科技云报道原创。
就在全国人民万众一心抗击疫情之际,不少黑客犯罪团伙却公然盯上了“新冠病毒”疫情题材,以此为诱饵对我国医疗机构和众多远程办公企事业单位发动了网络攻击,让这场本就步履维艰的疫情之战,更加艰难。
“新冠病毒”重大疫情当前,无论是国家、企业、医疗机构还是个人,都投入到了一场史无前例的抗疫战役中。
然而,就在医护和防疫人员生死奋战在前线、不休不眠与时间赛跑之际,一场新的“抗疫战役”已经在网络世界悄然打响。
据奇安信病毒响应中心、微步在线威胁情报平台等多个国内信息安全企业监测平台报告,从春节期间至今,已发现多起利用新型冠状病毒肺炎疫情相关题材开展的黑客攻击行动。
就在近几日,某国外APT黑客组织竟然借势趁火打劫,伪装我国卫生主管单位,以疫情文件做诱饵发起钓鱼攻击!
此举不仅令人愤慨至极,也为我国的抗疫之战敲响了警钟。
被黑客瞄准的疫情防控机构
疫情,是当下全国人民最为关心的话题,而这种持续的高度关注,却被不法的黑客团伙利用发动网络攻击,定向瞄准了疫情防控机构和医疗机构。
科技云报道从奇安信方面获悉,2月2日,湖北省某慈善机构受到大流量的DDoS攻击,还出现了相关内部资产被暴露等信息泄露问题。
事实上,疫情期间的网络空间暗流涌动,很多疫情防控相关单位的官方网站都在遭受网络攻击。据奇安信安域团队不完全统计,“疫情期间,拦截Web应用攻击超过150万次、CC攻击超过3亿次”。
作为实时通报疫情发展情况的最重要渠道,官方网站一旦被攻破,无论是因网站被篡改而“发布”了不实信息,还是网站后台用户数据泄露,导致的后果都将难以设想。
对此,奇安信安域团队应急接管了近30个疫情防控相关单位的网站,近200个域名免费接入安域。
然而,令人不安的是,黑客团伙并没有就此收手。就在全球齐心抗疫攻坚之际,某境外APT黑客组织竟公然瞄准我国医疗机构发动攻击。
据微步在线相关负责人介绍,该组织建立了一个伪装成为我国卫健委域名的可疑网站nhc-gov.com,该网站至少存在两条可疑链接,会投递与武汉新型肺炎相关的恶意文档,如:“武汉旅行信息收集申请表.xlsm”、“卫生部指令.docx”。
通过诱引受害者点击网站,下载含有恶意代码的文档,或者发送电子邮件附件方式,通过相关提示诱导受害者执行宏命令,实现持久化攻击。
本次攻击的目标,以医药、卫生、防疫行业领域和有过武汉旅历的人为重点,以控制被害者电脑,恶意破坏,或窃取医疗相关敏感数据信息为目的。
一旦其“攻击阴谋”得逞,轻则丢失数据、引发计算机故障,重则影响各地疫情防控工作的有序推进,危及个人乃至企业政府等各机构的网路安全。同时也给疫情制造了更多的恐慌,扰乱中国的稳定。
别有用心的黑客组织进攻,让这场本就步履维艰的疫情之战,更加艰难。
安全堪忧的远程办公
在疫情突发影响下,全国迎来了史上最大规模的一次集体性远程办公。一时间,视频会议、文档协同、远程接入等各种远程办公软件爆红,成为办公人群的热门话题。
就在人们讨论“某远程办公软件卡顿,某视频会议工具崩溃了,VPN连不上”等话题之际,线上办公带来的安全风险已悄然浮现。
腾讯安全专家在接受科技云报道采访时表示,对于安全团队来说,疫情期间“全员上云”带来的BYOD、数据安全、端点安全、身份与访问管理、云服务连续性、个人隐私安全等,都成为新的难题和挑战。
事实上,2月3日开工当天,由于部分远程会议软件崩溃,很多人开始在网络下载新的远程办公软件。还有很多企业没有要求员工在远程办公中通过VPN连接内网,很多员工为了更加效率的与同事沟通工作,大量使用个人账号下的协同办公工具,在移动端通过截屏、复制粘贴、分享等方式对外分享办公文件或数据。
在瑞数信息CTO马蔚彦看来,“远程共享访问中权限过度开放,以及针对疫情、远程办公、远程教学等业务所需的大规模数据采集和分享”,都使得企业IT系统和数据安全的受攻面成几何级数放大。
针对此次远程办公中暴露出的种种信息安全问题,腾讯安全将其总结为五个方面:远程办公的后端系统安全,传输过程中的安全,接入终端测安全,网络环境安全,接入员工身份安全及行为安全。
以接入终端测安全为例,由于此次远程办公事发突然,全国大部分的在家办公人群,都使用了个人电脑和手机作为临时办公工具,不少网友晒出了电脑、手机、Pad等多种移动终端共同办公的图片。
由于移动终端及其数据的访问管理、跟踪审计难度很高,若缺乏必要管控手段,办公人员将敏感的商业信息和个人资料存在个人移动终端中,很可能会造成办公数据的泄露。
同时,移动终端使用者可能从不受监管的第三方下载并安装移动应用程序,而这些应用程序可能预先被感染或被篡改,一旦被木马、病毒等恶意程序感染,则存在办公系统登录账号、密码被窃取,敏感办公信息被泄露的风险。
