据外媒 7 月 20 日报道,思科( Cisco )根据长期积累的研究成果最新发布《 2017 年中网络安全报告 》,指出全球行业安全状况有所改善,网络威胁变化与复杂程度有增无减。据称,其改善主要体现在检测时间。2015 年 11 月检测时间长达 39 小时,2016 年 11 月至 2017 年 5 月检测时间已缩短至 3.5 小时。
从另一个角度看,科技发展创造了一个日益增长、亟待维护的威胁局面,但 IT 动态环境可见度的缺乏、影子 IT 带来的风险、安全警报此起彼伏、IT 安全环境的复杂程度致使资源匮乏的安全团队不得不与当下强劲多变的网络威胁奋力搏杀。
该报告不仅分析了现有威胁,还针对不断演变的攻击手段进行点评,对愈发冷酷无情的敌对势力做出两种令人堪忧的预测。第一种预测是针对 IoT 设备开展的大规模 DDoS 攻击的滞后行为不容乐观。物联网僵尸网络活动表明,部分操作人员正为大范围、高冲击力的攻击活动做着准备,此举可能危及互联网自身。第二种预测是采取锁定系统、销毁部分数据行径的勒索软件正逐步演变为 “ 破坏服务 ”( DeOS )威胁。
思科指出,对于攻击者的经济价值来说,勒索软件的杀伤力远低于针对企业电子邮件入侵( BEC )。BEC 的诈骗目标主要为可能已采取成熟威胁防御与防诈措施的大型组织机构。然而,BEC 邮件不包含恶意软件或可疑链接,可以绕过最为复杂的威胁防御工具展开攻击活动,因此成功率较高。目前,思科还强调了恶意软件发展的五大趋势。
第一种趋势:攻击者正通过需要用户采取某种积极行动的分发系统展开攻击,例如受密码保护的恶意文档(电子邮件正文提供密码)在沙箱环境不显示任何恶意证据,正常转发至其他用户群体。
第二种趋势:勒索软件开发人员通过利用开放源代码库(如 Hidden Tear 与 EDA2 )以教育目的为由快速、便捷、廉价地公开发布勒索软件源代码。
第三种趋势:Satan 等勒索软件即服务( RaaS )平台的持续增长为那些期待无需写代码即可发动攻击的懒人提供便利。
第四种趋势:无文件或内存驻留恶意软件日益盛行。这种做法完全依赖 PowerShell 或 WMI 在内存中运行恶意软件,无需在文件系统或注册表中写入任何代码,除非攻击者想要将持久机制放置于适当位置。由于硬盘上没有恶意软件,因此可以有效规避检测。
第五种趋势:攻击者更多地依赖匿名与中心化基础设施为命令与控制造成混淆,例如 Tor2web。
另外,使用漏洞工具包传送恶意软件的情况正在减少,垃圾邮件数量攀升,尤其是包含宏负载恶意文件的垃圾邮件,因为此类垃圾邮件需要用户交互才能感染系统并提供有效负载。