基于云的模型，SASE将 络和安全功能结合为单一的架构服务，从而可以让企业能够用一个屏幕以单点统一整个 络。SASE这种解决方案，主要是满足了当前企业在 络性能与安全侧的需求，通过额外的 络功能层以及底层云原生安全架构为企业提供简化的管理与操作，更低的成本，提升安全可见性及安全性，从而保证企业在任何地方都能安全工作，解决了零信任 络无法监控端到端流量的问题。

· 统一终端管理（UEM）工具 通过统一终端管理工具进行的条件访问能够通过条件访问能力提供一个无VPN的体验，在设备上运行的代理会评估各种条件，然后才允许用户访问特定资源，如该工具会评估设备的合规性、身份信息、用户行为等，从而确定该用户是否确实可以访问企业数据。通常来说，UEM 提供商会与 ZTNA 提供商集成，从而提供额外保护。

· 虚拟桌面基础设施（VDI）或桌面即服务工具 这种方案本质是从云（或者本地部署服务器）进行流计算，因此不会有任何东西留在设备本地。不过，企业采用这种作为VPN的替代方案时，仍然需要在设备级检查，进行用户身份验证，从而确保安全。与传统VPN相比，优点就是不会有数据从虚拟会话复制到本地客户端。

· 软件定义边界（SDP）是基于软件而不是硬件的 络边界，属于经典 VPN 解决方案的有效替代品。它不仅可以使用多因素身份验证，对 络进行分割，同时还可以配置用户以及连接的设备，创建规则只接入不同场景下真正需要的内容。一旦在 络中检测到可疑行为，SDP 能更轻松阻止对资源的访问，有效隔离潜在威胁，最大限度减少攻击造成的损害，并在误 情况下保持生产，而不是完全禁用设备。

130个不同勒索家族近一年半内保持活跃，Wannacry排第五

近日，谷歌发布 告，通过对过去一年半内VirusTotal服务的超过 8000 万个勒索软件样本进行分析，发现自 2020 年 1 月以来至少有 130 个不同勒索软件家族处于活跃状态。在对大约100万个有代表性且经过双重检查的勒索软件样本更深入分析时，发现最活跃的五个软件家族分别是Gandcrab、Babuk、Ceber、Matsnu、Wannacry。

告指出，Gandcrab勒索软件即服务操作占据最常见勒索软家族榜首，占比78.5%，在2020年第一季度异常活跃，之后急剧下降，但当前仍然活跃。排在第二位的Babuk，则在今年7月的用户提交量达到顶峰。另外，还有一项让人吃惊的发现，即只有 5% 的检查样本包含漏洞利用，典型的勒索软件不会利用漏洞来破坏企业的防御，主要原因在于勒索软件样本通常是使用 会工程或通过病毒释放器（即安装恶意软件的小程序）部署。

在勒索软件分发方面，除非特权提升和恶意软件在内部 络传播需要，攻击者似乎不需要漏洞利用。不过，这并不代表企业不需要对漏洞进行修补，相反企业仍需加强对漏洞的管理，同时让企业所有员工提高对于勒索软件的认识，并采取相关技术手段加强业务安全性。

无需勒索软件，快速 络敲诈勒索时间可在30分钟甚至更短

据NCC集团威胁情 团队的 告显示，一个名为 SnapMC 的新组织可在30分钟甚至更短的时间内破坏企业系统，并窃取敏感数据，要求被勒索企业付款，整个过程不需要勒索软件。

据了解，该组织使用用于 ASPX.NET 的Telerik UI中的CVE-2019-18935远程代码执行错误以及使用 SQL 注入的 络服务器应用程序，成功破坏了未修补且易受攻击的 VPN，并没有通过锁定目标企业的数据和系统来扰乱业务运营，而是专注于直接敲诈勒索。

分析师称，这次完全放弃攻击的加密部分，属于勒索软件商业模式的进一步演变，这种在更短的时间进行简单攻击的趋势，可能会持续下去。对此，企业需要确保只有经过授权且安全的用户或设备才能访问企业基础设施，同时随着数据泄露勒索攻击需要的时间、技术深度与技能更少，通过更加精准的检测能力及时检测到此类攻击，并在短时间内执行事件响应计划至关重要。

世界 络攻击平均响应时间为20.09小时，金融行业响应最快

近日， 络安全公司Deep Instinct发布最新研究，世界各地企业响应 络攻击平均需要2个工作日以上， 告基于对11个国家1500名高级 络安全专业人士进行调研。调查显示，全球针对 络攻击的平均响应时间为20.09小时，较大企业响应更快，平均响应时间为15小时，较小企业行动相对较慢，平均需要25个小时才采取行动。

从行业角度来说，金融行业的响应速度更快，平均响应时间为16个小时。公共部门和医疗卫生部门可能出于资源不足响应最慢，各自平均需要24.4小时和24.0小时来解决。

研究也暴露了企业的安全状况差距，包括缺乏对端点的全面覆盖，云存储风险的暴露以及恶意文件被内部上传到生产系统。根据 告指出，限制企业威胁防护能力最重要的四个因素分别是：企业当前堆栈缺乏全新恶意软件的全面预防、无法在0day威胁激活前将其识别、缺乏训练有素的安全人员能够实施防御措施以及受限于需要保护的终端数量。

另外，有三分之一的受访者认为，部署终端代理的最大挑战是云；80%的受访者表示存储在云中的漏洞会成为不会被检查到的漏洞；68%的则表示，担心同事会不小心上传恶意文件。对此，企业不仅需要将员工这第一道防线进一步牢固，还需通过自动化响应提升整体的响应速度，进一步发挥终端代理的作用，提升终端代理的运营效率。