关键信息基础设施安全动态周报【2019年第17期】
发布时间:
2019-12-13
来源:
作者:
访问量:
117
目 录
第一章 国内关键信息基础设施安全动态
(一)新型黑客组织GoldenEyeDog木马诱饵污秽不堪
(二)欧美关键信息基础设施网络演习对我借鉴与启示
第二章 国外关键信息基础设施安全动态
(一)瞄准乌克兰政府和军事网络,俄罗斯APT黑客团体再发新攻击
(二)伊朗阻止了针对基础设施的大规模网络攻击
(三)宝马和现代公司被越南黑客入侵
(四)美国佛罗里达州Pensacola市遭受勒索软件Maze攻击
(五)印度武装部队遭受钓鱼攻击
(六)朝鲜APT组织Lazarus租用恶意木马TrickBot的新型变种Anchor
(七)新型勒索软件Zeppelin针对欧美医疗企业
(八)超过75.2万美国人出生证明泄露
(九)美国科罗拉多州IT服务商遭受勒索攻击 多家牙科诊所受影响
(十)《2019零信任安全市场普及度报告》最新发布
第一章 国内关键信息基础设施安全动态
(一)新型黑客组织GoldenEyeDog木马诱饵污秽不堪
近期,奇安信病毒响应中心在日常跟踪黑产团伙过程中,发现了一个针对在东南亚从事博彩、狗推相关人员以及海外华人群体的黑客团伙,其业务范围涵盖远控、挖矿、DDOS和流量相关。样本主要在Telegram群组中进行传播,样本免杀效果好,有些诱饵针对性强,且极具诱惑性。
目前已经检测到海外用户大量中招,国内少量中招,鉴于其危害较大,奇安信病毒响应中心对其进行了分析溯源,并结合相关线索,披露了该黑客团伙。由于该团伙针对博彩行业,且与我们此前追踪的零零狗组织有着相似的目标且目的为敛金,诱饵名恶俗不堪似,不可入眼,因此我们将该黑客组织取名为金眼狗,英文名GoldenEyeDog。
本文版权归原作者所有,参考来源:奇安信病毒响应中心 http://1t.click/b2SF
(二)欧美关键信息基础设施网络演习对我借鉴与启示
近年来,委内瑞拉电厂遭到黑客攻击导致全国大范围断电、印度核电站遭到具有某国政府背景的黑客组织破坏而停止运行等全球范围的关键信息基础设施攻击事件屡屡发生,严重威胁国家安全和社会经济的稳定运行。因此,开展实战化关键信息基础设施安全保护演习成为各国提升网络安全综合实力、维护网络空间主权的主要途径之一。如:美国两年一度的“网络风暴”演习(CyberStorm)、北约“锁盾2019”演习(Locked Shields)、欧盟“网络欧洲”安全演习(Cyber Europe)等。欧美国家的网络对抗演习参与单位多、发改范围广、组织形式成熟,具有较强的代表性和借鉴意义。
关键信息基础设施面临的风险和问题
但随着信息技术的迅猛发展,通信网络数字化、开放化特点日益凸显,关键信息基础设施面临的安全风险和问题主要体现如下:
一是网络攻击手段与方式不断演进。攻击方式由通用攻击转向专门定向攻击、攻击方法越来越隐蔽,较难提前预警和快速响应。攻击模式由普通网络犯罪向组织化攻击的黑色产业链转变。团队作案活动频繁,损害国家安全和经济利益。
二是应急协同指挥和安全防御工作无法有效进行。安全保障人员缺少实操经验积累,对于突发事件的快速响应能力较低,应急预案无法得以有效的开展。同时,各部门、行业领域间缺乏高效畅通的应急协调和信息共享机制,面对各行业关键信息基础设施网络安全事件,协同指挥工作因各部门上下层级、跨行业领域间沟通不畅、信息不对称等问题无法保证快速高效的进行。
三是关键信息基础设施人才培养与防御技术水平与实际需求脱节。我国网络安全人才培养主要依靠高校,而高校受教育体制影响,普遍存在重概念、轻实践等现象,缺乏防真环境的演习实操平台强化实践,所学的安全防护技能跟不上不断更新的现实网络攻防需要,使关键信息基础设施缺乏相应对等的安全防御技术和多层次安全防御战略,安全保障受到威胁。
欧美国家演习实践现状和特点分析
