趙明

安全情報，幾乎每一家安全廠商都在說自家的安全情報全面、可靠，但事實上每一家安全廠商都有自己專注的領(lǐng)域。古人說“術(shù)業(yè)有專攻”，因此，筆者認為沒有哪家安全廠商的安全情報能夠做到絕對全面、可靠，全面和可靠是相對的。那么，下面我們就來看看思科為我們帶來了哪些安全情報吧。

近日，思科評估了思科整合安全情報（Cisco Collective Security Intelligence）收集的最新威脅情報。該評估報告提供了上半年數(shù)據(jù)驅(qū)動的行業(yè)洞察和網(wǎng)絡(luò)安全趨勢，同時為改進安全狀態(tài)提供了切實可行的建議。報告基于來自廣泛基礎(chǔ)的數(shù)據(jù)，數(shù)據(jù)量相當于每天400多億個遙測點。思科研究人員利用這一情報來為思科產(chǎn)品和服務(wù)提供實時保護，并實時交付給全球的思科客戶。

2017思科年中網(wǎng)絡(luò)安全報告（MCR）稱，威脅正在快速演進，攻擊數(shù)量不斷增加，并預(yù)測網(wǎng)絡(luò)中可能會出現(xiàn)“服務(wù)破壞”（DeOS）攻擊。此類攻擊將會刪除企業(yè)的備份和安全保障措施，而這些都是企業(yè)在受到攻擊后用來恢復(fù)系統(tǒng)和數(shù)據(jù)的。隨著物聯(lián)網(wǎng)的出現(xiàn)，重點行業(yè)開展了更多的線上運營，此類威脅的攻擊面、潛在規(guī)模和影響不斷增加。

諸如WannaCry和Nyetya等最新網(wǎng)絡(luò)攻擊顯示了網(wǎng)絡(luò)攻擊更加迅速，影響更加廣泛，這種攻擊與傳統(tǒng)勒索軟件看似相似，但破壞性更強。思科將這些攻擊視為“服務(wù)破壞”攻擊的前兆，“服務(wù)破壞”攻擊將更具破壞性，使企業(yè)難以恢復(fù)運營。

“諸如WannaCry和Nyetya等最新安全攻擊表明，攻擊者設(shè)計的攻擊越來越多變。雖然大多數(shù)企業(yè)在發(fā)現(xiàn)安全漏洞后會采取措施提升安全性，但對于所有行業(yè)的企業(yè)而言，與攻擊者的博弈將是一場持久戰(zhàn)。要實現(xiàn)安全有效性，企業(yè)需要從消除明顯的漏洞開始，并將安全置于企業(yè)發(fā)展的優(yōu)先級?！彼伎迫蚋笨偛?，首席信息安全官斯蒂文·馬蒂諾（Steve Martino）說。

物聯(lián)網(wǎng)不斷為網(wǎng)絡(luò)犯罪帶來新的機會。由于其自身存在諸多薄弱環(huán)節(jié)，并且有大量的漏洞可被利用，物聯(lián)網(wǎng)成為了眾多攻擊活動的溫床，使攻擊的影響力持續(xù)增加。最新的物聯(lián)網(wǎng)僵尸行為已表明，一些攻擊者可能正在為開展范圍更廣、影響力更大的網(wǎng)絡(luò)攻擊做準備，這些攻擊可能會導(dǎo)致互聯(lián)網(wǎng)癱瘓。

面對這些攻擊，檢測安全實踐的有效性至關(guān)重要。思科一直致力于減少威脅“檢測時間（TTD）”，即減少發(fā)生威脅到發(fā)現(xiàn)威脅之間的時間差?？s短檢測時間，對于限制攻擊者的操作空間和最大限度減少入侵造成的損失至關(guān)重要。自從2015年11月以來，思科將其平均檢測時間（TTD）從2016年11月的逾39小時縮短至2017年5月的約3.5小時。這一數(shù)據(jù)基于部署在全球思科安全產(chǎn)品的選擇性遙測數(shù)據(jù)。

