Top
首页 > 网络和信息安全 > 重磅推荐 > 正文

思科发布安全报告:勒索软件成史上最赚钱的恶意软件

报告指出,绝大部分组织机构并没有对未来更复杂的勒索软件变种做好准备措施。脆弱的基础设施,参差不齐的网络环境,缓慢的检测率为敌人提供了足够的操作时间和空中掩护。
发布时间:2016-08-12 14:19        来源:360.cn        作者:

思科2016年年中网络安全报告(MCR)显示,迄今为止,勒索软件已经成为历史上最赚钱的恶意软件类型。而且思科预计这种趋势将会继续,因为一些更具破坏性的勒索软件可以自己传播并且控制整个网络,从而要挟一些公司。

勒索软件新的模块化变种能够快速切换战术来使得效益最大化。例如,未来的勒索软件攻击可以通过限制CPU使用率,避免指挥-控制型行动来逃避检测。这些新的勒索软件变种在协调赎金活动之前会在组织内部快速传播并进行自我复制。

报告指出,绝大部分组织机构并没有对未来更复杂的勒索软件变种做好准备措施。脆弱的基础设施,参差不齐的网络环境,缓慢的检测率为敌人提供了足够的操作时间和空中掩护。

根据报告的结果,难以约束攻击者的操作空间是企业面临的最大挑战,并且威胁到了数字转换所需的底层基础。

跨网络和端点的可见性仍然是一个主要的挑战。平均来说,组织机构需要200天来识别新的威胁。思科的平均检测时间(TTD)继续领先行业, 截止到2016年4月的六个月内,最低需要大约13个小时检测到未知攻击。这个结果低于2015年10月结束的17.5小时。更快的检测到威胁的时间是至关重要的,它可以限制攻击者的操作空间并且将损失降到最小化。

随着攻击者的不断创新,许多防御者也在继续不断地维护着他们的设备和系统的安全。那些不被支持和未打补丁的系统给攻击者提供了额外的机会来轻松获取权限,同时还可以隐藏自身,将伤害和利润最大化。思科2016年年中网络安全报告显示,这个挑战在全球范围内仍然存在。

此外,一些关键行业的组织(比如医疗行业)在过去的几个月里经历了大幅上升的攻击。报告的结果还表明,所有的垂直市场和全球地区都被列为了攻击目标。

在2016年上半年,俱乐部和组织、慈善机构和非政府组织(NGOs),以及电子产品企业都遭受了不断上升的攻击活动。

在世界舞台上,地缘政治担忧造成了监管的复杂性和矛盾的国家之间的网络安全政策。控制或访问数据的需求可能会限制国际贸易格局。

攻击者的操作不受约束

对攻击者来说,更多的未被发现的时间来进行操作可以导致更多的利润。根据思科的报道,在2016年上半年,攻击者利润飙升主要是由于以下几点:

1.扩大关注点:攻击者将他们的关注点从客户端扩展到了服务器端的利用攻击,从而躲避检测和扩大潜在的损害,进而使得利润最大化。

Adobe Flash漏洞继续成为恶意广告和开发工具包的首选目标之一。在流行的核开发工具包中,Flash占据了成功利用的80%。

思科也看到了一个新的趋势:勒索软件攻击开始利用服务器漏洞——特别是JBoss服务器。全球10%的联网JBoss服务器受到了攻击。许多用来攻击JBoss服务器的漏洞都是五年前发现的,这意味着基本的补丁修复和更新就可以轻松阻止这种攻击。

2.进化攻击方法:在2016年上半年,对手不断进化他们的攻击方法来利用防御缺乏可见性。

在过去的六个月内,Windows二进制利用逐步上升为使用最多的网络攻击方法。这种方法为攻击者在网络基础设施内部提供了一个强大的立足点,使得这些攻击更难识别和移除。

在同一时间内,通过Facebook进行社会工程的诈骗自2015年以来首次降至第二。

3.掩盖踪迹:这是对防御可见性的又一挑战,对手越来越多的使用加密的方法来掩盖他们使用各种组件进行的操作。

思科发现加密货币,安全传输协议和Tor的使用不断增加,因为这些支持在网络上匿名通信。

值得注意的是,使用在恶意广告活动中的HTTPS加密恶意软件从2015年12月到2016年3月增加了300%。加密的恶意软件能够使敌人进一步隐藏他们的网络活动,并且扩大了他们的操作时间。

防御者在努力减少漏洞,封堵可利用空间

面对复杂的攻击,有限的资源和基础设施的老化,防御者都在努力跟上他们敌人的步伐。数据显示防御者不太可能解决参差不齐的网络环境,更关键的技术是商业运作。例如:

在浏览器方面, Google Chrome采用了自动更新机制,有75%到80%的用户使用的是最新版本的浏览器,或接近最新的一个版本。

从浏览器转向软件,Java的迁移比较缓慢,有三分之一的系统仍然在运行Java SE 6,该版本已经被甲骨文淘汰了(当前版本是SE 10)。

在微软Office 2013,版本15 x中,只有10%或更少的用户的主要版本使用的是最新的服务包。

此外,思科发现他们大部分的基础设施是不受支持的,并且存在一些已知漏洞。这个问题是系统级的,存在于供应商和终端之间。具体来说,思科公司研究人员在检查了103121个思科连接到互联网的设备之后发现:

平均每台设备运行28个已知的漏洞

设备实际运行的已知漏洞时间平均为5.64年

超过9%的已知的漏洞时间为10年以上

相比之下,思科也检查了一个超过300万个基础设施安装软件的样本。大多数是Apache和OpenSSH,平均带有16个已知的漏洞,平均时间是5.05年。

对终端用户来说,浏览器更新是最轻量级的更新,而企业应用程序和服务器端基础设施是很难进行更新的,因为可能会导致业务连续性问题。从本质上讲,一个应用程序对业务操作越关键,就越不可能进行频繁更新,这就为攻击者创造了可利用空间和机会。

思科建议用一些简单的步骤来保护业务环境

思科的研究人员Talos观发现,组织机构可以采取几个简单而重要的步骤来极大地增强操作的安全性,包括:

1.改善网络环境:监控网络,部署补丁和准时升级,网络分段,采取防御措施,包括电子邮件和网络安全,下一代防火墙和下一代入侵防御系统(IPS)

2.集成防御:利用一个架构方法部署安全产品

3.自动测定时间检测:坚持最快时间发现威胁然后立即减轻危害,并促使这项指标成为组织安全策略的一部分

4.保护你的用户:不仅需要保护他们使用的系统,当他们在公司网络上工作时也要确保网络的安全

5.备份关键数据:定期测试备份数据的有效性,并确认备份数据不易被攻击

本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接

专题访谈

合作站点
stat