Fortinet：家用物联网设备为劫持挖矿的首要攻击目标

Fortinet资安长Phil Quade表示，「网路罪犯是无情的，越来越能自动化攻击所需的工具，并改造已知漏洞的变种。最近，他们在锁定攻击目标方面也更精确，更少依赖乱枪打鸟一篮子的尝试来寻找可利用的受害者。企业组织迫切需要的则是，调整安全策略来解决这些问题。他们应该利用自动化和整合的防御，来解决速度和规模的问题；利用取决於行为的高效能侦测，并依靠基於AI的威胁情资洞察能力，将其工作重点放在修补重要的漏洞上。」

几??没有公司可以从严重漏洞中免疫：针对关键和高严重性威胁的侦测分析，呈现一种令人担??的趋势，96%的公司至少经历过一次严重的漏洞攻击。几??没有公司能够免受网路罪犯不断进化的攻击趋势所影响。此外，近四分之一的公司发现劫持挖矿(cryptojacking)加密货币的恶意软体，只有六种恶意软体变种，散播到超过10%的企业组织。Fortinet的安全防护中心FortiGuard Labs，在本季度还发现了30个新的零日漏洞。

劫持挖矿加密货币的攻击目标转移到家用物联网(IoT)设备：加密货币的挖矿工作仍在继续，网路犯罪分子将IoT设备（包括家中的媒体设备）添加到其核武库清单中。它们是一个特别有吸引力的目标，因为它们具备丰富的计算能力，可用於恶意目的。攻击者藉由载入不断挖矿的恶意软体来利用它们，因为这些设备始终处於启动状态而且连线网际网路。同时，这些设备的控制界面采用经修改的Web浏览器，这增加了漏洞与攻击面向。随着此趋势的延续发展，对於连接到企业网路的设备，内网隔离的实施将变得越来越重要。

??尸网路的趋势展现网路犯罪分子的创造力：??尸网路的趋势数据提供了一个遭骇後有价值的检讨观点，即网路犯罪分子如何透过多种恶意攻击活动造就最大的冲击。WICKED是一种新的Mirai??尸网路变种，它增加了至少三种漏洞攻击武器，锁定未经更新修补的物联网设备。VPNFilter是一个由民族国家资助的先进攻击，透过监控MODBUS SCADA协议来攻击SCADA / ICS环境，这无疑是一个重大威胁。它特别危险的原因，在於它不仅可以执行资料渗出(data exfiltration)的恶意活动，还可以使设备完全无法运作，无论是单独还是群组执行。至於Bankbot家族的Anubis变种则引入了几项创新。它能够执行勒索软体、键盘记录、远端木马RAT功能、SMS简讯拦截、锁定萤幕和来电转接。随着网路威胁创造力的延展，藉由可操作的威胁情资密切关注变形攻击是非常重要的。

恶意软体开发人员利用敏捷开发：恶意软体作者长期依赖多型性(polymorphism)来逃避检测。最近的攻击趋势显示他们正在转向敏捷开发的方式，以使他们的恶意软体更难以被侦测，并反击最新的防恶意软体产品。GandCrab今年发布了许多新版本，其开发人员继续快速更新此恶意软体。恶意软体攻击的自动化意味着新的挑战，敏捷开发也一样，因为这些技术和流程能让攻击方法有新的逃避方式。为了跟上网路犯罪分子正在使用的敏捷开发步伐，企业组织也需要先进的威胁防护和检测功能，以协助他们查明这些漏洞攻击。

有效瞄准漏洞：攻击者有选择地决定他们所要锁定的漏洞。利用从相关漏洞的流行程度和数量的角度，分析所侦测的漏洞，只有5.7%流行中的已知漏洞被锁定用来攻击。如果绝大多数漏洞不会被利用，企业组织应该考虑采取更加主动和策略性的方法来修复漏洞。

美国教育和政府应用程式的使用：在比较美国各行业的应用程式数量使用情况时，政府对SaaS应用程式的使用率比平均值高108%，在每日使用的应用程式总数中排名第二，比平均值分别高出22.5%和69%。这两个领域使用率较高的可能原因，是对功能更广泛的应用程式需求较大。这些组织需要一种安全方法来打破这些应用程式之间的筒仓藩篱，包括他们的多云环境，以实现透明的可见性和安全控管。

本季度报告中的威胁数据再次印证了FortiGuard Labs全球研究团队2018年初公布的诸多趋势预测。整个攻击面和每个安全元素之间整合的安全架构至关重要。这种方法可以在速度和规模上共享可操作的威胁情报，缩小必要的检测窗囗，并提供面对当今多面向攻击所需的自动修复能力。

關鍵字：物联网資安挖矿 Fortinet