20160804_思科_2016年中网络安全报告 .pdf
《20160804_思科_2016年中网络安全报告 .pdf》由会员分享,可在线阅读,更多相关《20160804_思科_2016年中网络安全报告 .pdf(87页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、1思科 2016 年度 安全报告2执行摘要攻击者和防御者都在开发日益精尖的技术和策略。恶意攻击者正在构建强大的后端基础设施,借以发起并支持其攻击活动。网络犯罪分子在继续窃取数据和知识产权的同时,还在不断改进向受害者榨取钱财,以及逃避检测的手段。思科 2016 年度安全报告结合思科安全研究部门的研究、见解和观点,重点说明在攻击者正在采用数量庞大且不断翻新的工具来开展攻击这一趋势下,防御者在检测和阻止攻击方面所面临的挑战。本报告还将介绍 Level 3 Threat Research Labs 等外部专业机构的研究,更深入地阐明当前的威胁趋势。我们将详细列出思科研究人员整理的数据,以展示随时间推移
2、而发生的变化,就这些数据的意义提供见解,并说明安全专业人员应该如何应对这些威胁。在本报告中,我们介绍和讨论以下内容:威胁情报本节介绍思科研究人员所发现的网络安全领域的一些最引人注目的趋势,以及有关 Web 攻击媒介、Web 攻击方法和漏洞的最新信息。此外,还包括对勒索软件等不断增长的各种威胁的更全面分析。为了对在 2015 年观察到的各种趋势做出分析,思科安全研究部门使用了全球范围的遥感勘测数据。行业见解本节探讨影响企业的各种安全趋势,包括加密技术越来越多的使用,以及由此带来的潜在安全风险。我们将分析中小企业在保护自身网络方面存在的弱点。此外,我们还将介绍针对一些特定企业进行的研究,这些企业正
3、在依靠过时、不受支持或寿命已终止的软件来为自身 IT 基础设施提供支持。安全功能基准研究本节提供思科第二次安全功能基准研究的结果,此项研究的重点是安全专业人员对其组织内安全状态的看法。通过将 2015 年与 2014 年的调查结果进行比较,思科发现首席安全官和安全运营经理对其安全基础设施是否达到最新水平或能否抵御攻击越来越不自信。但是调查也表明,企业正在加强培训和其他安全流程,以巩固他们的网络。这次调查的结果仅在思科 2016 年度安全报告中提供。展望本节概述影响安全性的地缘政治格局。我们将讨论两项思科调查的结果,其中一项分析高管对网络安全的担忧,另一项重点分析 IT 决策者们对安全风险和可信
4、度的看法。我们还将介绍思科在降低“检测时间”(TTD) 方面取得的最新进展,并强调转用集成威胁防御架构抵御攻击的价值。执行摘要安全专业人员必须走出传统模式,重新思考防御策略。思科 2016 年度安全报告 3目录执行摘要 . 2主要发展和发现 . 4目标明确:现代网络犯罪分子将赚钱作为首要目标 . 7威胁情报 . 9专题报道 .10思科借助行业协作击败影响广泛且盈利性强的漏洞攻击包和勒 索软件活动 .10行业合作帮助挫败互联网最大的 DDoS 僵尸网络之一 .14浏览器感染:传播广泛并且是数据泄露的一个主要原因 .16僵尸网络命令和控制:全球概况 .17消除 DNS 盲点:将 DNS 用于命令和
5、控制的攻击.19威胁情报分析 .20Web 攻击媒介 .20Web 攻击方法 .21最新威胁信息 .23垂直行业遭受恶意软件攻击的风险 .25Web 阻止活动:地域概况 .27行业见解 .29加密:日益发展的趋势 - 也是防御者面临的挑战 .30网络犯罪分子扩大在 WordPress 上的服务器活动 .33基础设施老化:10 年累积下来的问题 .35中小企业是否是企业安全方面薄弱的一环? .37思科安全功能基准研究 .41准备工作频增表现出信心下降 .42展望.55地缘政治角度:互联网治理格局的不确定性 .56网络安全问题重压于高管心头 .57可信度研究:为企业面临的风险和挑战带来一线曙光 .
