压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Part I: 攻擊面

惡意軟件的發展

2017年攻擊面中最重要的發展就是勒索軟件。

基于網絡的勒索軟件的出現替代了原有勒索軟件活動中的人為參與。對一些攻擊者來說，贖金并不重要，重要的是對一些系統和數據的破壞。2018年應該會有更多的勒索軟件活動。

在2018年，網絡攻擊的守護者紅隊應該做好迎接新的、能夠自我繁殖和傳播的基于網絡的威脅。

2017年，攻擊者將勒索軟件用到了一個新的境界。首先是利用自動化技術將人從中解放出來；其實攻擊者融合了蠕蟲的功能來造成大規模的破壞，讓惡意軟件更加有效。

惡意軟件的發展非常迅速。2017年5月，WannaCry出現并迅速席卷全球。它利用了黑客組織Shadow Broker2017年4月中旬泄露的微軟Windows永恒之藍（externalBlue）漏洞。WannaCry勒索軟件贖金支付的比特幣地址首次提現時金額達到了14.3萬美元。對比利用工具Angler，活動期間每年獲利約1億美元。

但是WannaCry并不會記錄加密的破壞以及受影響的用戶支付的贖金。因此，支付后收到解密密鑰的用戶數量也是未知的。WannaCry作為勒索軟件來說，效率是非常低的，因此美國政府和許多安全研究人員相信WannaCry的贖金知識為了隱藏其真實意圖的煙霧彈，該惡意軟件的真實意圖就是數據擦除。

Nyetya（NotPetya）是2017年6月出現的一款數據擦除的惡意軟件。Nyetya偽裝成勒索軟件，并使用了遠程代碼執行漏洞eternalBlue、遠程代碼執行漏洞EternalRomance和其他身份竊取單元。Nyetya是通過一個稅務軟件包更新系統進行部署的，超過80%的烏克蘭公司使用該稅務軟件，安裝了超過100萬臺設備。烏克蘭網絡警察確認烏克蘭有超過2000家公司受到Nyetya影響。

在這波自我繁殖和傳播的勒索軟件出現之前，惡意軟件是通過3種方式分發的：drive-by download, email, 惡意USB存儲設備這樣的物理媒介。這3種方法在感染設備或系統時都需要人工交互。而當自我繁殖技術被攻擊者采用后，發起基于網絡的勒索軟件活動只需要一個工作站就足夠了。

一些安全專家可能會認為蠕蟲是一種比較古老的威脅方式，比如蠕蟲的CVE數量持續減少。但自我繁殖的惡意軟件不僅是相關的威脅，而且可以攻擊整個網絡。WannaCry和Nyetya只是一個嘗試和先兆，所以防御者需要提前做好準備。

其實WannaCry和Nyetya是可以被預防的，至少造成的危害沒有如此之大。究其原因就是企業沒有應用基本的安全最佳實踐，比如漏洞補丁修復、建立適當的應急響應過程和策略、應用網絡隔離等。

安全弱點：供應鏈

Nyetya攻擊實際上也是一種供應鏈攻擊。Nyetya之所以能夠成功感染那么多設備的一個原因就是用戶沒有將自動軟件升級當做一種安全風險，甚至沒有意識到他們接收到了惡意更新包。

另一個供應鏈攻擊的例子是發生在2017年9月，攻擊者利用用來分發合法軟件包的軟件廠商下載服務器來分發CCleaner。含有木馬后門的CCleaner二進制文件用有效證書來簽名，讓用戶一個他們使用的軟件是安全的的錯覺。攻擊活動的目標是使用該軟件的大型科技公司（包括部分暗網用戶）。

供應鏈攻擊的體量和復雜性都在增加，這回影響大量的設備并對持續駐留幾個月甚至幾年。防護者應該意識到使用來自非可信廠商的軟硬件帶來的潛在安全風險。用戶在下載新軟件前要掃描確認該軟件是否含有惡意軟件。

加密的惡意web流量

迅速增加的加密web流量（包括合法的和非法的web流量）的體量讓防護者很難識別、監控出潛在的安全威脅。加密可以增加安全，但是也提供給惡意攻擊者一個隱藏C&C活動，也給了攻擊者更多的時間來運作和造成傷害。