威脅環(huán)境：熱點問題和非熱點問題

思科安全研究人員深入分析了2017年上半年惡意軟件的演進情況，注意到了攻擊者在設(shè)計攻擊方式時在傳播、混淆和逃避技術(shù)方面的轉(zhuǎn)變。具體而言，思科發(fā)現(xiàn)攻擊者越來越多地要求受害者通過點擊鏈接或打開文件來激活威脅。攻擊者還開始開發(fā)無文件惡意軟件，此類惡意軟件完全駐留在內(nèi)存中，當設(shè)備重啟時會被清除，很難被檢測或發(fā)現(xiàn)。此外，攻擊者日益依賴匿名和分散的基礎(chǔ)設(shè)施，如Tor代理服務(wù)等，來隱藏命令和控制活動。

雖然思科注意到漏洞利用套件的數(shù)量顯著減少，其他傳統(tǒng)攻擊卻出現(xiàn)了復(fù)蘇跡象：

第一，垃圾郵件數(shù)量顯著增加，攻擊者轉(zhuǎn)向使用其他行之有效的方法（如電子郵件）來傳播惡意軟件并從中創(chuàng)收。思科威脅研究人員預(yù)測，帶有惡意附件的垃圾郵件的數(shù)量將會不斷增加，同時漏洞利用套件仍會存在。

第二，安全專業(yè)人員通常會忽視間諜軟件和廣告軟件，認為它們除了令人生厭以外，不會有其他太大風險。然而間諜軟件和廣告軟件同樣可以成為惡意軟件，給企業(yè)帶來風險。思科研究部門在四個月內(nèi)對300家公司進行了抽樣調(diào)查，發(fā)現(xiàn)三種最常見的間諜軟件曾感染了20%的抽樣公司。在企業(yè)環(huán)境中，間諜軟件可以竊取用戶和公司信息，削弱設(shè)備的安全性，增加惡意軟件感染風險。

第三，勒索軟件的不斷演進，并且，還有專業(yè)軟件提供者，這使得技能水平或高或低的犯罪分子都能夠更輕松地實施攻擊。勒索軟件一直占據(jù)新聞頭條，報道稱勒索軟件在2016年為攻擊者賺取了超過10億美元的收入。這可能會誤導(dǎo)一些企業(yè)管理者，讓他們將關(guān)注點集中在勒索軟件上。而實際上，除了這些勒索軟件，一些未被報道的威脅可能會對企業(yè)造成更大的威脅。商業(yè)電子郵件攻擊是一種社交工程攻擊，其中電子郵件被設(shè)計用于誘導(dǎo)企業(yè)向攻擊者轉(zhuǎn)賬，此類方法正成為一種高回報率的威脅載體。據(jù)美國互聯(lián)網(wǎng)犯罪投訴中心稱，從2013年10月到2016年12月期間，有53億美元通過商業(yè)電子郵件攻擊被盜。

不同行業(yè)面臨共同挑戰(zhàn)

隨著犯罪分子不斷增加攻擊的復(fù)雜性和強度，各行各業(yè)的企業(yè)都要及時滿足基礎(chǔ)網(wǎng)絡(luò)安全要求。隨著信息技術(shù)和運營技術(shù)在物聯(lián)網(wǎng)的融合，企業(yè)正在努力解決可見性和復(fù)雜性方面的問題。作為思科安全能力基準調(diào)查的一部分，思科調(diào)查了13個國家和地區(qū)近3000位安全負責人，發(fā)現(xiàn)各個行業(yè)的安全團隊均疲于應(yīng)對大量攻擊，導(dǎo)致許多人在其保護工作中變得越來越被動。

