諸如WannaCry和Nyetya等最新網(wǎng)絡(luò)攻擊顯示了網(wǎng)絡(luò)攻擊的速度之快和影響之廣,這種攻擊與傳統(tǒng)勒索軟件看似相似,但破壞性更強(qiáng)。思科將這些攻擊視為“服務(wù)破壞”攻擊的前兆,“服務(wù)破壞”攻擊將更具破壞性,使企業(yè)難以恢復(fù)運(yùn)營。
物聯(lián)網(wǎng)不斷為網(wǎng)絡(luò)犯罪帶來新的機(jī)會。由于其自身存在諸多薄弱環(huán)節(jié),并且有大量的漏洞可被利用,物聯(lián)網(wǎng)成為了眾多攻擊活動(dòng)的溫床,使攻擊的影響力持續(xù)增加。最新的物聯(lián)網(wǎng)僵尸行為已表明,一些攻擊者可能正在為開展范圍更廣、影響力更大的網(wǎng)絡(luò)攻擊做準(zhǔn)備,這些攻擊可能會導(dǎo)致互聯(lián)網(wǎng)癱瘓。
面對這些攻擊,檢測安全實(shí)踐的有效性至關(guān)重要。思科一直致力于減少威脅“檢測時(shí)間(TTD)”,即減少發(fā)生威脅到發(fā)現(xiàn)威脅之間的時(shí)間差?s短檢測時(shí)間,對于限制攻擊者的操作空間和最大限度減少入侵造成的損失至關(guān)重要。自從2015年11月以來,思科將其平均檢測時(shí)間(TTD)從2016年11月的逾39小時(shí)縮短至2017年5月的約3.5小時(shí)。這一數(shù)據(jù)基于部署在全球思科安全產(chǎn)品的選擇性遙測數(shù)據(jù)。
威脅環(huán)境:熱點(diǎn)問題和非熱點(diǎn)問題
思科安全研究人員深入分析了2017年上半年惡意軟件的演進(jìn)情況,注意到了攻擊者在定制其傳播、混淆和逃避技術(shù)方面的轉(zhuǎn)變。具體而言,思科發(fā)現(xiàn)攻擊者越來越多地要求受害者通過點(diǎn)擊鏈接或打開文件來激活威脅。攻擊者還開始開發(fā)無文件惡意軟件,此類惡意軟件完全駐留在內(nèi)存中,當(dāng)設(shè)備重啟時(shí)會被清除,很難被檢測或發(fā)現(xiàn)。此外,攻擊者日益依賴匿名和分散的基礎(chǔ)設(shè)施,如Tor代理服務(wù)等,來隱藏命令和控制活動(dòng)。
雖然思科注意到漏洞利用套件的數(shù)量顯著減少,其他傳統(tǒng)攻擊卻出現(xiàn)了復(fù)蘇跡象:
- 垃圾郵件數(shù)量顯著增加,攻擊者轉(zhuǎn)向使用其他行之有效的方法(如電子郵件)來傳播惡意軟件并從中創(chuàng)收。思科威脅研究人員預(yù)測,帶有惡意附件的垃圾郵件的數(shù)量將會不斷增加,同時(shí)漏洞利用套件仍會存在。
- 安全專業(yè)人員通常會忽視間諜軟件和廣告軟件,認(rèn)為它們除了令人生厭以外,不會有其他太大風(fēng)險(xiǎn)。然而間諜軟件和廣告軟件同樣可以成為惡意軟件,給企業(yè)帶來風(fēng)險(xiǎn)。思科研究部門在四個(gè)月內(nèi)對300家公司進(jìn)行了抽樣調(diào)查,發(fā)現(xiàn)三種最常見的間諜軟件曾感染了20%的抽樣公司。在企業(yè)環(huán)境中,間諜軟件可以竊取用戶和公司信息,削弱設(shè)備的安全性,增加惡意軟件感染風(fēng)險(xiǎn)。