为应对网络攻击威胁的不断加剧,各国组织军方、企业、与机构实施联合网络安全对抗演习,总结经验以加强关键信息基础设施防护。其中,欧美国家网络战演习体现出了以下几个特点:
一是加强国家级安全演习的统筹规划。美国、北约为了检验政府、军队、企业等多方协同能力,提高面临更多攻击目标、手段及突发事件的处置能力,不断扩大演习规模以提高全局统筹规划能力,如:“网络风暴”由第一届五眼联盟成、11个联邦部门等300余人,到2018年扩大至60多个国际机构组织参,1000余人参与。北约合作网络防御中心(NATO CCDCOE)举行的年度大规模网络攻防实战演习“锁定盾牌”自2016至2018年,也由550人、26个参演国家扩大至1000人、30个参演国家,通过不断向国家级别的真实攻防场景靠拢,达到锻炼各维度统筹规划的最佳效果。
二是全面提高对国际应急协调能力的要求。欧盟2014年的“网络欧洲”安全演习参演单位共有300多家,包括来自29个国家的政府机构、网络安全企业和关键信息基础设施运营者等,除了合作应对复杂的网络攻击、不断优化应急处置和威胁情报共享流程以外,还加强了国际间应对突发事件的应急协同能力,提高了面对跨领域及跨境威胁事件时国与国之间交涉的运维与处置能力。
三是引入先进防御技术并加强人员培养。一方面,不断加强网络安全设备、新型网络木马、网络防御系统及针对关键信息基础设施的蠕虫病毒的研究,通过大规模安全演习测试改善最新技术,使参演方在自我检测、数据加固等技术上验证并探寻新的解决方案,在关键信息基础设施防御、场景注入、决策指挥等维度得到了全面的提升。另一方面,在开展网络演习的同时,不断挖掘网络安全专业人士,制定顶尖人才的发现和培养体系,借助安全演习招募安全人才,形成关键信息基础设施防御的坚实前线。
启示与建议
一方面,积累关键信息基础设施保护实操经验。借鉴欧美国家演习特点,开展高强度网络攻防演习。紧跟网络对抗技术以及网络安全整体态势的变化,重点聚焦攻防技术与战术指挥,并且通过演习查找薄弱环节,提高关键信息基础设施的安全保障水平。另一方面,完善关键信息基础设施及重要行业应急响应机制。建立跨政府部门、跨企业、跨行业的联动协作机制,保障各组织在战略决策与行动上的有效沟通合作。同时,加快建立多部门、多领域参与的军政民一体网络安全融合模式,统筹应急响应框架、程序和流程制定。
此外,还需强化关键信息基础设施安全人员能力与技术培养。加强技术升级换代,聚焦核心攻防技术突破,达到安全威胁早发现、早预防、早处置,全面提高关键信息基础设施网络安全防御的主动性。同时,通过网络安全实战演习、网络攻防对抗赛事等活动选拔优秀网络安全人才并加以培养,建立一支可持续发展的国家关键信息基础设施安全保障专业队伍。
本文版权归原作者所有,参考来源:网络靖安司 http://1t.click/b2ST
第二章 国外关键信息基础设施安全动态
(一)瞄准乌克兰政府和军事网络,俄罗斯APT黑客团体再发新攻击
2019年12月05日,威胁情报公司Anomali发布一则报告,称其发现一个新的恶意活动。该活动至少始于今年10月,攻击目标不受限制,但其最终目标为乌克兰政府和军事官员。研究人员将恶意活动归因于APT组织Gamaredon的活动。
其实,在今年6月, Cybaze-Yoroi ZLab研究人员也曾发现一项可能与Gamaredon有关的活动。而Anomali的报告则再次证实,APT组织Gamaredon的攻击一直在进行,从未停歇。此外,今年夏天,乌克兰计算机紧急响应小组CERT-UA的报告,也将针对乌克兰军事和执法部门的几次攻击,归因于Gamaredon 。
Gamaredon,是一个被公认为是由俄罗斯赞助的国家级黑客组织。该组织首次出现于2013年,主要针对乌克兰发动网络间谍活动。2017年,Palo Alto披露了该组织针对乌克兰攻击活动的细节,并首次将该组织命名为Gamaredon group。值得注意的是,该组织主要利用受感染域名、动态DNS、俄罗斯和乌克兰国家代码顶级域名(ccTLD)以及俄罗斯托管服务提供商来分发其定制的恶意软件。
