信任利用是网络攻击者和其他恶意攻击实施者采用的通用操作模式。他们充分利用用户对系统、应用程序以及用户日常互动往来的人员和公司的信任。此方法屡试不爽:有充分证据表明,网络攻击者不断采用新方法,将恶意软件嵌入网络,长时间潜伏,并窃取数据或破坏重要系统。从利用社交工程窃取密码和证书到数分钟内完成的视而不见的隐秘渗透等各种不同的方法,恶意攻击实施者继续利用公众信任,以实现危害结果。但是,信任问题的危害已超出罪犯利用漏洞或者通过社交工程捕食用户:它破坏上市和私营企业的自信。
当今的网络正面临着两种形式的信任侵蚀。一种是客户对产品完整性的信任度日渐下降。另一种是恶意攻击实施者击溃信任机制,因此导致用户质疑网络和应用程序保证、身份验证和授权体系结构的有效性。在本报告中,思科列出大量数据论证顶级安全问题,并提出深刻洞察,例如恶意软件移位、漏洞趋势以及分布式拒绝服务 (DDoS)攻击再现。该报告还论述了瞄准特定企业、群体和行业的网络攻击活动,以及试图窃取敏感信息之人的技能日益老练。报告最后建议全盘检查安全模式,并使连续攻击全程清晰可见。
关键发现
以下为思科 2014 年度安全报告的三大关键研究结果:
正在瞄准全球重要互联网资源的基础结构进行攻击。
• 恶意攻击正获得权限访问网络托管服务器、域名服务器和数据中心。建议完成 überbot 成型,以寻求声誉卓著且
资源丰富的资产。
• 主要威胁是缓冲区错误,占据常见缺陷列表 (CWE) 威胁类别的 21% 份额。
• 恶意软件遭遇正转向电子制造业和农业和采矿业,约是全行业纵向市场平均遭遇率的六倍。
恶意攻击实施者正使用受信赖的应用程序渗透并利用外围网络安全漏洞。
• 垃圾邮件继续呈下降趋势,虽然恶意垃圾邮件的比例保持不变。
• Java 占 Web 攻击的 91%;使用思科网络安全服务的公司中有 76% 的公司正在运行 Java 6 - 寿命终止的不受支
持的版本。
• “酒吧”攻击正瞄准特定行业相关网站,以传播恶意软件。
跨国公司的调查显示其存在大量内部泄漏证据。从其网络流出大量可疑流量,并试图连接到可疑网站(100 的公
司调用恶意软件主机)。
• 入侵指标显示,可能长时间未发现网络渗透。
• 威胁警报数年复增长 14%;新警报数(未更新警报)正在逐年上升。
• 2013 年,99% 的移动设备恶意软件全部针对 Android 设备。Android 用户遭遇所有形式的网络传播恶意软件的
遭遇率也最高(71%)。
思科如何评估威胁环境
鉴于思科解决方案极为盛行,安全智能广度超广,思科在评估威胁方面起到重要作用:
•思科云网络安全每天检查 160 亿个网络请求
•思科托管电子邮件解决方案每天检查 930 亿封电子邮件
•每天评估 200,000 个 IP 地址
•每天评估 400,000 个恶意软件样本
•FireAMP 每天评估 3300 万份端点文件
•FireAMP 每天评估 2800 万次网络连接
此项活动导致思科检测到以下威胁:
•每天有 45 亿封电子邮件被阻止
•每天有 8000 万个网络请求被阻止
•FireAMP 每天检测 6450 份端点文件
•FireAMP 每天检测 3186 个端点网络
•每天检测到 50,000 次网络入侵
经商新方式、新安全漏洞
技 术供应链的薄弱环节是当今复杂网络威胁和风险特征的其中一个方面。
因此,任意点到点基础结构应运而生,任何位置的任何设备均可通过任何网络例示面世。1 具备连网功能的设备数量亦日渐增多—智能手机、平板电脑等—尝试连接到可随时随地运行的应用程序,包括公用软件服务 (SaaS) 云、私有云或混合云。2 甚至基本互联网基础结构服务都已经成为黑客的攻击目标,黑客希望充分利用网络托管服务器、域名服务器和数据中心的声誉、带宽以及连续正常运行时间和可用性,开展越来越大的黑客攻击活动。(参阅第 43 页“脆弱生态系统断裂”。)虽然诸如云计算和移动性等趋势正在减少能见度,增加安全复杂性,但由于这些趋势对许多企业维持自身竞争优势和业务成功至关重要,因此这些组织仍必须接受它们。但是安全漏洞不断涌现和扩大,尽管安全团队不断尝试使用迅速演化的新经商方式调整传统解决方案。与此同时,恶意攻击实施者正加快利用安全漏洞,非集成式单点解决方案根本无法修补这些安全漏洞。由于掌握诸多资源,可以更敏捷应对,因此他们日益成功。
信任侵蚀
