思科發表《思科 2017 年中網路安全報告》,預測新型「摧毀服務」攻擊

《思科 2017 年中網路安全報告》揭露快速演進的資安威脅與不斷擴大規模的攻擊,並預測潛在的「摧毀服務(Destruction of Service,DeOS)」將會竄起;DeOS 攻擊能夠徹底崩潰組織的備援與安全網,以致在受到攻擊後無法回復系統與資料,且隨著物聯網的興起,關鍵產業將更多營運業務移到網際網路上,促使攻擊的接觸點變得更廣大,而這些攻擊的潛在規模與影響也持續提高。

 

 

近期攻擊事件如 WannaCry 與 Nyetya 顯露出快速散播與衝擊層面的廣泛,表面上它們看似傳統的勒索軟體,但實際上它們更具破壞性。思科稱之為「摧毀服務」攻擊,相比傳統網路攻擊,它們可帶來更嚴重的破壞,讓企業完全無法復原。

 

另外,物聯網持續為這些網路犯罪者提供新的機會,而潛伏其中的許多資安弱點會逐漸被發掘,促使未來更多新型的攻擊手法產生,造成越來越嚴重的影響。最近出現的物聯網僵屍網路(Botnet)已反映出有些攻擊者可能預先打好基礎,伺機發動大規模高影響的攻擊,甚至對整個網際網路造成破壞。

 

面對這些攻擊,衡量資安措施的成效至關重要;思科持續追蹤「威脅偵測時間(Time-to-Detection,TTD)的發展,TTD 是指網路受到入侵和偵測該威脅之間的時間窗口,更快的 TTD 能有效限制攻擊者的操作空間,並減少入侵造成的損害。

 

思科在 2016 年 11 月到 2017 年 5 月這段時間內,就將 TTD 的中位數從超過 39 小時縮短至 3.5 小時。

 

思科資安研究人員於 2017 上半年間觀察了惡意程式的演化,發現攻擊者正著手調整其傳遞、迷惑辨識機制、以及規避步驟的技巧;尤其思科觀察到越來越多攻擊者要求受害者點擊連結或開啟檔案來啟動威脅。

 

此外,攻擊者正在發展完全潛伏在記憶體內的無檔案惡意軟體,由於它們在每次重新開機時就會被完全抹除,因此極難偵測或調查。此外,他們還會依賴匿名與分散化的基礎設施,像是 Tor 代理伺服器服務,藉以藏匿其指令與控制活動。

 

儘管思科發現由弱點攻擊套件(exploit kits)所進行的攻擊急速減少,可是其他傳統攻擊手法卻有復甦跡象:

 

  • 垃圾郵件數量大幅增加,因為攻擊者轉向其他經嘗試驗證可行的方法,像是電子郵件,藉以散佈惡意程式並從中獲利。思科威脅研究人員預測這類含有惡意附檔的垃圾郵件未來會不斷增加,而弱點攻擊套件的數量則會繼續上下起伏。
  • 間諜程式和廣告軟體經常被資安人員所忽略,因為它們被視為滋擾而非損害,但這類形態的惡意程式持續發生會對企業帶來風險。思科在一個為期 4 個月的調查中對 300 家企業進行抽樣調查,發現當中有 20% 的企業遭受三種盛行的間諜程式家族感染。在企業環境中,間諜程式會竊取使用者與公司資訊,弱化裝置的防護力,並增加惡意程式的感染。
  • 勒索軟體不斷演進,例如勒索軟體即服務(Ransomware-as-a-Service)的成長,讓任何駭客不論技術高低都有能力發動網路攻擊。最近勒索軟體不斷登上頭版,更有報導指它在 2016 年為全球造成超過 10 億美元的損失。但這數字可能對某些組織造成誤導,因為他們面臨的可能是規模更大但卻未被發現的資安威脅。另外,思科發現一種商業電郵詐騙(Business Email Compromise,BEC),能透過電郵誘騙受害企業轉帳金錢至攻擊者,這種社交工程現已成為高獲利的攻擊型態。根據美國聯邦調查局轄下的網際網路罪案投訴中心(Internet Crime Complaint Center),從 2013 年 10 月至 2016 年 12 月期間,逾 53 億美元的金錢損失是經由商業電郵詐騙所造成。

 

隨著駭客持續提高其攻擊手法的複雜性與強度,各行各業的企業面臨日趨嚴苛的挑戰,甚至要追上一些基本的網路資安要求也有難度。隨著物聯網的發展,資訊與營運技術逐漸結合,組織正面臨可視性與複雜度之間的角力。思科資安能力基準研究(Security Capabilities Benchmark Study)訪問了 13 個產業近 3,000 位資安主管,結果發現在各產業中,資安團隊越來越難以招架為數極其龐大的攻擊,以致其保護作為越來越變得被動。

 

  • 不到三分之二的組織會調查資安警告,在某些產業(如醫療保健與運輸 ),這個比例數據接近 50%。
  • 即使在回應最迅速的產業(像是金融與醫療保健),企業僅能緩和不到 50% 已知且真確的攻擊。
  • 入侵行為是個警示,大多數產業中,至少 90% 的組織在遭受入侵後會適當地改善其安全防護。某些產業(如運輸)的反應則較慢,僅達 80%。

 

 

各產業的重要發現

 

  • 公家機關-在被調查的資安威脅中,32% 被確認為真確威脅,但這些威脅中只有 47% 最終被修復。
  • 零售業-32% 的業者表示過去一年曾經因攻擊事件造成營收損失,另外有大約四分之一的業者流失客戶或業務機會。
  • 製造業-40% 的製造業資安專家表示他們不僅沒有正式的安全策略,也沒有遵循如 ISO 27001 或 NIST 800-53 這類標準化的資訊安全攻策。
  • 公共事業-資安專家指出鎖定目標攻擊(42%)與進階持續性攻擊(Advanced Persistent Threats,APT)(40%)對其組織是最關鍵的資安風險。
  • 醫療保健-37% 的醫療保健機構表示鎖定目標攻擊對其組織產生極高的資安風險 。

 

 

思科建議企業,要對抗現今手法日趨精密的攻擊者,組織必須採取主動的防禦行動。思科資安團隊建議:

 

  • 定期更新基礎設施與設備應用,使攻擊者無法利用已發佈的安全弱點進行攻擊。
  • 透過整合式防禦來對付複雜的資安環境,並限制孤島式網路安全設備的投資。
  • 及早讓組織高級主管參與資安項目,確保他們全面了解風險、回報及預算限制。
  • 建立明確的指標,並以此來驗證與改進資安措施。
  • 評估及檢視依職務角色的培訓以及單一化課程這兩種方法的成效。
  • 藉由積極的回應來建構均衡防線,千萬不要完成資安控管或程序後便置之不理。

 

 

為撰寫《思科 2017 年中網路安全報告》,思科廣邀各領域 10 位資安技術夥伴分享資料,聯手歸納出資安威脅局勢的結論。對本報告作出貢獻的夥伴廠商包括 Anomali、Flashpoint、Lumeta、Qualys、Radware、Rapid7、RSA、SAINT Corporation、ThreatConnect 及 TrapX。

您可能也喜歡…

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。