进一步分析中,研究人员发现在本次攻击活动中,攻击者预定的目标以及使用的战术、技术和程序(TTP)与Gamaredon先前活动非常吻合。所以,同样的在此次攻击中,攻击者使用了动态域名服务器作为C2服务器。同时,将VBA宏和VBA脚本作为此攻击的一部分。此外,攻击者还在目标情报收集期间,使用了武器化的DOCX文件。而且,武器化的文件为本次攻击的初始感染媒介,并通过鱼叉式电子邮件分发。
这里,研究人员检索了三份诱饵文件对恶意软件的感染过程进行进一步说明。一份针对Dnipro控制系统并讨论与军事有关的事项,另一份由非政府组织媒体监督机构Detector Media制作,第三份针对乌克兰外交部。
首先,这些恶意文档显示在网络钓鱼电子邮件中。攻击者使用模板注入技术代替嵌入恶意VBA宏的文档。只要诱饵文件被打开,将自动从远程位置下载文档模板(.dot)。
此时,下载的模板文件是包含VBA宏的,这些宏会在后台自动执行。与此同时,VBA宏将VBScript文件写入启动文件夹,以便在机器重新启动时,它能尝试更改注册表,进而在将来禁用宏安全警告;或者是在重新启动时,VBScript能够执行HTTP GET的请求,以便从动态DNS域中获取加密。
值得注意的是,仅当目标为关键性目标时,才会发送有效负载。 从中可见,Gamaredon组织攻击活动较为谨慎、小心的。Anomali的报告中写道:“只有当攻击者确定当前受感染的目标有价值时才会进入第二阶段,并发送文件加载有效负荷,否则文件将被删除以消除攻击活动的证据。”
然而,针对此次报道的研究,下面这句话更值得研究:当全球各国政府都在利用战役达到战略目的时,这起有着俄罗斯国家背景的APT组织Gamaredon的行为,将对实体构成巨大的威胁与挑战。毕竟就俄罗斯而言,它的网络行动有时是为了配合武装部队的活动。诚然,网络战与实战早已走向融合之势,今日的网络攻击行为或许就是在酝酿着一场大的实体“阴谋”,也未可知。
本文版权归原作者所有,参考来源:国际安全智库 http://1t.click/b2RV
(二)伊朗阻止了针对基础设施的大规模网络攻击
2019年12月11日,伊朗通信和信息技术部长Azari Jahromi表示,伊朗已阻止了某外国国家支持的组织对其基础设施进行的一次重大网络攻击,但并未透露该攻击的国家。
Azari Jahromi没有透露有关攻击事件的详细信息,也没有透露涉嫌发动袭击的外国的情况,但宣布计划稍后再透露更多信息。
Azari Jahromi在10月份的相关评论中表示,该国的Digital Fortress 网络安全墙项目在去年阻止了3300万次网络攻击。
9月14日,美国对伊朗进行了秘密网络攻击,此前沙特石油设施遭到袭击,华盛顿和利雅得将此归咎于德黑兰。伊朗否认参与了也门针对伊朗的胡塞运动宣称的袭击。目前尚不清楚Azari Jahromi是否指的是美国网络攻击,美国官员说这是在9月下旬发生的,目标是德黑兰传播“宣传”的能力。
9月下旬,在有媒体报道华盛顿评估了对德黑兰的可能的网络攻击之后,伊朗审查了其主要海湾石油和天然气设施的安全措施,包括对网络攻击的准备。
据报道,美国的网络罢工凸显了唐纳德·特朗普总统的政府一直在试图避免伊朗的侵略,同时避免一场彻底的军事冲突。
长期以来,伊朗一直对来自国外的网络攻击威胁保持警惕。美国和以色列在2009年和2010年用Stuxnet计算机病毒暗中破坏了伊朗有争议的核计划,该病毒摧毁了许多浓缩铀的伊朗离心机。
天地和兴安全研究院翻译整理,参考来源:USNews http://1t.click/b2Sr
(三)宝马和现代公司被越南黑客入侵
2019年12月6日,德国媒体Bayerischer Rundfunk(BR)和Taggesschau(TS)报道,怀疑越南政府支持的黑客组织APT32攻击了汽车制造商宝马和现代。
