科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>安全频道>网络安全>RSA反欺诈指挥中心月度情报报告

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

恶意软件长期以来一直被认为是一个面向消费者的问题,也是金融机构为维护客户信心和减少欺诈损失而需要解决的问题。

来源:ZDNet安全频道 2010年05月28日

关键字:RSA 恶意软件 僵尸网络 网络钓鱼 攻击

企业成为恶意软件新的攻击目标

恶意软件长期以来一直被认为是一个面向消费者的问题,也是金融机构为维护客户信心和减少欺诈损失而需要解决的问题。考虑到恶意软件在传统上用来窃取网上银行凭证,信用卡信息,以及其他诸如面向消费者的门户网站的用户名和密码等数据的历史,这种情形是完全合乎逻辑。即使在今天,网络犯罪分子还是主要利用木马程序来捕获这些信息,以执行欺诈活动和身份盗窃。

消费者和企业之间的界限正在逐渐消失。消费者同样也是雇员,而雇员会在企业的工作岗位执行个人业务,并检查他们的个人电子邮件帐户。同样,由于组织通过诸如SSL VPN等技术使得网络上更加广泛的资源能够得以访问,从而使能接触到企业网络的计算机术迅速扩展,其中包含了诸如家庭计算机等个人机器。

计算机个人和公用的双重用途在企业分发的终端上为木马感染打开了大门,同时也使得网络犯罪分子有机会捕获诸如能使他们访问网络邮件帐户和CRM等企业应用的VPN凭证。最终,组织将面临更加严重的数据丢失风险。

但是风险是什么,如何来量化它们呢?

企业中的恶意软件风险

作为RSA FraudAction™反木马服务的附带结果,RSA搜查到了被诸如Zeus,Sinowal,Limbo 和SilentBanker等恶意软件捕获的大量数据。为了量化恶意软件给企业带来的风险,RSA在本页下表的条件下对数据分段进行了分析。分析完成后,结果按照他们各自的公司进行组织,然后再根据每个组织的员工数进行降序排列7。

注意:RSA认为这个数据池相当小。一个月的时间期限对可用于研究的数据量造成了明显的局限性,而每家公司只查找一个域大大缩小了财富500强公司的搜索范围。

RSA反欺诈指挥中心月度情报报告

结果

电子邮件地址

RSA的分析表明,代表60%财富500强企业的受侵害电子邮件地址(来自299家公司的电子邮件)在数据池中识别出来。

RSA反欺诈指挥中心月度情报报告

在电子邮件地址被恶意软件捕获的公司中,被捕获的电子邮件数为5个和5个以上的公司占47%,被捕获的电子邮件数为25个和25个以上的公司占8%。

RSA反欺诈指挥中心月度情报报告

员工数在75000名以下的公司其被侵害电子邮件数与员工数的比率似乎最高。例如,在下图中,40家员工数超过50000名的公司中,被恶意软件捕获的电子邮件数在10个或更多。

RSA反欺诈指挥中心月度情报报告

僵尸网络

RSA的研究表明,88%美国财富500强企业的域曾被僵尸网络活动连接过。换句话说,88%财富500强企业的域都在一定程度上被感染宙斯木马的计算机访问过。

RSA反欺诈指挥中心月度情报报告

员工数在75000名以下的公司其僵尸计算机活动与员工数的比率再次是最高的。例如,60家员工数超过50000名的公司中,有证据表明来自恶意软件感染计算机的连接有100个或更多。

RSA反欺诈指挥中心月度情报报告

分析

根据我们数据分析的结果,很显然,企业中有大量的工作用机器感染了恶意软件。

从表面上看,这个数据并不能必然地推断出一个需要立即采取行动的高风险事件。受感染僵尸计算机连接到域的证据并不一定意味着木马在后台操控以抽取公司的数据。企业电子邮件被木马捕获也并不等于VPN登录凭证遭侵害。

更深入的思考突出了这些小范围的数据集提供的可操作信息。电子邮件地址可能仅被雇员作为识别之用,这意味着安全管理器可以在逻辑上推断该雇员正在受恶意软件感染的机器上工作。同样,僵尸网络活动的证据可能与诸如可以追溯到受感染机器的IP地址等信息有关。这些证据为安全管理器提供了研究和修复恶意软件相关问题的必要手段。