加密惡意web流量是防御者的盲區

思科研究人員發現到2017年10月，全球web流量超過一半是加密過的。與2016年11月相比，增加了12%。驅使這一增長的一個因素是低成本和免費的SSL證書的增長。Google Chrome計劃將所有未使用加密來處理敏感信息的網站標記為不安全。企業為了滿足Google的HTTPS加密需求就必須使用加密，否則他們Google搜索的排名也能會降低很多。

隨著全球加密流量體量的增長，攻擊者開始將加密作為隱藏C2活動的工具。思科研究人員發現在過去的12個月里，惡意軟件樣本使用加密網絡通信的數量增加了3倍。對超過40萬的惡意軟件二進制文件進行分析發現，2017年10月有超過70%的比例使用了加密。

使用機器學習和人工智能技術

為了克服加密流量缺乏可見性的問題，研究發現越來越多的企業開始使用機器學習和人工智能技術。這些高級技術可以增強網絡的安全防御能力，隨著時間的推移能夠學習如何自動檢測web流量中的不正常模式。

機器學習來自動檢測known-known威脅上是非常有效的。而其真正的價值在于監控加密的web流量，并檢測known-unknown威脅和unknown-unknown威脅。機器學習技術可以在大量的加密web流量中進行學習，識別出不正常的模式，并自動向安全團隊發出告警消息。

在之前的研究（Cisco 2018 Security Capabilities Benchmark Study）中發現，缺乏有經驗的人員是企業中增強安全防御能力的一大障礙。而機器學習和人工智能這樣自動化和智能化的工具可以幫助防御者克服技能和資源的差距，讓其可以更有效、更好地識別和響應已知和新出現的威脅。

郵件威脅

無論威脅場景如何變化，惡意郵件和垃圾郵件仍然是攻擊者用來分發惡意軟件的重要工具，因為這可以讓惡意軟件直達終端。

垃圾郵件僵尸網絡的活動震蕩會影響整個體量

2016年底，研究人員發現垃圾郵件活動有明顯增長而利用工具活動有明顯的減少。當Angler這樣的利用工具突然從市場上消失，許多這些工具的使用者會轉向郵件來確保他們的利潤。從圖中，我們可以看出在突然增長后，2017年上半年全球垃圾郵件數量有所回落，隨后持平，然后2017年5月底6月初，全球垃圾郵件數量有所下降，而8月份又有所回升。

2017年1月到4月垃圾郵件體量減少，同時監測到垃圾郵件僵尸網絡活動減少，如圖9。

垃圾郵件中的惡意文件擴展：top10

研究人員分析了2017年1月到9月的郵件記錄，找出了惡意軟件家族常用的惡意文件擴展類型。

通過對惡意文件擴展的分析，研究人員發現即時在當今復雜和熟練的威脅環境下，郵件仍然是惡意軟件分發的重要渠道。對企業來說，防御策略的基準包括：
應用有力的和綜合的郵件安全防護工具和策略；
對員工進行釣魚郵件和垃圾郵件中的鏈接和惡意附件威脅的教育。

社會工程仍是郵件攻擊的重要平臺

釣魚和魚叉式釣魚攻擊是竊取用戶憑證和其他敏感信息的重要和有效的策略。事實上，釣魚和魚叉式釣魚郵件是近年來重大數據泄露事件的根本原因之一。2017年的例子有針對Gmail用戶和愛爾蘭能源系統的攻擊事件。研究人員分析了用戶提交的可能的釣魚郵件，下圖是2017年1~10月釣魚URL和釣魚域名的數量。從中可以看出釣魚URL和域名的流行性。

TLD(Top level domains)已知釣魚網站的頂級域名分析

通過分析2017年1月到8月發現的釣魚網站，一共有326個活躍的TLD，包括.com, .org, .top等。使用不知名的TLD對攻擊者來說是非常有利的，這些域名價格一般都比較便宜，而且隱私保護的價格也不高。

防御者應該注意監控老過時的威脅

2017年，每個月有上萬起釣魚攻擊報告給不同國家、地區的反釣魚威脅情報機構。從中我們發現，攻擊者常用來進行釣魚攻擊的技巧和攻擊有：

• Domain squatting相似域名偽造，比如cisc0.com這樣的域名。
• Domain shadowing域名隱藏，隱藏在合法域名下的子域名，如badstuff.cisco.com。
• 惡意注冊的域名，專門用來進行惡意行為的域名，如viqpbe.top。
• URL縮短：惡意域名用URL縮短技術進行偽造，如bitly.com/random-string.
  注：bitly.com是攻擊者最常用的URL縮短工具。惡意的短域名大約占了研究中發現的釣魚站點的2%，2017年8月惡意短域名的數量達到了3.1%。
• Subdomain services子域名服務。在子域名服務器上創建的站點，形如mybadpage.000webhost.com。

