最近的威胁研究表明，在2020年的前六个月中，网络犯罪分子采用了常规的攻击策略，以利用全球大流行的流行，并针对因急剧转移到远程工作人员而扩大的攻击面。对于负责确定威胁和适当保护网络的安全团队而言，了解这一趋势至关重要。

最大的挑战之一是NOC和SOC团队的双刃剑，他们必须转换其网络以将大多数最终用户从在传统边界内工作转变为现在从家庭办公室进行连接。许多人不得不在自己远程工作时这样做。降低了整个网络的可见性和控制力，使组织面临仅几周前才存在的风险。不管喜欢与否，臭名昭著的未打补丁且不受保护的家庭网络现在已成为扩展公司网络的一部分。

网络犯罪分子了解这一点，并相应地修改了其攻击策略。根据最近的威胁数据，IPS签名已检测到针对目标家庭路由器和IoT设备的攻击急剧上升。此外，尽管2020年有望发布历史上数量最多的CVE，但仍有65％的组织报告检测到针对2018年发现的漏洞的威胁。超过四分之一的公司注册了15年前尝试利用CVE的尝试。

向较旧漏洞的过渡表明，网络犯罪分子正在努力针对驻留在家庭网络上的安全性较低的设备，例如未打补丁的路由器和DVR系统。目标是在此处建立滩头堡，然后通过远程工作人员发起的远程连接将尾巴重新穿入公司网络。

它正在工作。僵尸网络活动与IPS检测不同，表示网络成功入侵。在过去的六个月中，它被两个较旧的威胁所控制。在2016年首次检测到的Mirai以及从2014年开始检测到的Gh0st在过去六个月中一直在全球和所有行业的僵尸网络活动中排名第一。

这些数据点与攻击策略的急剧变化直接相关。与COVID-19相关的主题主导了基于Web和电子邮件的网络钓鱼攻击。浏览器现在已经成为主要的攻击媒介，远远超过了电子邮件作为传递这些较旧恶意软件有效载荷的主要来源。这部分是由于远程工作者在没有公司防火墙保护的情况下更频繁地浏览Internet。这也是因为电子邮件仍通过公司安全的电子邮件网关进行传递。这些攻击针对远程新手，并带有关于大流行的信息的保证，通常声称来自世界卫生组织或疾病控制中心等公共机构。其他包括针对假装正在紧急订购医疗用品的医疗保健制造商的发票。

这对安全团队意味着什么？

通过了解这些最新的威胁趋势，安全团队需要采取措施以确保正确更新其安全策略（包括识别和跟踪新的IOC），以便可以正确地监视和关闭这些攻击和攻击媒介。这是网络安全专业人员需要考虑的一些行动的清单。

升级和保护端点设备–即使远程工作人员仍在使用个人设备远程连接到公司资源，也必须抬起安全栏。这包括要求对这些设备进行正确的修补，安装安全软件以及对远程连接进行适当的保护，以防止在家庭网络上运行的潜在受到破坏的设备。除传统的AV / AM软件外，安全解决方案还应包括新的端点检测和恢复（EDR）工具，以识别复杂的攻击并防止恶意软件在远程设备上执行。应该特别注意升级和强化浏览器，以及实施一种代理程序，以通过基于云的Web安全网关保护所有Internet浏览（无论是在网络上还是在网络外）。

升级安全电子邮件网关–尽管浏览器已成为这些新攻击策略的主要攻击媒介，但电子邮件仍然代表着恶意软件传递的重要媒介。但是，如果电子邮件网关更有效地识别和剥离恶意附件，则不会发生此类攻击。考虑升级或更新现有的安全电子邮件网关，以确保它们包括沙盒以识别以前未知的威胁，以及新的内容撤防和重建（CDR）技术以清除嵌入在电子邮件中的恶意代码，宏和可执行文件。

检查所有VPN流量–即使采取了上述措施，某些恶意软件仍会通过。威胁执行者有意将VPN隧道作为目标来传递恶意软件和泄露数据，因为他们知道，大多数安全解决方案都没有足够的能力来检查流入和流出网络的新VPN流量。组织需要认真考虑用能够检查加密流量的设备替换旧防火墙，而不会造成关键业务应用程序和工作流的瓶颈。同样，需要访问敏感数据的公司超级用户（例如系统管理员，服务台人员和主管）也应该使用安全SD-WAN技术升级其家庭网络。

增加OT防御–来自家庭工人的恶意软件，以及新的勒索软件和其他攻击，越来越多地针对OT环境。该EKANS勒索软件和Ramsay间谍框架（旨在收集和泄漏在间隔较大或高度受限的网络中的敏感文件）只是网络犯罪分子如何找到渗透OT网络新方法的两个例子。OT安全性必须限制用户，设备，应用程序和工作流可以访问的资源。应当在整个网络中实施实施零信任网络访问（ZTNA）策略（包括网络分段），尤其是在OT环境中，以确保SCADA和ICS系统以及较旧的未修补监视和管理系统的安全。这将确保即使恶意软件设法绕过边缘安全控制，它仍将限于OT网络的一小部分。

审查勒索软件的安全措施–以COVID-19为主题的网络钓鱼攻击包括各种勒索软件有效载荷，包括Netwalker，Ransomware-GVZ和CoViper变体。勒索即服务（RaaS）攻击范围也扩大了，使非熟练和业余攻击者也可以进入竞争。Phobos是利用远程桌面协议（RDP）获得网络访问权的勒索软件，它是最新的勒索软件工具之一，可在暗网上作为一种服务提供。组织应该已经拥有强大的勒索软件策略，例如将完整的数据和系统备份存储在脱机和离线网络中，以确保快速恢复。但是，网络勒索者为其攻击策略增加了新的缺陷。不仅数据被加密，而且副本也被加载到服务器上，存在着如果不支付赎金就将其公开的威胁。这意味着需要对网络内部的数据（无论是处于静止状态，处于使用状态还是处于移动状态）进行加密，以使网络罪犯无法使用或公开这些数据。当然，

良好的安全性始于良好的情报

如果CISO和其他安全专业人员要采取适当的对策，则必须紧跟最新的安全趋势，例如2020年上半年发生的攻击策略的重大转变。现在，比以往任何时候都更好的防御网络威胁的方法就是提供良好的信息。如果安全团队要保持领先地位，则至关重要的是，利用关键威胁情报（包括威胁报告），收集情报源并为情报源做贡献，并保留与网络连接的每个设备交叉引用的IOC的更新列表。当今的网络犯罪策略。