如今,全數(shù)字化系統(tǒng)已經(jīng)全面融入企業(yè)的方方面面。脆弱而不安全的基礎設施無法支持新興的下一代全數(shù)字化經(jīng)濟。為了幫助企業(yè)更好地把握全數(shù)字化機遇,讓安全無處不在,思科不僅提供了符合當前實際需求的智能網(wǎng)絡安全解決方案和業(yè)界最全面的高級威脅防范解決方案組合,更是借助從海量設備和傳感器、公共和私人來源及思科開源社區(qū)處取得的遙感勘測數(shù)據(jù),將行業(yè)領先的威脅智能匯聚到了一起,將由此產(chǎn)生的情報轉(zhuǎn)化為對產(chǎn)品和服務的實時保護,并立即交付到全球各地的思科客戶手中。思科《2016 年年中網(wǎng)絡安全報告》為客戶、合作伙伴及業(yè)界人士提供了來自思科安全研究部門的威脅研究成果與行業(yè)趨勢預測。
▲新一代勒索軟件將變得更加普遍而有彈性
勒索軟件目前在惡意軟件市場中占據(jù)主體地位。雖然它不是一個新威脅,但它已逐漸發(fā)展成為有史以來最有利可圖的惡意軟件類型。2016 年上半年,針對個人和企業(yè)用戶的勒索軟件攻擊變得更加普遍和猛烈。電子郵件和惡意廣告是勒索軟件攻擊活動的主要媒介。然而,有些威脅實施者現(xiàn)在開始利用網(wǎng)絡和服務器端漏洞,這使攻擊者有機會悄無聲息地實施可能影響整個行業(yè)的勒索軟件攻擊活動。
目前,大多數(shù)已知的勒索軟件都無法輕易被解密,受害者別無選擇,在大多數(shù)情況下只能支付索價。但是,由于一些勒索軟件的早期版本存在缺陷,即使用戶支付了贖金,文件仍會丟失。此外,攻擊者可能故意篡改他們控制的文件,根據(jù)加密文件的類型(例如,醫(yī)療記錄或工程設計),數(shù)據(jù)篡改或失竊的后果可能非常嚴重。還有一個問題是重新感染的可能性,目前已經(jīng)出現(xiàn)勒索軟件對同一機器上的相同用戶攻擊兩次的例子。
自我傳播:思科預計,自我傳播勒索軟件將是該領域創(chuàng)新者的下一步棋,因此敦促用戶現(xiàn)在就采取措施做好應對準備。今年攻擊者利用JBoss 后門發(fā)起針對醫(yī)療保健行業(yè)組織的勒索軟件攻擊活動,這是一個強烈的信號,說明攻擊者一旦有充足的行動時間,就會尋找新的方法來侵害網(wǎng)絡和用戶。自我傳播型惡意軟件的特點包括:利用廣泛部署的產(chǎn)品中的漏洞,復制到所有可用驅(qū)動器,文件感染,有限暴力破解攻擊活動,彈性指揮和控制,使用其他后門。
模塊化:開發(fā)新一代勒索軟件的攻擊者很可能傾向于使用采用模塊化設計的軟件,模塊化設計提高了效率,并使威脅實施者能夠在某個方法被發(fā)現(xiàn)或者無效的情況下改變策略。我們猜測,新一代勒索軟件框架將包含如下核心功能:
·對用戶文件的標準位置進行加密,以及提供自定義的目錄和文件類型,允許按目標進行自定義
·標記哪些系統(tǒng)和文件已加密
·提供使用比特幣付款的指示
·允許攻擊者設定贖金的數(shù)額,并指定雙重期限:一個是提高支付金額的期限;另一個是刪除加密數(shù)據(jù)的密鑰的期限
攻擊者充分利用不受限制的時間發(fā)起攻擊
漏洞為惡意攻擊實施者提供行動時間,而他們利用這個優(yōu)勢在防御者修補漏洞之前發(fā)起攻擊活動。通過漏洞攻擊包、勒索軟件甚至社交引擎垃圾郵件,攻擊者依靠未修補的系統(tǒng)和過時的設備實現(xiàn)其目標。勒索軟件攻擊活動在增多,最近的攻擊活動的范圍在擴大,這些都表明攻擊者因行動時間不受限制而獲益良多。這使得他們能夠悄無聲息地為攻擊活動奠定基礎,在準備就緒后發(fā)動攻擊,并最終成功獲得收入。
為了隱藏其活動,他們會使用加密貨幣、ToR、HTTPS 加密流量和傳輸層安全(TLS)。同時,通過快速行動,對補丁進行反向工程,并利用難以管理的漏洞披露,漏洞攻擊包制作者進一步獲得成功。