攻擊者在釣魚和魚叉式釣魚攻擊中持續改進社會工程的方法，誘使用戶點擊惡意鏈接或訪問欺詐的web頁面，并提供給攻擊者身份憑證等高價值的信息。在應對這些威脅時，用戶培訓、審計、郵件安全技術的應用等都是非常重要的策略。

沙箱逃逸技術

惡意軟件作者在防御者的沙箱中玩游戲

2017年9月，研究人員發現大量的惡意payload在文件關閉后分發的惡意樣本。在本例中，惡意軟件是被document_close事件觸發的。在大多數情況下，文檔在沙箱中打開和分析后是不關閉的，因此可以躲避檢測。而在現實情況中，當接收者打開附件之后關閉文檔，惡意payload就已經開始傳播了。惡意軟件使用這項技術就可以躲過沙箱檢測。

Document_close事件是一個非常聰明的選擇，因為它利用了office內置的宏函數，而且用戶會打開那些看起來和他們相關的文檔。當用戶意識到該文檔與他們沒有關系時，就會關閉文檔，此時就觸發了惡意軟件所隱藏的宏。

另外一種躲避沙箱檢測的技術是偽裝惡意payload存在的文件類型。如下圖所示，2017年5月我們注意到許多嵌入Pdf文檔的惡意word文件攻擊類型。該文件沙箱繞過的方式可能是因為沙箱只打開和檢測pdf文件，而不會打開和分析嵌入其中的word文件。Pdf文件中的內容會誘使用戶點擊和打開word文檔，隨之觸發惡意行為。

思科研究人員建議用戶使用含有內容檢測特征的沙箱來確保惡意軟件不使用上面提到的技術來繞過沙箱檢測。

濫用云服務和其他合法的資源

隨著應用、數據和身份信息都遷徙到云上，安全團隊必須要管理對失去傳統網絡邊界的風險。攻擊者也在利用這個機會來進行攻擊，還有一個原因就是不清楚誰應該負責保護這些邊界環境，比如云環境和物聯網環境。

惡意使用合法資源作為后門C&C

當攻擊者用合法資源作C&C時，安全團隊就很難檢測到惡意網絡流量，因為模仿了合法網絡流量的行為。下圖是思科與Anomali研究人員一起整理的過去幾年被攻擊者用作惡意后門C&C的合法服務的種類。

根據Anomali的研究，APT組織和有國家背景的黑客組織是第一波將合法服務用作C2的，目前該技術已被廣泛采納。攻擊者使用合法服務用作C2的原因是，非常容易就可以：

• 注冊新賬戶；
• 搭建公網可以訪問的網頁；
• 對C2協議進行加密；
• 減少對攻擊者基礎設施的影響；
• 減少整體費用，并改善投入產出比。

對防御者來說，攻擊者使用合法服務作為C2有一些明顯的挑戰：

• 合法服務很難攔截。比如，企業或者組織不可能攔截Google, Twitter這樣的合法網絡服務。
• 合法服務通常是加密的，很難監測。SSL解密的代價非常大，企業級的SSL解密基本是不可能實現的。當惡意軟件將通訊隱藏在加密流量中，那么安全團隊就很難檢測地到。

使用合法的服務改變域名和證書情報，并使屬性復雜

攻擊者并不需要注冊域名，因為合法服務的賬號就是最初的C2地址。攻擊者也不會繼續為C2方案注冊SSL證書或自簽名的SSL證書。

從資源中提取最佳的價值

1/5的惡意域名快速被使用

攻擊者可能會在域名注冊幾天、幾個月、幾年后等待一個合適的時間去使用。研究人員發現大約只有20%的域名在注冊后1周內就被使用了。

許多域名是與惡意活動相關的

分析發現大約60%的惡意域名是與垃圾郵件活動相關的。大約1/5的域名是與惡意廣告活動相關的。惡意廣告已經成為將用戶導向利用工具的必要攻擊，比如分發勒索軟件的利用工具。

創建惡意廣告行動的域名相關的技術包括domain shadowing。在這些技術中，攻擊者竊取合法的域名賬戶憑證來創建導向惡意服務器的子域名。另一個技術是使用免費的、動態的DNS服務來生成惡意的域名和子域名。這樣攻擊者就可以從持續改變的主機IP地址分發惡意payload。

