24個零日漏洞被發(fā)現(xiàn),網(wǎng)絡(luò)攻擊肆無忌憚
賽門鐵克的研究顯示,零日漏洞的數(shù)量在2014年創(chuàng)歷史最高。軟件公司平均需要59天來生成和推出補(bǔ)丁,而在2013年僅需4天。網(wǎng)絡(luò)攻擊者在補(bǔ)丁尚未推出前充分利用該漏洞,以Heartbleed(心臟出血)為例,該漏洞在4個小時內(nèi)迅速被利用并用于發(fā)動攻擊。2014 年,共有24個零日漏洞被發(fā)現(xiàn),網(wǎng)絡(luò)犯罪分子在這些漏洞被修補(bǔ)之前毫無顧忌的利用已知的安全漏洞對企業(yè)發(fā)起攻擊。
魚叉式網(wǎng)絡(luò)釣魚攻擊,增長率達(dá)8%
高級網(wǎng)絡(luò)攻擊者不斷借助針對性極強(qiáng)的魚叉式網(wǎng)絡(luò)釣魚攻擊侵入網(wǎng)絡(luò)。2014年,這種攻擊手段的使用增長率為8%。值得關(guān)注的是,網(wǎng)絡(luò)攻擊的準(zhǔn)確性大幅提高,結(jié)合更多隱蔽式強(qiáng)迫下載惡意軟件(Drive-by malware downloads)和基于 Web 的漏洞,垃圾郵件數(shù)量即使減少了20%,仍舊能夠精準(zhǔn)攻擊目標(biāo)受害者。
70%社交媒體騙局,通過朋友分享而傳播
賽門鐵克公司大中華區(qū)安全產(chǎn)品技術(shù)總監(jiān)羅少輝表示:“網(wǎng)絡(luò)犯罪分子本性懶惰,他們更喜歡利用自動化工具讓不知情的消費(fèi)者來幫助他們進(jìn)行卑鄙勾當(dāng)。2014年,攻擊者利用人們對朋友所分享內(nèi)容的信任,70%的社交媒體騙局都通過用戶手動分享而傳播。”
密碼勒索軟件攻擊受害者,比以前增高45倍
盡管社交媒體騙局可以快速為網(wǎng)絡(luò)犯罪分子帶來收益,但他們卻并不滿足于此,網(wǎng)絡(luò)犯罪分子還采用勒索軟件等卑劣的攻擊方法獲取暴利,這樣的攻擊在去年增加了 113%。值得關(guān)注的是,在2013年,密碼勒索軟件攻擊的受害者比以前增高了45倍。
密碼勒索軟件的攻擊策略并不會采取傳統(tǒng)勒索軟件那樣,偽裝成執(zhí)法部門對盜取內(nèi)容收取罰金的方式,而是更加惡劣地劫持受害者的文件、照片和其他數(shù)字內(nèi)容,毫不掩飾他們的攻擊目的。
企業(yè)對策
1.不要毫無準(zhǔn)備:采用高級威脅智能解決方案,幫助用戶及時發(fā)現(xiàn)入侵信號并做出快速響應(yīng)。
2.保持強(qiáng)大的安全態(tài)勢:部署多層端點(diǎn)安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、加密、強(qiáng)大有效身份的驗證和采取擁有高信譽(yù)的技術(shù)。與安全托管服務(wù)提供商合作,增強(qiáng) IT 團(tuán)隊的防范能力。
3.為最壞的情況做準(zhǔn)備:事件管理可確保用戶的安全框架得到優(yōu)化,并具備可測量和可重復(fù)性,而且還可幫助用戶吸取教訓(xùn)以改善安全態(tài)勢??紤]與第三方專家開展合作,從而強(qiáng)化危機(jī)管理。
4.提供長期且持續(xù)的教育和培訓(xùn):創(chuàng)建指導(dǎo)方針及公司策略及程序,以保護(hù)個人和公司設(shè)備上的敏感數(shù)據(jù)。定期評估內(nèi)部調(diào)查團(tuán)隊,進(jìn)行實(shí)踐演練,確保用戶擁有有效對抗網(wǎng)絡(luò)威脅的必要技能。
消費(fèi)者對策
1.使用安全性高的密碼:無論如何強(qiáng)調(diào)該建議都不為過。為賬戶和設(shè)備設(shè)置強(qiáng)大而獨(dú)特的密碼,定期進(jìn)行更新,建議每三個月進(jìn)行一次。切勿將相同密碼用于多個賬戶。
2.謹(jǐn)慎使用社交媒體:切勿點(diǎn)擊來源不明的網(wǎng)絡(luò)鏈接,尤其是來自陌生人的電子郵件或社交媒體信息。詐騙者知道人們往往會點(diǎn)擊來自朋友的鏈接,這會讓他們侵入相關(guān)賬戶,并向賬戶擁有者的聯(lián)系人發(fā)送惡意鏈接。
3.了解自己所分享的權(quán)限:在安裝家庭路由器、恒溫器等網(wǎng)絡(luò)連接設(shè)備或下載新應(yīng)用時,認(rèn)真審核權(quán)限許可,了解自己將會分享哪些數(shù)據(jù)。在不需要時禁用遠(yuǎn)程訪問功能。