思科发表年度安全报告指出网络安全就绪程度在认知与实际情况存有巨大落差
CTI论坛(ctiforum)1月29日消息(记者 李文杰): 思科发表《思科2015年度安全报告》,针对威胁情资与网络安全趋势进行调查,显示组织必须以「全员参与」的方式来防御网络攻击。攻击者愈趋精明,知道如何利用安全漏洞规避侦测并隐匿恶意行动。防御者,也就是资安团队,必须持续改善防护方法,才能保护组织免于遭受日益精良的网络攻击活动。这些问题更随着攻击者的地缘政治动机、以及与当地法律相冲突的要求而更趋复杂,包括数据主权认定、数据在地化及数据加密等方面。
攻击者
网络罪犯不断增进攻击手法进行攻击活动,使其更难被侦测与分析。根据思科的威胁情资分析出去年前3大攻击趋势为:
「雪靴」垃圾邮件(Snowshoe Spam):一种新兴的热门攻击方式,攻击者从大量IP位址中发送少量垃圾邮件以规避侦测,其中是利用已被入侵的帐号来做攻击。
隐匿在明显易见之处的网络攻击套件:常见的攻击套件很快就会被资安公司破解,因此网络罪犯转而运用其他较少见的套件,成功\执行攻击策略。此方式较不容易引起注意,进而成为持续发展的攻击模式。
恶意攻击组合:Flash和JavaScript传统上都曾是安全堪虑的程式,但随着安全侦测与防御技术的进步,攻击者学会结合两者的弱点并展开攻击。攻击程式可同时被Flash和JavaScript两种档案共享,让安全装置更加难以辨别和封锁攻击,或是通过逆向工程工具进行分析。
使用者
使用者面临左右夹攻的情况,因为他们不仅是网络攻击的目标,也在不知不觉中成为网络攻击的帮手。思科威胁情资研究显示在2014年间,攻击者逐渐将他们的攻击焦点从企图瘫痪伺服器和作业系统,转向攻击使用者的浏览器和电子邮件。使用者从问题网站下载档案,使得针对Silverlight的攻击程式数量增加228%,垃圾邮件和恶意广告的攻击程式数量成长250%。
防御者
思科资安能力基准研究报告,以9国共1,700家企业的资讯安全长(CISOs)和安全营运(SecOps)主管为调查对象,结果显示防御者对于自身安全能力的认知与事实之间存有巨大落差。其中,75%的CISOs认为他们的安全工具很有效或非常有效。然而,不到50%的受访者使用如修补程式和组态等标准工具来补强安全缺口,并确认使用最新版本。Heartbleed为去年最具代表性的安全漏洞,但仍有56%已安装的OpenSSL为4年前的版本,这是资安团队未能适时更新安全程式的证明。
虽然许多防御者以为他们使用的安全程序已达最佳化,安全工具也确实有效,但其实他们的安全就绪程度可能有待加强。
报告结论显示,企业中的董事会应承担起制定资安任务优先顺序和期望值的角色。思科「安全宣言(Security Manifesto)」为一套正式安全准则,作为网络安全的基础,协助企业董事会、资安团队及使用者更加了解并回应现今的网络安全挑战。当企业要建立一套更灵活的安全方案,并在创新及实作方面领先网络罪犯,可将此安全准则作为基准。此准则包括:
1. 资讯安全必须能支持企业营运
2. 资讯安全必须与既有架构相容且具使用性
3. 资讯安全必须透明化且资讯化
4. 资讯安全必须具有能见度并可采取适当的行动
5. 资讯安全必须被视同为「人的问题」
支持引述
思科资深副总裁暨资讯安全长John N. Stewart:「安全需要一套全员参与的完整方案,从董事会到个别使用者,每个人都应该投入。过去我们担心DoS作业系统(Disk Operating System),现在我们也担心资料受损;我们曾经担心IP位址被盗用,现在我们担心关键业务停摆。我们的敌人日趋精明,利用我们的弱点,在显而易见之处隐藏他们的攻击。有效的资安措施必须在全程攻击中提供持续性的防护,采用的技术必须依此些需求来设计建置。线上服务必须具备回复力,所有动作都必须立即到位才能够保护我们的未来,而我们的产业必须具备前所未有领导力、合作与当责的能力。」
思科安全事业群首席工程师Jason Brvenik:「攻击者越来越擅长利用安全漏洞,我们发现56%的OpenSSL版本仍易遭受Heartbleed攻击,而主要的攻击只需利用1%的高度危急弱点就能成功\。尽管如此,仍有不到半数的受访资安团队会采用修补程式及组态管理等标准工具来预防安全缺口。即便使用领先的安全技术,企业仍需要杰出的防护程序,才能够在日益复杂的攻击活动中保护组织和使用者。」
