信息來源:比特網(wǎng)
2016思科年中網(wǎng)絡安全報告(MCR)發(fā)現(xiàn)��,企業(yè)尚未準備好應對未來更復雜的勒索軟件類型���。脆弱的基礎(chǔ)設施、糟糕的網(wǎng)絡環(huán)境和緩慢的檢測速度為對手的攻擊行動提供了充足的時間和空間掩護�。該報告的調(diào)查結(jié)果表明,竭力限制攻擊者的操作空間是企業(yè)面臨的最大挑戰(zhàn)���,對數(shù)字化轉(zhuǎn)型的基礎(chǔ)構(gòu)成了嚴重威脅��。MCR的其他發(fā)現(xiàn)還包括�,攻擊者開始將攻擊目標擴展至服務器端�,并正在不斷演進攻擊方法,同時越來越多地使用加密措施來做掩護�。
2016年至今,勒索軟件已成為歷史上最賺錢的惡意軟件類型�。思科預計隨著更具破壞性的勒索軟件的出現(xiàn),這一趨勢將會愈演愈烈���,這些勒索軟件能夠通過自身傳播控制整個網(wǎng)絡��,進而操控公司���。全新的模塊化勒索軟件類型將能快速切換攻擊戰(zhàn)術(shù)以最大限度地提高效率�����。例如��,未來的勒索軟件攻擊能夠限制CPU使用率及命令控制操作�,從而逃避檢測�����。這些新的勒索軟件類型將會在實施勒索活動之前���,在企業(yè)內(nèi)更快地傳播和自我復制�����。
在網(wǎng)絡和終端中的可見性仍然是一個主要挑戰(zhàn)����。企業(yè)平均要花費長達200天時間來確定新的威脅�����。思科的中位檢測時間(TTD)繼續(xù)領(lǐng)跑行業(yè),截至2016年4月����,創(chuàng)下了約13小時檢測出先前六個月內(nèi)未知漏洞的新低記錄。這一結(jié)果相比截至2015年10月的17.5小時又有顯著下降�����。更快的威脅檢測時間是限制攻擊者操作空間并盡可能減少入侵破壞的關(guān)鍵����。這一數(shù)字是基于全球部署的思科安全產(chǎn)品收集的精選安全遙測數(shù)據(jù)�。
由于攻擊者不斷創(chuàng)新,眾多防御者需要繼續(xù)努力維護其設備和系統(tǒng)的安全性�����。不受支持和未打補丁的系統(tǒng)給攻擊者制造了更多的機會����,使其很容易獲取訪問權(quán)限并逃避檢測,同時實現(xiàn)破壞和獲利的最大化�。思科2016年中網(wǎng)絡安全報告表明,全球范圍都存在這一挑戰(zhàn)。醫(yī)療保健等關(guān)鍵行業(yè)的企業(yè)在過去幾個月的攻擊中經(jīng)歷了一次重創(chuàng)�,而該報告的調(diào)查結(jié)果表明,所有垂直市場和全球各地區(qū)都成為了攻擊目標����。俱樂部和企業(yè)、慈善機構(gòu)和非政府組織(NGO)���、以及電子企業(yè)在2016年上半年所遭遇的攻擊數(shù)量均有大幅增加�。在全球?qū)用?��,地緣政治隱憂包括了監(jiān)管復雜性和各國家/地區(qū)網(wǎng)絡安全政策的沖突�。數(shù)據(jù)控制或訪問需求可能會限制復雜威脅環(huán)境中的國際貿(mào)易����,甚至產(chǎn)生沖突。
攻擊者操作無約束
對于攻擊者而言�����,未被檢測到的操作時間越長�����,獲利越大。在2016年上半年�����,攻擊者獲利由于下列原因而飛漲:
重點范圍擴展:攻擊者將重點從客戶端擴展到了服務器漏洞�,以逃避檢測并實現(xiàn)破壞和獲利的最大化。
·Adobe Flash漏洞繼續(xù)成為惡意廣告和漏洞利用工具包的主要目標之一�。在流行的Nuclear漏洞利用工具包中,F(xiàn)lash占成功攻擊嘗試的80%��。
·思科還看到了勒索軟件的一個新趨勢��,即利用服務器漏洞�����,特別是在JBoss服務器中(10%的全球聯(lián)網(wǎng)JBoss服務器受到了侵害)�。許多用于侵害這些系統(tǒng)的JBoss漏洞在五年前都已被發(fā)現(xiàn)���,這意味著基本補丁和更新就可以輕松避免此類攻擊���。
攻擊方法不斷演進:在2016年上半年,攻擊者不斷演進其攻擊方法�,以利用防御者缺乏可見性的不足�����。
·對Windows Binary的漏洞利用上升�,成為過去六個月的首要網(wǎng)絡攻擊方法�����。這一方法為入侵網(wǎng)絡基礎(chǔ)設施提供了一個重要途徑�,使得這些攻擊更難以發(fā)現(xiàn)和清除。
