标签:思科 安全 恶意软件 联网 漏洞 2018 加密 2017 云与物
随着网络***日益严重,防御已经不仅仅是被动地构筑一堵堵高墙进行固守,更需要主动出击去搜索***的迹象并且提前进行针对性地防御。
在思科2018年度网络安全报告中,思科指出很多***有着显而易见的***前兆,而防御者一旦能预知并且识别即将到来的***以及***模式,就可以进行阻止或者缓解***造成的损失。
在这份报告中,思科从***者以及其***模式和防御者策略两个角度,结合了思科威胁研究人员和其技术合作伙伴根据过去12到18个月内观察到的***者行为得出的数据和分析结果,进行了详细的阐述以及总结。
思科发现,大量的***集中于三个主题:
***者将恶意软件的复杂性和影响力进一步提升;
***者更善于将合法用途的工具转换为***的武器;
***者利用不设防的漏洞,而这些漏洞集中于物联网和云服务。
一、***形势
恶意软件进一步演变
思科认为,2017年中,***形势的最大变化是恶意软件的演变。***者通过将恶意软件(比如勒索病毒)与自传播功能相结合,从而造成更大的破坏。因此,尽管“蠕虫式”的***可能被认为是旧式的威胁,然而一旦带有其他破坏功能,依然能使整个网络瘫痪。因此,防御者依然需要对此做好准备。
由于如今大量的工作与开发需要运用到非自产的第三方软件或者库,软件供应链成为了恶意软件散布的温床。例如 Nyetya (也称为 NotPetya)恶意软件是通过软件更新系统部署到一个税务软件包中,该税务软件包在乌克兰有超过 80%的公司使用,并安装在 100 万多台计算机上。乌克兰网络警察证实,它对 2000 多家乌克兰公司造成了影响。因此防御者需要外来的程序都加以注意。
加密的恶意网络流量
尽管加密的初衷是为了增加安全性,然而***者同样会使用加密技术对C2活动(command-and-control,命令与控制)进行隐藏。
思科发现,截止2017年10月,全球流量中有50%为加密流量。而与此同时,在过去12个月中,检测到的恶意软件样本使用的加密网络通信增加3倍以上。而经过对40多万个恶意二级制文件的分析,思科发现,截止2017年10月,其中约70%都使用了某种加密技术。
针对于加密数据产生的可视性不足的问题,思科建议将机器学习和人工智能应用到安全防御之中。不仅仅通过已知的威胁来寻找同类威胁,更需要通过已知的威胁去发现未知的威胁,甚至通过分析未知的威胁数据来寻找未知的威胁。
值得关注的是,思科Stealthwatch ETA(加密流量分析技术)可以在无需对加密流量进行解密的情况,运用网络感知分析方法,识别隐藏在加密流量中的恶意软件。该系统针对加密流量内部的元数据进行机器学习算法分析,准确定位加密流量中的恶意模式,实现更快更精确的判断,帮助企业快速确定可能受到感染的设备和用户,最终提升企业面对安全事件时的响应速度和水平,准确率超过99.99%。
邮件威胁
思科指出,无论威胁形势的变化有多大,邮件始终是传播恶意软件的重要工具。
对于恶意文件的扩展名,思科也做了统计(2017年1月到9月):
另外,社会工程学依然是启动邮件***的主要方式。
滥用云及其他合法资源
随着大量服务转移到云端,网络周界的定义越来越模糊化。安全团队更加难以应对不断演变扩展的云以及物联网环境。这其中的原因之一则是究竟这些问题应该由谁来保护尚不明确。
当***者利用合法服务进行C2时,安全团队几乎无法识别恶意软件网络流量,因为他模仿了合法网络流量的行为。而由于在办公环境中大量使用其他云服务(比如Google Drive,Dropbox等),使得***者可以利用这些网络“噪声”作为掩护。思科与其合作伙伴Anomali在过去几年的观察中,总结了用在恶意软件后门C2架构中的几款主流合法服务:
对于防御者来说,来源于合法服务的***因以下原因难以被阻止:合法服务难以阻止、合法服务往往经过加密、合法服务的使用破坏了域名和证书智能。
思科也指出,对于云使用同样会造成内部威胁,造成从内部的***以及数据泄露。
物联网和DDos
尽管物联网仍在发展中,他们却早已成为***者们的目标。物联网僵尸网络的规模在不断增长,然而组织和用户却依然在盲目地部署低成本的物联网设备。思科提醒防御者,需要重视物联网带来的安全隐患。
