不断变化的网络安全格局:思科 2017 年年中报告

已发表: 2017-08-10

一段时间以来,勒索软件攻击一直处于网络安全讨论的前沿——而且有充分的理由。 WannaCry 事件完美地说明了网络安全问题可以扩大到多么广泛的范围。 一封看似无辜的电子邮件几乎足以让非常重要的系统和网络瘫痪,从而有效地关闭了全球主要行业。 但是勒索软件的威胁是我们应该关注的唯一攻击吗?

同意一般网络安全应该是任何企业的重中之重是一个好主意,但是如果不深入了解威胁所在,就很难利用适当的防御。 勒索软件是一个真正的威胁,但如果我们所有的努力都集中在陆上入侵的想法上,那么当通过海上或空中入侵时会发生什么?

由于思科刚刚发布了 2017 年年中网络安全报告,我们想看看企业目前面临的最大威胁——从 SMB 一直到大型企业。

景观的转变

虽然思科的报告侧重于大量主要发现,但要理解的一个总体结论是网络攻击的形势非常复杂,而且形势总是在变化。 或者,更重要的是,网络攻击的格局将一直在变化——这些都是不断变化的目标。 随着新的攻击策略被发现,新的防御策略会弹出来阻止以前“解锁的门”,可以这么说。 随着新防御的出现,新的甚至旧的攻击策略也被开发或重新开发。 这些攻击对任何企业都构成真正的威胁,并可能造成资本损失。

攻击造成的收入损失

薄弱的安全实践和企业级组织的不灵活特性可能会在整体网络防御中留下巨大的空白。 然而,这并不意味着 IT 部门每年都应该重建他们的整个结构。

相反,利用信息和报告密切关注在任何特定时间提出最大威胁的趋势。 同时,我们不能忘记我们的基础和我们建立防御的基础,因为历史确实会重演。 VoIP 攻击正在上升,攻击者甚至可以通过收听 Skype 通话来判断你在输入什么。

思科 2017 年的主要发现

现在我们已经为不断变化的格局奠定了基础,我们可以看看思科的调查结果,以及攻击格局是如何开始转变的。

  • 过去一年中网络攻击频率、复杂性和规模的急剧增加表明“黑客经济已经转入一个新的角落”。 现代黑客社区正受益于快速、轻松地访问一系列有用且低成本的资源。
  • 虽然云是一个主要焦点,但在安全性方面它经常被忽略。 开放授权风险和对单一特权用户帐户的管理不善可能会造成攻击者可以轻松利用的安全漏洞。 根据思科的报告,黑客已经转移到云端,并正在努力破坏企业云环境。
  • 商业电子邮件泄露 (BEC) 现在是攻击者“利润丰厚”的威胁媒介。 互联网犯罪投诉中心报告称,在 2013 年 10 月至 2016 年 12 月期间,由于 BEC 导致 53 亿美元被盗。为了比较,勒索软件在 2016 年窃取了 10 亿美元。
  • 物联网绝对需要保护,并且已经被攻击者利用。 防御者根本不知道他们网络上连接了哪些物联网设备,因此不知道有什么风险。
  • 思科观察到自 2016 年年中以来垃圾邮件数量总体增加,“这似乎与同期漏洞利用工具包活动的显着下降相吻合。” 这意味着利用“exploit kit”工具的攻击者不得不恢复到垃圾邮件的旧方法,因为exploit kit防御只会增加。 这些垃圾邮件仅包含附件,例如 Word 文档,它们是“含有大量宏的恶意文档”。
  • 将自己伪装成潜在有害应用程序 (PUA) 的间谍软件实际上是一种恶意软件。 该软件对安全和信息提出了风险,但通常被忽视或至少被低估。 影子 IT 很容易导致 PUA 使用率上升。

在这些主要发现中可以看到这种不断变化的格局——新的攻击方法很受欢迎,并且正在造成重大损害,包括 BEC 欺诈。 与此同时,云和物联网等其他新技术的发展正在开辟全新的攻击途径。 虽然新技术开辟了新的战线,但攻击者仍在使用老式的攻击方法,组织经常忘记这些访问点——尤其是电子邮件。

