5月13日訊 最近一份研究報告指出，加密貨幣挖礦劫持活動熱潮未退，物聯(lián)網(wǎng)攻擊日益猖獗，勒索軟件則正在經(jīng)歷“市場調(diào)整”。賽門鐵克發(fā)布的互聯(lián)網(wǎng)安全威脅報告顯示，加密貨幣挖礦劫持事件2017年增加了85倍，而物聯(lián)網(wǎng)（IoT）攻擊事件相比2016年增加了6倍。

勒索軟件充斥網(wǎng)絡(luò)犯罪市場

隨著網(wǎng)絡(luò)犯罪即服務(wù)模式的興起，勒索軟件如今在網(wǎng)絡(luò)犯罪市場被視為一種商品。勒索軟件工具越來越多且易于獲取，這使得2017年的平均勒索贖金下降至522美元，不及2016年平均勒索贖金的一半。盡管如此，預(yù)計2018年勒索軟件攻擊的數(shù)量會因這類工具而增多。

加密貨幣挖礦劫持事件猛增

加密貨幣劫持事件在所有互聯(lián)網(wǎng)安全威脅中尤為突出，數(shù)量增加了85倍。加密貨幣劫持相對容易得手，攻擊者僅僅憑借幾行代碼就能在設(shè)備上安裝挖礦軟件，在后臺秘密挖礦。

挖礦程序會耗電，耗設(shè)備的CPU，挖礦程序的設(shè)計精巧的特性使其不易被一般的威脅檢測工具發(fā)現(xiàn)。越來越多的網(wǎng)絡(luò)和物聯(lián)網(wǎng)設(shè)備上被安裝挖礦程序，設(shè)備性能大打折扣，電費成本會增加，云資源也會最大限度地被利用。

有媒體將加密貨幣挖礦熱比作19世紀(jì)的淘金熱，并警告稱，現(xiàn)有應(yīng)對物聯(lián)網(wǎng)攻擊的新技術(shù)將不足以阻止此類活動。鑒于物聯(lián)網(wǎng)驅(qū)動的加密貨幣挖礦攻擊已現(xiàn)苗頭，企業(yè)有必要配備訓(xùn)練有素的員工隊伍應(yīng)對此類威脅。

供應(yīng)鏈攻擊漸露鋒芒

賽門鐵克的報告顯示，供應(yīng)鏈攻擊事件2017年增加了2倍，網(wǎng)絡(luò)犯罪分子正通過此類攻擊尋找攻擊有價值的公司系統(tǒng)的突破口。在供應(yīng)鏈攻擊中，威脅攻擊者通常不會直接攻擊供應(yīng)商。相反，他們會通過供應(yīng)商繞過企業(yè)的網(wǎng)絡(luò)安全機制，NotPetya 就利用了烏克蘭會計軟件中的漏洞訪問更大、更有價值的系統(tǒng)。

供應(yīng)鏈合作伙伴遭遇了攻擊，而真正的“攻擊目標(biāo)”也許并未意識到自身威脅。企業(yè)必須確保供應(yīng)商滿足所有可適用的安全標(biāo)準(zhǔn)。

0Day漏洞利用事件減少，針對性攻擊增多

雖然利用 0Day 漏洞發(fā)動攻擊的事件在減少，但針對性攻擊在升溫。比如，71%的網(wǎng)絡(luò)犯罪團伙去年就利用魚叉式網(wǎng)絡(luò)釣魚感染目標(biāo)，這是因為竊取憑證和繞過安全系統(tǒng)比繞過防火墻更容易。