您的浏览器不支持JavaScript!

已存档页面: 2020信息安全提示

你好。 您已到达存档页面。 此页面上的内容和链接不再更新。 寻找服务? 请返回我们的主页

九月2020 - 恶意软件、恶意域名等等:网络犯罪分子如何攻击 SLTT 组织

网络犯罪分子继续以惊人的速度攻击美国州、地方、部落和领土 (SLTT) 政府组织。攻击者经常以 SLTT 组织为目标,因为他们知道他们的安全团队需要运行复杂的网络,以及处理大量第三方系统和服务。许多 SLTT 网络安全团队还面临着安全预算减少以及熟练的网络安全和网络专业人员短缺的问题。COVID- 19 ,以及随之而来的政府雇员远程办公的增加和公民对政府资源在线访问的请求,只会增加他们的安全挑战。

网络犯罪分子的 SLTT 攻击策略

网络犯罪分子针对 SLTT 组织最喜欢的攻击媒介之一是恶意软件。恶意软件是旨在对设备执行恶意操作的恶意软件。它可以通过电子邮件或恶意网站等各种形式引入系统。不同类型的恶意软件根据其预期用途具有不同的功能,例如泄露机密信息、更改系统中的数据、提供对系统的远程访问、向系统发出命令或破坏文件或系统。
 

虽然恶意软件有多种形式,但针对 SLTT 组织最常用的类型是勒索软件。勒索软件是一种恶意软件,它会阻止对系统、设备或文件的访问,直到支付赎金为止。勒索软件通过加密端点上的文件、威胁删除文件或阻止系统访问DOE这一点。 当勒索软件攻击影响医院、紧急呼叫中心和其他关键基础设施时,其危害尤其严重。2020 年 Verizon 数据泄露调查报告 (DBIR)发现,勒索软件对公共部门的影响尤为严重(超过60 % 的恶意软件事件 vs. 所有行业的27 % 的恶意软件)。此外,多州信息共享和分析中心 (MS-ISAC) 观察到的事件显示,从 1 月2018到 12 月2019 ,SLTT 勒索软件攻击增加了153 %。在2019 ,有超过100起针对 SLTT 组织的勒索软件攻击被公开披露,其中包括对巴尔的摩市 IT 系统的攻击,该攻击导致数千台计算机锁定,几乎所有城市服务中断。据估计,这次攻击给该市造成的损失高达18万美元。影响 SLTT 组织的其他常见恶意软件类型包括:

  • 特洛伊木马是一种看似可以安装的合法应用程序或软件的恶意软件。木马可以为攻击者提供后门,进而获得对设备的完全访问权限,从而使攻击者能够窃取银行和敏感信息,或下载其他恶意软件。2020 Verizon DBIR 的调查结果显示,公共部门中超过50 % 的恶意软件事件都与木马变种有关。
  • 下载程序或投放程序是恶意软件,除了自身的恶意行为外,还允许其他通常更危险的恶意软件渗透到受感染的系统。2020 Verizon DBIR 收集的数据显示,近25 % 的公共部门事件涉及下载程序或植入程序。
  • 间谍软件是一种恶意软件,它会记录击键、通过计算机麦克风监听、访问网络摄像头或截取屏幕截图并将信息发送给恶意行为者。这种类型的恶意软件可能让行为者能够访问用户名、密码、使用键盘输入或在显示器上显示的任何其他敏感信息,以及可能通过网络摄像头查看的信息。键盘记录器主要记录击键,是最常见的间谍软件类型,其中最著名的键盘记录器 ZeuS 已连续数年位列 MS-ISAC 的热门10恶意软件榜单。
  • 点击欺诈是一种恶意软件,它会对载有广告的网站产生虚假的自动点击。这些广告被点击后就会产生收入。点击次数越多,产生的收入就越多。Kovter 是点击欺诈中较为常见的一种,过去几年一直位列 MS-ISAC 的热门10恶意软件名单中。

保护您的组织免受恶意软件侵害

恶意软件最常见的进入 SLTT 组织的方式是,通过恶意垃圾邮件、未经请求的电子邮件(将用户引导至恶意网站或诱骗用户下载或打开恶意软件)或恶意广告(通过恶意广告引入的恶意软件)。这些载体和它们可以引入您组织的 IT 系统的各种类型的恶意软件之间的共同点是,它们几乎总是涉及用户或他们无意下载的连接到恶意网络域的恶意软件。

