《思科2017年中網路安全報告》預測新型「摧毀服務」攻擊資安威脅的規模與影響與日俱增
前言:
關鍵產業必須改善資安狀況以配合資訊與營運技術融合的趨勢
2017年7月26日--《思科®2017年中網路安全報告》揭露快速演進的資安威脅與不斷擴大規模的攻擊,並預測潛在的「摧毀服務(Destruction of Service,DeOS)」將會竄起。DeOS攻擊能夠徹底崩潰組織的備援與安全網,以致在受到攻擊後無法回復系統與資料。隨著物聯網的興起,關鍵產業將更多營運業務移到網際網路上,促使攻擊的接觸點變得更廣大,而這些攻擊的潛在規模與影響也持續提高。
近期攻擊事件如WannaCry 與Nyetya顯露出快速散播與衝擊層面的廣泛,表面上它們看似傳統的勒索軟體,但實際上它們更具破壞性。思科稱之為「摧毀服務」攻擊,相比傳統網路攻擊,它們可帶來更嚴重的破壞,讓企業完全無法復原。
另外,物聯網持續為這些網路犯罪者提供新的機會,而潛伏其中的許多資安弱點會逐漸被發掘,促使未來更多新型的攻擊手法產生,造成越來越嚴重的影響。最近出現的物聯網僵屍網路(Botnet)已反映出有些攻擊者可能預先打好基礎,伺機發動大規模高影響的攻擊,甚至對整個網際網路造成破壞。
面對這些攻擊,衡量資安措施的成效至關重要。思科持續追蹤「威脅偵測時間(Time-to-Detection,TTD)的發展,TTD是指網路受到入侵和偵測該威脅之間的時間窗口。更快的TTD能有效限制攻擊者的操作空間,並減少入侵造成的損害。思科在2016年11月到2017年5月這段時間內,就將TTD的中位數從超過39小時縮短至3.5小時。這是收集自思科部署在全球的網路安全產品而用戶自願提供的遙測數據。
威脅現況 – 盛行與消聲匿跡的攻擊
思科資安研究人員於2017上半年間觀察了惡意程式的演化,發現攻擊者正著手調整其傳遞、迷惑辨識機制、以及規避步驟的技巧。尤其思科觀察到越來越多攻擊者要求受害者點擊連結或開啟檔案來啟動威脅。此外,攻擊者正在發展完全潛伏在記憶體內的無檔案惡意軟體,由於它們在每次重新開機時就會被完全抹除,因此極難偵測或調查。此外,他們還會依賴匿名與分散化的基礎設施,像是Tor代理伺服器服務,藉以藏匿其指令與控制活動。
儘管思科發現由弱點攻擊套件(exploit kits)所進行的攻擊急速減少,可是其他傳統攻擊手法卻有復甦跡象:
• 垃圾郵件數量大幅增加,因為攻擊者轉向其他經嘗試驗證可行的方法,像是電子郵件,藉以散佈惡意程式並從中獲利。思科威脅研究人員預測這類含有惡意附檔的垃圾郵件未來會不斷增加,而弱點攻擊套件的數量則會繼續上下起伏。
• 間諜程式和廣告軟體經常被資安人員所忽略,因為它們被視為滋擾而非損害,但這類形態的惡意程式持續發生會對企業帶來風險。思科在一個為期4個月的調查中對300家企業進行抽樣調查,發現當中有20%的企業遭受三種盛行的間諜程式家族感染。在企業環境中,間諜程式會竊取使用者與公司資訊,弱化裝置的防護力,並增加惡意程式的感染。
• 勒索軟體不斷演進,例如勒索軟體即服務(Ransomware-as-a-Service)的成長,讓任何駭客不論技術高低都有能力發動網路攻擊。最近勒索軟體不斷登上頭版,更有報導指它在2016年為全球造成超過10億美元的損失。但這數字可能對某些組織造成誤導,因為他們面臨的可能是規模更大但卻未被發現的資安威脅。另外,思科發現一種商業電郵詐騙(Business Email Compromise,BEC),能透過電郵誘騙受害企業轉帳金錢至攻擊者,這種社交工程現已成為高獲利的攻擊型態。根據美國聯邦調查局轄下的網際網路罪案投訴中心(Internet Crime Complaint Center),從2013年10月至2016年12月期間,逾53億美元的金錢損失是經由商業電郵詐騙所造成。
• 間諜程式和廣告軟體經常被資安人員所忽略,因為它們被視為滋擾而非損害,但這類形態的惡意程式持續發生會對企業帶來風險。思科在一個為期4個月的調查中對300家企業進行抽樣調查,發現當中有20%的企業遭受三種盛行的間諜程式家族感染。在企業環境中,間諜程式會竊取使用者與公司資訊,弱化裝置的防護力,並增加惡意程式的感染。
• 勒索軟體不斷演進,例如勒索軟體即服務(Ransomware-as-a-Service)的成長,讓任何駭客不論技術高低都有能力發動網路攻擊。最近勒索軟體不斷登上頭版,更有報導指它在2016年為全球造成超過10億美元的損失。但這數字可能對某些組織造成誤導,因為他們面臨的可能是規模更大但卻未被發現的資安威脅。另外,思科發現一種商業電郵詐騙(Business Email Compromise,BEC),能透過電郵誘騙受害企業轉帳金錢至攻擊者,這種社交工程現已成為高獲利的攻擊型態。根據美國聯邦調查局轄下的網際網路罪案投訴中心(Internet Crime Complaint Center),從2013年10月至2016年12月期間,逾53億美元的金錢損失是經由商業電郵詐騙所造成。
各行各業面臨相同挑戰
