《思科2016年中網絡安全報告》預測新一代勒索軟件將以嶄新手法獲取最大利潤

《思科2016年中網絡安全報告》預測新一代勒索軟件將以嶄新手法獲取最大利潤

企業必須防患未然，及早斷絕所有攻擊的機會；思科領先業界的保安技術，將偵測時間進一步縮短至13小時

【2016年7月29日，香港訊】《思科2016年中網絡安全報告》發現企業並未作好準備，應對未來更複雜的勒索軟件攻擊。脆弱的網絡基建、不健全的網絡保安環境、緩慢的偵測率等網絡環境，為網絡入侵者提供了充分的時間和空間作為掩護，策動網絡攻擊。根據報告指出，企業面對的最大挑戰是如何縮窄網絡攻擊範圍以減低入侵風險，這方面亦同時威脅著數碼轉型的所需發展基礎。其他報告結果包括攻擊者的目標擴大至伺服器的層面、層出不窮的攻擊手法，以及普遍利用加密方式掩飾其惡意攻擊。

從2016年至今，勒索軟件已成為歷來入侵者獲得最多利潤的惡意程式。思科預測這個趨勢將會持續，當中更會出現破壞力驚人的勒索軟件，不僅靠自身散佈，甚至更可操控整個企業的網絡，進而向企業進行勒索。新型的模組化勒索軟件系列，能迅速切換攻擊手法，以達到更大攻擊效益。舉例來說，未來的勒索軟件攻擊能夠藉著限制中央處理器﹙CPU）的用量和利用命令操縱﹙command-and-control actions，C&C）的方式，躲避偵測並入侵系統。這些新型的勒索軟件系列，於策動勒索活動之前，已經能夠在企業網絡內迅速傳播並自行複製。

網絡和終端設備的可視性不足，仍然是主要挑戰。平均來說，企業需要花上200天時間偵測新威脅。思科的威脅偵測時間（Time to Detection (TTD）的中位數表現卓越，繼續領先業界，其中在一個直至2016年4月為止為期6個月的測試中，思科僅花約13小時便能偵測到不知名的網絡感染，速度較2015年10月同類測試中所花的17.5小時，創下更短偵測時間紀錄。更短的威脅偵測時間，是能夠限制入侵者的攻擊範圍，以及有效減低入侵後所造成的損失之關鍵。這個數字是根據來自應用於全球各地的思科保安產品，經過用戶同意下所採納的保安遙測資料。

隨著攻擊者的入侵技術不斷創新，許多企業扭盡六壬，確保公司內的設備及系統維持理想的網絡保安水平。欠缺廠商支援及甚少安裝修補程式的系統，對入侵者而言仿如囊中之物，讓他們能隨時進出系統而又不會被偵測，從容策動破壞並從中獲益。《思科2016年中網絡安全報告》指出這個困局一直影響全球，正當不少重要行業如醫療業於過往數月遭受顯著上揚的攻擊，報告結果顯示，其實全球各個行業現已成為攻擊目標。俱樂部及商業機構、慈善機構、非政府機構﹙NGOs）和電子企業都不能獨善其身，於2016年上半年都遭受攻擊的數字有增無減。從世界層面上來看，各國之間複雜的規管制度及網絡保安政策的相互牴觸，都成為地緣政治的關注。故此，在這個複雜的威脅情況下，對於涉及國際貿易環境進行控制及存取數據的需求，正面臨這方面的制約甚至衝突。

攻擊者隨時肆意策動攻擊

對攻擊者來說，在未被偵測下進行入侵的時間愈長，獲利空間就愈大。於2016年上半年間，思科指出攻擊者的收益大幅上升，原因如下：

擴大攻擊範圍：攻擊者正擴大攻擊範圍，包括重心已由入侵客戶端伸延至伺服器，並避免偵測、加劇潛在的破壞和賺取更多利潤。

Adobe Flash 漏洞繼續成為惡意廣告及攻擊工具的其中一個主要目標。在常用的Nuclear攻擊工具，80%的入侵途徑皆來自Flash。
思科亦得悉勒索軟件利用伺服器漏洞進行攻擊的新趨勢，特別於JBoss 伺服器內，其中全球10%已連接到網絡的JBoss伺服器，被發現已受感染。很多用於感染系統的JBoss漏洞在五年前已被識別，即是說基本修補程式和供應商升級已能輕易防禦這些攻擊。

不斷演變的攻擊模式：於2016年上半年間，攻擊者持續演進其攻擊手法，突顯防禦者缺乏可視性。

Windows 二元攻擊工具於過去六個月上升成為最主要的網絡攻擊手法。這個手法於網絡基建上提供一個穩固的立足點，令這些攻擊難以識別及移除。
與此同時，透過Facebook進行欺詐的社交工程由2015年的第一位跌至第二位。