被指控的越南黑客组织的攻击始于2019年春季,攻击者在受感染主机上安装了Cobalt Strike渗透测试工具包,将其用作受感染网络的后门。据称黑客可以在宝马的网络内进行任意举动,直至十一月末才切断了黑客的访问权限。BR和TS称,该黑客组织用同样的手法也攻击了现代汽车,但未提供入侵的相关详细信息。宝马和现代均未对此事发表评论。
据了解,此次攻击的组织为APT32/Ocean Lotus。该组织为越南政府支持的黑客组织,自2014年以来一直活跃,目标针对汽车行业。此前也怀疑该组织攻击了Toyota Australia、Toyota Japan、及Toyota Vietnam。
许多专家推测,越南政府正在利用黑客组织对外国公司进行经济间谍活动,窃取知识产权,然后将其用于国有企业。越南汽车初创公司VinFast今年开始在工厂生产线推出首批汽车,此活动或许与此有关。
天地和兴安全研究院翻译整理,参考来源:ZDNet http://1t.click/b2RR
(四)美国佛罗里达州Pensacola市遭受勒索软件Maze攻击
2019年12月9日,美国佛罗里达州Pensacola市政府通过Twitter通告其遭受了网络攻击。11日,勒索软件Maze的背后持有者声称对此事负责,并勒索的赎金金额为100万美元。
受此影响的系统包括Pensacola Energy在线支付系统、城市卫生设施、以及计算机通信系统(包括电子邮件)。但911和其他紧急服务(警察和消防部门)不受影响。311客户服务中心能够接听电话,但可能无法立即响应请求。
2日后,勒索软件Maze的背后运营者声称对此事负责,他们加密了市政府的数据,并要求支付赎金100万美元。同时,该组织声明他们与前些天发生在Pensacola海军航空站的枪击事件无关。该组织在加密数据前窃取了受害者的文件,并勒索Pensacola市政府支付赎金,否则将公开这些文件。
Maze运营者表示,他们故意避开了紧急服务具有社会意义的服务,(如911),并表示他们不会攻击医院、癌症中心、妇产医院和其他对社会至关重要的部门,如果有人使用他们的软件攻击这些部门,他们将免费提供解密。
Pensacola市相关工作人员表示,该市政府在缓慢恢复,邮件服务器已备份,大多数固定电话已经恢复。但是,在解决所有问题之前,员工仍然无法访问其计算机或互联网。
天地和兴安全研究院翻译整理,参考来源:BleepingComputer http://1t.click/b2RY
(五)印度武装部队遭受钓鱼攻击
有消息称,2019年12月7日,在印度新德里,三军网络部门向所有国防人员发出紧急警告,禁止其访问带有附件的标题为“通知”的邮件。该紧急警告称,一封包含主题为“通知”的网络钓鱼电子邮件,其中包含名为HNQ Notice File.xls下载的超链接,正在专门从电子邮件地址 prvinayak.598k@gov.in发送给国防人员。该国武装部队在周五深夜受到网络骗子的袭击。
警报还指出,带有上述主题、发起者和链接的任何电子邮件都应谨慎对待。警报说:“不要从收件箱访问电子邮件。请立即报告或删除它。”
印度陆军一名高级官员说,对印度关键基础设施的网络攻击可能来自巴基斯坦或中国。该官员说:“由于近来此类攻击的增加,我们的网络部门处于高度戒备状态。”政府还计划为武装部队建立一个适当的国防网络机构,其重点将限于军事网络问题。它的任务是与来自中国或巴基斯坦等国家的外国黑客当前的威胁作斗争。
消息人士称,有一种新的趋势,即巴基斯坦情报人员利用许多外国瞄准印度军事人员。消息人士称,在许多情况下,特工已成功地将伪装成安全官员的军队通讯网络渗透到其他部队和联队。巴基斯坦情报人员的主要目标是提取有关交换特工、各个单位的副官乃至以前的军人的信息。
天地和兴安全研究院翻译整理,参考来源:CIO http://1t.click/byUB
