思科發布年中安全報告 闡述日益變化威脅環境中的脆弱環節
攻擊範圍擴大使攻擊者能夠乘機進攻已知弱點包含低風險目標及易被忽略的傳統應用程式和基礎設施
【2014年8月25日,台灣訊】思科最新發表的2014年思科年中安全報告(Cisco 2014 Midyear Security Report)指出組織中「脆弱環節(weak links)」的存在,會導致動態安全威脅不斷攀升。這些脆弱環節可以是過時的軟體、錯誤的程式、丟棄的數位資產或用戶錯誤,都讓攻擊者得以利用包括DNS查詢、漏洞攻擊包、放大攻擊、端點銷售系統(point-of-sale, POS)入侵、惡意廣告、勒索軟體、加密協定滲透、社交工程及發送「生活事件」垃圾郵件等手法考驗系統的脆弱性。
報告中也指出,僅專注於明顯的弱點,卻忽略具高影響力並常見的隱形威脅,反而會讓組織蒙受更大的風險。例如當安全團隊專注於Heartbleed等顯著的攻擊目標時,不明顯且帶有已知弱點的傳統應用程式與基礎設施容易遭受忽略,因此惡意攻擊者可以輕易對這類目標發動攻擊,輕鬆躲過安全機制的偵測。
重要發現
研究人員深入檢視16家大型跨國組織。截至2013年,這些組織的資產總額高達4兆美元,營收超過3千億美元。分析結果發現,導致企業成為惡意攻擊目標包括下述三大安全原因:
「瀏覽器中間人(Man-in-the-Browser, MiTB)」攻擊對企業造成威脅:2014年,受觀察的客戶網路中,有將近94%曾瀏覽過含有惡意軟體的網站。特別是某些向主機送出DNS要求後、被DNS主機解析完後的IP地址,指出可能與傳輸含有「瀏覽器中間人(MiTB)」功能的Palevo、SpyEye及Zeus等惡意軟體家族有關。
殭屍網路捉迷藏:將近70%網路會對動態DNS網域送出DNS查詢,明確指出網路中存在不當使用,或遭到殭屍網路利用動態DNS隱藏其真實的 IP位址,藉以躲避偵測及黑名單攔截。少數由企業發出合法對外連結,除了會回應外部C&C,也會尋找動態DNS網域,以掩護殭屍網路的位置。
加密竊取的資料:在2014年中,有將近44%受觀察的客戶網路為特定的網址或網域發出的DNS解析,這些網址或網域和提供加密服務的裝置相關,惡意攻擊者可利用加密管道偷渡資料並躲避偵測,加密管道如VPN、SSH、SFTP、FTP及FTPS。
根據Cisco® 安全研究人員調查,自從據稱造成大規模危害的「黑洞漏洞攻擊包」發明者於去年落網後,漏洞攻擊包的數量減少了 87%。2014年上半年觀察到的多種漏洞攻擊包,雖然試圖達到黑洞漏洞攻擊包的地位,但尚未有明確的重大新威脅角色出現。
Java仍疑似是惡意攻擊者最常利用的程式語言。依據2014年思科年度安全報告,思科安全研究人員發現截至2014年5月,Java攻擊案件在所有感染指標(indicators of compromise, IOCs)中,增加至 93%,是繼2013年11月IOCs指標達91%後的新高。
特定產業中惡意軟體異常暴增。2014年上半年,製藥與化學等高利潤產業,再度成為最易遭受網路惡意軟體攻擊的特定產業排行榜前三名。媒體出版業則以相當於中位數的4倍,名列遭受網路惡意軟體攻擊量第一名,而航空業則為第三,為中位數的2倍。依區域劃分,最易受到攻擊的產業分別是美洲的媒體出版業,非洲、歐洲及中東的餐飲業,和亞太、中國、日本及印度的保險業。
關於報告
2014年思科年中安全報告是思科集體安全情資(Collective Security Intelligence, CSI)生態系統裡的安全研究專家,針對2014年上半年的威脅情資與網路安全趨勢進行的研究結果。思科CSI被多種安全解決方案所採用,並提供領先業界的安全防護與效率。除了精通威脅研究的專業人員之外,CSI的構成要素還包括情資基礎設施、產品與遙測服務,並廣納官方、民間及開放社群的意見。
思科 CSI生態系統包括日前加入的Talos威脅情資與研究集團,結合原思科威脅研究與傳播團隊(Cisco Threat Research and Communications, TRAC)、Sourcefire弱點研究團隊(Sourcefire Vulnerability Research Team, VRT)及思科安全應用程式(Cisco Security Applications, SecApps)事業體。Talos的專業領域橫跨軟體開發、逆向工程、弱點分流、惡意軟體調查與情資收集,並負責維護Snort.org、ClamAV、SenderBase.org和SpamCop的官方防護規則。
支援引述
思科資深副總裁暨首席安全長John N. Stewart指出:「許多企業正在運用網際網路的力量開創未來。要在這個快速興起的領域中搶得一席之地,管理階層在業務層級上,千萬不能忽略網路相關風險的掌握與管理。對於安全鏈中的弱點分析和瞭解,主要取決於個別組織與產業的最高層級,包括董事會,是否能夠意識到網路威脅的嚴重性,將網路安全視為企業程序,而不僅是技術問題而已。要涵蓋整個攻擊時程,也就是攻擊前、中、後,現今的組織應具備在威脅一顯露,便於予攔截的安全解決方案。」
輔助資料
思科年中安全報告全文請見:http://www.cisco.com/go/msr2014
影片:John N. Stewart 發表年中安全報告五大重點:https://www.youtube.com/watch?v=CRDtd6MVqdU
於Twitter關注 @CiscoSecurity參與安全問題討論。也歡迎您至Facebook 思科安全專頁http://facebook.com/ciscosecurity按讚
閱讀思科部落格
【關於Cisco】
思科(NASDAQ: CSCO)為世界著名的網路產品供應商,致力改變人們聯繫、溝通及協作的模式。有關思科更多資料,請瀏覽www.cisco.com。有關最新資料,請瀏覽http://newsroom.cisco.com。
Cisco及Cisco標誌是Cisco或其附屬公司在美國及其他國家的註冊商標。有關思科的商標名冊,可到 www.cisco.com/go/trademarks查閱。文中提到的其他商標歸各有關公司所有。文中所提及之夥伴並不指思科與其他公司之夥伴合作關係。
Originally Posted at: https://apjc.thecisconetwork.com/site/content/lang/tw/id/4031
CONNECT WITH CISCO
LET US HELP
Call us: 1.800.553.6387 - Ext 118
US/Can | 5am-5pm Pacific Other Countries