6、58检测时间:不断缩短空档期的竞赛 .60集成威胁防御的六个原则 .62团结就是力量:行业协作的价值 .63关于思科 .64思科 2016 年度安全报告撰稿人 .65思科合作伙伴撰稿人 .67附录 .68目录思科 2016 年度安全报告 4思科 2016 年度安全报告 威胁情报主要发展和发现5主要发展和发现通过 Level 3 Threat Research Labs 的帮助以及托管服务提供商 Limestone Networks 的合作,思科确定并击败了美国最大的 Angler 漏洞攻击包活动。该威胁活动每天针对 90,000 名受害者发起攻击,每年为幕后的威胁发起者带来数千万美元的收入。S
7、SHPsychos(93 组)是思科研究人员观察到的最大的分布式拒绝服务 (DDoS) 僵尸网络之一,在思科与 Level 3 Threat Research Labs 的通力合作下,此僵尸网络已被显著削弱。与前面提到的 Angler 案例研究一样,这次成功也证明了行业协作对战胜攻击者的重要性。恶意浏览器扩展程序可能是企业数据泄露的一个主要原因,也是一个普遍存在的问题。在接受调查的组织中,我们估计受到恶意浏览器扩展程序影响的企业超过 85%。在我们于 2015 年 7 月对一组机构所受影响的分析中,Bedep、Gamarue 和 Miuref 等臭名昭著的僵尸网络依然是僵尸网络命令与控制活动的
8、主要代表。通过分析各种经验证为“已知恶意”的恶意软件,思科发现:大多数 (91.3%) 的恶意软件均使用域名服务 (DNS) 来执行攻击活动。通过对 DNS 查询进行追溯调查,思科发现在客户网络上存在活动的“恶意”DNS 解析器。客户并不知道员工们将这些解析器用作其 DNS 基础设施的组成部分。网络犯罪分子仍继续大肆利用 Adobe Flash 漏洞。但是,软件供应商正努力通过 Flash 技术来降低用户遭受恶意软件攻击的风险。通过对 2015 年的各种趋势进行观察,我们的研究人员认为 HTTPS 加密流量已经达到一个临界点,即将成为互联网流量的主要形式。尽管加密可帮助保护消费者,但也会削弱安
9、全产品的有效性,使安全业界更加难以跟踪威胁。一些恶意软件会通过大量不同的端口发起加密通信,使得挑战进一步加剧。恶意攻击者开始利用已被入侵的基于流行 Web 开发平台 WordPress 创建的网站进行犯罪活动。他们可在这些网站上封送服务器资源并逃避检测。主要发展和发现网络犯罪分子对后端基础设施进行了改进,以更有效且利润更高的方式 展开攻击。思科 2016 年度安全报告 6基础设施老化不断加剧,导致组织愈加容易受到入侵。我们分析了互联网上 115,000 个思科设备,发现在我们抽查的设备中,有 92% 的设备正在运行存在已知漏洞的软件。此外,这项分析所涉及的现场思科设备中,有 31% 的设备已经
10、“终止销售”,8% 的设备“寿命已终止”。“思科 2015 年安全功能基准研究”显示,在 2015 年,安全高管对其安全工具和流程的信心不如 2014 年。例如在 2015 年,59% 的组织认为他们的安全基础设施“达到了最新水平”。而在 2014 年,持有这种看法的组织占到 64%。但是,他们对安全越来越多的担忧也在促使他们改善防御。基准研究表明,中小企业使用的防御方案少于大型企业。例如,在 2015 年,48% 的中小企业表示已使用 Web 安全方案,而在 2014 年这一比例为 59%。此外,在 2015 年,29% 的中小企业表示已使用修补和配置工具,而在 2014 年这一比例为 39
