您的瀏覽器不支援 JavaScript!

已存檔頁面:2020 信息安全提示

你好 您已經到達已存檔頁面。 此頁面上的內容和鏈接不再更新。 正在尋找服務? 請返回我們的主頁

9 月 2020-惡意軟件、惡意網域等:網絡犯罪分子如何攻擊 SLTT 組織

網絡罪犯繼續以令人驚訝的速度瞄準美國州、本地、部落和領土 (SLTT) 政府組織。攻擊者通常會針對 SLTT 組織,因為他們知道其安全團隊需要運行複雜的網絡,以及處理許多第三方系統和服務。許多 SLTT 網路安全團隊也因為安全預算減少,以及資料良好的資訊安全和網路專業人員缺乏能夠填補空缺的職位。COVID-19,以及隨後政府員工的遠程工作和公民對政府資源的在線無障礙請求的增加,僅增加了他們的安全挑戰。

網絡罪犯的 SLTT 手冊

網絡犯罪犯對 SLTT 組織最喜歡的攻擊媒介之一是惡意軟件。惡意軟體是專為在裝置上執行惡意動作而設計的惡意軟體。它可以以各種形式引入系統,例如電子郵件或惡意網站。各種類型的惡意軟件具有不同的功能,取決於其目的,例如披露機密信息,更改系統中的數據,提供對系統的遠端訪問,向系統發出命令,或破壞文件或系統。
 

雖然惡意軟件有許多種類型,但針對 SLTT 組織最常用的類型是勒索軟件。勒索軟件是一種惡意軟件,該惡意軟件阻止訪問系統,設備或文件,直到支付贖金為止。勒索軟體透過加密端點上的檔案、威脅刪除檔案或阻止系統DOE這一點。 當勒索軟件攻擊影響醫院,緊急呼叫中心和其他關鍵基礎設施時,它可能會特別有害。2020 年 Verizon 數據外洩調查報告(DBIR)發現,勒索軟件對公共部門有不比例的影響(超過 60 % 的惡意軟件事件與所有部門的 27% 惡意軟件)。此外,多州信息共享和分析中心(MS-ISAC)觀察到的事件顯示,SLTT 勒索軟件攻擊在 2018 年 1 月至 12 月 2019 之間增加了 153%。在2019 ,有超過100起針對 SLTT 組織的勒索軟體攻擊被公開披露,其中包括對巴爾的摩市 IT 系統的攻擊,該攻擊導致數千台電腦鎖定,幾乎所有城市服務中斷。此攻擊估計導致城市造成高達 18 百萬美元的損失。其他影響 SLTT 組織的常見惡意軟件類型包括:

  • 特洛伊木馬是惡意軟件,似乎是可以安裝的合法應用程序或軟件。特洛伊木馬可以為攻擊者提供後門,然後完全訪問設備,允許攻擊者竊取銀行和敏感信息,或下載其他惡意軟件。來自 2020 Verizon DBIR 的結果顯示,特洛伊木馬變體涉及超過 50 % 的公共部門惡意軟件事件。
  • 下載程序或 Dropper 是惡意軟件,除了其自己的惡意行動外,還允許其他,通常更危險的惡意軟件滲透到受感染的系統。由 2020 Verizon DBIR 收集的數據顯示,近 25 % 的公共部門事件涉及下載器或投遞器。
  • 間諜軟件是記錄按鍵,通過計算機麥克風收聽,訪問網絡攝像頭或截圖並將信息發送給惡意人員的惡意軟件。此類惡意軟體可能會讓玩家存取使用者名稱、密碼、使用鍵盤輸入或顯示在螢幕上顯示的任何其他敏感資訊,以及可能透過網路攝影機檢視的資訊。鍵盤記錄器主要記錄按鍵,是最常見的間諜軟件類型,而最著名的鍵盤記錄器 ZeuS 已經在 MS-ISAC 的 Top 10 惡意軟件列表上了幾年。
  • 點擊欺詐是惡意軟件,會對載有廣告的網站產生假自動點擊。點擊這些廣告時會產生收入。點擊次數越多,產生的收入就越多。Kovter 是點擊詐騙更多的版本之一,過去幾年來一直在 MS-ISAC 的頂級 10 惡意軟件列表中。