正如思科指出的那样,随着时间的推移,安全实践已经有所改进。 例如,自动安全更新几乎是现代操作系统的标准,即使在我们的智能手机上也是如此。 我们都可能会觉得微软强迫我们更新到 Windows 10,或者苹果不会停止让我们更新到最新的 iOS 版本很烦人,但这些更新只是为了保护我们。

但随着更新的快速推出,网络犯罪分子只是将注意力转移到电子邮件和恶意软件上。 这些几乎可以被视为一直存在的“遗留”威胁,但只是以新的方式使用。

旧遇新

真正有趣的是新旧交叉点:旧方法正在与新形式的攻击相结合。 现代勒索软件攻击是通过使用将恶意文件放入电子邮件的古老方法进行的,并希望有人会下载并打开文件而不加考虑。 正如报告所解释的:

“可能是为了应对漏洞利用工具包市场的变化,网络犯罪分子一直在转向(或返回)电子邮件,以快速且经济高效地传递勒索软件和其他恶意软件。 他们在逃避检测的方法上也越来越有创意。 例如,思科威胁研究人员观察到包含大量恶意文档(包括 Word 文档、Excel 文件和 PDF)的垃圾邮件有所增长,这些恶意文档可以通过要求用户交互来感染系统和传递有效负载来击败许多沙盒技术。”

思科指出,垃圾邮件和恶意电子邮件的增加与所谓的“漏洞利用工具包”攻击的下降或停滞不谋而合。 漏洞利用工具包本质上是允许黑客通过已知漏洞获取访问权限的工具。 流行的网站 Flash 插件以其安全漏洞而闻名,如果您一直关注互联网,您会注意到 Flash 正因为这个主要原因而被所有主要网络浏览器逐步淘汰。

随着更新的持续推送和 Flash 使用量的下降,允许黑客通过 Flash 获得访问权限的“漏洞利用工具包”的使用也在减少。 这导致黑客返回电子邮件,特别是电子邮件,因为它允许直接访问用户的端点。

通过一些基本的“社会工程”,攻击者可以让毫无戒心的受害者打开一个 Word 文档,以为它来自他们最好的朋友,然后他们知道他们的整个网络正在受到攻击。 这些攻击可以来自所有不同的、熟悉的文件。

恶意文件扩展名图

但该报告警告说,电子邮件不仅容易受到恶意网络钓鱼诈骗的影响。 事实上,BEC 欺诈甚至可能比勒索软件更令人担忧。

了解 BEC

当然,勒索软件现在备受关注,但该报告希望指出一个更大的威胁,甚至让谷歌和 Facebook 等最大的企业损失数百万美元。

我会让思科解释这一点:

“BEC 活动涉及发送给财务员工的电子邮件,他们可以通过电汇发送资金。 对手通常会对公司层级及其员工进行一些研究——例如,使用社交网络资料拼凑可能的指挥链。 这封电子邮件似乎来自 CEO 或另一位高管,要求收件人将电汇支付给假定的业务伙伴或支付给供应商。”

当然,为此付出了很多努力和计划,攻击者通常会表达紧迫感,在没有双重检查的情况下诱骗受害者采取行动。 思科指出,这些攻击主要针对大型目标,例如 Google 和 Facebook,尽管运营和维护了成熟的威胁防御以及针对此类欺诈的防护措施,但这些目标实际上已经落入了他们的手中。

BEC造成的损失金额

思科还指出,由于这些电子邮件通常依赖于社会工程,它们不包含任何恶意软件或文件附件,因此可以绕过标准威胁监控工具。 正如我们上面提到的,BEC 的威胁是如此巨大,以至于互联网犯罪合规中心报告说,在 2013 年 10 月至 2016 年 12 月期间,有 53亿美元因此被盗。平均每年 17 亿美元。