企业自然不希望发生此类网络病毒感染、数据泄露等问题。指掌易相关负责人告诉科技云报道,对安全控制考虑比较周到的企业客户,例如金融、运营商、大型制造业企业等,都会采用移动端安全软件来保护企业数据的安全。
而对于远程办公中需要员工接入内网的企业而言,接入员工的身份认证和行为安全就成为内网安全的重要一环。
派拉软件相关负责人在采访中表示,在远程办公中,无边界的业务访问越来越多,企业经营数据、办公流程、网络资源都面临身份识别、认证鉴权、合规审计各方面的安全风险和隐患,需要实现高级别的安全可信。
在后端系统安全方面,服务器安全则是安全防护最后一道防线。青藤云安全专家在接受科技云报道采访时表示,“服务器作为承载企业数据资产最重要的基础设施,一直都是黑客最喜欢的资产”,建议企业采用专业主机安全防护产品,确保做到及时发现问题。
面对企业在远程办公中遇到的种种安全问题,深信服安全专家在采访中表示,根据不同场景和办公人员,企业可以采用不同的安全防护方案,例如:
针对市场岗、职能岗等数据相对不敏感的场景,理想方案是通过SSL VPN搭建远程应用安全接入平台,支持身份认证、传输加密、权限控制等端到端防护体系,保障员工远程接入内网应用的安全性。在疫情期间,建议选择软件方式远程完成部署和调试。
针对研发、外包、财务、呼叫中心等数据敏感的场景,轻量级方案是在公司电脑上开通RDP,然后通过VPN发布远程桌面,适用小规模临时使用场景。更理想的方案是直接部署VDI(虚拟桌面),将办公桌面迁到数据中心,桌面、应用和数据都在云上,数据不落地,支持USB等统一管控,为员工提供一个安全可控的远程桌面办公环境。
除了以上诸多的网络安全隐患,山石网科专家在采访中也表示,远程办公还会对企业的IT运维带来了挑战。
一方面,远程办公增加了系统通过互联网访问的压力,边界防护需要考虑增扩展性和性能保障;另一方面,IT人员远程管理大量设备,下发策略需要有统一的管控平台,同时,IT系统供应商也应该通过不间断的服务远程协助保障用户的网络通畅。
值得注意的是,在采访过程中,多家信息安全企业的专家都指出了一个安全防护的关键点,“最大的安全风险,其实是没有安全意识”。
尤其是在远程办公期间,企业应加强员工安全意识教育,比如防钓鱼电子邮件、使用安全WIFI、保护个人电脑安全等。
疫情下的网络安全支援
在这场疫情防控战中,全国人民众志成城驰援疫区,一些企业热心地提供了有限期的免费服务和应用,如:免费的正版电子书阅读、优惠报名的线上学习和考试等。满满的感动之余,网络攻击的残酷现实却不容忽视。
瑞数信息CTO马蔚彦特别指出,这些免费服务和应用也会被大量自动化攻击工具和爬虫所利用,给企业安全和IT运维带来巨大的困扰。
马蔚彦建议,快速上线的网站和应用要做好基础的访问控制,以及防入侵、防漏洞、防瘫痪、防泄密、防篡改等基础安全工作,同时加强安全监控和快速响应。
无论是黑客组织针对医疗机构的定向攻击,还是黑客利用远程办公、疫情驰援等事件发起的网络攻击,突发的疫情都增加了各种网络安全事件和网络风险。
针对这一现象,国内大量的信息安全企业都在自发的贡献自己的专业力量。
例如,疫情特殊时期,为了防止口罩等有限物资被黄牛、黑灰产恶意占用,导致需要物资的人群未得到有效援助,阿里云安全团队为口罩等物资预约、摇号领取等疫情防控公益场景,提供免费防黑灰产作恶等风险识别服务。
针对疫情中涌现出的大量的健康申报需求,派拉软件为企业免费提供员工健康申报系统,以保护人员的信息安全。目前,已在一汽-大众、吉林大学等企业和机构中运行。
微步在线则在疫情期间免费推出云化OneDNS服务,为企业远程办公场景和新设医疗机构提供对网络威胁的防护能力。
为了减轻企业远程办公的业务运行及安全运维负担,腾讯安全自2月5日起正式启动「网络安全护航计划」,在疫情期间将为企业免费提供远程办公安全服务。同时,在疫情期间,腾讯安全协助全国多个省市政府做好疫情服务小程序的安全防护工作。
奇安信则发起了网络安全行业迄今为止最大规模的一次捐赠行动。自1月25日紧急成立新型冠状病毒感染的肺炎疫情防控支援团后,奇安信向全国19个省、市、自治区,100多家医院和疾控等疫情防控一线单位捐赠专业设备和安全服务,达成的意向捐赠金额累计已经达到5000万元。
事实上,全力驰援疫情的信息安全企业不胜枚举,由于本文篇幅有限,无法一一列举。截止本文发布之际,仍有大量的信息安全人员奋战在防疫狙击战的第一线,为这场看不见的网络防疫战役而战斗。
愿我们齐心协力,早日打赢这场防疫战役!
微信公众账号:科技云报道