本文講的是網絡罪犯勢力逐漸壯大,網絡安全正面臨臨界點,網絡犯罪是門大生意,正在以指數速度蔓延。英國倫敦勞埃德保險社估計2015年的網絡犯罪的市場為4000億美元。僅僅兩年後的今天,世界經濟論壇預計目前網絡犯罪市場達3萬億美元。網絡安全風險投資公司預測:到2021年,網絡犯罪将使全球每年的市場達6萬多億美元。
網絡犯罪爆炸性增長背後的推動力之一在于網絡罪犯能夠深入網際網路某處“犯罪天堂”進行非法交易,這是大多數人從來沒有見過的地方,也不知道如何通路。“暗網”是普通網頁浏覽器浏覽不到的,由匿名層進行保護,已經成為商業犯罪的天堂。
要深入了解激增的網絡威脅和線上犯罪活動,我們需要從擷取優質資訊開始。今天,Fortinet 釋出2016年第四季度的威脅趨勢報告。報告中的資料來自全球各地的數百萬安全裝置,這些裝置每天分析多達500億威脅資訊。這意味着該報告中詳述的結論和趨勢是以2016年10月1日到12月31日期間發生的萬億次安全事件為基礎的。
這種威脅情報的重要性無論怎樣強調都不過分。當大多數IT安全專業人員花費大量時間查閱日志檔案和安全報告時,有必要将本地威脅情報放到更大的環境中來。新的和新出現的威脅都有一些特征和可執行的IOC(IOC:indications of comprise,被利用的迹象)— 這些資訊可以幫助減少威脅的影響,甚至可以阻止和/或預防威脅。如果你知道要尋找什麼,總是容易發現并預防複雜的威脅。
當然,随着網絡基礎設施的持續發展,這一過程會越變越複雜。漏洞、惡意軟體和僵屍網絡不會憑空發生,是以必須研究基礎設施發展趨勢與威脅趨勢之間的關聯方式和因果關系。網絡威脅會随着應用、技術、配置、控制和行為的改變而不斷進化和适應。
例如,第四季度報告顯示使用SSL進行加密的流量在傳輸網絡的所有流量中占據一半以上。HTTPS流量使用是一個值得監控的重要趨勢,雖然這有助維護隐私,但卻對威脅檢測帶來挑戰,這些威脅可以隐藏在加密通信中。太多的SSL流量未經檢查,因為打開、檢查、再加密流量需要巨大的處理開銷。這就迫使IT團隊在安全防護和網絡性能之間進行選擇。
此外,我們還發現,企業及組織機構正在使用的雲應用程式數量不斷上漲。企業内部運作的所有應用程式中将近三分之一基于雲端。這種趨勢(又稱影子IT)對安全具有重要影響,因為IT團隊對雲應用程式中駐留的資料沒有足夠的可見性,不了解資料的使用方式以及資料通路者的身份。
雖然該報告研究大範圍的威脅和資料,但關注點在于網絡罪犯目前所利用的三種集中威脅趨勢——應用程式漏洞利用、惡意軟體、僵屍網絡。對于大多數企業來說,這些就是每天都要全力應付的具體且實際的問題。
此外, 2016年第四季度的網絡攻擊數量、發生率和強度同樣繼續呈上升。例如,安全行業在該季度遭受1-2 次沉重打擊 ,發生了史上最大規模的資料洩露和分布式拒絕服務攻擊, 其數量和影響均為之前有記錄可查的最嚴重攻擊的兩倍。
雖然這種針對性攻擊往往占據新聞頭條,但是大多數組織機構面臨的大部分威脅以及是以産生的大部分經濟損失都具有機會主義性質。
故此,最有效的安全工作仍然需要審查安全狀況和政策、最小化外部可見和可通路的攻擊表面;方法是安裝更新檔和系統強化,在網絡覆寫範圍内建構并實施進階威脅檢測和響應措施,增強分布式網絡(包括終端、物聯網和雲端)範圍内的可見性和控制能力。
以下是第四季度報告中的一些亮點摘要:
哦,Mirai。此次創紀錄的分布式拒絕服務攻擊利用了衆多日常聯網裝置,該新聞使物聯網安全争論達到白熱化的程度。背後源代碼的公布使Mirai僵屍網絡活動數量立刻增加了25倍,是我們觀察到的所有季度中周間漲幅最大的一次。在2016年結束之前,該僵屍網絡活動數量最終漲了5倍。我們或将看到網絡罪犯越來越多的利用未受保護的存在漏洞的IoT裝置。
無窮盡被利用的漏洞。網絡犯罪的增長擴大了可能的攻擊足迹,每個人都可能成為潛在目标。每個組織或機構平均存在10.7個的應用程式漏洞,而10家公司中有9家檢測到重大或非常嚴重的漏洞。
老就是新。網絡罪犯通也會抓住大多數企業網絡的通病,“如果它沒有破,不要修理它。”這就是為什麼足有86%的公司所遇到的攻擊,是通過已經存在十多年的漏洞而滲透進入的。這些公司中的幾乎40%發現這些攻擊所針對的CVE(常見漏洞和風險)第一次被确認還是在上一個世紀。
下一個勒索對象在哪?勒索軟體是網絡罪犯最熱衷的收入來源。我們看到的不僅有新的勒索軟體變體,還有勒索軟體即服務(RaaS)的興起。正如Fortinet在我們的2017 威脅預測報告中所解釋的,勒索軟體即服務使幾乎沒有接受過技能教育訓練的罪犯隻要下載下傳工具并将其指向受害者就能夠賺錢,前提是與開發者分享一部分利潤。這就是我們預測這種高價值攻擊方法将在2017年大幅增加的部分原因。除了資料贖回,我們還注意到服務贖回的上升趨勢。我們的記錄顯示36%的組織機構在第四季度檢測到與勒索軟體有關的僵屍網絡活動。雖然這種情況出現在所有地區和行業,但我們發現醫療保健機構特别普遍。
堪稱惡意軟體家族中的黑手黨。兩個惡意軟體系列(Nemucod 與Agent)在第四季度繼續興風作浪,在所有捕獲的惡意軟體樣本中的比例達到令人震驚的81.4%。Nemucod系列因為與勒索軟體的關系而臭名昭彰。除了這兩個頂級惡意軟體系列,第四季度惡意軟體數量上升的最大原因是Locky勒索軟體。這些都是有組織網絡幫派的産物。
轉向移動裝置。網絡犯罪傾向于安全鍊中最薄弱的一環。大約每5家組織中就有一家報告移動惡意軟體呈上升之勢,目前在所有惡意軟體數量中的比例接近2%。我們還發現移動惡意軟體存在明顯的區域差異。例如,36%的非洲組織發現了移動惡意軟體,而歐洲的這一比例為8%。
僵屍網絡無處不在。我們檢測到每個組織平均存在6.7個獨特的活躍僵屍網絡系列。該比率在中東、非洲和拉丁美洲等新興地區為最高。
季節性活動。零售/酒店和教育行業的威脅資料顯示,這些行業的網絡威脅活動帶有季節性,尤其是第四季度。如同熊在鲑魚産卵季節聚集在河邊一樣,一年中最繁忙的購物節才是網絡罪犯最活躍的時候,因為那時候很多購物者保持線上或進行電子交易。
要了解您所在企業及組織機構的的威脅趨勢,請注意以下兩點:
1)您所面臨的威脅趨勢與其他組織所面臨威脅趨勢的相似程度超過您的想象;
2)它與其他威脅趨勢的差異也是你可能沒有想到的。了解您可以借鑒别人的哪些政策、戰術和威脅情報以及哪些可以安全地擱置一邊是非常有價值的學問,需要耐心和專業知識來培養。Fortinet網絡威脅情報可以為您提供幫助。
作為我們打擊日益增長網絡犯罪活動承諾的一部分,我們将每季度釋出一次“Fortinet威脅趨勢報告”。作為全球最早的威脅研究和分析組織之一,Fortinet有很多重要的資料期待與您共享。
原文釋出時間為:四月 11, 2017
本文作者:aqniu
本文來自雲栖社群合作夥伴安全牛,了解相關資訊可以關注安全牛