2017思科年中网络安全报告(MCR)发现,威胁正在快速演进,攻击数量不断增加,并预测网络中可能会出现“服务破坏”(DeOS)攻击。此类攻击将会删除企业的备份和安全保障措施,而这些都是企业在受到攻击后用来恢复系统和数据的。随着物联网的出现,重点行业开展了更多的线上运营,此类威胁的攻击面、潜在规模和影响不断增加。
诸如WannaCry和Nyetya等最新网络攻击显示了网络攻击的速度之快和影响之广,这种攻击与传统勒索软件看似相似,但破坏性更强。思科将这些攻击视为“服务破坏”攻击的前兆,“服务破坏”攻击将更具破坏性,使企业难以恢复运营。
物联网不断为网络犯罪带来新的机会。由于其自身存在诸多薄弱环节,并且有大量的漏洞可被利用,物联网成为了众多攻击活动的温床,使攻击的影响力持续增加。最新的物联网僵尸行为已表明,一些攻击者可能正在为开展范围更广、影响力更大的网络攻击做准备,这些攻击可能会导致互联网瘫痪。
面对这些攻击,检测安全实践的有效性至关重要。思科一直致力于减少威胁“检测时间(TTD)”,即减少发生威胁到发现威胁之间的时间差。缩短检测时间,对于限制攻击者的操作空间和最大限度减少入侵造成的损失至关重要。自从2015年11月以来,思科将其平均检测时间(TTD)从2016年11月的逾39小时缩短至2017年5月的约3.5小时。这一数据基于部署在全球思科安全产品的选择性遥测数据。
威胁环境:热点问题和非热点问题
思科安全研究人员深入分析了2017年上半年恶意软件的演进情况,注意到了攻击者在定制其传播、混淆和逃避技术方面的转变。具体而言,思科发现攻击者越来越多地要求受害者通过点击链接或打开文件来激活威胁。攻击者还开始开发无文件恶意软件,此类恶意软件完全驻留在内存中,当设备重启时会被清除,很难被检测或发现。此外,攻击者日益依赖匿名和分散的基础设施,如Tor代理服务等,来隐藏命令和控制活动。
虽然思科注意到漏洞利用套件的数量显著减少,其他传统攻击却出现了复苏迹象:
垃圾邮件数量显著增加,攻击者转向使用其他行之有效的方法(如电子邮件)来传播恶意软件并从中创收。思科威胁研究人员预测,带有恶意附件的垃圾邮件的数量将会不断增加,同时漏洞利用套件仍会存在。
安全专业人员通常会忽视间谍软件和广告软件,认为它们除了令人生厌以外,不会有其他太大风险。然而间谍软件和广告软件同样可以成为恶意软件,给企业带来风险。思科研究部门在四个月内对300家公司进行了抽样调查,发现三种最常见的间谍软件曾感染了20%的抽样公司。在企业环境中,间谍软件可以窃取用户和公司信息,削弱设备的安全性,增加恶意软件感染风险。
· 勒索软件的不断演进,诸如勒索软件即服务[注]的增长等,使得技能水平或高或低的犯罪分子都能够更轻松地实施攻击。勒索软件一直占据新闻头条,报道称勒索软件在2016年为攻击者赚取了超过10亿美元的收入。这可能会误导一些企业,让他们将关注点集中在勒索软件上,而实际上一些未被报道的威胁可能会对他们造成更大的威胁。商业电子邮件攻击是一种社交工程攻击(+本站微信networkworldweixin),其中电子邮件被设计用于诱导企业向攻击者转账,此类方法正成为一种高回报率的威胁载体。据美国互联网犯罪投诉中心称,从2013年10月到2016年12月期间,有53亿美元通过商业电子邮件攻击被盗。
不同行业面临共同挑战
随着犯罪分子不断增加攻击的复杂性和强度,各行各业的企业都要及时满足基础网络安全要求。随着信息技术和运营技术在物联网的融合,企业正在努力解决可见性和复杂性方面的问题。作为思科安全能力基准调查的一部分,思科调查了13个国家和地区近3000位安全负责人,发现各个行业的安全团队均疲于应对大量攻击,导致许多人在其保护工作中变得越来越被动。
· 不到三分之二的企业会对安全警报进行调查,在某些行业(如医疗和交通运输),这一数字接近50%。
· 即使在要求最快响应速度的行业(如金融和医疗),企业能够解决的已知真实攻击数量也不足50%。
· 漏洞是是企业的警钟。在大多数行业,至少90%的企业采取适当的安全措施弥补安全漏洞,但也有一些行业(如交通运输)的响应不够迅捷,采取安全措施的企业比例降至80%左右。
基于行业的重要发现包括:
公共部门 –调查中32%的威胁是真实威胁,但这些真实威胁中仅有47%最终被修复。
零售 – 32%的企业表示在过去一年因遭受攻击损失了收入,约有四分之一企业丢失了客户或商机。
制造 – 40%的制造业安全专业人员表示,他们没有正式的安全战略,也没有遵循诸如ISO 27001或NIST 800-53等标准化信息安全策略实践。
公用事业 – 安全专业人员表示,针对性攻击(42%)和高级持续威胁(APT[注])(40%)是企业最大的安全风险。
医疗 – 37%的医疗企业表示,针对性攻击造成的企业安全风险最高。
思科对企业的建议
为了对抗当今越来越精明的攻击者,企业在安全防护中必须主动出击。思科安全为企业提供的建议如下:
· 及时更新基础设施和应用,让攻击者无法利用公开的漏洞 。
· 利用集成防御对抗复杂性, 减少孤立的投资。
· 尽早让高层参与进来,以确保其充分了解风险、回报和预算限制。
· 建立明确的指标以确认并提升安全实践。
· 通过比较基于角色的培训和一般性培训检测员工安全培训效果。
· 平衡防御与主动应对,不要采取“一劳永逸”的安全控制或流程。
在思科2017年中网络安全报告中,我们邀请了10位安全技术合作伙伴与我们分享数据,并联合得出威胁环境结论。为报告做出重要贡献的合作伙伴包括:Anomali、Flashpoint、Lumeta、Qualys、Radware、Rapid7、RSA、SAINT
Corporation、ThreatConnect和TrapX。思科致力于为客户带来简单、开放、自动化的安全解决方案,思科的安全技术合作伙伴生态系统对于这一愿景的实现至关重要。