(六)朝鲜APT组织Lazarus租用恶意木马TrickBot的新型变种Anchor
2019年12月10日,SentinelOne的研究人员发现,朝鲜APT组织Lazarus租用了恶意软件TrickBot的新型衍生变种Anchor。
根据SentinelOne团队的研究,Lazarus集团最近成为TrickBot帮派的客户,Lazarus从TrickBot那里租用了新型恶意软件变种Anchor。
自2016年被发现以来,TrickBot新增了许多功能,远远超出了最初的银行木马用途。恶意软件传递、网络分析、扩展的数据收集使它成为满足各种需求的灵活犯罪软件解决方案的一些模块。一种名为Anchor的TrickBot变种,于2018年7月首次出现在VirusTotal上,由于经济原因,通常以高价值受害者为目标。
它通过DNS与命令和控制(C2)服务器进行通信,根据NTT安全公司的分析,它针对金融部门的组织。来自SentinelOne的新成立的研究部门SentinelLABS将Anchor定义为一个片断框架,允许黑客组织利用该软件来对抗知名度更高的受害者。
Anchor使用自定义工具和已经可用的工具,其组成部分之一是卸载程序,可删除感染痕迹,而取证分析团队几乎无法调查。
根据SentinelLABS的调查结果,Anchor服务器托管了多种工具,可为网络犯罪分子和民族国家行为者的利益服务。
对于网络罪犯,TrickBot的Anchor服务器可以提供窃取程序、欺诈工具包、和勒索软件,而APT团体可利用其侦察信息。不过,一些国家支持的黑客组织也对赚钱感兴趣。
研究人员能够从感染了Anchor变体的计算机中手动恢复证据,并找到了一项到达ecombox [。]存储的任务。受感染机器上的恶意软件模块下载了PowerRatankba,PowerRatankba是与Lazarus链接的基于PowerShell的恶意软件,可以部署多功能后门程序。
在2018年12月对智利Redbanc的攻击中看到了相同的域。来自Flashpoint的分析显示,归因于Lazarus小组的PowerRatankba 恶意软件在该位置调用了一个服务器来下载下一阶段的攻击工具。这一发现揭示了TrickBot和Lazarus之间的业务关系,Lazarus对财务收益和为未来运营收集信息感兴趣。TrickBot可以同时满足这两种需求。Lazarus以其运营背后的财务动机而闻名,其中包括对印度,墨西哥,巴基斯坦,菲律宾,韩国,台湾,土耳其,智利和越南的金融机构的攻击。造成这一威胁的最著名的抢劫者针对的是孟加拉国中央银行,该国在试图转移10亿美元中造成了8100万美元的损失。
SentinelLABS负责人Vitali Kremez表示 ,TrickBot向APT参与者敞开大门,为网络犯罪的发展树立了新的里程碑。
天地和兴安全研究院翻译整理,参考来源:Bleeping Computer http://1t.click/b2Sx
(七)新型勒索软件Zeppelin针对欧美医疗企业
2019年12月11日,Threat Vector的BlackBerry Cylance研究小组发现了一种针对欧美地区IT和医疗企业的勒索软件Zeppelin。
Zeppelin是基于Delphi的Ransomware即服务(RaaS)系列的最新成员,最初称为Vega或VegaLocker。尽管它显然基于相同的代码,并且与以前的版本共享其大多数功能,但它所参与的活动与涉及该恶意软件先前版本的活动明显不同。
Vega样本于2019年初首次发现,与其他广泛的金融恶意软件一起分发,作为俄罗斯在线广告网络Yandex.Direct上的恶意广告活动的一部分。该广告系列针对俄语的用户(侧重于从事会计工作的人),目的是覆盖广泛的受众群,并没有针对性。二进制文件通常使用有效证书签名并托管在GitHub上。在这一年中,出现了几个新版本的Vega,每个版本都有不同的名称(Jamper,Storm,Buran等),其中一些是在地下论坛上提供的服务。