最大的问题是:一旦这些信息落入网络犯罪分子之手,他们能用这些信息做些什么?这仍有待确定。RSA目睹了地下论坛中试图向犯罪分子出售不同类型企业数据的帖子数量的急剧增加。鉴于地下犯罪的迅速发展,组织应当了解他们所面临的恶意软件感染的风险等级和暴露程度,并评估他们是否已具备适当的技术,控制和程序以减轻未来的威胁。

每月网络钓鱼攻击

趋势分析

在3月,网络钓鱼攻击下降了5%,RSA共记录了17579起攻击。快速通量攻击在3月也出现了下降,世界范围内使用此方法的攻击数下降57%。这一转变还是与Rock网络钓鱼团伙活动的减少,以及AS-Troyak基础设施被关闭从而导致许多恶意网络从互联网断开的事件有关(参见RSA博客"AS-Troyak暴露大型网络犯罪基础设施"")。RSA在继续观察以仅通过其快速通量基础设施和防弹托管方式发起攻击著称的Rock网络钓鱼团伙的卷土重来。

RSA反欺诈指挥中心月度情报报告

来源:RSA反欺诈指挥中心

遭受攻击的品牌总数

趋势分析

3月份遭受攻击的品牌总数(275个品牌)比2月份遭受攻击的品牌数量(282个品牌)略有下降。遭到攻击的次数在5次及以下的品牌占据了总数的56%。

3月份首次遭受攻击的实体数量从2月份的31%下降到了20%。我们看到网络钓鱼者通常将少数相同的几个品牌作为其反复攻击的目标,这些数字显示的有趣下降,可能表明网络钓鱼者集中针对更少的一部分品牌发起了大量攻击。

RSA反欺诈指挥中心月度情报报告

来源:RSA反欺诈指挥中心 攻击少于5次的品牌

美国境内遭受攻击的金融机构细分

趋势分析

地区性银行在连续九个月作为美国金融部门中最集中的攻击目标后,全国性银行在3月份成为最集中的攻击目标。上个月,针对全国性银行的攻击数量上升了29%,而针对地区性银行的攻击数量下降了21%,信用合作社则下降了8%。

RSA反欺诈指挥中心月度情报报告

来源:RSA反欺诈指挥中心

托管网络钓鱼攻击最多的前十位国家

趋势分析

美国连续5个月以相当高的占幅成为托管数量最多的国家。韩国次之,托管的网络钓鱼攻击数量稍稍超过3月份被识别攻击总数的10%,其次是德国和中国。总体上看,美国,韩国,德国和中国托管了RSA在3月份识别的全球网络钓鱼攻击总数的80%。

RSA反欺诈指挥中心月度情报报告

来源:RSA反欺诈指挥中心

攻击数量最多的前十位国家

趋势分析

3月,我们看到在前10位受网络钓鱼攻击的国家中发生了逆转:英国成为遭受网络钓鱼攻击(36%)数量最多的国家。尽管英国相对于上个月的数量基本相同,但有趣的是,其攻击数量数个月以来首次超过了美国。对于大多数遭受网络钓鱼攻击的其他国家,其攻击数量的波动不超过3个百分点(美国除外,它从2月份的43%下降到了3月份的35%)。

RSA反欺诈指挥中心月度情报报告

来源:RSA反欺诈指挥中心

按遭受攻击品牌划分的前十位国家

趋势分析

3月份,美国和英国遭受攻击的品牌数量为最多——几乎占全球总数的70%。这为网络钓鱼者针对相同国家的品牌发起攻击的总体趋势提供了支持。其品牌频繁遭受大量攻击的其他国家包括意大利,澳大利亚,加拿大,南非,西班牙和印度。

RSA反欺诈指挥中心月度情报报告

来源:RSA反欺诈指挥中心

综合评分:8.3 分
云能力:7.9 分
营业额:8.28亿美元[2011]
云服务:RSA云安全

查看更多 >>

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题