当前p2p趋势对企业安全构成威胁

点对点(p2p)通信的安全威胁不是什么新鲜事，但它们正变得越来越复杂。从勒索软件和僵尸网络，这些威胁是一个全球性的威胁，继续以更复杂的方式发展。如果安全团队不寻找它们，它们可能不会被发现，这对企业来说可能是昂贵的。

TrendLabs安全情报博客在过去十年的大部分时间里一直在谈论勒索软件和CryptoLocker威胁。在他2015年8月的文章中，宏威胁和勒索软件留下了他们的印记:电子邮件前景的年中展望萨尔瓦多(Maydalene Salvador)指出，2014年的垃圾邮件数量接近2000亿封。

但并非所有与宏威胁相关的垃圾邮件都有附件。其他邮件中包含的链接指向Dropbox等合法文件托管网站，而恶意文件就托管在这些网站上。”

无论这些文件是经过加密并被勒索的，还是注入了可以窃取凭证的恶意软件，用户都会继续点击并分享这些有毒的附件。这些大规模的活动继续通过允许坏人访问或获得有效载荷而使他们受益。

网络威胁研究主管蔡斯·坎宁安(Chase Cunningham)和Armor的首席技术官杰夫·席林(Jeff Schilling)谈到了当今常见的p2p威胁——CryptoLocker运动。席林说:“个人电脑威胁行动者向受害者发送钓鱼邮件。加密软件可以看到你的网络上开放的协议。然后他们把文件锁起来，加密，然后勒索赎金。”

[同样是关于cso:点对点无线网络可以在灾难中起到帮助作用］

希林说，犯罪分子现在已经进入了服务器领域。

“五年前，它曾是僵尸网络，但它们转向了网络服务器，这让它们更强大。如果你没有很多的p2p协议，他们可以破坏一个服务器，然后获得更深的访问，”他继续说。

Cunningham补充说:“从技术角度来看，如果你的基础设施没有看到网络上正在发生的事情，你就不会看到p2p流量。如果你的组织不积极参与收集有针对性的威胁情报，你就不知道你的网络中会出现什么。”

Schilling说，在p2p文件共享软件行业几乎没有监管，“所以谁能说里面有什么端口和协议?”

一种解决方案是监视它，一直监视整个堆栈。“你需要有威胁情报。大多数组织如果有反病毒和反恶意软件是幸运的，”Schilling说，但他们需要一致的监控。

Schilling说，一个常见的监控问题是，大多数网络流量是从北向南监控的。观察我们环境中的服务器与其他服务器之间从东到西的连接，会发现不同的威胁。

“大多数组织不会在服务器之间放置传感器来检测p2p活动。去年，我们的一个客户让一个僵尸网络进入了公司环境，它传播到了我们环境中的一个服务器上，但我们阻止了它，因为我们从东到西监控，有一个白名单，”Schilling说。

虽然市场上有多种工具可以规划网络和IT专业人士的所有连接，“很多人不想投资这些工具，”Schilling说。“他们不知道，因为他们真的不想知道情况有多糟。”

Cunningham和Schillling表示，CryptoLocker仍然是另一个p2p问题，“它是今年真正开始流行的东西，他们个人笔记本电脑和设备上的漏洞是由于没有关闭那些p2p协议，”Schilling继续说。

一旦犯罪分子进入一台机器，他们就能看到网络中的所有端口和协议。“应该很少开放，”坎宁安说。“人们正在进行文件共享，或者他们被映射到网络驱动器，恶意软件会迁移并加密这些网络驱动器。”

避免这些威胁与网络设计和创建网络访问控制系统有很大关系，以便当计算机连接到网络时，只允许特定的流量。所有端口和协议都已锁定。许多用户可以通过客户网络做他们需要做的所有业务，而客户网络与公司网络是分开的。”

此外，“细分那些在公司网络之外使用自己设备的用户。要把这些用户当成已经受到威胁的群体，”Schilling继续说道。

Rook Security的首席应用程序开发人员Michael Taylor说，根据来自p2p的攻击性质，避免威胁可能非常困难。“他们不再只从几个服务器或主机，而是将这些服务外包给很多很多主机。使用防火墙并不能阻止所有的流量。”

来自p2p应用程序的僵尸网络很流行，而且在通信方法上更加复杂，根除它们需要消除群体，这与传统的有指挥中心的僵尸网络威胁不同。

“当你有一个僵尸网络时，你必须让一些服务器告诉其他服务器他们应该做什么。如果你能将你的网络与命令和控制服务器隔离开来，僵尸网络的指挥就无法到达控制设置。”Taylor说。

如果您有少数几个静态的命令和控制服务器，那么就更容易隔离这些流量。

泰勒解释说:“你基本上可以切断操作僵尸网络的人的指令，然后它将允许你有一些时间进行补救，但在p2p设置下，僵尸网络越分散，隔离通信就越困难。”

[更多:2015年僵尸网络流量——想要吞噬互联网的无形力量］

这些僵尸网络的威胁范围从DDoS到垃圾邮件，再到利用它们渗透到一个环境中的工作站。一旦他们可以访问，他们就可以访问存储有机密信息的服务器。

泰勒说:“你还可以使用这些主机进行网络钓鱼攻击，识别高管或其他鱼叉式网络钓鱼或捕鲸活动的目标，或针对可以随时获取你想要的数据的员工。”

数据通常是犯罪分子的首要目标。“这是这些坏人的一个相当有利可图的攻击载体，高管们似乎是相当容易的猎物。他们已经授权了电汇，或者因为高管能够访问的数据量，他们自己的硬件遭到了破坏。”泰勒说。

根据网络被分割的方式，犯罪分子可能不会直接从单个工作站进入企业的“皇冠宝石”，但攻击者可能会破坏允许他们导航该网络的凭证。

泰勒说，在网络的外围和内部都有签名，“你将能够看到来自网络外部的流量，然后当有人开始试图访问内部的其他人。”

这个故事，“当前威胁企业安全的p2p趋势”最初是由方案 ．