新技术带来新威胁

与最近的技术发展相比,电子邮件本身现在是一个祖父,包括对协作工具和统一通信的高度关注。 如果电子邮件有什么可取之处,那么我们的新技术很可能在未来也将保持可持续发展,除非我们做出重大改变。

物联网已经出现,但有一个已知的缺陷:安全是第二个想法。 大多数这些工具只是让前门没有上锁,尽管物联网才刚刚开始崭露头角,但思科报告称“物联网僵尸网络已经出现”。 事实上,该报告指出,在 2016 年,“网络攻击是从多个连接的设备发起的,变成了僵尸网络。”

这些 DDoS 攻击利用大量连接设备(而不是受感染的计算机)来溢出和关闭安全博主 Brian Krebs、法国托管公司 OVH 和互联网性能管理公司 DynDNS 的网络。 事实上,在他们的报告中,思科重点介绍了三个已知的物联网僵尸网络——Mirai、BrickerBot 和 Hajime——对每一个都进行了深入分析。

网络攻击示例

虽然物联网才刚刚开始向企业展示其潜力,但网络已经被用于网络攻击——这清楚地表明了任何解决方案的安全性必须是多么重要。

UC 可以帮助您的企业保持安全

最重要的问题可能是您的企业如何在不断变化的威胁中保持安全。 似乎出现了新的攻击方法,第二种方法是安全的。 尽管我们在电子邮件、加密和整体安全方面取得了所有进步,但我们仍然不得不对来自会计部门的 Jim 发送给您的文件感到厌倦。 归根结底,即使是最大的防御也可能会成为一点社会工程学的受害者。

声称统一通信可以突袭并挽救局面可能有点短视,但我认为 UC 平台带来的好处可以帮助缓解一些团队可能无法应对威胁的僵化。 这并不是说 UC 是您的团队需要的唯一防御措施,事实上,每个企业都应该与安全专家合作,以确保最高级别的安全性。 在防火墙和会话边界控制器之间,有一长串广泛可用的必要工具,它们不需要大量的资本投资。

另一方面,思科还指出,由于某些原因,中小型企业比大型企业组织更容易受到攻击,但强调大型组织最有可能拥有“书面的正式战略”。 中小型企业可以通过简单地改进政策和程序来提高他们的防御能力。

  • 利用 UC 平台可以消除对电子邮件和电子邮件附件的需求。 这可以扩展到所有文件共享服务,例如 Google Drive 或 Dropbox。 但是,由于能够通过加密平台直接发送文件,或者这些文件共享服务的集成,用 UC 替换电子邮件才是最有意义的。 将文件拖放到安全平台的能力,以及即时向团队中的任何人发送消息的能力,意味着用户可以立即保持联系。 与其打开该文件,不如向收件人发送一条快速消息以验证其合法性。
  • 一劳永逸地击败影子 IT – 这可以通过找到适合您的团队的合适的 UC 平台来完成,该平台可以达到所有正确的点并且易于使用。 如果您的团队对解决方案感到满意,他们将不需要引入自己的工具,从而导致影子 IT。 阻止网站和工具会导致团队围绕阻止工作,但建立可接受的使用策略有助于防止影子 IT 的传播,并有望防止 PUA 和恶意软件的传播。
  • 传播意识并训练团队警惕潜在威胁​​。 不要只是阻止所有员工访问网站或共享文件,而是要制定识别潜在威胁的策略。 如果团队意识到独特的电子邮件欺诈企图,他们可以防止这种形式的社会工程,而不是成为受害者。 思科特别建议要求员工只需拨打电话即可验证请求的合法性,但我们认为这是 UC 在即时消息传递和状态指示方面真正大放异彩的地方。
  • 承担云安全的共同责任:思科指出,60% 的用户从未退出云工具中的活动会话。 这可能看起来没什么大不了的,但像这样的开放端点就像让你的前门大开一样。 应用与企业可能在 on-0remesis 环境中相同的“最佳实践”可能是帮助防止未经授权访问平台的有效方法。