掩飾痕跡：防禦者不單面對可視性的挑戰，攻擊者愈來愈常使用加密方法，掩飾他們各項入侵環節。

思科發現使用電子加密貨幣﹙cryptocurrency）﹚、傳輸層安全協議﹙Transport Layer Security）及洋蔥路由器﹙Tor）的數量不斷增加，讓用戶於網絡上進行匿名交流。
顯著的是，用於惡意廣告的HTTPS 加密惡意程式由2015年12月至2016年3月大增300%。加密惡意程式進一步令攻擊者隱藏其網絡活動和延長入侵時間。

防禦者努力減少漏洞及消除差距

面對著複雜攻擊、有限資源及基建老化，防禦者正努力跟上攻擊者的步伐。數據指出，愈是對於業務營運至為關鍵的技術，防禦者愈難透過安裝修補程式等方法來確保健康的網絡保安環境。例如：

瀏覽器方面，Google Chrome 應用自動更新，約75%至80%的用戶正使用最新版本或前一個版本的瀏覽器。
軟件方面，Java的遷移進展緩慢，三分之一的測試系統正運行Java SE 6，該版本現已逐步被Oracle淘汰﹙最新版本為SE 10）。
在Microsoft Office 2013的15x版本，10%或以下的用戶正使用最新的Service Pack 版本。

另外，思科發現用戶大部分的基建已不再享有供應商支援或維修服務，或存在已知漏洞，對供應商和終端而言是一個系統性的問題。具體來說，思科研究人員測試了103,121個連接到互聯網的思科設備，研究結果發現：

平均每個設備存在28個已知漏洞
設備存在已知漏洞平均長達5.64年
超過9%的設備存在十年前已被發現的漏洞逾十年

同時，思科調查了超過300萬個軟件基建樣本以作比較。當中大部分為Apache及OpenSSH，平均存在16個已知漏洞，並且平均已經運行了5.05年。

瀏覽器更新為終端最簡易的更新，而企業應用程式和伺服器基建相對地較難進行更新，更有機會導致業務出現持續性問題。總括而言，對業務營運愈為關鍵的應用程式，就愈疏於更新，繼而令網絡攻擊者有機可乘。

思科建議幾項簡單步驟以保護業務環境

思科Talos研究人員發現，不同機構只需採取幾個簡單而重要的步驟，即可大幅加強業務營運的保安，包括：

改善網絡健康的環境：透過監測網絡、安裝修補程式和按時升級、區間網絡、在邊緣部署防禦，如電郵和網絡保安、新一代防火牆和入侵防禦系統。
整合防禦：利用保安架構方法，而非部署單點式產品。
量度威脅偵測時間：盡量縮短偵測威脅時間，一旦發現威脅需即時應對。不斷改善企業保安政策的量度標準。
保護隨時隨地工作的用戶：不應只保護他們平常所接觸到的系統或企業網絡。
備份重要數據：除了定期檢測效能，亦確保備份數據不易受到感染。

支援引述

思科副總裁兼安全業務部首席架構師Martin Roesch表示：「在數碼轉型下，企業採用嶄新的商業模式，保安成為重要的基礎。攻擊者變得不易被偵測，且正延長入侵時間，要扼殺攻擊者的機會，客戶必須提升他們網絡的可視性及改善措施，例如修補程式和替換缺乏進階保安能力且老化的基礎。有見攻擊者繼續利用其攻擊及創造商業模式謀取利益，思科正與客戶一同合作，協助他們跟上並超越攻擊者的複雜程度、可視性和控制。」

關於報告

《思科2016年中網絡安全報告》檢視來自思科集體安全情報﹙Cisco Collective Security Intelligence）收集的最新威脅。該報告提供在2016年上半年，數據驅動的行業見解及網絡保安趨勢，連同提升保安狀況的可行建議。報告建基於廣大的數據蹤跡，量度日常收錄超過400億的遙測點。思科研究人員將見解轉化，為產品和服務提供實時保護，並即時傳遞予全球客戶。

補充資料

David Goeckeler, Steve Martino 的思科影片：思科2016年中網絡安全報告

下載思科2016年中網絡安全報告

思科博客文章：時間是關鍵：宣佈思科2016年中網絡安全報告

思科訊息圖表

思科2016年中網絡安全報告訊息圖表

關注Twitter @CiscoSecurity 上的保安議題對話

於思科保安的Facebook專頁讚好

關於思科

思科 (NASDAQ: CSCO) 為領導全球的科技供應商，自1984年起一直致力推動互聯網發展。我們的團隊、產品及合作夥伴一同協力建立安全的互聯社區，掌握明日數碼機遇。如欲了解更多有關思科的資訊，請瀏覽http://thenetwork.cisco.com並關注Twitter賬戶@Cisco。

***

Cisco及Cisco標誌是Cisco或其附屬公司在美國及部份國家的商標或註冊商標。有關思科的商標名冊，可到 http://www.cisco.com/go/trademarks 查閱。文中提到的其他商標歸各有關公司所有。文中所提及之夥伴並不指思科與其他公司之夥伴合作關係。