显然,利用最新的Zeppelin变体的最近运动是明显的。齐柏林飞艇的第一个样本-编译时间戳不早于2019年11月6日-被发现针对欧洲和美国的少数精心挑选的技术和医疗保健公司。在反对Vega运动中,所有齐柏林飞艇的二进制文件(以及如果在俄罗斯和其他前苏联国家/地区的计算机上运行,则可以退出一些新的Buran示例)。
Zeppelin似乎具有很高的可配置性,可以部署为EXE,DLL或包装在PowerShell加载器中。样本托管在有水坑的网站上,如果使用PowerShell,则托管在Pastebin上。有理由相信,至少有一些攻击是通过MSSP进行的,这与最近另一个使用Sodinokibi勒索软件的高度针对性的攻击活动相似。
攻击目标从说俄语到西方国家的重大转变,以及受害者选择和恶意软件部署方法的差异,这表明这种新的Vega勒索软件变种最终落到了不同威胁参与者的手中-他们被用作服务,或从已购买/被盗/泄漏的来源进行重新开发。
天地和兴安全研究院翻译整理,参考来源:Threat Vector http://1t.click/b2S8
(八)超过75.2万美国人出生证明泄露
2019年12月9日 ,渗透测试公司Fidus Information Security发现了在AWS存储库中的752,000个出生证明副本应用程序·。该存储库中还有90,400份死亡证书,但无法访问或下载。
某公司在网上公开了大量的个人数据库,该公司允许其客户从美国各州政府那里获取其出生和死亡记录的副本。AWS存储库没有密码保护,任何人都可以通过易于猜测的网址来访问数据。
每个申请流程因州而异,但执行相同的任务:允许客户向所在州的记录保存机构(通常是州卫生部门)提出申请,以获取其历史记录的副本。我们审查的申请书包含申请人的姓名,出生日期,当前家庭住址,电子邮件地址,电话号码和历史个人信息,包括过去的地址,家庭成员的姓名和申请理由(例如申请护照)或研究家族史。
应用程序的历史可以追溯到2017年末,并且存储库每天都在更新。在一周内,该公司向该存储桶添加了约9,000个应用程序。
渗透公司及外媒尝试联系该公司,但并未收到回复。Amazon方便表示不会干涉但是会通知客户。外媒已与当地数据保护机构联系以警告数据泄露,但对方没有发表评论。
天地和兴安全研究院翻译整理,参考来源:TechCrunch http://1t.click/b2Sk
(九)美国科罗拉多州IT服务商遭受勒索攻击 多家牙科诊所受影响
2019年12月7日,一家专门为牙科诊所提供IT服务的美国科罗拉多州公司CTS遭受了勒索软件攻击,该攻击影响了100多所牙科诊所的运营。多个消息来源表示,Complete Technology Solutions(CTS)公司遭受黑客攻击,感染了勒索软件Sodinokibi(REvil)。CTS公司总裁拒绝对此事发表评论。
据了解,对CTS公司的攻击始于11月25日,至今仍有许多客户遭受影响。CTS与多家遭受攻击的客户进行了交谈,并联系了第三方安全公司来帮助恢复系统。然而拒绝支付70万美金赎金。
美国爱荷华州Medix Dental的CEO Thomas Terronez表示,总体上牙科行业的信息安全措施相当恶劣,很少有公司愿意花钱来抵御复杂的攻击者。经常会看到服务器未打补丁一年以上,没有备份的运行很长一段时间,Windows Defender作为唯一的检测点,无分段的无线网络,以及全体员工都可以访问管理员权限,计算机有时使用相同或简单的密码。
天地和兴安全研究院翻译整理,参考来源:Krebs on Security http://1t.click/b2Sb
(十)《2019零信任安全市场普及度报告》最新发布