域名重復使用基礎設施資源

樣本中的惡意RLD會重用基礎設施資源，比如注冊者的郵箱地址、IP地址、ASN(autonomous system numbers)、和name server。比如，一個IP地址可以多個域名共用。所以攻擊者可能會決定在IP和域名上進行投入，而不是選擇服務器，因為服務器的成本更高一些。

RLD資源的復用也可以給我們一些關于惡意域名的線索。比如，注冊者郵箱或IP地址的復用經常出現，這種復用的模式可能就是惡意行為。防護者非常自信能夠攔截這些域名，因為這樣可能不會對商業活動產生負面的影響。

內部威脅：利用云服務

在之前的安全報告中，我們討論了決定誰可以進入網絡，如何訪問數據的OAuth權限和超級權限的價值。為了研究用戶活動對安全的影響，研究人員利用機器學習算法對34個國家的15萬使用云服務的用戶進行了畫像。該算法考慮的因素有下載文件的量、下載的時間、IP地址、位置等因素。

研究結果表明，在1個半月的時間里0.5%的用戶存在可以下載行為。雖然用戶數量不多，但是從公司云系統中下載了390萬份文件，也就是說平均每1.5個月就有5200份文件下載。而下載的時間中，62%是在正常工作時間之外的，40%發生在周末。

研究人員對這390萬份可疑文檔進行了基于文本的分析，發現關鍵詞主要是數據，而文檔類型中，34%是PDF文檔，31%是office文檔。

IOT和DDOS攻擊

很少有企業把IOT僵尸網絡看做即將來臨的威脅，但他們應該這么考慮

隨著IOT和IOT僵尸網絡的擴張和發展，僵尸網絡也在逐漸的成長和成熟，攻擊者逐漸使用IOT僵尸網絡來發起DDOS攻擊。調查發現只有13%的企業認為IOT僵尸網絡會成為2018年企業經營的主要威脅。

因為企業和用戶對廉價IOT設備的使用越來越多，而這些廉價的IOT設備缺乏最基本的安全保護，因此IOT僵尸正在茁壯成長。因為大多數IOT設備是基于Linux和Unix系統的，因此IOT設備是ELF二進制文件的攻擊目標。而且控制這樣的設備要比控制PC要容易的多，也就是說攻擊者很容易就可以建立一個僵尸網絡。

而且IOT設備是24小時運行的，隨時可以被攻擊者調用。當攻擊者增加了IOT僵尸網絡的規模后，就會使用更復雜的代碼和惡意軟件來發起更高級的DDOS攻擊。

應用DDOS取代網絡DDOS

攻擊的趨勢已經變成了應用層攻擊逐漸增加而網絡層攻擊逐漸減少。Redware的研究人員認為這一趨勢可能與IOT僵尸網絡的發展有關。因為應用層與其他層不同，有許多不同的設備，也就是說對應用層的攻擊可以使網絡大部分癱瘓。而且網絡層中可以利用的空間越來越小，但是應用層還是一片處女地。與PC僵尸網絡相比，IOT僵尸網絡并不是資源密集型的，因此攻擊者可以投入更多的資源開發更高級的代碼和惡意軟件。

Burst attack突發攻擊的復雜性、頻率和持續時間都增加了

Radware研究人員發現2017年最明顯的DDOS攻擊趨勢就是short-burst攻擊的增多，而且short-burst攻擊的復雜性、頻率和持久性都增加了。調查中有42%的受訪者在2017年經歷了short-burst攻擊。

反射放大攻擊增多

2017年DDOS攻擊的另一個趨勢是反射放大攻擊。40%的受訪者在2017年經歷了反射放大攻擊，其中1/3的企業無法應對此類攻擊。

反射放大攻擊中，攻擊者用合法的第三方組件來發送攻擊流量到攻擊目標，借以隱藏攻擊者的真實身份。攻擊者首先將反射服務器的源IP地址設置為目標攻擊用戶的IP，隨后將攻擊包發送到反射服務器上。這會間接地用響應包淹沒攻擊目標，耗盡目標可利用的資源。