思科表示,物联网的***有三个特点:***重点转向应用层、“突发***”的复杂性,频率以及持续时间增加、反射放大***增多。对此,思科认为防御方需要检测并且修正开放或者未正确配置的设备。
值得注意的是,工业控制系统漏洞也成为了***者的目标,使得关键基础设施陷入危险的情况。
漏洞和修复
在复杂的环境中安全人员可能会忽略使用技术中的漏洞。然而,对于***者来说,他们永远不会停止发掘以及利用这些漏洞。
在2017年思科跟踪的常见弱点列举(CWE, Common Weakness Enumeration)漏洞中,缓冲区溢出(Buffer overflow errors)错误名列榜首。
CWE威胁类别漏洞
另外,物联网和库漏洞在2017年中逐渐增多。在2016年10月1日至2017年9月30日期间发现224个新漏洞,其中40个漏洞(17.86%)与产品中包含的第三方软件库有关,74个(33.04%)与物联网设备有关。然而,尽管物联网的漏洞日益增多,很多漏洞修复速度很慢,甚至完全没有被修复。组织需要像对待其他计算设备那样对待物联网设备,确保他们的固件按时更新。
同时,思科提醒,尽管常见漏洞严重性较低,但风险依然较高,一旦不注意更新修复,也会成为***者的***途径。
二、防御形势
***者是永远不会停止***的脚步的,他们会不断发展和调整他们的技术,并在实际场景中进行各种实验。而面对越来越繁多的***,防御方是否做好准备了呢?
数据泄露带来的损失已经不是一个假想的情况,而是能在企业的账本上明确反映出来的情况:根据思科对受访者的调查,53%的***会导致超过50万美元(约314万人民币)的损失。
然而,相对于***者只需要找到一个弱点,进行单点突破,企业的防御却需要做到全方位的保护——从而对整个安全防御带来极大的挑战。为了应对各种挑战,安全人才逐渐成为了极大的需求。根据思科调查,在2017年,有27%的受访者认为缺乏人才是一大障碍(2016年为25%,2015年为22%)。而缺乏人才带来的问题之一,就是企业无法协调、理解并修复来自不同安全供应商的风险通告。
尽管管理多个安全供应商会带来极大的混乱,企业为了追求最佳的效果,依然会为了满足一些特定的需求而选择购买最佳单点解决方案。企业已经逐渐意识到公众对于信息泄露的敏感,而信息泄露一旦被曝光,将给企业带来巨大的损失。因此,企业为了确保安全,已经越来越愿意把钱花在安全供应商上。
思科指出,企业需要同时解决三大问题以应对即将到来的威胁:策略、技术以及人员。而安全漏洞促使企业需要加大对技术和人员培训的投资。
在思科这份报告中,我们可以发现,从***形势的角度,***模式越来越多:“老”式的***依然奏效,“新”式的***也在逐渐增加。老式的蠕虫型恶意程序以及邮件***依然是***者的宠儿,甚至随着结合新的***元素能够进一步变化。而新式的***则针对于企业新开展的业务以及利用的设备和服务展开***——比如越来越多的云办公以及飞速发展的物联网。
另外,***者也擅长学习:安全技术不仅仅能用于防御,也能用于***。因此,***者会利用合法服务进行***,甚至采用加密技术——这一传统意义上被认为是加强安全性的技术,进行发送***指令。
思科的***形势分析给我们带来了三个启示性问题:旧式的***手段是否真的过时了?飞速的技术发展是否真的安全?既然***者开始利用安全技术了,那么防御者是否有机会从***手段角度进行防御?
最后,从防御者角度,企业逐渐加强的安全意识固然值得称赞,但是企业如何将有限的资源更好的利用于安全,如何更好地利用安全产品的功能,似乎依然有很长的路要走。而其中的重点,依然在人员上——不仅仅是技术上的人才,也需要整个公司的员工安全意识的增强,管理人员对安全更好的利用和部署。
报告下载:
https://www.cisco.com/c/zh_cn/products/security/security-reports.html
标签:思科,安全,恶意软件,联网,漏洞,2018,加密,2017,云与物 来源: https://blog.51cto.com/u_15127683/2830262
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。