思科年中安全報(bào)告闡述日益變化威脅環(huán)境中的脆弱環(huán)節(jié)

• 攻擊范圍擴(kuò)大使攻擊者能夠乘機(jī)進(jìn)攻已知弱點(diǎn)
• 包含低風(fēng)險(xiǎn)目標(biāo)及易被忽略的傳統(tǒng)應(yīng)用程式和基礎(chǔ)設(shè)施

　　CTI論壇（ctiforum）8月26日消息（記者 李文杰）：思科最新發(fā)表的2014年思科年中安全報(bào)告（Cisco 2014 Midyear Security Report）指出組織中「脆弱環(huán)節(jié)（weak links）」的存在，會(huì)導(dǎo)致動(dòng)態(tài)安全威脅不斷攀升。這些脆弱環(huán)節(jié)可以是過時(shí)的軟件、錯(cuò)誤的程式、丟棄的數(shù)位資產(chǎn)或用戶錯(cuò)誤，都讓攻擊者得以利用包括DNS查詢、漏洞攻擊包、放大攻擊、端點(diǎn)銷售系統(tǒng)（point-of-sale, POS）入侵、惡意廣告、勒索軟件、加密協(xié)定滲透、社交工程及發(fā)送「生活事件」垃圾郵件等手法考驗(yàn)系統(tǒng)的脆弱性。

　　報(bào)告中也指出，僅專注于明顯的弱點(diǎn)，卻忽略具高影響力并常見的隱形威脅，反而會(huì)讓組織蒙受更大的風(fēng)險(xiǎn)。例如當(dāng)安全團(tuán)隊(duì)專注于Heartbleed等顯著的攻擊目標(biāo)時(shí)，不明顯且?guī)в幸阎�弱點(diǎn)的傳統(tǒng)應(yīng)用程式與基礎(chǔ)設(shè)施容易遭受忽略，因此惡意攻擊者可以輕易對這類目標(biāo)發(fā)動(dòng)攻擊，輕松躲過安全機(jī)制的偵測。

　　重要發(fā)現(xiàn)

　　研究人員深入檢視16家大型跨國組織。截至2013年，這些組織的資產(chǎn)總額高達(dá)4兆美元，營收超過3千億美元。分析結(jié)果發(fā)現(xiàn)，導(dǎo)致企業(yè)成為惡意攻擊目標(biāo)包括下述三大安全原因：

　　「瀏覽器中間人（Man-in-the-Browser, MiTB）」攻擊對企業(yè)造成威脅：2014年，受觀察的客戶網(wǎng)絡(luò)中，有將近94%曾瀏覽過含有惡意軟件的網(wǎng)站。特別是某些向主機(jī)送出DNS要求后、被DNS主機(jī)解析完后的IP地址，指出可能與傳輸含有「瀏覽器中間人（MiTB）」功能的Palevo、SpyEye及Zeus等惡意軟件家族有關(guān)。

• 僵尸網(wǎng)絡(luò)捉迷藏：將近70%網(wǎng)絡(luò)會(huì)對動(dòng)態(tài)DNS網(wǎng)域送出DNS查詢，明確指出網(wǎng)絡(luò)中存在不當(dāng)使用，或遭到僵尸網(wǎng)絡(luò)利用動(dòng)態(tài)DNS隱藏其真實(shí)的IP位址，借以躲避偵測及黑名單攔截。少數(shù)由企業(yè)發(fā)出合法對外連結(jié)，除了會(huì)回應(yīng)外部C&C，也會(huì)尋找動(dòng)態(tài)DNS網(wǎng)域，以掩護(hù)僵尸網(wǎng)絡(luò)的位置。
• 加密竊取的資料：在2014年中，有將近44%受觀察的客戶網(wǎng)絡(luò)為特定的網(wǎng)址或網(wǎng)域發(fā)出的DNS解析，這些網(wǎng)址或網(wǎng)域和提供加密服務(wù)的裝置相關(guān)，惡意攻擊者可利用加密管道偷渡資料并躲避偵測，加密管道如VPN、SSH、SFTP、FTP及FTPS。

