不斷變化的網絡安全格局:思科 2017 年年中報告

已發表: 2017-08-10

一段時間以來,勒索軟件攻擊一直處於網絡安全討論的前沿——而且有充分的理由。 WannaCry 事件完美地說明了網絡安全問題可以擴大到多麼廣泛的範圍。 一封看似無辜的電子郵件幾乎足以讓非常重要的系統和網絡癱瘓,從而有效地關閉了全球主要行業。 但是勒索軟件的威脅是我們應該關注的唯一攻擊嗎?

同意一般網絡安全應該是任何企業的重中之重是一個好主意,但是如果不深入了解威脅所在,就很難利用適當的防禦。 勒索軟件是一個真正的威脅,但如果我們所有的努力都集中在陸上入侵的想法上,那麼當通過海上或空中入侵時會發生什麼?

由於思科剛剛發布了 2017 年年中網絡安全報告,我們想看看企業目前面臨的最大威脅——從 SMB 一直到大型企業。

景觀的轉變

雖然思科的報告側重於大量主要發現,但要理解的一個總體結論是網絡攻擊的形勢非常複雜,而且形勢總是在變化。 或者,更重要的是,網絡攻擊的格局將一直在變化——這些都是不斷變化的目標。 隨著新的攻擊策略被發現,新的防禦策略會彈出來阻止以前“解鎖的門”,可以這麼說。 隨著新防禦的出現,新的甚至舊的攻擊策略也被開發或重新開發。 這些攻擊對任何企業都構成真正的威脅,並可能造成資本損失。

攻擊造成的收入損失

薄弱的安全實踐和企業級組織的不靈活特性可能會在整體網絡防禦中留下巨大的空白。 然而,這並不意味著 IT 部門每年都應該重建他們的整個結構。

相反,利用信息和報告密切關注在任何特定時間提出最大威脅的趨勢。 同時,我們不能忘記我們的基礎和我們建立防禦的基礎,因為歷史確實會重演。 VoIP 攻擊正在上升,攻擊者甚至可以通過收聽 Skype 通話來判斷你在輸入什麼。

思科 2017 年的主要發現

現在我們已經為不斷變化的格局奠定了基礎,我們可以看看思科的調查結果,以及攻擊格局是如何開始轉變的。

  • 過去一年中網絡攻擊頻率、複雜性和規模的急劇增加表明“黑客經濟已經轉入一個新的角落”。 現代黑客社區正受益於快速、輕鬆地訪問一系列有用且低成本的資源。
  • 雖然雲是一個主要焦點,但在安全性方面它經常被忽略。 開放授權風險和對單一特權用戶帳戶的管理不善可能會造成攻擊者可以輕鬆利用的安全漏洞。 根據思科的報告,黑客已經轉移到雲端,並正在努力破壞企業雲環境。
  • 商業電子郵件洩露 (BEC) 現在是攻擊者“利潤豐厚”的威脅媒介。 互聯網犯罪投訴中心報告稱,在 2013 年 10 月至 2016 年 12 月期間,由於 BEC 導致 53 億美元被盜。為了比較,勒索軟件在 2016 年竊取了 10 億美元。
  • 物聯網絕對需要保護,並且已經被攻擊者利用。 防御者根本不知道他們網絡上連接了哪些物聯網設備,因此不知道有什麼風險。
  • 思科觀察到自 2016 年年中以來垃圾郵件數量總體增加,“這似乎與同期漏洞利用工具包活動的顯著下降相吻合。” 這意味著利用“exploit kit”工具的攻擊者不得不恢復到垃圾郵件的舊方法,因為exploit kit防禦只會增加。 這些垃圾郵件僅包含附件,例如 Word 文檔,它們是“含有大量宏的惡意文檔”。
  • 將自己偽裝成潛在有害應用程序 (PUA) 的間諜軟件實際上是一種惡意軟件。 該軟件對安全和信息提出了風險,但通常被忽視或至少被低估。 影子 IT 很容易導致 PUA 使用率上升。

