以结果为导向的网络安全需要全面的方法

 

Positive Technologies 信息安全分析师 Fedor Chunizhekov 谈论了该地区不断变化的网络安全形势，并重点介绍了其 "中东网络安全威胁形势 "报告中影响中东地区的要点。他还强调，为了解决核心安全问题，我们需要采用一种全面的方法来实现以结果为导向的网络安全。

中东地区的网络安全形势在过去一年中发生了哪些变化？

中东地区是网络安全形势紧张的最佳范例。这是由于繁荣的经济和高数字化率的独特组合吸引了全球恶意行为者的注意。中东国家因网络攻击遭受的损失逐年增加并不令人意外。

在我们最近发布的 "中东网络安全威胁形势 "报告中，我们发现中东地区所有成功的攻击中有 83% 是有针对性的。原因有很多：

• 中东是重要的油气生产和运输地区。这使得该地区特别容易受到针对油气田、发电厂、港口和机场等关键基础设施的网络攻击。
• 该地区的地缘政治紧张局势导致训练有素的威胁团体不断活动，他们实施有针对性的网络攻击和网络间谍活动。
• 黑客活动分子也构成了相关威胁，他们的攻击目的不是获取经济利益或收集数据，而是通过大规模的DDoS 攻击和网站篡改，引起公众对各种社会或政治问题的关注。

中东地区的另一个特点是恶意行为者在使用恶意软件进行攻击时使用擦除器。当这种恶意软件感染设备时，它会清除所有用户和系统文件，导致设备崩溃。

中东企业面临的主要网络安全挑战是什么？

2023 年中东国家面临的重大安全威胁包括:

• 对政府组织的网络攻击 -- 网络犯罪分子或 APT 组织可能会破坏政府系统，以获取机密数据、进行网络间谍活动、破坏运营或影响决策过程。
• 对关键基础设施的持续攻击 -- 对关键基础设施的攻击可能对组织本身和国家的经济或安全造成最严重的后果。为此，攻击者可能会以能源、电信、金融、医疗保健和交通部门的组织为目标。
• 勒索软件 -- 与世界其他地区一样，勒索软件在中东也是一种威胁。根据一份报告，2023 年第一季度，这些组织的活动增加了 77%。
• 网络钓鱼和社交工程--基于网络钓鱼和社交工程方法的攻击将被实施，以获取对组织和个人的访问权限。
• 恶意软件的传播 -- 使用恶意软件（远程访问木马、间谍软件、勒索软件）的攻击仍将是对组织和个人用户的严重威胁。
• 黑客行动主义-- 黑客行动主义者可以利用网站篡改、DDoS 攻击或恶意软件注入来破坏信息系统，并在未经授权的情况下获取机密信息。

是什么导致了网络攻击的增加，哪些经济部门更容易受到此类攻击？

在中东地区，政府机构是网络犯罪分子最有吸引力的攻击目标，占机构受攻击总数的 22%。
针对中东政府机构的攻击有一个显著特点，即主要由 APT 组织（56%）实施，他们以网络间谍为目的，长期隐蔽地建立在受害者的基础设施中。这些攻击者技术娴熟，拥有一整套恶意软件和漏洞利用程序，可以入侵系统并窃取数据。

TA456 组织展示了一种利用社交工程的有趣攻击类型：攻击者创建了一个诱人女孩的虚假档案，以在通信中获得政府雇员的信任并分发间谍软件。根据我们的威胁景象报告，国家机构遭受网络攻击的主要后果是核心活动中断（36%）和机密信息泄露（28%）。

工业部门组织占中东国家国内生产总值的很大一部分，在市场上具有很高的价值，同时积累了大量的机密数据，因此吸引了恶意行为者的注意：在最受攻击的行业中排名第二（16%）。

攻击者通过社交工程渠道攻击用户（33%），从而进入受害者的系统；在 62% 的使用恶意软件的攻击中，使用了远程管理工具和清除器（31%）。

尽管多年来以网络安全为名消耗了大量技术，但为什么组织仍然比以往任何时候都更容易受到攻击？

在中东地区，78% 的组织网络攻击以计算机、服务器和网络设备为目标。这是由于针对终端设备和服务器的APT 集团以及勒索软件集团的活动造成的。

对用户（41% 的组织和 96% 的个人）的攻击是当前最普遍的攻击方式之一；根据一份报告，2022 年，包括中东地区在内的 80% 以上的黑客攻击事件都是人为因素造成的。

网络资源是组织中最受攻击的三大目标对象--攻击者利用网络漏洞窃取用户数据。此外，网络应用程序也是黑客分子进行篡改和 DDoS 攻击的目标。

组织如何解决网络安全问题？

由于网络犯罪分子的活动日益猖獗，网络攻击成功后后果严重，中东地区的组织必须优先考虑网络安全问题。

它们需要实施各种工具、服务和做法，以提高监控和应对信息安全事件的能力，并提高员工的警惕性，防止网络攻击。

解决核心安全问题的最相关方法是以结果为导向的网络安全综合方法，其目的是建立一个强大的自动化系统来保护整个 IT 基础设施。

要建立这样一个系统，组织需要识别和评估需要保护的信息资产，并确定网络攻击会如何阻碍组织成功实现运营和战略目标。

一旦确定了资产和不可容忍的事件，就需要启用有效网络安全的三个关键要素：

1. 监控--实时安全系统应了解受保护资产正在发生什么，以及基础设施元素在多大程度上符合安全设置。

实施 SIEM（安全信息和事件管理）系统可让安全团队监控和分析安全事件、检测攻击并评估受保护基础设施元素是否符合安全要求。

2. 响应 -- 系统必须了解攻击者的意图，以便快速有效地对事件做出响应，防止发生不可容忍的事件。

将 XDR（扩展检测和响应）和 SIEM 解决方案结合起来，就可以检测基础设施中的攻击，并手动和自动地对其做出响应。通过使用沙箱对高级恶意软件等威胁进行统计和动态分析，可以增强威胁检测和响应能力。

在专家事件调查中，NTA（网络流量分析）解决方案可用于深度流量分析和恶意活动检测。NTA 解决方案还可充当 SIEM 传感器，显示网络状态信息，并作为主动猎杀威胁的工具。

3. 资产管理 -- 安全系统的主要功能之一是不断清点资产并对其进行分类，同时考虑到组织不可容忍的事件以及网络攻击可能发展的方式。

漏洞管理系统可自动执行资产管理流程，并根据严重程度检测和修复基础设施组件中的漏洞。漏洞管理系统还能监控基础设施的防护水平，以防在现实世界的攻击中被利用。