思科發(fā)表年度安全報告指出網(wǎng)絡(luò)安全就緒程度在認(rèn)知與實際情況存有巨大落差
CTI論壇(ctiforum)1月29日消息(記者 李文杰): 思科發(fā)表《思科2015年度安全報告》,針對威脅情資與網(wǎng)絡(luò)安全趨勢進(jìn)行調(diào)查,顯示組織必須以「全員參與」的方式來防御網(wǎng)絡(luò)攻擊。攻擊者愈趨精明,知道如何利用安全漏洞規(guī)避偵測并隱匿惡意行動。防御者,也就是資安團(tuán)隊,必須持續(xù)改善防護(hù)方法,才能保護(hù)組織免于遭受日益精良的網(wǎng)絡(luò)攻擊活動。這些問題更隨著攻擊者的地緣政治動機、以及與當(dāng)?shù)胤上鄾_突的要求而更趨復(fù)雜,包括數(shù)據(jù)主權(quán)認(rèn)定、數(shù)據(jù)在地化及數(shù)據(jù)加密等方面。
攻擊者
網(wǎng)絡(luò)罪犯不斷增進(jìn)攻擊手法進(jìn)行攻擊活動,使其更難被偵測與分析。根據(jù)思科的威脅情資分析出去年前3大攻擊趨勢為:
「雪靴」垃圾郵件(Snowshoe Spam):一種新興的熱門攻擊方式,攻擊者從大量IP位址中發(fā)送少量垃圾郵件以規(guī)避偵測,其中是利用已被入侵的帳號來做攻擊。
隱匿在明顯易見之處的網(wǎng)絡(luò)攻擊套件:常見的攻擊套件很快就會被資安公司破解,因此網(wǎng)絡(luò)罪犯轉(zhuǎn)而運用其他較少見的套件,成功\執(zhí)行攻擊策略。此方式較不容易引起注意,進(jìn)而成為持續(xù)發(fā)展的攻擊模式。
惡意攻擊組合:Flash和JavaScript傳統(tǒng)上都曾是安全堪慮的程式,但隨著安全偵測與防御技術(shù)的進(jìn)步,攻擊者學(xué)會結(jié)合兩者的弱點并展開攻擊。攻擊程式可同時被Flash和JavaScript兩種檔案共享,讓安全裝置更加難以辨別和封鎖攻擊,或是通過逆向工程工具進(jìn)行分析。
使用者
使用者面臨左右夾攻的情況,因為他們不僅是網(wǎng)絡(luò)攻擊的目標(biāo),也在不知不覺中成為網(wǎng)絡(luò)攻擊的幫手。思科威脅情資研究顯示在2014年間,攻擊者逐漸將他們的攻擊焦點從企圖癱瘓伺服器和作業(yè)系統(tǒng),轉(zhuǎn)向攻擊使用者的瀏覽器和電子郵件。使用者從問題網(wǎng)站下載檔案,使得針對Silverlight的攻擊程式數(shù)量增加228%,垃圾郵件和惡意廣告的攻擊程式數(shù)量成長250%。
防御者
思科資安能力基準(zhǔn)研究報告,以9國共1,700家企業(yè)的資訊安全長(CISOs)和安全營運(SecOps)主管為調(diào)查對象,結(jié)果顯示防御者對于自身安全能力的認(rèn)知與事實之間存有巨大落差。其中,75%的CISOs認(rèn)為他們的安全工具很有效或非常有效。然而,不到50%的受訪者使用如修補程式和組態(tài)等標(biāo)準(zhǔn)工具來補強安全缺口,并確認(rèn)使用最新版本。Heartbleed為去年最具代表性的安全漏洞,但仍有56%已安裝的OpenSSL為4年前的版本,這是資安團(tuán)隊未能適時更新安全程式的證明。
雖然許多防御者以為他們使用的安全程序已達(dá)最佳化,安全工具也確實有效,但其實他們的安全就緒程度可能有待加強。
報告結(jié)論顯示,企業(yè)中的董事會應(yīng)承擔(dān)起制定資安任務(wù)優(yōu)先順序和期望值的角色。思科「安全宣言(Security Manifesto)」為一套正式安全準(zhǔn)則,作為網(wǎng)絡(luò)安全的基礎(chǔ),協(xié)助企業(yè)董事會、資安團(tuán)隊及使用者更加了解并回應(yīng)現(xiàn)今的網(wǎng)絡(luò)安全挑戰(zhàn)。當(dāng)企業(yè)要建立一套更靈活的安全方案,并在創(chuàng)新及實作方面領(lǐng)先網(wǎng)絡(luò)罪犯,可將此安全準(zhǔn)則作為基準(zhǔn)。此準(zhǔn)則包括:
1. 資訊安全必須能支持企業(yè)營運
2. 資訊安全必須與既有架構(gòu)相容且具使用性
3. 資訊安全必須透明化且資訊化
4. 資訊安全必須具有能見度并可采取適當(dāng)?shù)男袆?/p>
5. 資訊安全必須被視同為「人的問題」
支持引述
思科資深副總裁暨資訊安全長John N. Stewart:「安全需要一套全員參與的完整方案,從董事會到個別使用者,每個人都應(yīng)該投入。過去我們擔(dān)心DoS作業(yè)系統(tǒng)(Disk Operating System),現(xiàn)在我們也擔(dān)心資料受損;我們曾經(jīng)擔(dān)心IP位址被盜用,現(xiàn)在我們擔(dān)心關(guān)鍵業(yè)務(wù)停擺。我們的敵人日趨精明,利用我們的弱點,在顯而易見之處隱藏他們的攻擊。有效的資安措施必須在全程攻擊中提供持續(xù)性的防護(hù),采用的技術(shù)必須依此些需求來設(shè)計建置。線上服務(wù)必須具備回復(fù)力,所有動作都必須立即到位才能夠保護(hù)我們的未來,而我們的產(chǎn)業(yè)必須具備前所未有領(lǐng)導(dǎo)力、合作與當(dāng)責(zé)的能力。」
思科安全事業(yè)群首席工程師Jason Brvenik:「攻擊者越來越擅長利用安全漏洞,我們發(fā)現(xiàn)56%的OpenSSL版本仍易遭受Heartbleed攻擊,而主要的攻擊只需利用1%的高度危急弱點就能成功\。盡管如此,仍有不到半數(shù)的受訪資安團(tuán)隊會采用修補程式及組態(tài)管理等標(biāo)準(zhǔn)工具來預(yù)防安全缺口。即便使用領(lǐng)先的安全技術(shù),企業(yè)仍需要杰出的防護(hù)程序,才能夠在日益復(fù)雜的攻擊活動中保護(hù)組織和使用者。」