在這些主要發現中可以看到這種不斷變化的格局——新的攻擊方法很受歡迎,並且正在造成重大損害,包括 BEC 欺詐。 與此同時,雲和物聯網等其他新技術的發展正在開闢全新的攻擊途徑。 雖然新技術開闢了新的戰線,但攻擊者仍在使用老式的攻擊方法,組織經常忘記這些訪問點——尤其是電子郵件。

正如思科指出的那樣,隨著時間的推移,安全實踐已經有所改進。 例如,自動安全更新幾乎是現代操作系統的標準,即使在我們的智能手機上也是如此。 我們都可能會覺得微軟強迫我們更新到 Windows 10,或者蘋果不會停止讓我們更新到最新的 iOS 版本很煩人,但這些更新只是為了保護我們。

但隨著更新的快速推出,網絡犯罪分子只是將注意力轉移到電子郵件和惡意軟件上。 這些幾乎可以被視為一直存在的“遺留”威脅,但只是以新的方式使用。

舊遇新

真正有趣的是新舊交叉點:舊方法正在與新形式的攻擊相結合。 現代勒索軟件攻擊是通過使用將惡意文件放入電子郵件的古老方法進行的,並希望有人會下載並打開文件而不加考慮。 正如報告所解釋的:

“可能是為了應對漏洞利用工具包市場的變化,網絡犯罪分子一直在轉向(或返回)電子郵件,以快速且經濟高效地傳遞勒索軟件和其他惡意軟件。 他們在逃避檢測的方法上也越來越有創意。 例如,思科威脅研究人員觀察到包含大量惡意文檔(包括 Word 文檔、Excel 文件和 PDF)的垃圾郵件不斷增加,這些惡意文檔可以通過要求用戶交互來感染系統和傳遞有效負載來擊敗許多沙盒技術。”

思科指出,垃圾郵件和惡意電子郵件的增加與所謂的“漏洞利用工具包”攻擊的下降或停滯不謀而合。 漏洞利用工具包本質上是允許黑客通過已知漏洞獲取訪問權限的工具。 流行的網站 Flash 插件以其安全漏洞而聞名,如果您一直關注互聯網,您會注意到 Flash 正因為這個主要原因而被所有主要網絡瀏覽器逐步淘汰。

隨著更新的持續推送和 Flash 使用量的下降,允許黑客通過 Flash 獲得訪問權限的“漏洞利用工具包”的使用也在減少。 這導致黑客返回電子郵件,特別是電子郵件,因為它允許直接訪問用戶的端點。

通過一些基本的“社會工程”,攻擊者可以讓毫無戒心的受害者打開一個 Word 文檔,以為它來自他們最好的朋友,然後他們知道他們的整個網絡正在受到攻擊。 這些攻擊可以來自所有不同的、熟悉的文件。

惡意文件擴展名圖

但該報告警告說,電子郵件不僅容易受到惡意網絡釣魚詐騙的影響。 事實上,BEC 欺詐甚至可能比勒索軟件更令人擔憂。

了解 BEC

當然,勒索軟件現在備受關注,但該報告希望指出一個更大的威脅,甚至讓谷歌和 Facebook 等最大的企業損失數百萬美元。

我會讓思科解釋這一點:

“BEC 活動涉及發送給財務員工的電子郵件,他們可以通過電匯發送資金。 對手通常會對公司層級及其員工進行一些研究——例如,使用社交網絡資料拼湊可能的指揮鏈。 這封電子郵件似乎來自 CEO 或另一位高管,要求收件人將電匯支付給假定的業務夥伴或支付給供應商。”

當然,為此付出了很多努力和計劃,攻擊者通常會表達緊迫感,在沒有雙重檢查的情況下誘騙受害者採取行動。 思科指出,這些攻擊主要針對大型目標,例如 Google 和 Facebook,儘管運營和維護了成熟的威脅防禦以及針對此類欺詐的防護措施,但這些目標實際上已經落入了他們的手中。

BEC造成的損失金額

思科還指出,由於這些電子郵件通常依賴於社會工程,它們不包含任何惡意軟件或文件附件,因此可以繞過標準威脅監控工具。 正如我們上面提到的,BEC 的威脅是如此巨大,以至於互聯網犯罪合規中心報告說,在 2013 年 10 月至 2016 年 12 月期間,有 53億美元因此被盜。平均每年 17 億美元。

