- 攻擊范圍擴(kuò)大使攻擊者能夠乘機(jī)進(jìn)攻已知弱點(diǎn)
- 包含低風(fēng)險(xiǎn)目標(biāo)及易被忽略的傳統(tǒng)應(yīng)用程式和基礎(chǔ)設(shè)施
CTI論壇(ctiforum)8月26日消息(記者 李文杰):思科最新發(fā)表的2014年思科年中安全報(bào)告(Cisco 2014 Midyear Security Report)指出組織中「脆弱環(huán)節(jié)(weak links)」的存在,會(huì)導(dǎo)致動(dòng)態(tài)安全威脅不斷攀升。這些脆弱環(huán)節(jié)可以是過時(shí)的軟件、錯(cuò)誤的程式、丟棄的數(shù)位資產(chǎn)或用戶錯(cuò)誤,都讓攻擊者得以利用包括DNS查詢、漏洞攻擊包、放大攻擊、端點(diǎn)銷售系統(tǒng)(point-of-sale, POS)入侵、惡意廣告、勒索軟件、加密協(xié)定滲透、社交工程及發(fā)送「生活事件」垃圾郵件等手法考驗(yàn)系統(tǒng)的脆弱性。
報(bào)告中也指出,僅專注于明顯的弱點(diǎn),卻忽略具高影響力并常見的隱形威脅,反而會(huì)讓組織蒙受更大的風(fēng)險(xiǎn)。例如當(dāng)安全團(tuán)隊(duì)專注于Heartbleed等顯著的攻擊目標(biāo)時(shí),不明顯且?guī)в幸阎觞c(diǎn)的傳統(tǒng)應(yīng)用程式與基礎(chǔ)設(shè)施容易遭受忽略,因此惡意攻擊者可以輕易對(duì)這類目標(biāo)發(fā)動(dòng)攻擊,輕松躲過安全機(jī)制的偵測(cè)。
重要發(fā)現(xiàn)
研究人員深入檢視16家大型跨國(guó)組織。截至2013年,這些組織的資產(chǎn)總額高達(dá)4兆美元,營(yíng)收超過3千億美元。分析結(jié)果發(fā)現(xiàn),導(dǎo)致企業(yè)成為惡意攻擊目標(biāo)包括下述三大安全原因:
「瀏覽器中間人(Man-in-the-Browser, MiTB)」攻擊對(duì)企業(yè)造成威脅:2014年,受觀察的客戶網(wǎng)絡(luò)中,有將近94%曾瀏覽過含有惡意軟件的網(wǎng)站。特別是某些向主機(jī)送出DNS要求后、被DNS主機(jī)解析完后的IP地址,指出可能與傳輸含有「瀏覽器中間人(MiTB)」功能的Palevo、SpyEye及Zeus等惡意軟件家族有關(guān)。
- 僵尸網(wǎng)絡(luò)捉迷藏:將近70%網(wǎng)絡(luò)會(huì)對(duì)動(dòng)態(tài)DNS網(wǎng)域送出DNS查詢,明確指出網(wǎng)絡(luò)中存在不當(dāng)使用,或遭到僵尸網(wǎng)絡(luò)利用動(dòng)態(tài)DNS隱藏其真實(shí)的IP位址,借以躲避偵測(cè)及黑名單攔截。少數(shù)由企業(yè)發(fā)出合法對(duì)外連結(jié),除了會(huì)回應(yīng)外部C&C,也會(huì)尋找動(dòng)態(tài)DNS網(wǎng)域,以掩護(hù)僵尸網(wǎng)絡(luò)的位置。
- 加密竊取的資料:在2014年中,有將近44%受觀察的客戶網(wǎng)絡(luò)為特定的網(wǎng)址或網(wǎng)域發(fā)出的DNS解析,這些網(wǎng)址或網(wǎng)域和提供加密服務(wù)的裝置相關(guān),惡意攻擊者可利用加密管道偷渡資料并躲避偵測(cè),加密管道如VPN、SSH、SFTP、FTP及FTPS。
根據(jù)Cisco 安全研究人員調(diào)查,自從據(jù)稱造成大規(guī)模危害的「黑洞漏洞攻擊包」發(fā)明者于去年落網(wǎng)后,漏洞攻擊包的數(shù)量減少了 87%。2014年上半年觀察到的多種漏洞攻擊包,雖然試圖達(dá)到黑洞漏洞攻擊包的地位,但尚未有明確的重大新威脅角色出現(xiàn)。