隨著駭客持續提高其攻擊手法的複雜性與強度,各行各業的企業面臨日趨嚴苛的挑戰,甚至要追上一些基本的網路資安要求也有難度。隨著物聯網的發展,資訊與營運技術逐漸結合,組織正面臨可視性與複雜度之間的角力。思科資安能力基準研究( Security Capabilities Benchmark Study)訪問了13個產業近3,000位資安主管,結果發現在各產業中,資安團隊越來越難以招架為數極其龐大的攻擊,以致其保護作為越來越變得被動。
• 不到三分之二的組織會調查資安警告,在某些產業(如醫療保健與運輸 ),這個比例數據接近50%。
• 即使在回應最迅速的產業(像是金融與醫療保健),企業僅能緩和不到50%已知且真確的攻擊。
• 入侵行為是個警示,大多數產業中,至少90%的組織在遭受入侵後會適當地改善其安全防護。某些產業( 如運輸)的反應則較慢,僅達80%。
各產業的重要發現
• 公家機關-在被調查的資安威脅中,32%被確認為真確威脅,但這些威脅中只有47%最終被修復。
• 零售業-32%的業者表示過去一年曾經因攻擊事件造成營收損失,另外有大約四分之一的業者流失客戶或業務機會。
• 製造業-40%的製造業資安專家表示他們不僅沒有正式的安全策略,也沒有遵循如ISO 27001或NIST 800-53這類標準化的資訊安全攻策。
• 公共事業-資安專家指出鎖定目標攻擊(42%)與進階持續性攻擊(Advanced Persistent Threats,APT)(40%)對其組織是最關鍵的資安風險。
• 醫療保健-37%的醫療保健機構表示鎖定目標攻擊對其組織產生極高的資安風險 。
思科對企業的建議
要對抗現今手法日趨精密的攻擊者,組織必須採取主動的防禦行動。思科資安團隊建議:
• 定期更新基礎設施與設備應用,使攻擊者無法利用已發佈的安全弱點進行攻擊。
• 透過整合式防禦來對付複雜的資安環境,並限制孤島式網路安全設備的投資。
• 及早讓組織高級主管參與資安項目,確保他們全面了解風險、回報及預算限制。
• 建立明確的指標,並以此來驗證與改進資安措施。
• 評估及檢視依職務角色的培訓以及單一化課程這兩種方法的成效。
• 藉由積極的回應來建構均衡防線,千萬不要完成資安控管或程序後便置之不理。
為撰寫《思科2017年中網路安全報告》,思科廣邀各領域10位資安技術夥伴分享資料,聯手歸納出資安威脅局勢的結論。對本報告作出貢獻的夥伴廠商包括Anomali、Flashpoint、Lumeta、Qualys、Radware、Rapid7、RSA、SAINT Corporation、ThreatConnect及TrapX。思科的資安技術夥伴產業體系是我們致力為客戶提供簡單、開放、且自動化的資安防護之關鍵元素。
參考引言:
思科公司副總裁暨資訊安全長Steve Martino
「最近像WannaCry與Nyetya的攻擊事件顯示,我們的對手在規劃攻擊方面變得越來越有創意。大多數組織在經歷入侵事件之後都有採取因應行為及改善資安措施,而各行各業則面臨持續和攻擊者賽跑的對峙局面。資安防護的有效性必須從填補顯而易見的防禦缺口做起,並讓資安成為優先的經營要務。」
思科公司資深副總裁暨資安事業部總經理David Ulevitch
「複雜性一直是許多組織推動資安工作的障礙。顯而易見的是,累積多年投資在無法相互整合的單點式產品,反倒為攻擊者創造出極多的入侵機會,讓他們能輕易找出被忽略掉的弱點或防禦缺口。為有效縮短威脅偵測時間並縮小攻擊影響範圍,業界必須轉向更加整合的架構方案,提高可視性與管理性,讓資安團隊有能力填補防禦缺口。」
關於本報告
《思科2017年中網路安全報告》是思科集體資安情資(Collective Security Intelligence,CSI )所蒐集到最新的威脅情資。這報告提供針對2017上半年,以資料為導向的產業洞察、網路資安趨勢,以及改善資安現況的可行建議。報告以大量數據足跡為基礎,每日監測超過400億個遙測據點。思科研究員將情資轉化成對思科產品及服務的即時防護,並立即提供給全球的思科客戶。
《思科2017年中網路安全報告》是思科集體資安情資(Collective Security Intelligence,CSI )所蒐集到最新的威脅情資。這報告提供針對2017上半年,以資料為導向的產業洞察、網路資安趨勢,以及改善資安現況的可行建議。報告以大量數據足跡為基礎,每日監測超過400億個遙測據點。思科研究員將情資轉化成對思科產品及服務的即時防護,並立即提供給全球的思科客戶。
參考資料
• 思科公司副總裁暨資訊安全長Steve Martino談《思科2017年中網路安全報告》影片(英文版)
• 下載《思科2017年中網路安全報告》 (英文版)
• 思科部落格文章:影響不斷升級的威脅;思科2017年中網路安全報告正式發佈(英文版)
• 思科2017年中網路安全報告圖表(英文版)
關於思科
思科(NASDAQ:CSCO)為全球科技領導者,自1984年起就專注於成就網路事業及相關應用。我們的人員、產品服務及合作夥伴,致力於協助社會實現安全互聯,掌握未來數位化機遇。有關思科最新資訊,請瀏覽思科台灣官網,或關注思科台灣的Facebook或LINE帳號。