為了成功地發起反射放大攻擊，攻擊者的帶寬容量要比目標的大。反射服務器要反射一臺或多臺第三方設備的流量。

DNS放大反射攻擊

這種DOS攻擊利用DNS的行為來放大攻擊。標準的DNS請求是比DNS reply小。在DNS放大反射攻擊中，攻擊者故意選擇DNS請求使DNS reply的長度達到DNS請求的80倍。攻擊者用僵尸網絡發送DNS查詢到第三方的DNS服務器，并將源IP地址設置為目標用戶的IP地址。第三方的DNS服務器就就會發送響應到目標的IP地址。利用這種攻擊方式，一個相對較小的僵尸網絡可以將大量的響應洪泛到目標設備。

NTP反射

這種放大攻擊利用了NTP服務器來放大攻擊，用UDP流量耗盡防護者資源。NTP是用來在計算機系統和包分發系統中進行時鐘同步的網絡協議。目前桌面系統、服務器、甚至手機設備都運用該協議進行時鐘同步。許多老版本的NTP服務器有一個monlist命令，可以發送給查詢者一個連接到查詢服務器的最多600個主機的列表。攻擊者可以重復地發送get monilist請求到隨機的NTP服務器，并將請求服務器的源IP地址設備為目標服務器。NTP服務器響應會被指向目標服務器，引發源端口123的UDP流量激增。

SSDP反射

SSDP反射攻擊利用SSDP（simple service discovery protocol）協議，SSDP協議是UPnP設備用來廣播自身存在的協議。該協議還可以用來發現和控制網絡設備和服務，比如攝像頭、網絡打印機和其他類型的電子設備。

當UPnP設備連接到網絡并獲得IP地址后，設備就可以通過發送多播IP消息來向網絡中的其他計算機廣播它的服務。當計算機獲得該設備的發現消息，就會請求該設備服務的詳細描述。該UPnP設備直接向計算機響應該設備提供服務的完整列表。
在NTP和DNS放大DDOS攻擊中，攻擊者都可以用一個小的僵尸網絡來查詢最后的請求。而攻擊者可以將源IP地址設定為目標用戶的IP地址，讓響應消息直接到達攻擊目標。

防護者必須修復泄露路徑leak path

思科研究人員對leak path做了如下定義，企業網絡和互聯網之間創建的策略、分段違反、未授權或者錯誤配置的連接，這些連接允許流量被轉發到網絡上的其他位置，比如惡意站點。這些意外的連接也可能在內部的兩個隔離的分段網絡中出現。Leak path也可能來源于不合理配置的路由器和交換機。

沒有正確設定設備的權限的設備或沒有管理的設備都易受到攻擊。與影子IT相關的設備和網絡都易建立leak path，因為這種設備一般都是無人管理或沒有人負責維護補丁的。Lumeta的研究預測大約有40%的動態網絡、終端和云基礎設施是明顯的基礎設備盲點（缺乏檢測和監測），缺乏安全團隊的實時監測。

檢測已存在的leak path是非常重要的，因為這些leak path可以隨時被利用。新創建的leak path在實時檢測上也是很重要的，因為這些是即時的IOC而且與最高級的攻擊相關聯。

Lumeta的研究人員發現leak path的數量在不斷增長，尤其是在云環境中，因為云環境中的網絡可見性和可控性都降低了。許多惡意攻擊者在發現或創建了leak path后是不會馬上使用的。他們會用這些leak path來安裝惡意軟件、安全勒索軟件、竊取信息等。一些攻擊者還會使用加密、混淆等技術啊來避免被檢測到。

工業控制系統漏洞使重要基礎設施處于風險之中

工業控制系統是制造業和過程控制系統的心臟。ICS連接到其他電子控制系統的一部分創建了一個高度互聯的生態系統，而其中許多的設備都是有漏洞的，這也正是攻擊者的最愛。想要攻擊ICS的威脅單元最喜歡創建后門中心點用于之后的攻擊。

攻擊目標：大型國際水處理和廢水處理公司

攻擊者利用該公司的DMZ服務器作為中轉點來黑進內部網絡中。安全運維團隊收到了來自網絡DMZ中嵌入的欺騙安全技術的告警。這種物理或者邏輯上的子網橋接了不可信網絡與內部網絡。調查發現：

• DMZ服務器因為一個允許RDP連接的錯誤配置導致被攻破。
• 服務器被多個IP地址攻破和控制，連接指向了與該廠敵對的政治活動黑客。
• 攻擊者能夠從被攻破的內部網絡發起針對該公司的多個工廠的攻擊。

