全面解读《思科2017年中网络安全报告》(一)

执行摘要

近十年依赖,思科每年都会发布全面的网络安全报告,主旨是为了让安全团队和相关企业了解网络威胁、漏洞形势,以及如何提高安全性和网络弹性。在这些报告中,我们致力于提醒防御者关注日益复杂的威胁,注意攻击者在损害用户、窃取信息、造成破坏等攻击活动中使用的技术。

根据这份最新的报告,我们发现我们有必要提高警戒的信息。我们的安全专家越来越担心全球网络威胁景观的复杂性的变速急剧加快。这并不是防御者没有提高他们发现威胁和防止攻击的能力、帮助用户和组织更快的规避或恢复的能力,但是我们看到两个特别显著的动态破坏了防御者们来自不易的成果、阻碍了他们的进一步发展,帮忙开创了网络风险和威胁的新时代:

安全漏洞的影响不断升级

盈利仍然是大多数攻击者的首要目标,然而现在有些攻击者已经有能力,甚至也是目前的一种常态,在攻击过程中倾向于锁定系统并摧毁数据。我们的研究人员看到这种更为险恶的攻击是一种新的毁灭性攻击的先兆,并将其命名为“破坏型服务”(Destruction of service ,DeOS)。

在过去的一年中我们也观察到攻击者将物联网(Internet of Things ,IoT)设备运用到DDoS攻击中。IoT空间中的僵尸网络活动表明,一些操作者可能更专注于为将来更广泛的、更有影响地攻击打基础,这可能会对互联网自身的安全造成破坏。

技术的发展步伐和规模

多年来,我们的威胁研究人员一直多年来一直持续监测移动端、云计算和其他技术的进展趋势,以及它们如何延伸和侵蚀企业必须保卫的安全边界。然而,我们更清楚的看到,恶意行为者如何利用这些不断扩大的攻击面。最近几起全球性的勒索软件攻击事件从广度和深度上都充分表明了攻击者已经能够熟练的利用安全缝隙和漏洞,给设备和网络造成最大的影响。

缺乏对动态IT环境的可见性、“影子IT”现存的风险、不断发出的安全告警,以及IT安全环境的复杂性等诸多原因,使得本来就资源短缺的安全团队,在日益强大的网络威胁面前,只能苦苦挣扎。

内容概述

《思科2017年中网络安全报告》的主要内容包括:

攻击者的战术

我们研究威胁行动者在损害用户和渗透系统时采用的方法。对于防御者而言,了解对手战术的变化是极为重要的。

只有这样,才能更新、适用他们的安全事件并教育用户。本报告所涉及的主题包括恶意软件的新发展、Web攻击方法的演进、垃圾邮件、不受欢迎的应用程序(PUAs)的潜在威胁、企业电子邮件入侵(business email compromise ,BEC)、恶意黑客行为经济的变化、医疗器械入侵。同时,也对攻击者如何快速地改进他们的攻击工具和技术做了相关分析,并提供了思科在努力减少威胁检测时间(Time to Detection ,TTD)方面取得的成效。

安全漏洞

报告中,我们还概述了企业和用户容易受到入侵或攻击的安全漏洞和其他风险。讨论焦点包括:薄弱的安全措施、未能迅速修补的已知漏洞、对云系统的特权访问不加限制、基础设施和终端缺乏监管等。同时也讨论了为什么不断扩大的IoT与不断聚合的IT和OT都会给组织、用户以及消费者们带来了更多的风险,而防御者应当如何在不可能管理这些风险的前提下解决这些风险呢?

防御方的机遇

《思科2017年中网络安全报告》阐述了在思科最新的安全能力基准研究基础上的额外发现。我们深入分析了八个垂直行业的关键的安全问题,这八大行业包括服务行业、公共部门、零售业、制造业、公用事业、医疗保健、交通运输、金融行业。思科的行业专家提供了关于这些企业如何改善其安全态势的建议,包括使用服务来弥补知识和人才的短板,降低IT环境的复杂性,并拥抱自动化。

