24个零日漏洞被发现,网络攻击肆无忌惮
赛门铁克的研究显示,零日漏洞的数量在2014年创历史最高。软件公司平均需要59天来生成和推出补丁,而在2013年仅需4天。网络攻击者在补丁尚未推出前充分利用该漏洞,以Heartbleed(心脏出血)为例,该漏洞在4个小时内迅速被利用并用于发动攻击。2014 年,共有24个零日漏洞被发现,网络犯罪分子在这些漏洞被修补之前毫无顾忌的利用已知的安全漏洞对企业发起攻击。
鱼叉式网络钓鱼攻击,增长率达8%
高级网络攻击者不断借助针对性极强的鱼叉式网络钓鱼攻击侵入网络。2014年,这种攻击手段的使用增长率为8%。值得关注的是,网络攻击的准确性大幅提高,结合更多隐蔽式强迫下载恶意软件(Drive-by malware downloads)和基于 Web 的漏洞,垃圾邮件数量即使减少了20%,仍旧能够精准攻击目标受害者。
70%社交媒体骗局,通过朋友分享而传播
赛门铁克公司大中华区安全产品技术总监罗少辉表示:“网络犯罪分子本性懒惰,他们更喜欢利用自动化工具让不知情的消费者来帮助他们进行卑鄙勾当。2014年,攻击者利用人们对朋友所分享内容的信任,70%的社交媒体骗局都通过用户手动分享而传播。”
密码勒索软件攻击受害者,比以前增高45倍
尽管社交媒体骗局可以快速为网络犯罪分子带来收益,但他们却并不满足于此,网络犯罪分子还采用勒索软件等卑劣的攻击方法获取暴利,这样的攻击在去年增加了 113%。值得关注的是,在2013年,密码勒索软件攻击的受害者比以前增高了45倍。
密码勒索软件的攻击策略并不会采取传统勒索软件那样,伪装成执法部门对盗取内容收取罚金的方式,而是更加恶劣地劫持受害者的文件、照片和其他数字内容,毫不掩饰他们的攻击目的。
企业对策
1.不要毫无准备:采用高级威胁智能解决方案,帮助用户及时发现入侵信号并做出快速响应。
2.保持强大的安全态势:部署多层端点安全防护、网络安全防护、加密、强大有效身份的验证和采取拥有高信誉的技术。与安全托管服务提供商合作,增强 IT 团队的防范能力。
3.为最坏的情况做准备:事件管理可确保用户的安全框架得到优化,并具备可测量和可重复性,而且还可帮助用户吸取教训以改善安全态势。考虑与第三方专家开展合作,从而强化危机管理。
4.提供长期且持续的教育和培训:创建指导方针及公司策略及程序,以保护个人和公司设备上的敏感数据。定期评估内部调查团队,进行实践演练,确保用户拥有有效对抗网络威胁的必要技能。
消费者对策
1.使用安全性高的密码:无论如何强调该建议都不为过。为账户和设备设置强大而独特的密码,定期进行更新,建议每三个月进行一次。切勿将相同密码用于多个账户。
2.谨慎使用社交媒体:切勿点击来源不明的网络链接,尤其是来自陌生人的电子邮件或社交媒体信息。诈骗者知道人们往往会点击来自朋友的链接,这会让他们侵入相关账户,并向账户拥有者的联系人发送恶意链接。
3.了解自己所分享的权限:在安装家庭路由器、恒温器等网络连接设备或下载新应用时,认真审核权限许可,了解自己将会分享哪些数据。在不需要时禁用远程访问功能。