惡意廣告即服務:從 2015 年 9 月到 2016 年 3 月,思科安全研究人員觀察到與惡意活動相關的 HTTPS 流量增長了五倍。根據(jù)研究,HTTPS 流量的增加主要歸因于廣告注入器和廣告軟件。惡意廣告注入器是廣告軟件感染的主要組成部分。網(wǎng)絡犯罪分子利用這些瀏覽器擴展將惡意廣告注入到網(wǎng)頁中,使用戶接觸展示廣告和彈出窗口,進而促進勒索軟件和其他惡意軟件活動。思科預計,隨著越來越多的網(wǎng)絡犯罪分子尋求高效方法,通過合法站點感染大量網(wǎng)絡用戶并躲避檢測,惡意廣告即服務這一趨勢將不斷增強。在幫助攻擊者開展勒索軟件攻擊活動中,惡意廣告發(fā)揮著核心作用,而勒索軟件攻擊活動正在快速成為攻擊者的首選攻擊方法,因為它們可能會帶來高額利潤。
▲防御者必須有效使用日益緊張的保護時間
雖然防御者一直在創(chuàng)新,全數(shù)字化經(jīng)濟依賴的基礎設施仍然很脆弱,并且依賴于不充分的安全做法。如今,由于大多數(shù)組織中網(wǎng)絡瀏覽器、應用和基礎設施的混雜,攻擊者有大量的入口通道。這些欠缺防護的設備和軟件向攻擊者開放了行動空間,安全專業(yè)人員必須關閉這些空間。
根據(jù)思科對數(shù)以千計的通用漏洞披露 (CVE) 進行的研究,主要終端軟件供應商從公開披露漏洞到提供補丁之間的時間中值為零天。換句話說,通常在公開披露漏洞的同時,就提供了補丁,但是仍然有很多用戶沒有及時下載和安裝這些補丁。這些補丁的提供和實際實施之間的時間差為攻擊者提供了發(fā)動攻擊的機會。惡意攻擊實施者甚至能夠在漏洞被公開披露之前就開始利用漏洞。因此,關閉補丁的提供與安裝之間的窗口對于防御至關重要。
思科將“檢測時間”或 TTD 定義為從發(fā)生入侵到發(fā)現(xiàn)威脅之間的這段時間窗。利用我們的全球可視性和持續(xù)分析模型,對于在發(fā)現(xiàn)時沒有分類的所有惡意代碼,我們都能夠測出從惡意代碼開始在終端上運行到它被確定為威脅之間的時間。從 2015 年 12 月到 2016 年 4 月,思科將其中值 TTD降低到大約 13 小時,遠低于目前讓人難以接受的行業(yè)估計值 100-200 天。TTD 的顯著下降表示思科在對抗攻擊者時獲得優(yōu)勢的時間段,獲得優(yōu)勢指檢測威脅的速度快于攻擊者開發(fā)和投入使用新技術的速度。
思科的威脅情報組織TALOS在今年8月發(fā)現(xiàn),羅克韋爾自動化公司(Rockwell Automation)的MicroLogix 1400可編程邏輯控制器(PLC)存在無證SNMP“社區(qū)字符串”(community string),攻擊者可加以利用實現(xiàn)遠程更改設置或修改設備固件,從而劫持PLC。這表明,即使對于制造業(yè)客戶,OT并不是孤立且免受攻擊的,防御者必須有效使用日益緊張的保護時間,做好對抗復雜威脅的準備,積極提高組織安全性。
思科針對保護業(yè)務環(huán)境的簡單步驟建議
思科的Talos研究人員發(fā)現(xiàn)企業(yè)可以通過采取幾個簡單但效果明顯的步驟,顯著提高其運營安全性,其中包括:
· 改善網(wǎng)絡健康:密切監(jiān)視網(wǎng)絡;按時部署補丁和更新;對網(wǎng)絡進行分段;在邊緣部署防御措施,包括電子郵件和Web安全、新一代防火墻與新一代IPS等。
· 整合防御措施:充分利用架構方法來保障安全,而非部署單獨的產(chǎn)品。
· 測量檢測時間:努力以最快的速度發(fā)現(xiàn)威脅,然后及時做出補救。不斷改進企業(yè)安全策略中的衡量指標。
· 隨時隨地保護用戶:不管他們在何處工作,不僅限于他們使用的系統(tǒng),有不僅限于他們身處企業(yè)網(wǎng)絡時。
· 備份關鍵數(shù)據(jù):定期檢查其有效性,同時確保備份的安全。