·在同一時間段�,經(jīng)由Facebook的社交工程詐騙從2015年的首位下降至第二位。
掩蓋的途徑:攻擊者更多地使用加密作為掩蓋其各種操作手段的方法���,加劇了防御者的可見性挑戰(zhàn)���。
·思科注意到加密貨幣(cryptocurrencies)、傳輸層安全協(xié)議和Tor使用的增加�,這些手段支持在網(wǎng)絡中進行匿名通信。
·值得注意的是�����,惡意廣告活動中使用的HTTPS加密惡意軟件從2015年12月到2016年3月增加了300%�����。加密惡意軟件讓攻擊者能夠進一步隱瞞其網(wǎng)絡活動,并延長其操作時間��。
防御者竭力減少漏洞����,消除差距
面對復雜的攻擊、有限的資源和老化的基礎(chǔ)設施���,防御者在跟上攻擊者的發(fā)展步伐方面困難重重��。數(shù)據(jù)顯示技術(shù)對于業(yè)務運營越重要�����,防御者便越不太可能通過安裝補丁等方式來充分保證網(wǎng)絡環(huán)境健康。例如:
· 在瀏覽器領(lǐng)域��,Google Chrome采用自動更新機制���,有75-80%的用戶使用該瀏覽器的最新版本或上一個版本����。
· 而在軟件領(lǐng)域,Java的遷移速度非常緩慢����,在被檢測的系統(tǒng)中,有三分之一仍在運行正被Oracle逐步淘汰的Java SE 6版本(最新版本是SE 10)���。
· 在Microsoft Office 2013(版本15x)中���,只有10%或更少的主要版本用戶在使用最新的服務包版本。
此外�����,思科發(fā)現(xiàn)其基礎(chǔ)設施中的許多部分不再受支持或者存在已知的漏洞��。這一問題普遍存在于不同的廠商和終端之中�����。具體而言�����,思科研究人員檢測了103,121臺聯(lián)網(wǎng)設備����,發(fā)現(xiàn):
· 平均每臺設備存在28個已知漏洞����。
· 設備上的已知漏洞存在時間平均為5.64年���。
· 超過9%的設備存在10年前就已被發(fā)現(xiàn)的已知漏洞�。
為進行比較�,思科還對安裝次數(shù)超過300萬次的軟件基礎(chǔ)設施進行了檢測。存在漏洞最多的是Apache和OpenSSH�,平均存在16個已知漏洞,被發(fā)現(xiàn)時間平均為5.05年�����。
瀏覽器更新是終端上最易執(zhí)行的更新���,相比之下企業(yè)應用和服務器基礎(chǔ)設施很難更新�����,并會導致業(yè)務連續(xù)性問題。從本質(zhì)上而言���,應用對于業(yè)務運營越關(guān)鍵�����,越不太可能頻繁更新��,從而為攻擊者創(chuàng)造了缺口和機會��。
思科針對保護業(yè)務環(huán)境的簡單步驟建議
思科的Talos研究人員發(fā)現(xiàn)企業(yè)可以通過采取幾個簡單但效果明顯的步驟�����,顯著提高其運營安全性�����,其中包括:
· 改善網(wǎng)絡健康:密切監(jiān)視網(wǎng)絡;按時部署補丁和更新;對網(wǎng)絡進行分段;在邊緣部署防御措施�����,包括電子郵件和Web安全�����、新一代防火墻與新一代IPS等。
·整合防御措施:充分利用架構(gòu)方法來保障安全�,而非部署單獨的產(chǎn)品。
·測量檢測時間:努力以最快的速度發(fā)現(xiàn)威脅��,然后及時做出補救�。不斷改進企業(yè)安全策略中的衡量指標。
· 隨時隨地保護用戶:不管他們在何處工作��,不僅限于他們使用的系統(tǒng)�,有不僅限于他們身處企業(yè)網(wǎng)絡時。
· 備份關(guān)鍵數(shù)據(jù):定期檢查其有效性�����,同時確保備份的安全�。
支持引言
“隨著企業(yè)充分利用數(shù)字化轉(zhuǎn)型帶動的全新業(yè)務模型,安全性變得至關(guān)重要���。攻擊者正變得越來越隱蔽���,并持續(xù)延長其攻擊時間。為消除攻擊者的機會窗口�����,客戶需要更全面地掌握其網(wǎng)絡動態(tài)���,并且必須改進相關(guān)工作���,包括安裝補丁和淘汰缺乏高級安全功能的老舊基礎(chǔ)設施等。
鑒于攻擊者越來越多地以贏利為目標����,并建立高利潤業(yè)務模型,思科正在與客戶通力合作�,幫助他們在攻擊復雜性、可見性和控制能力方面趕上并超越攻擊者�。”
– Marty Roesch����,思科副總裁兼安全業(yè)務事業(yè)部首席架構(gòu)師