最后,呼吁安全领导人抓住机会,邀请高级主管和董事会讨论网络安全风险和预算,并就如何启动对话提出建议。

主要发现

  • 企业电子邮件入侵(BEC)攻击已经成为一个非常有利可图的威胁向量。根据互联网犯罪投诉中心(Internet Crime Complaint Center ,IC3)的记录,2013年10月至2016年12月之间,由于BEC欺诈造成的损失达到53亿美元,相比之下,勒索软件攻击在2016年的损失约为10亿美元。
  • 伪装成潜在的不受欢迎的应用程序(PUAs)的间谍软件是一种恶意,具有潜在的风险,这种风险被许多组织低估或不完全理解。间谍软件可以窃取用户和公司信息,削弱设备的安全态势,并增加恶意软件感染率。间谍软件的感染情况相当猖獗。思科威胁研究人员针对三个选定的间谍软件家族进行研究,20%的研究对象(300家公司)中都发现了它们的样本。
  • 物联网为企业合作和创新带来了巨大的前景,但随着它的发展,安全风险也随之增强。缺乏可减刑是一个问题:防御者根本不清楚他们的网络中到底接入了哪些物联网设备。是的,防御方需要迅速采取行动,以解决可见性和其他影响物联网安全的问题。攻击者已经有能力利用物联网设备的安全漏洞,这些设备成为了敌人的据点,允许攻击者悄悄地、相对轻松地在网络中横向移动。
  • 思科从2015年11月开始一直在跟踪平均检测时间(time to detection,TTD),从那时起,总的趋势是下降的:刚开始是39小时,2016年11月至2017年5月这段时间内的平均检测时间约为5小时。
  • 思科从2016年年中开始,一直在观察垃圾邮件总体的增长情况,垃圾邮件总体数量的显著的下降似乎与同一时期的漏洞利用工具包的活跃性相吻合。攻击者们曾经依赖漏洞利用工具包以垃圾邮件的途径分发勒索软件,也会利用包含宏负载(macro-laden)的恶意文档逃避沙盒检测技术。
  • 通过入侵某一个网站,然后将恶意软件迅速传播给许多组织,这种供应链(Supply chain)攻击方法给攻击者提供了一种新的途径。思科的合作伙伴RSA曾经研究过一起案例,一个软件供应商的下载页面被攻破,那些从该供应商下载软件的组织都存在被感染的威胁。
  • 过去一年中,网络攻击频率、复杂性和规模的急剧增长,充分表明了黑客经济已经进入了一个新的发展阶段。Radware(也是思科的合作伙伴)指出,现代的黑客社区受益于快速方便地获得一系列有用和低成本的资源。
  • 当涉及到企业安全,云安全总是被忽视的:由于开放授权(OAuth)的风险和单一的特权用户账户管理不善等因素而引发安全漏洞,很容易攻击者利用。思科威胁研究人员提醒大家,攻击者正在不懈的努力,想要打破公司的云环境。
  • 漏洞利用工具包(exploit kit,EK)的威胁景观方面,观测表明EK的活跃度已大幅度下降,创新停止不前,Angler和其他领先的家族已经消失或改变了他们的商业模式。鉴于EK市场的发展规律,这种情况很可能是暂时的。但由于其他因素的影响,比如利用AdobeFlash技术构建的文件中漏洞的利用难度更大,可能会减缓EK市场复苏的步伐。
  • DevOps服务由于部署不当或用户认证和权限管理方面的疏忽,都会给组织带来重大风险。根据Rapid7 的研究表明,目前很多风险都已经被控制。
  • 学习并掌握攻击者的IP基础设施策略是很有价值的,ThreatConnect 的分析师对Fancy Bear 网络间谍组织进行深入呀扭,获得了一个更广泛的域名、IP地址和电子邮件地址列表,有益于防御方采取主动措施阻止攻击活动的继续发展。
  • 2016年底,思科的威胁研究人员报告了三个 Memcached server的远程代码执行漏洞,几个月后扫描互联网发现大约79%的 Memcached server(将近110000台)仍然暴露在外,容易受到这三个漏洞的影响,服务器管理人员并没有修复它们。

介绍

威胁景观总是在不断的变化之中,但思科威胁研究人员和技术合作伙伴发现威胁和攻击规模正在迅速演化,这种情况令人担忧。整个安全社区都有一个感受:攻击者们正在积蓄力量,之后的攻击活动不仅会产生深远的影响,而且极难恢复。

攻击者的新战略:破坏服务(DeOS)

曾经,组织可以依靠一个“安全网络”(物理隔离或其他安全防护措施)来存储他们的系统和数据免受恶意软件的侵扰。然而,当前一次勒索软件或其他任何的网络事件都能给组织的网络造成严重破壳。破坏服务(DeOS)如何被发起,采取哪种模式进行攻击活动,这些都取决于攻击者的核心动机以及他们自身的创造力和能力。