- 勒索軟件的不斷演進(jìn),諸如勒索軟件即服務(wù)的增長等,使得技能水平或高或低的犯罪分子都能夠更輕松地實(shí)施攻擊。勒索軟件一直占據(jù)新聞?lì)^條,報(bào)道稱勒索軟件在2016年為攻擊者賺取了超過10億美元的收入。這可能會誤導(dǎo)一些企業(yè),讓他們將關(guān)注點(diǎn)集中在勒索軟件上,而實(shí)際上一些未被報(bào)道的威脅可能會對他們造成更大的威脅。商業(yè)電子郵件攻擊是一種社交工程攻擊,其中電子郵件被設(shè)計(jì)用于誘導(dǎo)企業(yè)向攻擊者轉(zhuǎn)賬,此類方法正成為一種高回報(bào)率的威脅載體。據(jù)美國互聯(lián)網(wǎng)犯罪投訴中心稱,從2013年10月到2016年12月期間,有53億美元通過商業(yè)電子郵件攻擊被盜。
不同行業(yè)面臨共同挑戰(zhàn)
隨著犯罪分子不斷增加攻擊的復(fù)雜性和強(qiáng)度,各行各業(yè)的企業(yè)都要及時(shí)滿足基礎(chǔ)網(wǎng)絡(luò)安全要求。隨著信息技術(shù)和運(yùn)營技術(shù)在物聯(lián)網(wǎng)的融合,企業(yè)正在努力解決可見性和復(fù)雜性方面的問題。作為思科安全能力基準(zhǔn)調(diào)查的一部分,思科調(diào)查了13個(gè)國家和地區(qū)近3000位安全負(fù)責(zé)人,發(fā)現(xiàn)各個(gè)行業(yè)的安全團(tuán)隊(duì)均疲于應(yīng)對大量攻擊,導(dǎo)致許多人在其保護(hù)工作中變得越來越被動(dòng)。
不到三分之二的企業(yè)會對安全警報(bào)進(jìn)行調(diào)查,在某些行業(yè)(如醫(yī)療和交通運(yùn)輸),這一數(shù)字接近50%。
即使在要求最快響應(yīng)速度的行業(yè)(如金融和醫(yī)療),企業(yè)能夠解決的已知真實(shí)攻擊數(shù)量也不足50%。
漏洞是是企業(yè)的警鐘。在大多數(shù)行業(yè),至少90%的企業(yè)采取適當(dāng)?shù)陌踩胧⿵浹a(bǔ)安全漏洞,但也有一些行業(yè)(如交通運(yùn)輸)的響應(yīng)不夠迅捷,采取安全措施的企業(yè)比例降至80%左右。
基于行業(yè)的重要發(fā)現(xiàn)包括:
- 公共部門 –調(diào)查中32%的威脅是真實(shí)威脅,但這些真實(shí)威脅中僅有47%最終被修復(fù)。
- 零售 – 32%的企業(yè)表示在過去一年因遭受攻擊損失了收入,約有四分之一企業(yè)丟失了客戶或商機(jī)。
- 制造 – 40%的制造業(yè)安全專業(yè)人員表示,他們沒有正式的安全戰(zhàn)略,也沒有遵循諸如ISO 27001或NIST 800-53等標(biāo)準(zhǔn)化信息安全策略實(shí)踐。
- 公用事業(yè) – 安全專業(yè)人員表示,針對性攻擊(42%)和高級持續(xù)威脅(APT)(40%)是企業(yè)最大的安全風(fēng)險(xiǎn)。
- 醫(yī)療 – 37%的醫(yī)療企業(yè)表示,針對性攻擊造成的企業(yè)安全風(fēng)險(xiǎn)最高。
思科對企業(yè)的建議
為了對抗當(dāng)今越來越精明的攻擊者,企業(yè)在安全防護(hù)中必須主動(dòng)出擊。思科安全為企業(yè)提供的建議如下:
- 及時(shí)更新基礎(chǔ)設(shè)施和應(yīng)用,讓攻擊者無法利用公開的漏洞 。
- 利用集成防御對抗復(fù)雜性, 減少孤立的投資。