网络世界恒久存在的现状是,网络犯罪分子运用威胁,以充分利用用户对系统、应用程序以及他们知道的人员和企业的信任。详细分析几乎所有的计划,核心是滥用信任:将恶意软件交付给合法浏览主流网站的用户。垃圾邮件看似由知名公司发送,但包含恶意网站链接。第三方移动应用程序被植入恶意软件,并从知名在线应用程序市场下载。消息灵通人士利用信息访问权限,窃取雇主的知识产权。所有用户或许都应设想网络世界内的一切都不能或不应信任。专业安全人员可以通过不信任任何网络流量,为所在企业提供服务3—或者通过不完全信赖为企业提供技术的供应商或供应链的安全实践。但是,公共和私营部门的企业、个人用户和国家之间仍希望得到保证,以致他们可以信任他们每天依赖的基础技术。这种安全信心需求推动信息技术安全评估通用标准(简称“通用标准”)、语言和框架进一步发展,可使政府机构和其他团体定义技术产品必须遵并满足的要求,以确保这些技术产品值得信赖。目前共有包括美国在内的 26 个国家签订《通用标准互认协议》,此多边协定参与国将互认经评估的技术产品。但在 2013 年,大体而言,信任遭受了倒退。催化剂:爱德华·斯诺登(Edward Snowden)。前美国政府承包商向英国卫报泄露机密信息 —在完成美国国家安全局 (NSA) 交办任务时获取的信息。
2014 年度主要安全挑战
由于信任受到侵蚀,因此更难定义哪些系统和关系值得信赖,哪些不值得信赖,并且企业面临如下几个严重破坏其解决安全问题的能力的关键问题:
1 | 攻击面扩大
2 | 攻击模式扩散且手法娴熟
3 | 威胁和解决方案异常复杂
1攻击面扩大
当前的攻击面非常广,可使恶意攻击实施者随意破坏庞大而脆弱的安全生态系统。攻击面呈指数级增长,并且仍在不断扩大,不受企业控制端点、侵袭和数据实在太多。
大多数网络攻击者想要通过攻击活动获得的奖励是数据,因为数据本质上是货币。如果数据拥有任何“街头黑市价”,不论是大公司的知识产权或个人的医疗资料,均处在危险之中。如果目标的价值大于攻击风险,会被黑客攻击。即使小型企业亦存在被黑客攻击的风险。大多数大型和小型企业已被入侵,但仍不知情:思科分析的所有商业网络均有流量流向托管恶意软件的网站。
2攻击模式扩散且手法娴熟
当前的威胁环境完全不同于 10 年前。导致损害可控的简单攻击早已让位给现代网络犯罪,复杂严密,资金雄厚,并能导致企业遭受严重破坏。众多公司已成为针对性攻击的焦点。这些攻击极难察觉,长时间留在网络内,并积累网络资源,以便在其他地方发动攻击。要控制住连续攻击全程,企业需要使用可随处运行的解决方案访问各类攻击载体。威胁可在网络、端点、移动设备和虚拟环境内自我显现。
3 威胁和解决方案异常复杂
垃圾邮件拦截程序和反病毒软件以往曾帮助防范大多数威胁入侵容易定义的外围网络,如今却已一去不返。当今网络已超越传统界限,持续演进,并产生新攻击载体:移动设备、具备联网功能的移动应用程序、管理程序、社交媒体、网络浏览器、家用电脑和汽车。时间点解决方案难以应付恶意攻击实施者使用的种种技术和战略。这使得安全保障团队更加难以监控和管理信息安全。由于企业采用无组织的单点解决方案和多管理平台,因此组织漏洞日益增多。结果导致横各跨控制点的诸多技术迥然不同,且其从未被设计成可共同协作。这导致客户信息、知识产权和其他敏感信息被入侵的可能性增加,并使企业声誉面临受损风险。需要能够持续找到最佳机会,以应对复杂威胁环境的挑战。残酷无情的攻击并非只在某个时间点发动,而是会持续发动。因此,企业必须时刻防范。
鉴于威胁的复杂性和相应的解决方案需求始终非常高,企业需要反思其安全战略。他们可持续在其网络内集成安全特性,最大持续减少复杂性,而并非依赖单点解决方案,因此网络能:
• 持续监控和分析文件,并在恶意攻击开始后,确定后续恶意攻击行为。
• 帮助企业逐步加强执行力度,扩大网络设备的部署范围。
• 加快检测,因为可借此发现更多流量。
• 使企业能够聚集独特的环境意识,这种意识不可能仅依赖安全特定设备获得。
技术不会止步不前,攻击者当然也不会。确保系统值得信赖需要涵盖网络的整个生命周期,即从初始设计到制造、系统集成、日常运营、维护和更新以及解决方案的最终停用。对于值得信赖的系统的迫切需求早已超出企业自身的网络,包括企业与之连接的网络。思科安全研究和运营团队已观察到去年“数据透视”的使用量增多。网络犯罪的数据透视方法包括使用后门、漏洞或在攻击链的某一时刻利用信任作为跳板,发动针对更目标的更加复杂的攻击 - 如大型能源公司的网络或金融机构的数据中心。有些黑客利用企业间的信任作为数据透视的基础,利用某个受信任的企业合作伙伴瞄准并利用其他不知情的受信任的企业或政府合作伙伴。当前网络威胁随处可见,因此保持警惕很有必要。安全防范措施必须立足于独立可证实的数据和流程,使用可测量的方法客观验证系统的可信度,以适应作为企业信息技术环境有机组成部分的全部暂态。最可持续的方法是根据企业的独特信息技术环境量身定制动态防御系统,其包括持续演进的安全控制措施,以保持相关性。 |