Java仍疑似是惡意攻擊者最常利用的程式語言。依據(jù)2014年思科年度安全報(bào)告,思科安全研究人員發(fā)現(xiàn)截至2014年5月,Java攻擊案件在所有感染指標(biāo)(indicators of compromise, IOCs)中,增加至93%,是繼2013年11月IOCs指標(biāo)達(dá)91%后的新高。
特定產(chǎn)業(yè)中惡意軟件異常暴增。2014年上半年,制藥與化學(xué)等高利潤(rùn)產(chǎn)業(yè),再度成為最易遭受網(wǎng)絡(luò)惡意軟件攻擊的特定產(chǎn)業(yè)排行榜前三名。媒體出版業(yè)則以相當(dāng)于中位數(shù)的4倍,名列遭受網(wǎng)絡(luò)惡意軟件攻擊量第一名,而航空業(yè)則為第三,為中位數(shù)的2倍。依區(qū)域劃分,最易受到攻擊的產(chǎn)業(yè)分別是美洲的媒體出版業(yè),非洲、歐洲及中東的餐飲業(yè),和亞太、中國(guó)、日本及印度的保險(xiǎn)業(yè)。
關(guān)于報(bào)告
2014年思科年中安全報(bào)告是思科集體安全情資(Collective Security Intelligence, CSI)生態(tài)系統(tǒng)里的安全研究專家,針對(duì)2014年上半年的威脅情資與網(wǎng)絡(luò)安全趨勢(shì)進(jìn)行的研究結(jié)果。思科CSI被多種安全解決方案所采用,并提供領(lǐng)先業(yè)界的安全防護(hù)與效率。除了精通威脅研究的專業(yè)人員之外,CSI的構(gòu)成要素還包括情資基礎(chǔ)設(shè)施、產(chǎn)品與遙測(cè)服務(wù),并廣納官方、民間及開放社群的意見。
思科 CSI生態(tài)系統(tǒng)包括日前加入的Talos威脅情資與研究集團(tuán),結(jié)合原思科威脅研究與傳播團(tuán)隊(duì)(Cisco Threat Research and Communications, TRAC)、Sourcefire弱點(diǎn)研究團(tuán)隊(duì)(Sourcefire Vulnerability Research Team, VRT)及思科安全應(yīng)用程式(Cisco Security Applications, SecApps)事業(yè)體。Talos的專業(yè)領(lǐng)域橫跨軟件開發(fā)、逆向工程、弱點(diǎn)分流、惡意軟件調(diào)查與情資收集,并負(fù)責(zé)維護(hù)Snort.org、ClamAV、SenderBase.org和SpamCop的官方防護(hù)規(guī)則。
支持引述
思科資深副總裁暨首席安全長(zhǎng)John N. Stewart指出:「許多企業(yè)正在運(yùn)用網(wǎng)際網(wǎng)絡(luò)的力量開創(chuàng)未來。要在這個(gè)快速興起的領(lǐng)域中搶得一席之地,管理階層在業(yè)務(wù)層級(jí)上,千萬不能忽略網(wǎng)絡(luò)相關(guān)風(fēng)險(xiǎn)的掌握與管理。對(duì)于安全鏈中的弱點(diǎn)分析和了解,主要取決于個(gè)別組織與產(chǎn)業(yè)的最高層級(jí),包括董事會(huì),是否能夠意識(shí)到網(wǎng)絡(luò)威脅的嚴(yán)重性,將網(wǎng)絡(luò)安全視為企業(yè)程序,而不僅是技術(shù)問題而已。要涵蓋整個(gè)攻擊時(shí)程,也就是攻擊前、中、后,現(xiàn)今的組織應(yīng)具備在威脅一顯露,便于予攔截的安全解決方案!