11、%。这方面的不足会使中小企业的企业客户面临风险,因为攻击者攻击中小企业的网络会更容易。从 2015 年 5 月开始,思科已经将网络中已知威胁的检测时间 (TTD) 平均值降至大约 17 小时,不到一天。这远远低于业界当前的 TTD 估计值,即 100 至 200 天。主要发展和发现思科 2016 年度安全报告 7思科 2016 年度安全报告 威胁情报目标明确: 现代网络犯罪分子将赚钱作为 首要目标8目标明确以前,很多网络犯罪分子潜伏于互联网中。他们仅对企业网络进行短暂入侵并发起漏洞攻击,以此尝试躲过检测。如今,一些胆大妄为的网络犯罪分子已开始入侵合法的在线资源。他们会大量消耗服务器容量,窃取数
12、据,甚至挟持网络受害者的信息,然后向其索取赎金。这些攻击活动俨然已将防御者和攻击者之间的战争急剧升级。如果攻击者可以在网络上发现更多可以利用的信息源,那么所造成的影响将呈指数级增长。在本报告中,思科安全研究人员重点介绍威胁发起者用于构建稳定的基础设施,以实施更强大、更有效的攻击活动的策略。攻击者不断采用更高效的方法以提升收益,很多攻击者特别关注利用服务器资源。勒索软件的激增就是一个最好的例证(请参阅第 10 页)。勒索软件为犯罪分子提供了一种直接向用户榨取更多金钱的简单方法。通过开展攻击活动,在只有极少阻碍甚至没有任何阻碍的情况下每天攻击数万用户,攻击者所获得的“报酬”丰厚得让人震惊。除了开发
13、更好的方法来牟取利益,攻击者还开始侵占合法资源,作为发起攻击的跳板。某些勒索软件变体的创建者以及其他漏洞攻击包的开发者正在将流量切换至遭受过黑客攻击的 WordPress 网站,作为躲避检测和使用服务器空间的一种方法(请参阅第 33 页)。 SSHPsychos 是思科研究人员迄今为止发现的最大的僵尸网络之一,其作案者在标准网络上运行僵尸网络,几乎没有什么干扰,直到思科和 Level 3 Threat Research Labs 携手合作说服运营商阻止此僵尸网络创建者的流量,一举将其击败。目标明确: 现代网络犯罪分子将赚钱作为 首要目标思科 2016 年度安全报告 9威胁情报10思科 2016
14、 年度安全报告 威胁情报Angler 漏洞攻击包是市场上使用量最大而且最有效的漏洞攻击包之一。它与多个臭名昭著的恶意广告和勒索软件攻击活动有关,是导致勒索软件活动总体呈激增态势的一个主要因素,我们的威胁研究人员最近几年来一直在密切监控勒索软件活动。犯罪分子使用勒索软件将用户文件加密,然后向用户索要赎金(通常在 300 美元到 500 美元不等),再向用户提供解密密钥。正如思科 2015 年年中安全报告中所指出的,比特币等加密货币和 Tor 等匿名网络使犯罪分子可以更容易进入恶意软件市场并快速开始获得收入。恶意软件的泛滥与两大有利因素相关:一是威胁发起者只需执行少量维护操作,二是由于用户直接向攻
15、击者支付加密货币,攻击者可以很快取得收入。通过对 Angler 和相关勒索软件趋势进行研究,思科已经确定一些漏洞攻击包操作者将大量全球代理服务器用于 Agler,而这些服务器由 Limestone Networks 运营。这种使用服务器的手法有力地证明了我们的研究人员在近来的影子经济中持续观察到的另一种趋势:威胁发起者混合使用合法资源和恶意资源混合来执行攻击活动。在这种情况下,支持 Angler 的 IP 基础设施规模不是很大。每天处于活动状态的系统数量通常为 8 到 12 个之间。大多数系统仅在某一天处于活动状态。图 1 显示思科在 2015 年 7 月观察到的唯一 IP 地址的数量。思科发
16、现 Angler 操作者实际上在以线性方式滚动 IP 地址,以隐藏其威胁活动,防止其牟利活动出现任何中断。专题报道思科借助行业协作击败影响广泛且盈利性强的漏洞攻击包和勒索软件攻击活动威胁情报思科在收集并分析了全球范围的遥感勘测数据的基础上编制了这份报告。 我们针对已发现的威胁(如恶意软件流量)进行持续研究和分析,能够帮 助人们了解未来可能出现的犯罪行为,且有助于检测威胁。来源:思科安全研究部门Figure X. Angler IP Addresses by Date, July 20152015 年 7 月16IP 地址数量介于 8-12 之间1284311152010图 1. 2015 年