能够肯定的是,物联网的安全漏洞极易被攻击者利用,众多的设备和系统的升级问题将在攻击活动产生的影响方面发挥核心作用。物联网为攻防双方的竞争开辟了新的边界。

同时,在传统领域,攻击泽面临着更多时间和空间方面的限制,他们必须不断的转换策略以逃避检测,他们必须快速创新以提高攻击的威胁性,例如攻击者们发现使用比特币和Tor网络进行勒索更为有效,此策略被大多数攻击者使用。攻击者们也发现了为了有效的获取更多利润,必须转向或者说重新使用诸如恶意电子邮件或社会工程攻击的策略,EK由于防御方的打击和本身缺乏有效的创新,市场逐渐被稀释。

防御者的关键:有效的整合并利用安全工具箱

防御者可以指向胜利,前提是他们必须始终假设攻击者将持续地躲避威胁防御。为了减缓攻击者的速度并限制他们活动的时间和空间,防御者已经拥有了所需的大部分解决方案,问题是防御者如何使用他们手头的安全工具。是的,已经

各个行业的安全专家报告指出他们从供应商那里获取并部署了许多安全工具,构建了一个复杂的安全解决方案,但问题的关键是,这些工具应当是一个整体,能够无缝的进行协作。一个支离破碎的、众多产品拼凑在一起的解决方案很可能会适得其反,阻碍了组织对安全威胁的管理能力,而且还加总了安全团队必须审核的安全报警的数量(安全团队原本就资源匮乏、人员短缺)。只有当安全团队能够整合供应商提供的工具,并采取一种开放的、集成的、简化的安全解决方案时,才能真正减少威胁的暴露,也能够更好的应对组织所面临的安全挑战,以及迅速发展的物联网世界的安全挑战和一般性的安全合规的要求。

攻击者的行为

本章中,概述了攻击者在Web和电子邮件攻击方面威胁的演变和发展趋势,目的是帮助企业管理人员和安全团队了解攻击者的战术和未来几个月的目标,为了减少业务和用户的暴露风险,提供了安全改进建议。

漏洞利用工具包(EK):下降,但不会退场

2016年,散发主要的漏洞利用工具包(Angler 、Nuclear 和Neutrino)突然从威胁景观中小时了,Angler 和Nuclear仍然无踪,但Neutrino的消失只是暂时的,它的作者独家安排选定的运营商才能租用它,这样做可以控制Neutrino的活动,不会变的太普遍,也就不太容易被检测到。之前的报告中曾经提到过 EK市场的巨大变化为一些较小的和新加入的参与者提供了一个机会,但截止到目前为止,似乎没有人抓住这些机会。只有一小部分 EK 工具依然活跃,RIG 在某段时期出于领先地位,它主要利用了几个Adobe Flash、Microsoft Silverlight 和 Microsoft Internet Explorer的已知漏洞。

总体而言,自2016年1月起,EK市场一直呈现下降趋势,如下图所示:

上图中呈现的趋势,与我们观察到的Blackhole EK幕后作者和运营商在俄罗斯被逮捕的时间相呼应。Blackhole停止运营后,对EK市场的影响是巨大的,它之后Angler成为EK市场新一轮竞争中的大赢家,开发工具包和驱动下载的复杂性都上升到了一个新高度。

Angler有多个攻击向量,它的作者极具创新性,比市场上的其他人更快的将新发现的漏洞整合到EK工具包中。通过多种途径保持EK市场的竞争力,为其他EK家族提供发展空间,也会窃取其他套件的技术以保持领先地位。现在Angler走了,EK市场在创新方面似乎又陷入了低谷。

EK市场的停滞状态,一部分是由于Angler退出了,另一方面也是因为Flash技术在漏洞利用开发方面变得更加困难。Flash漏洞对多年来EK市场的发展提供了原动力,但防御方逐渐加深了对漏洞的认识,能够很快的修补,并使得漏洞利用开发工作难以进行。攻击者们发现他们现在经常必须利用多个漏洞来攻击一个系统。

现代操作系统和Web浏览器的自动安全更新也有助于保护用户免受漏洞利用工具包的破坏。另一个趋势是网络犯罪份子,很多网络犯罪份子可能已转向(或重新返回)其他更为有效的攻击手段,如利用垃圾电子邮件分发勒索软件和其他恶意软件等,这些攻击快速有效、成本低廉,盈利效果更好。攻击者也会开发相应的逃避检测的技术。

正在悄悄的进化?

