火绒数据:从流氓到勒索 8成企业网络携带5类以上病毒
-
作者:火绒安全
-
发布时间:2021-06-08
-
阅读量:6209
“企业内网已是病毒滋生的温床,这并不是危言耸听”。根据2021年上半年火绒服务过的企业用户案例显示,超过8成的企业网络存在5种以上病毒,其中大部分企业则被暴露出高达十余种病毒。这些病毒在企业内部交叉共存,互相感染,随时威胁着企业的资产安全,影响业务正常开展。
我们通过本篇,结合案例与数据,对上述现象进行分析和调研,发现除了网络、攻击者、设备等外部原因以外,还有一些“无奈”的主观因素……
案例一:流氓、广告泛滥
某建筑行业企业用户在部署火绒后,仅百台终端就查出近500条病毒处理日志。该用户寻求火绒工程师查看后发现,该企业内竟然存在7种病毒,其中以广告、流氓类居多。或是员工安全意识薄弱,通过下载站等地下载了带有捆绑、流氓推广行为的恶意软件造成。
案例二:勒索、后门共存
火绒工程师对某电子企业用户部署火绒后提供的日志查看发现,该企业内除了感染型、蠕虫等传播性强的病毒之外,还有勒索、后门等高危病毒。如果不及时发现、查杀,这些高危病毒就像是埋下的“定时炸弹”,让企业随时面临被勒索或被远控的高风险。
设备一病毒分析
设备二病毒分析
企业是社会经济发展非常重要的支柱,企业安全责任重大,关系社会的稳定,但为何病毒等威胁在企业内部依旧高居不下?
从客观上来讲:
首先,病毒逐渐商业化、趋利化。根据《2020火绒终端安全回顾》一文的分析,很多病毒制作者为了营利,开始向流氓、广告转变。他们以PDF、压缩软件等办公软件为由,吸引员工下载安装,然后通过捆绑、弹窗等推广行为获利,甚至存在窃取信息等恶意行为。
其次,相比较个人用户,企业具备更有价值的数据、资源等,黑客攻击企业用户获利更大。以勒索病毒为例,黑客可以在企业内部进行横向渗透,找到高价值服务器,从而实现勒索的目标。
同时,很多企业特别是政企机构,设备机器老旧,系统没有及时更新,存在大量的未修复漏洞,成为病毒等威胁进出口。
从主观上来说:
(1)员工安全意识参差不齐,会通过非正规渠道下载办公软件,没有备份的习惯,对陌生邮件附件、通讯工具发来的文档信任点击等等,从而容易导致病毒、流氓等在网络内部肆意流窜、活跃。
(2)部分企业为了控制成本,选择不部署安全软件,或者部署后也缺乏相应的岗位人员来处理发现的威胁。
(3)管理人员对安全软件的报毒缺乏认知,加上警报太多甚至出现误报,容易让管理员出现疲态、对查杀结果产生懈怠的心理。
针对不断加剧的网络安全风险和挑战,近几年来,我国政府频繁出台多项政策,为的就是促进大众对于网络安全的重视,推动企业网络安全的合规化发展。火绒整理了2019年——2020年网络信息安全行业相关政策,如下图:
在政策的加持之下,面对网络安全防护工作攻易守难的困境,如何避免网络安全行业亡羊补牢的局面,一直以来也是整个行业关注的重点,同样也是火绒工作的重心。
(1)严防流氓。针对流氓软件层出不穷的现象,火绒也一直积极开发并完善相关功能来保护用户电脑。如:【文件实时监控】、【软件安装拦截】、【下载器拦截】、【弹窗拦截】等。
(2)深堵漏洞。针对漏洞问题,火绒不断跟进相关漏洞防御功能,将易被黑客或病毒使用的漏洞加入到相应的漏洞防御规则中,保护用户免受漏洞攻击所产生的安全威胁。除了定期使用【漏洞修复】功能进行扫描修复外,还可以通过开启【网络入侵拦截】功能进行防护。
(3)精杀病毒。在病毒拦截查杀上,火绒利用自身的技术优势,可以实现精准拦截病毒。通过行为特征,第一时间精准识别各类病毒、变种以及新的威胁;对查杀结果可阐述,能准确指出样本为病毒的依据;对查杀结果可控,误报率低。
(4)广兼软件。火绒对国产软件兼容性好。截止目前,火绒企业版产品已完全适配UOS、鲲鹏、深度、红旗、中标麒麟、优麒麟、银河麒麟、神州网信、联想超融合AIO平台等众多国产化操作系统。良好的产品兼容性,可以避免出现误报等其他情况,影响企业安全工作的开展。
(5)勤加管控。火绒企业版产品,拥有高效的终端管理、防御功能,能够通过“控制中心”派发安全策略,同时具备规范外接设备使用、提供远程桌面服务、进行异地终端管理等功能,操作简单,防护全面。以火绒【资产管理】功能为例,简单操作,即可有效减少资产管理问题带来的运营时间成本和人力成本问题。
随着互联网的不断深入到社会发展的方方面面,维护网络的安全,需要从用户到企业,从安全工作人员再到安全行业等等每一个环节的共同努力。特别需要注意的是,网络防护是一个整体全面的概念,而针对那些具体的、狡猾且顽固的网络病毒,还需要对症下药,采取相应的防护办法。火绒将推出针对企业内部常见网络病毒防御办法的系列稿件,敬请期待!
补充阅读: