思科發(fā)表年度安全報(bào)告指出網(wǎng)絡(luò)安全就緒程度在認(rèn)知與實(shí)際情況存有巨大落差
CTI論壇(ctiforum)1月29日消息(記者 李文杰): 思科發(fā)表《思科2015年度安全報(bào)告》,針對(duì)威脅情資與網(wǎng)絡(luò)安全趨勢(shì)進(jìn)行調(diào)查,顯示組織必須以「全員參與」的方式來(lái)防御網(wǎng)絡(luò)攻擊。攻擊者愈趨精明,知道如何利用安全漏洞規(guī)避偵測(cè)并隱匿惡意行動(dòng)。防御者,也就是資安團(tuán)隊(duì),必須持續(xù)改善防護(hù)方法,才能保護(hù)組織免于遭受日益精良的網(wǎng)絡(luò)攻擊活動(dòng)。這些問(wèn)題更隨著攻擊者的地緣政治動(dòng)機(jī)、以及與當(dāng)?shù)胤上鄾_突的要求而更趨復(fù)雜,包括數(shù)據(jù)主權(quán)認(rèn)定、數(shù)據(jù)在地化及數(shù)據(jù)加密等方面。
攻擊者
網(wǎng)絡(luò)罪犯不斷增進(jìn)攻擊手法進(jìn)行攻擊活動(dòng),使其更難被偵測(cè)與分析。根據(jù)思科的威脅情資分析出去年前3大攻擊趨勢(shì)為:
「雪靴」垃圾郵件(Snowshoe Spam):一種新興的熱門攻擊方式,攻擊者從大量IP位址中發(fā)送少量垃圾郵件以規(guī)避偵測(cè),其中是利用已被入侵的帳號(hào)來(lái)做攻擊。
隱匿在明顯易見之處的網(wǎng)絡(luò)攻擊套件:常見的攻擊套件很快就會(huì)被資安公司破解,因此網(wǎng)絡(luò)罪犯轉(zhuǎn)而運(yùn)用其他較少見的套件,成功\執(zhí)行攻擊策略。此方式較不容易引起注意,進(jìn)而成為持續(xù)發(fā)展的攻擊模式。
惡意攻擊組合:Flash和JavaScript傳統(tǒng)上都曾是安全堪慮的程式,但隨著安全偵測(cè)與防御技術(shù)的進(jìn)步,攻擊者學(xué)會(huì)結(jié)合兩者的弱點(diǎn)并展開攻擊。攻擊程式可同時(shí)被Flash和JavaScript兩種檔案共享,讓安全裝置更加難以辨別和封鎖攻擊,或是通過(guò)逆向工程工具進(jìn)行分析。
使用者
使用者面臨左右夾攻的情況,因?yàn)樗麄儾粌H是網(wǎng)絡(luò)攻擊的目標(biāo),也在不知不覺(jué)中成為網(wǎng)絡(luò)攻擊的幫手。思科威脅情資研究顯示在2014年間,攻擊者逐漸將他們的攻擊焦點(diǎn)從企圖癱瘓伺服器和作業(yè)系統(tǒng),轉(zhuǎn)向攻擊使用者的瀏覽器和電子郵件。使用者從問(wèn)題網(wǎng)站下載檔案,使得針對(duì)Silverlight的攻擊程式數(shù)量增加228%,垃圾郵件和惡意廣告的攻擊程式數(shù)量成長(zhǎng)250%。
防御者
思科資安能力基準(zhǔn)研究報(bào)告,以9國(guó)共1,700家企業(yè)的資訊安全長(zhǎng)(CISOs)和安全營(yíng)運(yùn)(SecOps)主管為調(diào)查對(duì)象,結(jié)果顯示防御者對(duì)于自身安全能力的認(rèn)知與事實(shí)之間存有巨大落差。其中,75%的CISOs認(rèn)為他們的安全工具很有效或非常有效。然而,不到50%的受訪者使用如修補(bǔ)程式和組態(tài)等標(biāo)準(zhǔn)工具來(lái)補(bǔ)強(qiáng)安全缺口,并確認(rèn)使用最新版本。Heartbleed為去年最具代表性的安全漏洞,但仍有56%已安裝的OpenSSL為4年前的版本,這是資安團(tuán)隊(duì)未能適時(shí)更新安全程式的證明。
雖然許多防御者以為他們使用的安全程序已達(dá)最佳化,安全工具也確實(shí)有效,但其實(shí)他們的安全就緒程度可能有待加強(qiáng)。
報(bào)告結(jié)論顯示,企業(yè)中的董事會(huì)應(yīng)承擔(dān)起制定資安任務(wù)優(yōu)先順序和期望值的角色。思科「安全宣言(Security Manifesto)」為一套正式安全準(zhǔn)則,作為網(wǎng)絡(luò)安全的基礎(chǔ),協(xié)助企業(yè)董事會(huì)、資安團(tuán)隊(duì)及使用者更加了解并回應(yīng)現(xiàn)今的網(wǎng)絡(luò)安全挑戰(zhàn)。當(dāng)企業(yè)要建立一套更靈活的安全方案,并在創(chuàng)新及實(shí)作方面領(lǐng)先網(wǎng)絡(luò)罪犯,可將此安全準(zhǔn)則作為基準(zhǔn)。此準(zhǔn)則包括:
1. 資訊安全必須能支持企業(yè)營(yíng)運(yùn)
2. 資訊安全必須與既有架構(gòu)相容且具使用性
3. 資訊安全必須透明化且資訊化
4. 資訊安全必須具有能見度并可采取適當(dāng)?shù)男袆?dòng)
5. 資訊安全必須被視同為「人的問(wèn)題」
支持引述
思科資深副總裁暨資訊安全長(zhǎng)John N. Stewart:「安全需要一套全員參與的完整方案,從董事會(huì)到個(gè)別使用者,每個(gè)人都應(yīng)該投入。過(guò)去我們擔(dān)心DoS作業(yè)系統(tǒng)(Disk Operating System),現(xiàn)在我們也擔(dān)心資料受損;我們?cè)?jīng)擔(dān)心IP位址被盜用,現(xiàn)在我們擔(dān)心關(guān)鍵業(yè)務(wù)停擺。我們的敵人日趨精明,利用我們的弱點(diǎn),在顯而易見之處隱藏他們的攻擊。有效的資安措施必須在全程攻擊中提供持續(xù)性的防護(hù),采用的技術(shù)必須依此些需求來(lái)設(shè)計(jì)建置。線上服務(wù)必須具備回復(fù)力,所有動(dòng)作都必須立即到位才能夠保護(hù)我們的未來(lái),而我們的產(chǎn)業(yè)必須具備前所未有領(lǐng)導(dǎo)力、合作與當(dāng)責(zé)的能力。」
思科安全事業(yè)群首席工程師Jason Brvenik:「攻擊者越來(lái)越擅長(zhǎng)利用安全漏洞,我們發(fā)現(xiàn)56%的OpenSSL版本仍易遭受Heartbleed攻擊,而主要的攻擊只需利用1%的高度危急弱點(diǎn)就能成功\。盡管如此,仍有不到半數(shù)的受訪資安團(tuán)隊(duì)會(huì)采用修補(bǔ)程式及組態(tài)管理等標(biāo)準(zhǔn)工具來(lái)預(yù)防安全缺口。即便使用領(lǐng)先的安全技術(shù),企業(yè)仍需要杰出的防護(hù)程序,才能夠在日益復(fù)雜的攻擊活動(dòng)中保護(hù)組織和使用者!