鉴于犯罪软件是一个估值可达数十亿的行业,毫无疑问,我们在未来还会看到EK市场的复苏。一旦一个新的攻击载体出现,它很容易被开发利用,能影响到大规模的用户,EK市场占有率将再次上升,竞争和创新也将随之兴起。

因此,防御者必须保持警惕。许多EK工具包仍在运行,在损害用户和向终端系统分发恶意软件方面仍然有效。这些威胁可以在任何环境下随时发生。它只需要出现一个新的系统上的漏洞。

组织应当致力于快速修补已发现的漏洞,尤其是Web浏览器中和相关插件的漏洞,深入实施防御策略以减轻这种风险。确保用户使用安全浏览器并禁用或删除不必要的Web插件,也可以大大减少对遭遇 EK工具侵害的风险。

防御者的行为对攻击者的影响

防御方及时的修补一直的Flash软件中的漏洞,有助于减缓EK市场的增长和创新。Flash软件长期以来一直对想利用和入侵系统的攻击者而言,都是一个极有吸引力的网络攻击载体。然而,防御方的修复能力和速度越来越完善,导致漏洞利用的开发变得越来越困难。

网络安全和漏洞管理公司Qualys的研究表明,最近几年防御者在Flash 漏洞修复时间上显著减少,组织修复80%的Flash漏洞的平均时间,从2014的308天,到2015的144天,再到2016天的62天,如下图所示:

Web攻击方式印证了互联网的成熟度

代理技术是伴随着互联网的产生而发展起来的,如今它们的功能日趋成熟。防御者使用代理进行内容扫描,帮助发现潜在的威胁、寻找易受攻击的互联网基础设施和网络脆弱点,这些脆弱点容易被攻击者利用入侵用户的计算机、渗透组织并进行其他的攻击活动,常见的威胁包括:

  • 潜在的不受欢迎的程序(PUAs),如恶意浏览器扩展;
  • 木马(droppers 和downloaders);
  • Web垃圾邮件和广告欺诈的链接;
  • 特定的浏览器漏洞,如 JavaScript和图形渲染引擎;
  • 浏览器重定向,点击劫持,以及其他将用户导向包含恶意内容的网页的方法;

下图中显示了从2016年11月到2017年5月之间,攻击者最常使用的威胁类型,思科威胁研究人员通过分析公司的Web安全日志,得出图3中所列的方法在损害大量用户并感染计算机和系统方面最划算,也最可靠。

木马下载器、恶意软件、浏览器重定向木马、PUAs、Facebook欺诈等等,所有这些攻击方式都出现在下边的列表中。

攻击者采用的攻击类型的一致性表明,互联网已经成熟到让对手充分了解的地步,攻击者相当有信息,在Web攻击方面,使用何种攻击方法最有效。这里,有必要再次提醒用户,使用安全浏览器、禁用或删除不必要的浏览器插件依然是应对这些基于Web的常见威胁的重要方式。

全球范围内Web Block活动概况

思科跟踪了全球范围内不同国家和地区的基于恶意软件 Block 的活动情况。攻击者经常会转移他们的基地,寻找更为薄弱的基础设施,进一步发起攻击活动。通过检测整个互联网流量和 Block 活动概况,思科威胁研究员提供了关于恶意软件起源的相关见解。

根据互联网流量的大小来确定研究的国家,“Block”的值为1,表明我们所看到的Block数量与网络流量大小成比例,是一个正常值。个别国家和地区的Block活动高于正常水平,可能就代表该国家或地区有许多Web服务器和网络中的主机未能及时的打补丁。

下图显示了全球范围内的Web Block 活动概况。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/104335.html


为您推荐了相关的技术文章:

  1. “同形异义字”钓鱼攻击,钉钉中招
  2. [读书笔记]<Building an Intelligence-Led Security Program> 实施情报先导的信息安全方法与实践  
  3. 软件安全设计初窥 - Powered By Startblog
  4. 2017年网络威胁防御报告
  5. 小密圈精华第一期《云端的威胁检测》和《开源威胁情报的自动整理》

原文链接: www.mottoin.com