網絡罪犯勢力逐漸壯大,網絡安全正面臨臨界點
責編:mhshi |2017-04-11 18:19:45作者:Fortinet 首席安全戰略官? Derek Manky
網絡犯罪是門大生意,正在以指數速度蔓延。英國倫敦勞埃德保險社估計2015年的網絡犯罪的市場為4000億美元。僅僅兩年后的今天,世界經濟論壇預計目前網絡犯罪市場達3萬億美元。網絡安全風險投資公司預測:到2021年,網絡犯罪將使全球每年的市場達6萬多億美元。
網絡犯罪爆炸性增長背后的推動力之一在于網絡罪犯能夠深入互聯網某處“犯罪天堂”進行非法交易,這是大多數人從來沒有見過的地方,也不知道如何訪問。“暗網”是普通網頁瀏覽器瀏覽不到的,由匿名層進行保護,已經成為商業犯罪的天堂。
要深入了解激增的網絡威脅和在線犯罪活動,我們需要從獲取優質信息開始。今天,Fortinet 發布2016年第四季度的威脅趨勢報告。報告中的數據來自全球各地的數百萬安全設備,這些設備每天分析多達500億威脅信息。這意味著該報告中詳述的結論和趨勢是以2016年10月1日到12月31日期間發生的萬億次安全事件為基礎的。
這種威脅情報的重要性無論怎樣強調都不過分。當大多數IT安全專業人員花費大量時間查閱日志文件和安全報告時,有必要將本地威脅情報放到更大的環境中來。新的和新出現的威脅都有一些特征和可執行的IOC(IOC:indications of comprise,被利用的跡象)— 這些信息可以幫助減少威脅的影響,甚至可以阻止和/或預防威脅。如果你知道要尋找什么,總是容易發現并預防復雜的威脅。
當然,隨著網絡基礎設施的持續發展,這一過程會越變越復雜。漏洞、惡意軟件和僵尸網絡不會憑空發生,所以必須研究基礎設施發展趨勢與威脅趨勢之間的關聯方式和因果關系。網絡威脅會隨著應用、技術、配置、控制和行為的改變而不斷進化和適應。
例如,第四季度報告顯示使用SSL進行加密的流量在傳輸網絡的所有流量中占據一半以上。HTTPS流量使用是一個值得監控的重要趨勢,雖然這有助維護隱私,但卻對威脅檢測帶來挑戰,這些威脅可以隱藏在加密通信中。太多的SSL流量未經檢查,因為打開、檢查、再加密流量需要巨大的處理開銷。這就迫使IT團隊在安全防護和網絡性能之間進行選擇。
此外,我們還發現,企業及組織機構正在使用的云應用程序數量不斷上漲。企業內部運行的所有應用程序中將近三分之一基于云端。這種趨勢(又稱影子IT)對安全具有重要影響,因為IT團隊對云應用程序中駐留的數據沒有足夠的可見性,不了解數據的使用方式以及數據訪問者的身份。
雖然該報告研究大范圍的威脅和數據,但關注點在于網絡罪犯當前所利用的三種集中威脅趨勢——應用程序漏洞利用、惡意軟件、僵尸網絡。對于大多數企業來說,這些就是每天都要全力應付的具體且實際的問題。
此外, 2016年第四季度的網絡攻擊數量、發生率和強度同樣繼續呈上升。例如,安全行業在該季度遭受1-2 次沉重打擊 ,發生了史上最大規模的數據泄露和分布式拒絕服務攻擊, 其數量和影響均為之前有記錄可查的最嚴重攻擊的兩倍。
雖然這種針對性攻擊往往占據新聞頭條,但是大多數組織機構面臨的大部分威脅以及因此產生的大部分經濟損失都具有機會主義性質。
故此,最有效的安全工作仍然需要審查安全狀況和策略、最小化外部可見和可訪問的攻擊表面;方法是安裝補丁和系統強化,在網絡覆蓋范圍內構建并實施高級威脅檢測和響應措施,增強分布式網絡(包括終端、物聯網和云端)范圍內的可見性和控制能力。