17、7 月按日期划分的 Angler IP 地址的数量分享11思科 2016 年度安全报告 威胁情报如图 2 所示,Angler 从某个 IP 地址(此处为 74.63.217.218)开始。当系统攻击用户并遇到“干扰”(防御程序开始执行检测)时,攻击者会切换至邻近的 IP 地址 (74.63.217.219)。这种活动在单个托管服务提供商提供的 IP 空间近乎连续的地址块中一直持续。思科分析了这些 IP 信息,以确定其自治系统编号 (ASN) 以及与这些 IP 地址相关的提供商。我们确定与 Angler 相关的大多数流量来自两个合法托管服务提供商:Limestone Networks 和 Het
18、zner 运营的服务器(图 3)。在 7 月一个月内,他们在总流量中所占的比例接近 75%。思科首先联系了 Limestone Networks,结果发现此提供商承 载了全球最多的 Angler。Limestone 公司欣然同意对此给予 合作。由于攻击者使用虚假的姓名和信用卡随机分批向该公司 购买价值数千美元的服务器,该公司每个月都要处理大量信用卡退单。74.63.217.218Limestone Network IP 地址2015 年 7 月74.63.217.21974.63.217.22074.63.217.22174.63.217.22274.63.237.17874.63.237.1
19、8174.63.237.17974.63.237.18074.63.237.18228来源:思科安全研究部门34567图 2. 支持 Angler 的低 IP 基础设施图 3. 2015 年 7 月按提供商划分的 Angler HTTP 请求 来源:思科安全研究部门Figure X. Angler HTTP Requests by Provider, July 2015提供商 A提供商 B提供商 C提供商 D提供商 E提供商 F提供商 G提供商 H提供商 I提供商 J提供商 K提供商 L10,0006000请求数(Limestone Networks)(Hetzner)占全部所 测量流量 的
20、75%分享12思科 2016 年度安全报告 威胁情报攻击者购买服务器的方式使得该公司难以将欺诈活动与单个行 为人关联。例如,攻击者可能在某天购买三四台服务器,然后 第二天用不同的姓名和信用卡购买三四台服务器。这样,当防 御者发现了受入侵的服务器并且使之离线时,攻击者仍可以从 一个 IP 地址切换至下一个 IP 地址。为了调查此活动,思科向 Level 3 Threat Research Labs 和 OpenDNS(思科旗下公司)寻求帮助。Level 3 Threat Research Labs 能够提供更全面的全球性威胁见解,让思科 能够更深入了解威胁范围及其在高峰状态下的影响范围。同 时,
21、OpenDNS 针对与威胁相关的域活动提供了独特呈现方 式,让思科可以更全面了解攻击者如何采用域遮蔽等技术。然后,思科威胁研究人员具体调查了用户如何遇到 Angler 并 继而感染恶意负载。研究人员观察发现到一些流行网站通过恶 意广告将用户重定向至 Angler 漏洞攻击包。这些虚假广告被 投放到数百个主要的新闻、房地产和流行文化网站上。这些类 型的网站在安全业界通常被视为“已知可信”网站。此外,思科威胁研究人员还发现无数看似毫无关系的小网站也 在执行同类重定向操作,包括美国某家乡村报纸上刊发的某个 人的讣告,也被嵌入重定向链接。后面这一策略很可能是针对 老年人而设计的。老年人这一群体通常更可
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 20160804 思科 _2016 年中 网络安全 报告
限制150内