攻擊目標：電廠

電廠的重要資產包括大量的ICS基礎設施和必要的SCADA組件來管理和運行相應的過程。工廠是重要的國家基礎設施，并受到國家安全機關的監管。因此，可被看做是高度安全的。

安全運維團隊在收到系統被入侵的告警信息后，馬上進行了調查，調查結果顯示：

• 過程控制網絡中的設備嘗試與蜜罐中的偽裝為PLM控制器的設備進行通信。這是嘗試對網絡中的每個PLM控制器進行了解和映射的行為。
• 被黑的設備正常情況下應該關閉，但是進行維護的廠商在維護結束后沒有關閉連接。巡視讓過程控制網絡暴漏在攻擊者面前。
• 攻擊者收集的信息正是破壞工廠活動和對運行的工廠造成巨大破壞所需要的。

建議

許多的ICS入侵事件都是從企業IT網絡中有漏洞的服務器和計算資源被黑開始的。TrapX的研究人員建議遵循下面的流程來減少風險，并確保操作的完整性。

• 檢查嘗試和系統是否及時更新所有的補丁。
• 減少UBS和DVD設備的使用。
• 隔離ICS系統和IT網絡，禁止兩者之間任意形式的直連。
• 嚴格限制ICS網絡除必要操作之外的使用。
• 清楚生產網絡中的所有記住密碼和默認密碼，盡量使用雙因子認證。
• 建立重大網絡攻擊后的災備方案。

漏洞和補丁

2017年主流的漏洞包括緩沖區溢出和Apache struts

2017年，雖然緩沖區溢出錯誤漏洞有所減少，但仍是CWE漏洞中最多的，輸入有效性漏洞也增加了。

IOT和庫的漏洞增加

2016年10月到2017年9月間，研究人員在非思科的產品中一共發現224種新漏洞，其中40個是與第三方軟件庫有關的，74個與IOT設備相關。

大量第三方庫的漏洞說明我們需要深入研究第三方解決方案中的安全問題。防護者也應該假設第三方軟件庫可以被攻擊者利用；確保運行的軟件是最新版本或者沒有發現CVE漏洞是不夠的。安全團隊應該經常檢查補丁更新情況，并檢查第三方廠商的安全實踐情況。團隊可以要求廠商提供安全開發流程描述。

IOT設備的補丁更新很慢，甚至沒有補丁

Qualys研究了IOT設備的補丁更新趨勢，研究的設備包括智能門鎖、火警報警器面板、讀卡器和網絡HVAC系統。研究人員一共檢測了7328臺設備，只有1206個設備修復了漏洞，也就是說還有83%的設備存在重要漏洞。雖然這些威脅單元沒有攻擊這些漏洞，但是企業就處于潛在的攻擊之中了。

最常見的漏洞是嚴重性低但是高風險的

企業經常會將低危漏洞置之不理多年，因為企業甚至不知道這些漏洞的存在或不把這些認為是重要的危險。因此，這些低危但是高風險的漏洞提供給攻擊者入侵系統的路。

TCP時間戳請求開啟

TCP時間戳提供了設備運行時間的信息，攻擊者可以從中了解到那種類型的漏洞可能存在。軟件程序也可能會利用系統時間錯來生成隨機數生成器來創建加密密鑰。

TCP重設

遠程攻擊者可以通過重復注入TCP RST包來猜測序列號，并發起針對永久TCP連接的DOS攻擊，尤其是BGP這種使用long-lived連接的協議。

BEAST攻擊

攻擊者可以利用Browser exploit against SSL/TLS(BEAST)漏洞來發起MIMT攻擊，讀取不同部分之間交換的受保護的內容。
上面提到的低危漏洞也不容易修復，因為許多漏洞是因為配置錯誤或安全證書問題。企業修復低危漏洞可以預防風險，而且應該基于如何發現該漏洞去找出修復的優先級，而不是根據第三方的評級。

Part 2 防護者

攻擊的代價

害怕系統被入侵的恐懼來源于攻擊背后的經濟損失，而這不是一個假設的數字。系統入侵會對企業帶來直接的經濟損失，帶來的損失和破壞可能需要幾個月甚至幾年去恢復。

挑戰和障礙

安全團隊在保護企業時，會面臨很多的障礙。企業必須保護一些領域和功能，這就增加了安全的挑戰。其中，最具挑戰的領域和功能保護手機設備、共有云數據、用戶行為等。

安全專家的預算、可操作性和人員是管理安全的主要限制。缺乏有經驗的人員也是采用先進安全過程和技術的挑戰。2017年的數據統計中，27%認為缺乏人才是障礙之一，而2016和2015年的數據分別是25%和22%。

