随着信息技术与运营技术融合
重点行业需要改进其安全环境
诸如 WannaCry 和 Nyetya 等最新网络攻击显示了网络攻击的速度之快和影响之广,这种攻击与传统勒索软件看似相似,但破坏性更强。思科将这些攻击视为“服务破坏”攻击的前兆,“服务破坏”攻击将更具破坏性,使企业难以恢复运营。
物联网不断为网络犯罪带来新的机会。由于其自身存在诸多薄弱环节,并且有大量的漏洞可被利用,物联网成为了众多攻击活动的温床,使攻击的影响力持续增加。最新的物联网僵尸行为已表明,一些攻击者可能正在为开展范围更广、影响力更大的网络攻击做准备,这些攻击可能会导致互联网瘫痪。
面对这些攻击,检测安全实践的有效性至关重要。思科一直致力于减少威胁“检测时间( TTD )”,即减少发生威胁到发现威胁之间的时间差。缩短检测时间,对于限制攻击者的操作空间和最大限度减少入侵造成的损失至关重要。自从 2015 年 11 月以来,思科将其平均检测时间( TTD )从 2016 年 11 月的逾 39 小时缩短至 2017 年 5 月的约 3.5 小时。这一数据基于部署在全球思科安全产品的选择性遥测数据。
威胁环境:热点问题和非热点问题
思科安全研究人员深入分析了 2017 年上半年恶意软件的演进情况,注意到了攻击者在定制其传播、混淆和逃避技术方面的转变。具体而言,思科发现攻击者越来越多地要求受害者通过点击链接或打开文件来激活威胁。攻击者还开始开发无文件恶意软件,此类恶意软件完全驻留在内存中,当设备重启时会被清除,很难被检测或发现。此外,攻击者日益依赖匿名和分散的基础设施,如 Tor 代理服务等,来隐藏命令和控制活动。
虽然思科注意到漏洞利用套件的数量显著减少,其他传统攻击却出现了复苏迹象:
垃圾邮件数量显著增加,攻击者转向使用其他行之有效的方法(如电子邮件)来传播恶意软件并从中创收。思科威胁研究人员预测,带有恶意附件的垃圾邮件的数量将会不断增加,同时漏洞利用套件仍会存在。
安全专业人员通常会忽视间谍软件和广告软件,认为它们除了令人生厌以外,不会有其他太大风险。然而间谍软件和广告软件同样可以成为恶意软件,给企业带来风险。思科研究部门在四个月内对 300 家公司进行了抽样调查,发现三种最常见的间谍软件曾感染了 20% 的抽样公司。在企业环境中,间谍软件可以窃取用户和公司信息,削弱设备的安全性,增加恶意软件感染风险。
勒索软件的不断演进,诸如勒索软件即服务的增长等,使得技能水平或高或低的犯罪分子都能够更轻松地实施攻击。勒索软件一直占据新闻头条,报道称勒索软件在 2016 年为攻击者赚取了超过 10 亿美元的收入。这可能会误导一些企业,让他们将关注点集中在勒索软件上,而实际上一些未被报道的威胁可能会对他们造成更大的威胁。商业电子邮件攻击是一种社交工程攻击,其中电子邮件被设计用于诱导企业向攻击者转账,此类方法正成为一种高回报率的威胁载体。据美国互联网犯罪投诉中心称,从 2013 年 10 月到 2016 年 12 月期间,有 53 亿美元通过商业电子邮件攻击被盗。
不同行业面临共同挑战
随着犯罪分子不断增加攻击的复杂性和强度,各行各业的企业都要及时满足基础网络安全要求。随着信息技术和运营技术在物联网的融合,企业正在努力解决可见性和复杂性方面的问题。作为思科安全能力基准调查的一部分,思科调查了 13 个国家和地区近 3000 位安全负责人,发现各个行业的安全团队均疲于应对大量攻击,导致许多人在其保护工作中变得越来越被动。
不到三分之二的企业会对安全警报进行调查,在某些行业(如医疗和交通运输),这一数字接近 50%。
即使在要求最快响应速度的行业(如金融和医疗),企业能够解决的已知真实攻击数量也不足 50%。
漏洞是是企业的警钟。在大多数行业,至少 90% 的企业采取适当的安全措施弥补安全漏洞,但也有一些行业(如交通运输)的响应不够迅捷,采取安全措施的企业比例降至 80%左右。
基于行业的重要发现包括:
公共部门 –调查中 32% 的威胁是真实威胁,但这些真实威胁中仅有47%最终被修复。
零售 – 32% 的企业表示在过去一年因遭受攻击损失了收入,约有四分之一企业丢失了客户或商机。
制造 – 40% 的制造业安全专业人员表示,他们没有正式的安全战略,也没有遵循诸如 ISO 27001 或 NIST 800-53 等标准化信息安全策略实践。
公用事业 – 安全专业人员表示,针对性攻击( 42% )和高级持续威胁( APT )( 40% )是企业最大的安全风险。
医疗 – 37% 的医疗企业表示,针对性攻击造成的企业安全风险最高。
思科对企业的建议
为了对抗当今越来越精明的攻击者,企业在安全防护中必须主动出击。思科安全为企业提供的建议如下:
及时更新基础设施和应用,让攻击者无法利用公开的漏洞 。
利用集成防御对抗复杂性, 减少孤立的投资。
尽早让高层参与进来,以确保其充分了解风险、回报和预算限制。
建立明确的指标以确认并提升安全实践。
通过比较基于角色的培训和一般性培训检测员工安全培训效果。
平衡防御与主动应对,不要采取“一劳永逸”的安全控制或流程。
在思科 2017 年中网络安全报告中,我们邀请了 10 位安全技术合作伙伴与我们分享数据,并联合得出威胁环境结论。为报告做出重要贡献的合作伙伴包括: Anomali、Flashpoint、Lumeta、Qualys、Radware、Rapid7、RSA、SAINT Corporation、ThreatConnect 和 TrapX 。思科致力于为客户带来简单、开放、自动化的安全解决方案,思科的安全技术合作伙伴生态系统对于这一愿景的实现至关重要。
支持引言
诸如 WannaCry 和 Nyetya 等最新安全攻击表明,攻击者在设计攻击时越来越多变。虽然大多数企业在发现安全漏洞后会采取措施提升安全性,但对于所有行业的企业而言,与攻击者的博弈将是一场持久战。要实现安全有效性,企业需要从消除明显的漏洞开始,并将安全置于企业发展的优先级
——Steve Martino
思科全球副总裁,首席信息安全官
复杂性仍然是许多企业在开展安全工作时面临的主要障碍。由于无法进行集成,企业多年来投资购买的单点产品使攻击者能够轻松发现被忽视的安全漏洞。为了有效缩短检测时间并减轻攻击的影响,行业必须采取更加集成的架构方法,提高可见性和可管理性,助力安全团队消除安全漏洞。
——尤岱伟
思科全球高级副总裁,安全事业部总经理
思科 2017 年中网络安全报告评估了思科整合安全情报(Cisco Collective Security Intelligence)收集的最新威胁情报。报告提供了上半年数据驱动的行业洞察和网络安全趋势,同时为改进安全状态提供了切实可行的建议。报告基于来自广泛基础的数据,数据量相当于每天400多亿个遥测点。思科研究人员利用这一情报来为思科产品和服务提供实时保护,并实时交付给全球的思科客户。
