威胁横移时间减少67%；终端EDR覆盖率仅30% | 微步一周荐读

勒索软件

勒索即服务大行其道，威胁横移时间减少67%

根据SearchSecurity报道，Crowdstrike发布了一份2021威胁狩猎报告，指出威胁的突破时间，也就是在同一网络内从一台受感染主机横向移动到另一台所需要的时间，减少了67%。

报告显示，过去半年的平均突破时间为1小时32分钟，低于2020年的4小时37分钟，而2019年的突破时间则只有1小时58分钟。平均突破时间的变化，反映了攻击者和防守方之间的技术交锋。

平均突破时间减少的原因，一方面是勒索软件攻击者的攻击目标，从个人转向了更大的组织；另外则是勒索软件即服务的出现，使得攻击者可以直接购买攻击工具，更容易、更快速地进入环境，行动更加迅速。

对此，企业最好在勒索软件攻击的第一步做好防范，在初始访问权限阶段常用的供应链入侵、钓鱼攻击与漏洞利用手段上进行保护与安全加固。

在横移之前防勒索，签名+流量检测+蜜罐

Forrester分析师指出，检测与响应能为企业免遭勒索提供额外的一层保护。要在勒索软件在系统内横移之前进行防御，可采取三种有效的检测方法：

首先，基于签名的勒索软件检测，能将样本hash与已知签名进行比较，提供对环境中文件的快速静态分析。基于签名的勒索软件检测技术在已知威胁方面很有用，但很难识别更新的恶意软件。

其次，基于行为的检测方法。通过历史数据检测新行为，将最新的行为与平均行为基线进行比较，寻找攻陷指标，具体可以通过文件系统更改，流量分析和API调用方式进行检测。

最后一种是基于欺骗的检测，最典型的就是创建一个蜜罐，将文件存储库或者服务器打造成诱饵。普通用户一般不会接触该服务器，如果检测到活动，很可能是一次攻击。

其他安全

容器技术发展迅猛，虚拟环境网络安全成新的问题

以容器为基础的微服务快速发展，且被广泛应用。不过传统安全措施，已无法很好满足当前虚拟环境的安全防护需求。根据informa报道，2020年12月，云安全厂商Prevasio 针对托管在Docker hub的400万台容器，发现51%存在严重漏洞，13%包含高影响漏洞。在容器镜像中检测到挖矿、黑客工具以及包含勒索软件等不同的恶意软件。所有分析的镜像中，只有20%不存在已知漏洞。；

这种情况下，托管容器的基础设施安全性就非常重要。除了正确配置编排系统之外，严密安全的访问Docker节点或者Kubernetes的权限也起着非常重要的作用。另外，经典的NGFW系统无法有效控制虚拟集群网络中的流量，但在集群内运行特定的NGFW工具能够做到这一点，因为它本质上是监控传输中的数据的容器。

如果企业考虑容器安全解决方案，在选择供应商之前，不仅需要了解自身组织的特定要求以及目标状态，能否覆盖整个应用程序生命周期、能否经得起严格的合规要求、能否阻止未知漏洞、是否会减慢开发速度等也需要作为重要的考虑因素。

2021年上半年物联网攻击猛增，涉及窃取数据、加密货币挖掘、僵尸网络

从智能手表到智能家居配件，物联网设备已成为我们日常生活必不可少的一部分，物联网安全问题也日益凸显。研究人员发现，2021年前6个月，针对物联网（IOT）设备的网络攻击增长超1倍多。

Threatpost报道，从卡巴斯基共享的数据来看，其检测到超过15亿次物联网攻击，高于半年前的6.39亿次，攻击者的主要目的各不相同，包括窃取个人或者企业数据、挖掘加密货币，或者在传统的DDOS攻击基础上将智能设备添加到僵尸网络。

为预防物联网攻击，企业需尽快安装固件更新、更改预安装密码，最好是包括大小写、数字、字符的复杂密码、设备出现异常行为立即重启等，同时也可考虑保护物联网生态系统安全解决方案。

防钓鱼邮件攻击，让员工成为第一道防线

我们总说人是安全最薄弱的环节，其实人也是企业安全建设的第一道防线。据HelpNet Security报道，根据安全厂商F-Secure针对2021年上半年全球组织员工举报的20万封邮件的分析，用户举报电子邮件最常见的原因是可疑链接，比例为59%；54%的员工举报邮件是因为发件人不正确或者不相关的发件人，37%举报是觉得疑似垃圾邮件，34%则是怀疑其在邮件中采用社会工程学进行举报，7%的用户举报是因为可疑附件。

自动分析发现33%的邮件属于钓鱼邮件；人工分析发现63%的邮件在尝试钓鱼，发现钓鱼邮件的员工占到三分之一。

所以企业在进行安全建设过程中，周期性的安全培训，钓鱼演练等员工钓鱼邮件防范还有很大空间，且投入产出比较高。

仅30%的终端被EDR覆盖，端点检测和流量检测亟待结合

2013年Gartner分析师提出终端检测与响应（EDR）这个概念。因其具备机器学习驱动的行为分析，相比传统防病毒软件，能够帮助主机增强对已知和未知攻击者策略的防御，被各大企业竞相追逐。

不过近期有Gartner分析师表示，EDR工具对检测攻击与搜索历史非常关键，但目前只有30%的终端具有EDR功能。

基于安全与合规性角度，许多公司目前还在使用基于签名的IDS技术作为EDR的替代补偿手段，但仅仅依靠这种方式进行防御，会留下重大的安全漏洞，包括仅限于已知威胁的基于签名的检测、大量容易出错的报警、缺乏对未知威胁的基于行为的检测、错过加密流量、漏掉横移与失陷后的活动、整体工作流耗时等。

事实上，最需要增加的安全弥补层是流量检测技术。通过流量检测这种非常有效的方式，能够被动了解到所有进出终端好的、坏的以及危险的流量。