当下互联网威胁环境越来越严峻和复杂,新的威胁速度更快、攻击更准确、攻击技术甚至比企业在安全领域方面运用的IT技术更高级,包括采用云技术、虚拟化技术等。另外,物联网的广泛使用也让用户开始关注安全问题。
作为专注安全领域厂商的赛门铁克公司,近日发布了第二十期《互联网安全威胁报告》,将最新安全动态及时地向企业和个人用户分享,帮助企业和个人用户增强安全防护意识。
企业用户如何面对安全新趋势
据了解,该份报告揭示了全球互联网安全的六个趋势:第一,网络犯罪分子使用新的欺骗手法侵入公司网络;第二,网络犯罪分子在速度和精准度上获胜;第三,恶意软件数量的大幅度上升分散应该部署在高级安全问题的IT资源;第四,数字勒索处于上升趋势:2014年,勒索软件攻击上升了113%;第五,利用消费者对朋友所分享内容的信任,网络犯罪分子实施社交网络和移动诈骗;第六,物联网安全不是一个新兴问题,而将是一个持续的问题。
赛门铁克的研究还显示,零日漏洞的数量在2014年创历史最高,共有24个零日漏洞被发现,网络犯罪分子在这些漏洞被修补之前毫无顾忌地利用已知的安全漏洞对企业发起攻击。与此同时,高级网络攻击者不断借助针对性极强的鱼叉式网络钓鱼攻击。2014年,这种攻击手段的使用增长率为8%,攻击者往往结合更多隐蔽式强迫下载恶意软件和基于 Web 的漏洞进行攻击,这使得他们在企业垃圾邮件数量减少了20%的情况下仍旧能够精准地攻击目标受害者。
为此,赛门铁克公司大中华区信息安全技术销售部区域总监罗少辉谈到,当下的网络环境里,安全威胁不断增多,网络攻击者的攻击手法也不断创新,因此,企业单靠产品和人力根本不足防御安全威胁,企业需要更丰富的安全情报来抵御安全威胁。赛门铁克认为,用户需要进行多重防御,包括在整个网关、终端上加强保护。
另外,企业需要把一些安全事件进行互动,通过连结相关信息来发现高级的攻击。因为如果单纯从邮件的附件有没有恶意程序来进行判断,很多时候是没办法发现网络攻击的。比如勒索软件,他们的附件本身是没有恶意程序的,只有当用户安装这个插件或附件时,他们才会进行恶意攻击。所以要把整串的安全事件串起来,才能把相关的保护做到最完善。
个人用户谨慎使用社交媒体
该份报告还显示,尽管社交媒体骗局可以快速为网络犯罪分子带来收益,但他们却并不满足于此,网络犯罪分子还采用勒索软件等卑劣的攻击方法获取暴利,这样的攻击在去年增加了 113%。值得关注的是,在2013年,密码勒索软件攻击的受害者比以前增高了45倍。密码勒索软件的攻击并不会采取传统勒索软件那样伪装成执法部门对盗取内容收取罚金的方式,而是更加恶劣地劫持受害者的文件、照片和其他数字内容,毫不掩饰他们的攻击目的。
因此,个人用户应该谨慎使用社交媒体,特别是不要点击来源不明的网络链接,尤其是来自陌生人的电子邮件或社交媒体信息。诈骗者知道人们往往会点击来自朋友的链接,这会让他们侵入相关账户,并向账户拥有者的联系人发送恶意链接。 最后,个人用户还应了解自己对各种程序和设备设置的权限,例如在安装家庭路由器、恒温器等网络连接设备或下载新应用时,认真审核权限许可,了解自己允许它们访问哪些数据,并在不需要时禁用远程访问等功能。
并且,随着物联网时代的来临,智能设备已经成为物联网风险的组成部分,赛门铁克公司大北区安全解决方案技术支持部经理马蔚彦表示,近年来针对ATM机、POS机的攻击已有不少惨痛的案例,而面向家用路由器、机顶盒,或者是监控摄像头等设备进行恶意代码的植入也日渐成为物联网安全的重要关注点。
赛门铁克建议到,在安装家庭路由器、恒温器等网络连接设备或下载新应用时,认真审核权限许可,了解自己将会分享哪些数据,在不需要时禁用远程访问功能。与此同时,为账户和设备设置强大而独特的密码,定期进行更新,切勿将相同密码用于多个账户。
马蔚彦谈到,通过本次赛门铁克第二十期《互联网安全威胁报告》的发布,我们也希望能够引起更多企业及用户对于互联网安全的重视,尽早采取防御手段,防患于未然。在攻击手段赶超防御技术的当下,企业及个人用户所面临的互联网安全威胁态势依旧严峻,不容小觑。