第一，不到三分之二的企業(yè)會對安全警報進行調(diào)查，在某些行業(yè)（如醫(yī)療和交通運輸），這一數(shù)字接近50%。

第二，即使在要求最快響應(yīng)速度的行業(yè)（如金融和醫(yī)療），企業(yè)能夠解決的已知真實攻擊數(shù)量也不足50%。

第三，漏洞是是企業(yè)的警鐘。在大多數(shù)行業(yè)，至少90%的企業(yè)采取適當?shù)陌踩胧浹a安全漏洞，但也有一些行業(yè)（如交通運輸）的響應(yīng)不夠迅捷，采取安全措施的企業(yè)比例降至80%左右。

基于行業(yè)的重要發(fā)現(xiàn)包括：

第一，公共部門——調(diào)查中32%的威脅是真實威脅，但這些真實威脅中僅有47%最終被修復(fù)。

第二，零售業(yè)。32%的企業(yè)表示在過去一年因遭受攻擊損失了收入，約有四分之一企業(yè)丟失了客戶或商機。

第三，制造業(yè)。40%的制造業(yè)安全專業(yè)人員表示，他們沒有正式的安全戰(zhàn)略，也沒有遵循諸如ISO 27001或NIST 800-53等標準化信息安全策略實踐。

第四，公用事業(yè)。安全專業(yè)人員表示，針對性攻擊（42%）和高級持續(xù)威脅（APT）（40%）是企業(yè)最大的安全風險。

第五，醫(yī)療。37%的醫(yī)療企業(yè)表示，針對性攻擊造成的企業(yè)安全風險最高。

“復(fù)雜性仍然是許多企業(yè)在開展安全工作時面臨的主要障礙。由于無法進行集成，企業(yè)多年來投資購買的單點產(chǎn)品使攻擊者能夠輕松發(fā)現(xiàn)被忽視的安全漏洞。為了有效縮短檢測時間并減輕攻擊的影響，行業(yè)必須采取更加集成的架構(gòu)方法，提高可見性和可管理性，助力安全團隊消除安全漏洞。”思科全球高級副總裁，安全事業(yè)部總經(jīng)理尤岱偉說。

思科對企業(yè)的建議

為了對抗當今越來越精明的攻擊者，企業(yè)在安全防護中必須主動出擊。思科安全為企業(yè)提供的建議如下：

第一，及時更新基礎(chǔ)設(shè)施和應(yīng)用，讓攻擊者無法利用公開的漏洞。

第二，利用集成防御對抗復(fù)雜性， 減少孤立的投資。

第三，盡早讓高層參與進來，以確保其充分了解風險、回報和預(yù)算限制。

第四，建立明確的指標以確認并提升安全實踐。

第五，通過比較基于角色的培訓和一般性培訓檢測員工安全培訓效果。

第六，平衡防御與主動應(yīng)對，不要采取“一勞永逸”的安全控制或流程。

資料來源：

思科2017年中網(wǎng)絡(luò)安全報告評估了思科整合安全情報（Cisco Collective Security Intelligence）收集的最新威脅情報。報告提供了上半年數(shù)據(jù)驅(qū)動的行業(yè)洞察和網(wǎng)絡(luò)安全趨勢，同時為改進安全狀態(tài)提供了切實可行的建議。報告基于來自廣泛基礎(chǔ)的數(shù)據(jù)，數(shù)據(jù)量相當于每天400多億個遙測點。思科研究人員利用這一情報來為思科產(chǎn)品和服務(wù)提供實時保護，并實時交付給全球的思科客戶。

在思科2017年中網(wǎng)絡(luò)安全報告中，思科邀請了10位安全技術(shù)合作伙伴與思科分享數(shù)據(jù)，并聯(lián)合得出威脅環(huán)境結(jié)論。

為報告做出重要貢獻的合作伙伴包括：Anomali、Flashpoint、Lumeta、Qualys、Rapid7、RSA、SAINT Corporation、ThreatConnect和TrapX。思科致力于為客戶帶來簡單、開放、自動化的安全解決方案，思科的安全技術(shù)合作伙伴生態(tài)系統(tǒng)對于這一愿景的實現(xiàn)至關(guān)重要。