思科釋出2016年中網絡安全報告，對新一代勒索軟體進行預測

中原標準時間年7月27日消息，2016思科年中網絡安全報告（mcr）發現，企業尚未準備好應對未來更複雜的勒索軟體類型。脆弱的基礎設施、糟糕的網絡環境和緩慢的檢測速度為對手的攻擊行動提供了充足的時間和空間掩護。該報告的調查結果表明，竭力限制攻擊者的操作空間是企業面臨的最大挑戰，對數字化轉型的基礎構成了嚴重威脅。mcr的其他發現還包括，攻擊者開始将攻擊目标擴充至伺服器端，并正在不斷演進攻擊方法，同時越來越多地使用加密措施來做掩護。

2016年至今，勒索軟體已成為曆史上最賺錢的惡意軟體類型。思科預計随着更具破壞性的勒索軟體的出現，這一趨勢将會愈演愈烈，這些勒索軟體能夠通過自身傳播控制整個網絡，進而操控公司。全新的子產品化勒索軟體類型将能快速切換攻擊戰術以最大限度地提高效率。例如，未來的勒索軟體攻擊能夠限制cpu使用率及指令控制操作，進而逃避檢測。這些新的勒索軟體類型将會在實施勒索活動之前，在企業内更快地傳播和自我複制。

在網絡和終端中的可見性仍然是一個主要挑戰。企業平均要花費長達200天時間來确定新的威脅。思科的中位檢測時間（ttd）繼續領跑行業，截至2016年4月，創下了約13小時檢測出先前六個月内未知漏洞的新低記錄。這一結果相比截至2015年10月的17.5小時又有顯著下降。更快的威脅檢測時間是限制攻擊者操作空間并盡可能減少入侵破壞的關鍵。這一數字是基于全球部署的思科安全産品收集的精選安全遙測資料。

由于攻擊者不斷創新，衆多防禦者需要繼續努力維護其裝置和系統的安全性。不受支援和未打更新檔的系統給攻擊者制造了更多的機會，使其很容易擷取通路權限并逃避檢測，同時實作破壞和獲利的最大化。思科2016年中網絡安全報告表明，全球範圍都存在這一挑戰。醫療保健等關鍵行業的企業在過去幾個月的攻擊中經曆了一次重創，而該報告的調查結果表明，所有垂直市場和全球各地區都成為了攻擊目标。俱樂部和企業、慈善機構和非政府組織（ngo）、以及電子企業在2016年上半年所遭遇的攻擊數量均有大幅增加。在全球層面，地緣政治隐憂包括了監管複雜性和各國家/地區網絡安全政策的沖突。資料控制或通路需求可能會限制複雜威脅環境中的國際貿易，甚至産生沖突。

攻擊者操作無限制

對于攻擊者而言，未被檢測到的操作時間越長，獲利越大。在2016年上半年，攻擊者獲利由于下列原因而飛漲：

重點範圍擴充：攻擊者将重點從用戶端擴充到了伺服器漏洞，以逃避檢測并實作破壞和獲利的最大化。

· adobe flash漏洞繼續成為惡意廣告和漏洞利用工具包的主要目标之一。在流行的nuclear漏洞利用工具包中，flash占成功攻擊嘗試的80%。

· 思科還看到了勒索軟體的一個新趨勢，即利用伺服器漏洞，特别是在jboss伺服器中（10%的全球聯網jboss伺服器受到了侵害）。許多用于侵害這些系統的jboss漏洞在五年前都已被發現，這意味着基本更新檔和更新就可以輕松避免此類攻擊。

攻擊方法不斷演進：在2016年上半年，攻擊者不斷演進其攻擊方法，以利用防禦者缺乏可見性的不足。

· 對windows binary的漏洞利用上升，成為過去六個月的首要網絡攻擊方法。這一方法為入侵網絡基礎設施提供了一個重要途徑，使得這些攻擊更難以發現和清除。

· 在同一時間段，經由facebook的社交工程詐騙從2015年的首位下降至第二位。

掩蓋的途徑：攻擊者更多地使用加密作為掩蓋其各種操作手段的方法，加劇了防禦者的可見性挑戰。

· 思科注意到加密貨币（cryptocurrencies）、傳輸層安全協定和tor使用的增加，這些手段支援在網絡中進行匿名通信。

· 值得注意的是，惡意廣告活動中使用的https加密惡意軟體從2015年12月到2016年3月增加了300%。加密惡意軟體讓攻擊者能夠進一步隐瞞其網絡活動，并延長其操作時間。