保護您的組織免受惡意軟體侵

惡意軟件通常通過惡意垃圾郵件、將用戶引導到惡意網站或誘騙使用者下載或開啟惡意軟件的未經請求的電子郵件進入 SLTT 組織,或是惡意廣告引入惡意軟件的惡意軟件。這些載體和它們可以引入您組織的 IT 系統的各種類型的惡意軟體之間的共同點是,它們幾乎總是涉及用戶或他們無意下載的連接到惡意網路域的惡意軟體。

為了幫助 SLTT 組織保護自己免受這些常見的網絡攻擊,互聯網安全中心(CIS)通過 MS-ISAC 和選舉基礎設施信息共享和分析中心(EI-ISAC)與美國國土安全部(DHS)網絡安全局(CISA)和 Akamai 合作,為美國 SLTT 政府成員免費提供其新的惡意域封鎖和報告服務(MDBR)服務其中的 MS 和 EI-ISAC。該服務允許 SLTT 安全團隊快速添加額外的網絡安全保護層,防止其系統連接到惡意 Web 域,並增強其現有的網絡防禦。

對於沒有資格加入 MS 或 EI-ISAC 的組織,可以通過 Quad9 獲得類似的保護。Quad9 是一個免費、遞迴的 Anycast DNS 平台,可為終端使用者提供強大的安全保護、高性能和隱私。Quad9 由全球網絡聯盟(GCA)開發,這是一個由執法機構和研究組織的合作夥伴關係創立,專注於以真實、可衡量的方式打擊系統性網絡風險(CIS 是 GCA 的創始組織)。

關於惡意網域封鎖和報告 (MDBR)

MDBR 服務僅適用於 MS 和 EI-ISAC 的成員。對於那些不符合會員資格的人,請參閱下面的 Quad9 部分,了解適用於普通公眾的類似服務。
MDBR 主動阻止從組織到已知有害網路域的網路流量,協助保護 IT 系統免受網路安全威脅並限制與已知惡意軟體、勒索軟體、網路釣魚和其他網路威脅相關的感染。這項功能只是防止初始接觸到勒索軟件傳遞網域,就可以阻止絕大多數勒索軟件感染。只在服務的前五週內,MDBR 服務阻止了來自 300 以上的 SLTT 實體的 10 百萬個惡意請求。

一旦組織將其網域名稱系統 (DNS) 請求指向 Akamai 的 DNS 伺服器 IP 位址,每個 DNS 查詢都會與已知或懷疑惡意網域的清單進行比較。嘗試存取已知惡意網域,例如與惡意程式、網路釣魚或勒索軟體相關聯的網域,會被封鎖並記錄。
Akamai 將所有記錄的數據提供給 MS 和 EI-ISACS 的安全操作中心 (SOC),包括成功和封鎖的 DNS 請求。SOC 使用這些數據進行詳細的分析和報告,以改善 SLTT 社區,以及定期組織特定的報告和情報服務。如有必要,每個執行服務的 SLTT 組織都會提供補救援助。

任何屬 MS 或 EI-ISAC 成員的美國 SLTT 政府實體都可以註冊 MDBR。由 CISA 提供的資金支持,他們可以完全免費利用這個額外的網絡安全保護層。

關於 Quad9

Quad9 封鎖已知惡意網域,防止組織的電腦和物聯網裝置連線到惡意軟體或網路釣魚網站。每當 Quad9 用戶點擊網站鏈接或在其網絡瀏覽器中輸入地址時,Quad9 會根據由 18 多個不同威脅情報合作夥伴所編製的網域清單檢查該網站。每個威脅情報合作夥伴都會提供一份惡意網域清單,這些網域會根據啟發方式檢查因素,例如掃描的惡意軟體發現、網路 IDS 過去行為、視覺物件識別、光學字元辨識 (OCR)、結構與其他網站的連結,以及個別可疑或惡意行為報告。根據結果,Quad9 解決或拒絕查找嘗試,並在有匹配時防止與惡意網站的連線。Quad9 透過全球的安全伺服器網路路由貴組織的 DNS 查詢。

每月安全提示通訊中提供的資訊旨在提高組織最終使用者的安全意識,並幫助他們在工作環境中以更安全的行為。雖然某些提示可能與家用電腦維護有關,但提高的意識旨在幫助改善組織的整體資訊安全狀態。

版權資訊

這些提示是由維吉尼亞州資訊科技局與以下機構協作,在Commonwealth of Virginia向您提供的:

MS-伊薩克標誌

http://www.us-cert.gov/

上一頁 < | > 下一頁