为了帮助 SLTT 组织保护自己免受这些常见类型的网络攻击,互联网安全中心 (CIS) 通过 MS-ISAC 和选举基础设施信息共享和分析中心 (EI-ISAC) 与美国国土安全部 (DHS) 网络安全基础设施安全局 (CISA) 和 Akamai 合作,免费向 MS- 和 EI-ISAC 的美国 SLTT 政府成员提供新的恶意域名阻止和报告 (MDBR) 服务。该服务允许 SLTT 安全团队快速添加额外的网络安全保护层,以防止其系统连接到恶意网络域,并增强其现有的网络防御。

对于没有资格加入 MS- 或 EI-ISAC 的组织,可以通过 Quad9 获得类似的保护。Quad9 是一个免费的、递归的、任播 DNS 平台,为最终用户提供强大的安全保护、高性能和隐私。Quad9 由全球网络联盟 (GCA) 开发,该联盟是一个国际非营利组织,由执法和研究组织合作创立,致力于以真实、可衡量的方式打击系统性网络风险(CIS 是 GCA 的创始组织)。

关于恶意域名阻止和报告 (MDBR)

MDBR 服务仅适用于 MS 和 EI-ISAC 成员。对于那些没有资格成为会员的人,请参阅下面关于 Quad9 的部分,了解向公众提供的类似服务。
MDBR 主动阻止从组织到已知有害网络域的网络流量,帮助保护 IT 系统免受网络安全威胁并限制与已知恶意软件、勒索软件、网络钓鱼和其他网络威胁相关的感染。此功能仅通过阻止最初到达勒索软件传送域即可阻止绝大多数勒索软件感染。仅在投入服务的前五周内,MDBR 服务就阻止了来自超过300 SLTT 实体的10百万个恶意请求。

一旦组织将其域名系统 (DNS) 请求指向 Akamai 的 DNS 服务器 IP 地址,每次 DNS 查找都会与已知或可疑恶意域的列表进行比较。尝试访问已知恶意域名(例如与恶意软件、网络钓鱼或勒索软件相关的域名)的行为都会被阻止并记录。
Akamai 向 MS 和 EI-ISAC 的安全运营中心 (SOC) 提供所有记录的数据,包括成功和被阻止的 DNS 请求。SOC 使用这些数据进行详细的分析和报告,以改善 SLTT 社区,以及定期的组织特定报告和情报服务。如果有必要,将为每个实施该服务的 SLTT 组织提供补救援助。

任何属于 MS- 或 EI-ISAC 成员的美国 SLTT 政府实体都可以注册 MDBR。由于 CISA 提供了资金支持,他们可以免费享受这一额外的网络安全保护。

关于Quad9

Quad9 会阻止已知的恶意域名,防止您组织的计算机和物联网设备连接到恶意软件或网络钓鱼网站。每当 Quad9 用户点击网站链接或在其网络浏览器中输入地址时,Quad9 都会根据由超过18不同的威胁情报合作伙伴汇编的域名列表检查该网站。每个威胁情报合作伙伴都会提供一个恶意域名列表,该列表基于启发式检查因素,例如扫描的恶意软件发现、网络 IDS 过去行为、视觉对象识别、光学字符识别 (OCR)、结构和与其他站点的链接,以及可疑或恶意行为的个人报告。根据结果,Quad9 会解决或拒绝查找尝试,在匹配时阻止连接到恶意网站。Quad9 通过遍布全球的安全服务器网络路由您组织的 DNS 查询。

每月安全提示通讯中提供的信息旨在提高组织最终用户的安全意识,并帮助他们在工作环境中以更安全的方式行事。虽然其中一些技巧可能与维护家用电脑有关,但提高认识旨在帮助改善组织的整体信息安全态势。

版权信息

这些提示是由弗吉尼亚信息技术局与以下机构协作,在Commonwealth of Virginia向您提供的:

ms-isac 徽标

http://www.us-cert.gov/

上一页< | >下一页