近日,Cybersecurity Insiders联合Zscaler发布的《2019零信任安全市场普及行业报告》指出,零信任作为一种基于上下文控制(用户、设备、应用程序等)提供对私有应用程序最低权限访问的新安全模型正迅速流行起来。
正因如此,许多IT团队正在优先规划采用现代的云安全技术,取代传统的基础设施如VPN和DMZ。
1.安全优先级
报告中,62%的受访者表示,他们当前最大的应用程序安全挑战是确保对分布在数据中心和云环境中的私有应用程序的访问安全。
其次,在私人应用程序访问方面,个人最关心的领域是访问权限过大的内部用户(61%),与使用薄弱安全措施访问内部应用程序的合作伙伴(61%)捆绑在一起,而这些危险在利用以网络为中心的分段和最低权限访问难以实现攻击。
所以,当在数据中心或公共云环境中访问运行私有应用程序时,最高的安全优先级别首先是用户的特权帐户管理和多因素身份验证(68%),其次是异常活动的检测和响应(61%),再次是从个人、非管理设备(57%)的安全访问等四大措施。
2.主动安全倡议
而这四大安全措施都与零信任网络访问有关:身份和访问管理(72%)、数据丢失预防DLP(51%)、BYOD/移动安全(50%)和保护在公共云上运行(即Microsoft Azure,Amazon Web Services, Google Cloud Platform)的私有应用程序的访问(47%)。
3.采用零信任
报告指出,目前78%的IT安全团队希望在未来实现零信任网络访问;19%的受访者正在积极实施零信任,15%的受访者已经实施了零信任。
4.零信任的信任度
虽然超过四分之三(78%)的企业希望采用零信任,但几乎一半的企业IT安全团队对他们使用当前安全技术提供零信任的能力缺乏信心。53%的人会由于有过错误的依赖于网络安全技术的经历而采取零信任政策。
5.零信任的优势
当被问及零信任的益处时,三分之二的IT安全专业人员(66%)表示,他们最为兴奋的是零信任安全访问能够提供最低权限的访问来保护私有应用程序;其次,应用程序不再暴露给未经授权的用户或互联网(55%),访问私有应用程序不再需要网络访问(44%)。
6.59%的企业在采用ZTNA服务
零信任已经从概念走向了落地,目前有许多应用案例,而这也正助力它成为安全解决方案的行业风向标。
在最近采用零信任策略的企业案例中,我们发现零信任主要应用在三大领域:安全访问运行在混合和公共云环境中的私有应用程序(37%),紧随其后的是使用现代远程访问服务取代VPN(33%),以及控制对私有应用程序的第三方访问(18%)。
零信任网络访问(ZTNA), 也称为软件定义边界(SDP),是围绕某个应用或一组应用创建的基于身份和上下文的逻辑访问边界。应用是隐藏的,无法被发现,并且通过信任代理限制一组指定实体访问。
在允许访问之前,代理会验证指定访问者的身份,上下文和策略合规性。这个机制将把应用资源从公共视野中消除,从而显著减少攻击面。
报告指出在接下来的12个月内, 59%的IT安全团队计划采用零信任网络访问(ZTNA)服务;而10%的企业将在近3个月内就采用零信任ZTNA建设方案。
而这也与Gartner行业报告《Market Guide for Zero-Trust Network Access》对SDP/ZTNA市场的预测一致:到2022年,60%的企业将淘汰大部分远程访问虚拟专用网络(VPN),转而使用零信任ZTNA。
报告下载:https://dutchitchannel.nl/media/633989/zero-trust-adoption-report-cybersecurity-insiders.pdf
本文版权归原作者所有,参考来源:信息安全与通信保密杂志社 http://1t.click/b2m5
天地和兴,关键信息基础设施,安全周报,ICS,工控安全
相关信息
2022-09-16
2022-09-09
2022-09-02
