思科发布2016年中网络安全报告 对新一代勒索软件进行预测

2016思科年中网络安全报告（MCR）发现，企业尚未准备好应对未来更复杂的勒索软件类型。脆弱的基础设施、糟糕的网络环境和缓慢的检测速度为对手的攻击行动提供了充足的时间和空间掩护。该报告的调查结果表明，竭力限制攻击者的操作空间是企业面临的最大挑战，对数字化转型的基础构成了严重威胁。MCR的其他发现还包括，攻击者开始将攻击目标扩展至服务器端，并正在不断演进攻击方法，同时越来越多地使用加密措施来做掩护。

2016年至今，勒索软件已成为历史上最赚钱的恶意软件类型。思科预计随着更具破坏性的勒索软件的出现，这一趋势将会愈演愈烈，这些勒索软件能够通过自身传播控制整个网络，进而操控公司。全新的模块化勒索软件类型将能快速切换攻击战术以最大限度地提高效率。例如，未来的勒索软件攻击能够限制CPU使用率及命令控制操作，从而逃避检测。这些新的勒索软件类型将会在实施勒索活动之前，在企业内更快地传播和自我复制。

在网络和终端中的可见性仍然是一个主要挑战。企业平均要花费长达200天时间来确定新的威胁。思科的中位检测时间（TTD）继续领跑行业，截至2016年4月，创下了约13小时检测出先前六个月内未知漏洞的新低记录。这一结果相比截至2015年10月的17.5小时又有显著下降。更快的威胁检测时间是限制攻击者操作空间并尽可能减少入侵破坏的关键。这一数字是基于全球部署的思科安全产品收集的精选安全遥测数据。

由于攻击者不断创新，众多防御者需要继续努力维护其设备和系统的安全性。不受支持和未打补丁的系统给攻击者制造了更多的机会，使其很容易获取访问权限并逃避检测，同时实现破坏和获利的最大化。思科2016年中网络安全报告表明，全球范围都存在这一挑战。医疗保健等关键行业的企业在过去几个月的攻击中经历了一次重创，而该报告的调查结果表明，所有垂直市场和全球各地区都成为了攻击目标。俱乐部和企业、慈善机构和非政府组织（NGO）、以及电子企业在2016年上半年所遭遇的攻击数量均有大幅增加。在全球层面，地缘政治隐忧包括了监管复杂性和各国家/地区网络安全政策的冲突。数据控制或访问需求可能会限制复杂威胁环境中的国际贸易，甚至产生冲突。

攻击者操作无约束

对于攻击者而言，未被检测到的操作时间越长，获利越大。在2016年上半年，攻击者获利由于下列原因而飞涨：

重点范围扩展：攻击者将重点从客户端扩展到了服务器漏洞，以逃避检测并实现破坏和获利的最大化。

• Adobe Flash漏洞继续成为恶意广告和漏洞利用工具包的主要目标之一。在流行的Nuclear漏洞利用工具包中，Flash占成功攻击尝试的80%。
• 思科还看到了勒索软件的一个新趋势，即利用服务器漏洞，特别是在JBoss服务器中（10%的全球联网JBoss服务器受到了侵害）。许多用于侵害这些系统的JBoss漏洞在五年前都已被发现，这意味着基本补丁和更新就可以轻松避免此类攻击。

攻击方法不断演进：在2016年上半年，攻击者不断演进其攻击方法，以利用防御者缺乏可见性的不足。

• 对Windows Binary的漏洞利用上升，成为过去六个月的首要网络攻击方法。这一方法为入侵网络基础设施提供了一个重要途径，使得这些攻击更难以发现和清除。
• 在同一时间段，经由Facebook的社交工程诈骗从2015年的首位下降至第二位。

掩盖的途径：攻击者更多地使用加密作为掩盖其各种操作手段的方法，加剧了防御者的可见性挑战。

• 思科注意到加密货币（cryptocurrencies）、传输层安全协议和Tor使用的增加，这些手段支持在网络中进行匿名通信。
• 值得注意的是，恶意广告活动中使用的HTTPS加密恶意软件从2015年12月到2016年3月增加了300%。加密恶意软件让攻击者能够进一步隐瞒其网络活动，并延长其操作时间。

防御者竭力减少漏洞，消除差距

面对复杂的攻击、有限的资源和老化的基础设施，防御者在跟上攻击者的发展步伐方面困难重重。数据显示技术对于业务运营越重要，防御者便越不太可能通过安装补丁等方式来充分保证网络环境健康。例如：

• 在浏览器领域，Google Chrome采用自动更新机制，有75-80%的用户使用该浏览器的最新版本或上一个版本。
• 而在软件领域，Java的迁移速度非常缓慢，在被检测的系统中，有三分之一仍在运行正被Oracle逐步淘汰的Java SE 6版本（最新版本是SE 10）。
• 在Microsoft Office 2013（版本15x）中，只有10%或更少的主要版本用户在使用最新的服务包版本。

此外，思科发现其基础设施中的许多部分不再受支持或者存在已知的漏洞。这一问题普遍存在于不同的厂商和终端之中。具体而言，思科研究人员检测了103,121台联网设备，发现：

• 平均每台设备存在28个已知漏洞。
• 设备上的已知漏洞存在时间平均为5.64年。
• 超过9%的设备存在10年前就已被发现的已知漏洞。

为进行比较，思科还对安装次数超过300万次的软件基础设施进行了检测。存在漏洞最多的是Apache和OpenSSH，平均存在16个已知漏洞，被发现时间平均为5.05年。

浏览器更新是终端上最易执行的更新，相比之下企业应用和服务器基础设施很难更新，并会导致业务连续性问题。从本质上而言，应用对于业务运营越关键，越不太可能频繁更新，从而为攻击者创造了缺口和机会。

思科针对保护业务环境的简单步骤建议

思科的Talos研究人员发现企业可以通过采取几个简单但效果明显的步骤，显著提高其运营安全性，其中包括：

• 改善网络健康：密切监视网络；按时部署补丁和更新；对网络进行分段；在边缘部署防御措施，包括电子邮件和Web安全、新一代防火墙与新一代IPS等。
• 整合防御措施：充分利用架构方法来保障安全，而非部署单独的产品。
• 测量检测时间：努力以最快的速度发现威胁，然后及时做出补救。不断改进企业安全策略中的衡量指标。
• 随时随地保护用户：不管他们在何处工作，不仅限于他们使用的系统，有不仅限于他们身处企业网络时。
• 备份关键数据：定期检查其有效性，同时确保备份的安全。

支持引言

“随着企业充分利用数字化转型带动的全新业务模型，安全性变得至关重要。攻击者正变得越来越隐蔽，并持续延长其攻击时间。为消除攻击者的机会窗口，客户需要更全面地掌握其网络动态，并且必须改进相关工作，包括安装补丁和淘汰缺乏高级安全功能的老旧基础设施等。鉴于攻击者越来越多地以赢利为目标，并建立高利润业务模型，思科正在与客户通力合作，帮助他们在攻击复杂性、可见性和控制能力方面赶上并超越攻击者。”– Marty Roesch，思科副总裁兼安全业务事业部首席架构师

关于报告

思科2016年中网络安全报告评估了Cisco Collective Security Intelligence收集的最新威胁情报。报告提供了上半年数据驱动的行业洞察和网络安全趋势，同时为改进安全状态提供了切实可行的建议。报告基于来自广泛基础的数据，数据量相当于每天400多亿个遥测点。思科研究人员利用这一情报来为我们的产品和服务提供实时保护，并实时交付给全球的思科客户。