防禦者竭力減少漏洞，消除差距

面對複雜的攻擊、有限的資源和老化的基礎設施，防禦者在跟上攻擊者的發展步伐方面困難重重。資料顯示技術對于業務營運越重要，防禦者便越不太可能通過安裝更新檔等方式來充分保證網絡環境健康。例如：

· 在浏覽器領域，googlechrome采用自動更新機制，有75-80%的使用者使用該浏覽器的最新版本或上一個版本。

· 而在軟體領域，java的遷移速度非常緩慢，在被檢測的系統中，有三分之一仍在運作正被oracle逐漸淘汰的java se 6版本（最新版本是se 10）。

· 在microsoftoffice 2013（版本15x）中，隻有10%或更少的主要版本使用者在使用最新的服務包版本。

此外，思科發現其基礎設施中的許多部分不再受支援或者存在已知的漏洞。這一問題普遍存在于不同的廠商和終端之中。具體而言，思科研究人員檢測了103,121台聯網裝置，發現：

· 平均每台裝置存在28個已知漏洞。

· 裝置上的已知漏洞存在時間平均為5.64年。

· 超過9%的裝置存在10年前就已被發現的已知漏洞。

為進行比較，思科還對安裝次數超過300萬次的軟體基礎設施進行了檢測。存在漏洞最多的是apache和openssh，平均存在16個已知漏洞，被發現時間平均為5.05年。

浏覽器更新是終端上最易執行的更新，相比之下企業應用和伺服器基礎設施很難更新，并會導緻業務連續性問題。從本質上而言，應用對于業務營運越關鍵，越不太可能頻繁更新，進而為攻擊者創造了缺口和機會。

思科針對保護業務環境的簡單步驟建議

思科的talos研究人員發現企業可以通過采取幾個簡單但效果明顯的步驟，顯著提高其營運安全性，其中包括：

· 改善網絡健康：密切監視網絡；按時部署更新檔和更新；對網絡進行分段；在邊緣部署防禦措施，包括電子郵件和web安全、新一代防火牆與新一代ips等。

· 整合防禦措施：充分利用架構方法來保障安全，而非部署單獨的産品。

· 測量檢測時間：努力以最快的速度發現威脅，然後及時做出補救。不斷改進企業安全政策中的衡量名額。

· 随時随地保護使用者：不管他們在何處工作，不僅限于他們使用的系統，有不僅限于他們身處企業網絡時。

· 備份關鍵資料：定期檢查其有效性，同時確定備份的安全。

支援引言

“随着企業充分利用數字化轉型帶動的全新業務模型，安全性變得至關重要。攻擊者正變得越來越隐蔽，并持續延長其攻擊時間。為消除攻擊者的機會視窗，客戶需要更全面地掌握其網絡動态，并且必須改進相關工作，包括安裝更新檔和淘汰缺乏進階安全功能的老舊基礎設施等。

鑒于攻擊者越來越多地以赢利為目标，并建立高利潤業務模型，思科正在與客戶通力合作，幫助他們在攻擊複雜性、可見性和控制能力方面趕上并超越攻擊者。”

– marty roesch，思科副總裁兼安全業務事業部首席架構師

關于報告

思科2016年中網絡安全報告評估了ciscocollective security intelligence收集的最新威脅情報。報告提供了上半年資料驅動的行業洞察和網絡安全趨勢，同時為改進安全狀态提供了切實可行的建議。報告基于來自廣泛基礎的資料，資料量相當于每天400多億個遙測點。思科研究人員利用這一情報來為我們的産品和服務提供實時保護，并實時傳遞給全球的思科客戶。

====================================分割線================================

本文轉自d1net（轉載）