廠商帶來的復雜性

因為防護者應用了不同的安全產品，這些產品來自不同的廠商。這種產品帶來的復雜性對企業預防攻擊的能力有一定的影響。2017年，有25%的安全專家說他們使用了11到20種廠商的產品，而2016年的數據是18%；有16%企業使用了21~50個廠商的產品，2016年的數據為7%。

隨著廠商數量的增多，也帶來了一些挑戰。54%的安全專家說處理這些產品的告警消息有時候是很有困難的，有20%的專家說非常有挑戰性。

因為告警消息太多，導致沒有精力調查所有的告警消息，一些真實的告警消息就被錯過了。根據統計的數據，每天平均有44%的告警消息得不到調查；而經過調查的告警消息中，只有34%是真實的；這些真實的告警消息中，只有51%的被修復了，也就是有49%的真實告警沒有被修復。一個重要原因就是缺乏有經驗的人員來調查這些告警消息。

影響：入侵事件的公共監督

即使企業努力為滿足未來安全挑戰做了很多的準備，安全專家預測企業還是會成為需要公眾監督的入侵事件的受害者。55%的受訪者說在過去一年里，他們所在的企業必須處理入侵帶來的公共監督。

在負責的安全環境中，企業好像能更好地處理入侵事件。使用1到5個廠商安全產品的企業中，有28%說他們必須在入侵事件后處理公共監督事件；在使用超過50種安全產品的企業中，這個數字上升到80%。

集成框架的價值

當使用的安全產品變多以后，如何處理管理復雜的安全環境呢？best of breed方法就是安全團隊對每種安全需求選擇最佳的安全方案，安全專家也認為這是最佳性價比的。

與集成安全方案相比，72%的安全專家選擇best of breed的安全方案。在使用best of breed方案的企業中，57%認為追求性價比是主要原因。采用集成方案的企業中56%認為集成方案的性價比更高，47%認為容易實施。

服務：解決人、策略和技術的問題

面臨潛在的損失和對系統的惡意影響，企業單單依賴技術來防御已經不行了。也就是說需要尋找其他的機會來改善安全，比如用策略和培訓用戶。如果企業單獨使用技術來修復安全漏洞，在模擬攻擊者只能解決26%的安全問題。如果企業單獨使用策略來解決安全問題，只能解決10%的安全問題；利用培訓只能解決4%的安全問題。

期望：投資技術和培訓

安全專家認為，企業面臨的安全威脅仍然是復雜和富有挑戰的。攻擊者會開發更加復雜和更具破壞性的方式來入侵網絡。隨著威脅的增加，許多安全專家認為他們會處于更多的監督之下，包括政府監管、股東、管理層、合作伙伴和客戶。為了減少風險和損失的可能性，防護者必須決定將有限的資源投資到哪些地方。安全專家說安全預算仍然很緊張，除非有大的安全事件使管理層重新考慮安全問題。

大多數的安全團隊負責人說所在公司的安全預算是根據上一年的預算決定的，而且話費的比例適當。在規劃預算時，企業一般會從綜合安全方案的愿望清單中選擇。當預算下達時，會根據新漏洞的出現、系統入侵事件、第三方的風險評估報告等改變具體的支出。影響未來預算的主要因素是入侵事件。。。

結論

在當今的威脅場景中，攻擊者在攻擊中熟練地避免被檢測到。攻擊者使用更加高效的工具和聰明的技術來隱藏惡意活動并逐漸破壞傳統的安全技術。并不斷更新使用的技術來使惡意軟件保持新鮮和有效。

防護者可以看到的一個明顯數據就是陡增的潛在惡意流量，同時增加的還有整體的惡意軟件的量。惡意軟件量的變化趨勢對防護者的TTD（time to detection）有一定的影響。TTD是企業理解在來自惡意軟件的持續攻擊的壓力下安全防護措施執行情況的重要度量?；谠频陌踩夹g的使用是使思科TTD中位數在較低水平的關鍵因素。云可以在整體安全事件和攻擊終端的惡意軟件持續增長的情況下，幫助度量和維持性能。

cisco原版報告下載：https://www.cisco.com/c/dam/m/digital/elq-cmcglobal/witb/acr2018/acr2018final.pdf