以下是第四季度報告中的一些亮點摘要:
- 哦,Mirai。此次創紀錄的分布式拒絕服務攻擊利用了眾多日常聯網設備,該新聞使物聯網安全爭論達到白熱化的程度。背后源代碼的公布使Mirai僵尸網絡活動數量立刻增加了25倍,是我們觀察到的所有季度中周間漲幅最大的一次。在2016年結束之前,該僵尸網絡活動數量最終漲了5倍。我們或將看到網絡罪犯越來越多的利用未受保護的存在漏洞的IoT設備。
- 無窮盡被利用的漏洞。網絡犯罪的增長擴大了可能的攻擊足跡,每個人都可能成為潛在目標。每個組織或機構平均存在10.7個的應用程序漏洞,而10家公司中有9家檢測到重大或非常嚴重的漏洞。
- 老就是新。網絡罪犯通也會抓住大多數企業網絡的通病,“如果它沒有破,不要修理它。”這就是為什么足有86%的公司所遇到的攻擊,是通過已經存在十多年的漏洞而滲透進入的。這些公司中的幾乎40%發現這些攻擊所針對的CVE(常見漏洞和風險)第一次被確認還是在上一個世紀。
- 下一個勒索對象在哪?勒索軟件是網絡罪犯最熱衷的收入來源。我們看到的不僅有新的勒索軟件變體,還有勒索軟件即服務(RaaS)的興起。正如Fortinet在我們的2017 威脅預測報告中所解釋的,勒索軟件即服務使幾乎沒有接受過技能培訓的罪犯只要下載工具并將其指向受害者就能夠賺錢,前提是與開發者分享一部分利潤。這就是我們預測這種高價值攻擊方法將在2017年大幅增加的部分原因。除了數據贖回,我們還注意到服務贖回的上升趨勢。我們的記錄顯示36%的組織機構在第四季度檢測到與勒索軟件有關的僵尸網絡活動。雖然這種情況出現在所有地區和行業,但我們發現醫療保健機構特別普遍。
- 堪稱惡意軟件家族中的黑手黨。兩個惡意軟件系列(Nemucod 與Agent)在第四季度繼續興風作浪,在所有捕獲的惡意軟件樣本中的比例達到令人震驚的81.4%。Nemucod系列因為與勒索軟件的關系而臭名昭彰。除了這兩個頂級惡意軟件系列,第四季度惡意軟件數量上升的最大原因是Locky勒索軟件。這些都是有組織網絡犯罪團伙的產物。
- 轉向移動設備。網絡犯罪傾向于安全鏈中最薄弱的一環。大約每5家組織中就有一家報告移動惡意軟件呈上升之勢,目前在所有惡意軟件數量中的比例接近2%。我們還發現移動惡意軟件存在明顯的區域差異。例如,36%的非洲組織發現了移動惡意軟件,而歐洲的這一比例為8%。
- 僵尸網絡無處不在。我們檢測到每個組織平均存在6.7個獨特的活躍僵尸網絡系列。該比率在中東、非洲和拉丁美洲等新興地區為最高。
- 季節性活動。零售/酒店和教育行業的威脅數據顯示,這些行業的網絡威脅活動帶有季節性,尤其是第四季度。如同熊在鮭魚產卵季節聚集在河邊一樣,一年中最繁忙的購物節才是網絡罪犯最活躍的時候,因為那時候很多購物者保持在線或進行電子交易。
要了解您所在企業及組織機構的的威脅趨勢,請注意以下兩點:1)您所面臨的威脅趨勢與其他組織所面臨威脅趨勢的相似程度超過您的想象,但是2)它與其他威脅趨勢的差異也是你可能沒有想到的。了解您可以借鑒別人的哪些策略、戰術和威脅情報以及哪些可以安全地擱置一邊是非常有價值的學問,需要耐心和專業知識來培養。Fortinet網絡威脅情報可以為您提供幫助。
作為我們打擊日益增長網絡犯罪活動承諾的一部分,我們將每季度發布一次“Fortinet威脅趨勢報告”。作為全球最早的威脅研究和分析組織之一,Fortinet有很多重要的數據期待與您共享。