- 盡早讓高層參與進(jìn)來,以確保其充分了解風(fēng)險(xiǎn)、回報(bào)和預(yù)算限制。
- 建立明確的指標(biāo)以確認(rèn)并提升安全實(shí)踐。
- 通過比較基于角色的培訓(xùn)和一般性培訓(xùn)檢測員工安全培訓(xùn)效果。
- 平衡防御與主動(dòng)應(yīng)對,不要采取“一勞永逸”的安全控制或流程。
在思科2017年中網(wǎng)絡(luò)安全報(bào)告中,我們邀請了10位安全技術(shù)合作伙伴與我們分享數(shù)據(jù),并聯(lián)合得出威脅環(huán)境結(jié)論。為報(bào)告做出重要貢獻(xiàn)的合作伙伴包括:Anomali、Flashpoint、Lumeta、Qualys、Radware、Rapid7、RSA、SAINT Corporation、ThreatConnect和TrapX。思科致力于為客戶帶來簡單、開放、自動(dòng)化的安全解決方案,思科的安全技術(shù)合作伙伴生態(tài)系統(tǒng)對于這一愿景的實(shí)現(xiàn)至關(guān)重要。
支持引言
“諸如WannaCry和Nyetya等最新安全攻擊表明,攻擊者在設(shè)計(jì)攻擊時(shí)越來越多變。雖然大多數(shù)企業(yè)在發(fā)現(xiàn)安全漏洞后會采取措施提升安全性,但對于所有行業(yè)的企業(yè)而言,與攻擊者的博弈將是一場持久戰(zhàn)。要實(shí)現(xiàn)安全有效性,企業(yè)需要從消除明顯的漏洞開始,并將安全置于企業(yè)發(fā)展的優(yōu)先級。”
-- Steve Martino,思科全球副總裁,首席信息安全官
“復(fù)雜性仍然是許多企業(yè)在開展安全工作時(shí)面臨的主要障礙。由于無法進(jìn)行集成,企業(yè)多年來投資購買的單點(diǎn)產(chǎn)品使攻擊者能夠輕松發(fā)現(xiàn)被忽視的安全漏洞。為了有效縮短檢測時(shí)間并減輕攻擊的影響,行業(yè)必須采取更加集成的架構(gòu)方法,提高可見性和可管理性,助力安全團(tuán)隊(duì)消除安全漏洞。”
–尤岱偉,思科全球高級副總裁,安全事業(yè)部總經(jīng)理
關(guān)于報(bào)告
思科2017年中網(wǎng)絡(luò)安全報(bào)告評估了思科整合安全情報(bào)(Cisco Collective Security Intelligence)收集的最新威脅情報(bào)。報(bào)告提供了上半年數(shù)據(jù)驅(qū)動(dòng)的行業(yè)洞察和網(wǎng)絡(luò)安全趨勢,同時(shí)為改進(jìn)安全狀態(tài)提供了切實(shí)可行的建議。報(bào)告基于來自廣泛基礎(chǔ)的數(shù)據(jù),數(shù)據(jù)量相當(dāng)于每天400多億個(gè)遙測點(diǎn)。思科研究人員利用這一情報(bào)來為思科產(chǎn)品和服務(wù)提供實(shí)時(shí)保護(hù),并實(shí)時(shí)交付給全球的思科客戶。
思科公司簡介
思科(NASDAQ:CSCO)是全球科技領(lǐng)導(dǎo)廠商,自1984年起就專注于成就互聯(lián)網(wǎng)。我們的人才、產(chǎn)品和合作伙伴都致力于幫助社會實(shí)現(xiàn)安全互聯(lián),并且把握未來的數(shù)字化機(jī)遇。