新技術帶來新威脅

與最近的技術發展相比,電子郵件本身現在是一個祖父,包括對協作工具和統一通信的高度關注。 如果電子郵件有什麼可取之處,那麼我們的新技術很可能在未來也將保持可持續發展,除非我們做出重大改變。

物聯網已經出現,但有一個已知的缺陷:安全是第二個想法。 大多數這些工具只是讓前門沒有上鎖,儘管物聯網才剛剛開始嶄露頭角,但思科報告稱“物聯網殭屍網絡已經出現”。 事實上,該報告指出,在 2016 年,“網絡攻擊是從多個連接的設備發起的,變成了殭屍網絡。”

這些 DDoS 攻擊利用大量連接設備(而不是受感染的計算機)來溢出和關閉安全博主 Brian Krebs、法國託管公司 OVH 和互聯網性能管理公司 DynDNS 的網絡。 事實上,在他們的報告中,思科重點介紹了三個已知的物聯網殭屍網絡——Mirai、BrickerBot 和 Hajime——對每一個都進行了深入分析。

網絡攻擊示例

雖然物聯網才剛剛開始向企業展示其潛力,但網絡已經被用於網絡攻擊——這清楚地表明了任何解決方案的安全性必須是多麼重要。

UC 可以幫助您的企業保持安全

最重要的問題可能是您的企業如何在不斷變化的威脅中保持安全。 似乎出現了新的攻擊方法,第二種方法是安全的。 儘管我們在電子郵件、加密和整體安全方面取得了所有進步,但我們仍然不得不對來自會計部門的 Jim 發送給您的文件感到厭倦。 歸根結底,即使是最大的防御也可能會成為一點社會工程學的受害者。

聲稱統一通信可以迅速介入並挽救局面可能有點短視,但我認為 UC 平台帶來的好處可以幫助緩解一些團隊可能無法應對威脅的僵化。 這並不是說 UC 是您的團隊需要的唯一防禦措施,事實上,每個企業都應該與安全專家合作,以確保最高級別的安全性。 在防火牆和會話邊界控制器之間,有一長串廣泛可用的必要工具,它們不需要大量的資本投資。

另一方面,思科還指出,由於某些原因,中小型企業比大型企業組織更容易受到攻擊,但強調大型組織最有可能擁有“書面的正式戰略”。 中小型企業可以通過簡單地改進政策和程序來提高他們的防禦能力。

  • 利用 UC 平台可以消除對電子郵件和電子郵件附件的需求。 這可以擴展到所有文件共享服務,例如 Google Drive 或 Dropbox。 但是,由於能夠通過加密平台直接發送文件,或者這些文件共享服務的集成,用 UC 替換電子郵件才是最有意義的。 將文件拖放到安全平台的能力,以及即時向團隊中的任何人發送消息的能力,意味著用戶可以立即保持聯繫。 與其打開該文件,不如向收件人發送一條快速消息以驗證其合法性。
  • 一勞永逸地擊敗影子 IT – 這可以通過找到適合您的團隊的合適的 UC 平台來完成,該平台可以達到所有正確的點並且易於使用。 如果您的團隊對解決方案感到滿意,他們將不需要引入自己的工具,從而導致影子 IT。 阻止網站和工具會導致團隊圍繞阻止工作,但建立可接受的使用策略有助於防止影子 IT 的傳播,並有望防止 PUA 和惡意軟件的傳播。
  • 傳播意識並訓練團隊警惕潛在威脅。 不要只是阻止所有員工訪問網站或共享文件,而是要製定識別潛在威脅的策略。 如果團隊意識到獨特的電子郵件欺詐企圖,他們可以防止這種形式的社會工程,而不是成為受害者。 思科特別建議要求員工只需撥打電話即可驗證請求的合法性,但我們認為這是 UC 在即時消息傳遞和狀態指示方面真正大放異彩的地方。
  • 承擔雲安全的共同責任:思科指出,60% 的用戶從未退出雲工具中的活動會話。 這可能看起來沒什麼大不了的,但像這樣的開放端點就像讓你的前門大開一樣。 應用與企業可能在 on-0remesis 環境中相同的“最佳實踐”可能是幫助防止未經授權訪問平台的有效方法。