　　根據(jù)Cisco 安全研究人員調(diào)查，自從據(jù)稱造成大規(guī)模危害的「黑洞漏洞攻擊包」發(fā)明者于去年落網(wǎng)后，漏洞攻擊包的數(shù)量減少了 87%。2014年上半年觀察到的多種漏洞攻擊包，雖然試圖達(dá)到黑洞漏洞攻擊包的地位，但尚未有明確的重大新威脅角色出現(xiàn)。

　　Java仍疑似是惡意攻擊者最常利用的程式語言。依據(jù)2014年思科年度安全報(bào)告，思科安全研究人員發(fā)現(xiàn)截至2014年5月，Java攻擊案件在所有感染指標(biāo)（indicators of compromise, IOCs）中，增加至93%，是繼2013年11月IOCs指標(biāo)達(dá)91%后的新高。

　　特定產(chǎn)業(yè)中惡意軟件異常暴增。2014年上半年，制藥與化學(xué)等高利潤產(chǎn)業(yè)，再度成為最易遭受網(wǎng)絡(luò)惡意軟件攻擊的特定產(chǎn)業(yè)排行榜前三名。媒體出版業(yè)則以相當(dāng)于中位數(shù)的4倍，名列遭受網(wǎng)絡(luò)惡意軟件攻擊量第一名，而航空業(yè)則為第三，為中位數(shù)的2倍。依區(qū)域劃分，最易受到攻擊的產(chǎn)業(yè)分別是美洲的媒體出版業(yè)，非洲、歐洲及中東的餐飲業(yè)，和亞太、中國、日本及印度的保險(xiǎn)業(yè)。

　　關(guān)于報(bào)告

　　2014年思科年中安全報(bào)告是思科集體安全情資（Collective Security Intelligence, CSI）生態(tài)系統(tǒng)里的安全研究專家，針對2014年上半年的威脅情資與網(wǎng)絡(luò)安全趨勢進(jìn)行的研究結(jié)果。思科CSI被多種安全解決方案所采用，并提供領(lǐng)先業(yè)界的安全防護(hù)與效率。除了精通威脅研究的專業(yè)人員之外，CSI的構(gòu)成要素還包括情資基礎(chǔ)設(shè)施、產(chǎn)品與遙測服務(wù)，并廣納官方、民間及開放社群的意見。

　　思科 CSI生態(tài)系統(tǒng)包括日前加入的Talos威脅情資與研究集團(tuán)，結(jié)合原思科威脅研究與傳播團(tuán)隊(duì)（Cisco Threat Research and Communications, TRAC）、Sourcefire弱點(diǎn)研究團(tuán)隊(duì)（Sourcefire Vulnerability Research Team, VRT）及思科安全應(yīng)用程式（Cisco Security Applications, SecApps）事業(yè)體。Talos的專業(yè)領(lǐng)域橫跨軟件開發(fā)、逆向工程、弱點(diǎn)分流、惡意軟件調(diào)查與情資收集，并負(fù)責(zé)維護(hù)Snort.org、ClamAV、SenderBase.org和SpamCop的官方防護(hù)規(guī)則。

　　支持引述

　　思科資深副總裁暨首席安全長John N. Stewart指出：「許多企業(yè)正在運(yùn)用網(wǎng)際網(wǎng)絡(luò)的力量開創(chuàng)未來。要在這個(gè)快速興起的領(lǐng)域中搶得一席之地，管理階層在業(yè)務(wù)層級(jí)上，千萬不能忽略網(wǎng)絡(luò)相關(guān)風(fēng)險(xiǎn)的掌握與管理。對于安全鏈中的弱點(diǎn)分析和了解，主要取決于個(gè)別組織與產(chǎn)業(yè)的最高層級(jí)，包括董事會(huì)，是否能夠意識(shí)到網(wǎng)絡(luò)威脅的嚴(yán)重性，將網(wǎng)絡(luò)安全視為企業(yè)程序，而不僅是技術(shù)問題而已。要涵蓋整個(gè)攻擊時(shí)程，也就是攻擊前、中、后，現(xiàn)今的組織應(yīng)具備在威脅一顯露，便于予攔截的安全解決方案�！