思科發布2017年中網路安全報告

2017年7月24日，2017思科®年中網路安全報告（MCR）發現，威脅正在快速演進，攻擊數量不斷增加，並預測網路中可能會出現「服務破壞」（DeOS）攻擊。此類攻擊將會刪除企業的備份和安全保障措施，而這些都是企業在受到攻擊後用來恢復系統和數據的。隨著物聯網的出現，重點行業開展了更多的線上運營，此類威脅的攻擊面、潛在規模和影響不斷增加。

諸如WannaCry和Nyetya等最新網路攻擊顯示了網路攻擊的速度之快和影響之廣，這種攻擊與傳統勒索軟體看似相似，但破壞性更強。思科將這些攻擊視為「服務破壞」攻擊的前兆，「服務破壞」攻擊將更具破壞性，使企業難以恢復運營。

物聯網不斷為網路犯罪帶來新的機會。由於其自身存在諸多薄弱環節，並且有大量的漏洞可被利用，物聯網成為了眾多攻擊活動的溫床，使攻擊的影響力持續增加。最新的物聯網殭屍行為已表明，一些攻擊者可能正在為開展範圍更廣、影響力更大的網路攻擊做準備，這些攻擊可能會導致互聯網癱瘓。

面對這些攻擊，檢測安全實踐的有效性至關重要。思科一直致力於減少威脅「檢測時間（TTD）」，即減少發生威脅到發現威脅之間的時間差。縮短檢測時間，對於限制攻擊者的操作空間和最大限度減少入侵造成的損失至關重要。自從2015年11月以來，思科將其平均檢測時間（TTD）從2016年11月的逾39小時縮短至2017年5月的約3.5小時。這一數據基於部署在全球思科安全產品的選擇性遙測數據。

威脅環境：熱點問題和非熱點問題

思科安全研究人員深入分析了2017年上半年惡意軟體的演進情況，注意到了攻擊者在定製其傳播、混淆和逃避技術方面的轉變。具體而言，思科發現攻擊者越來越多地要求受害者通過點擊鏈接或打開文件來激活威脅。攻擊者還開始開發無文件惡意軟體，此類惡意軟體完全駐留在內存中，當設備重啟時會被清除，很難被檢測或發現。此外，攻擊者日益依賴匿名和分散的基礎設施，如Tor代理服務等，來隱藏命令和控制活動。

雖然思科注意到漏洞利用套件的數量顯著減少，其他傳統攻擊卻出現了復甦跡象：

• 垃圾郵件數量顯著增加，攻擊者轉向使用其他行之有效的方法（如電子郵件）來傳播惡意軟體並從中創收。思科威脅研究人員預測，帶有惡意附件的垃圾郵件的數量將會不斷增加，同時漏洞利用套件仍會存在。

• 安全專業人員通常會忽視間諜軟體和廣告軟體，認為它們除了令人生厭以外，不會有其他太大風險。然而間諜軟體和廣告軟體同樣可以成為惡意軟體，給企業帶來風險。思科研究部門在四個月內對300家公司進行了抽樣調查，發現三種最常見的間諜軟體曾感染了20%的抽樣公司。在企業環境中，間諜軟體可以竊取用戶和公司信息，削弱設備的安全性，增加惡意軟體感染風險。

· 勒索軟體的不斷演進，諸如勒索軟體即服務的增長等，使得技能水平或高或低的犯罪分子都能夠更輕鬆地實施攻擊。勒索軟體一直佔據新聞頭條，報道稱勒索軟體在2016年為攻擊者賺取了超過10億美元的收入。這可能會誤導一些企業，讓他們將關注點集中在勒索軟體上，而實際上一些未被報道的威脅可能會對他們造成更大的威脅。商業電子郵件攻擊是一種社交工程攻擊，其中電子郵件被設計用於誘導企業向攻擊者轉賬，此類方法正成為一種高回報率的威脅載體。據美國互聯網犯罪投訴中心稱，從2013年10月到2016年12月期間，有53億美元通過商業電子郵件攻擊被盜。

不同行業面臨共同挑戰

隨著犯罪分子不斷增加攻擊的複雜性和強度，各行各業的企業都要及時滿足基礎網路安全要求。隨著信息技術和運營技術在物聯網的融合，企業正在努力解決可見性和複雜性方面的問題。作為思科安全能力基準調查的一部分，思科調查了13個國家和地區近3000位安全負責人，發現各個行業的安全團隊均疲於應對大量攻擊，導致許多人在其保護工作中變得越來越被動。

· 不到三分之二的企業會對安全警報進行調查，在某些行業（如醫療和交通運輸），這一數字接近50%。

· 即使在要求最快響應速度的行業（如金融和醫療），企業能夠解決的已知真實攻擊數量也不足50%。

· 漏洞是是企業的警鐘。在大多數行業，至少90%的企業採取適當的安全措施彌補安全漏洞，但也有一些行業（如交通運輸）的響應不夠迅捷，採取安全措施的企業比例降至80%左右。

基於行業的重要發現包括：

• 公共部門 –調查中32%的威脅是真實威脅，但這些真實威脅中僅有47%最終被修復。

• 零售 – 32%的企業表示在過去一年因遭受攻擊損失了收入，約有四分之一企業丟失了客戶或商機。

• 製造 – 40%的製造業安全專業人員表示，他們沒有正式的安全戰略，也沒有遵循諸如ISO 27001或NIST 800-53等標準化信息安全策略實踐。

• 公用事業 – 安全專業人員表示，針對性攻擊（42%）和高級持續威脅（APT）（40%）是企業最大的安全風險。

• 醫療 – 37%的醫療企業表示，針對性攻擊造成的企業安全風險最高。

思科對企業的建議

為了對抗當今越來越精明的攻擊者，企業在安全防護中必須主動出擊。思科安全為企業提供的建議如下：

· 及時更新基礎設施和應用，讓攻擊者無法利用公開的漏洞。

· 利用集成防禦對抗複雜性，減少孤立的投資。

· 儘早讓高層參與進來，以確保其充分了解風險、回報和預算限制。

· 建立明確的指標以確認並提升安全實踐。

· 通過比較基於角色的培訓和一般性培訓檢測員工安全培訓效果。

· 平衡防禦與主動應對，不要採取「一勞永逸」的安全控制或流程。