思科報告指網(wǎng)絡(luò)安全就緒程認知與實際情況有巨大落差

　　思科發(fā)表年度安全報告指出網(wǎng)絡(luò)安全就緒程度在認知與實際情況存有巨大落差

　　CTI論壇（ctiforum）1月29日消息（記者 李文杰）： 思科發(fā)表《思科2015年度安全報告》，針對威脅情資與網(wǎng)絡(luò)安全趨勢進行調(diào)查，顯示組織必須以「全員參與」的方式來防御網(wǎng)絡(luò)攻擊。攻擊者愈趨精明，知道如何利用安全漏洞規(guī)避偵測并隱匿惡意行動。防御者，也就是資安團隊，必須持續(xù)改善防護方法，才能保護組織免于遭受日益精良的網(wǎng)絡(luò)攻擊活動。這些問題更隨著攻擊者的地緣政治動機、以及與當?shù)胤�律相沖突的要求而更趨復雜，包括數(shù)據(jù)主權(quán)認定、數(shù)據(jù)在地化及數(shù)據(jù)加密等方面。

　　攻擊者

　　網(wǎng)絡(luò)罪犯不斷增進攻擊手法進行攻擊活動，使其更難被偵測與分析。根據(jù)思科的威脅情資分析出去年前3大攻擊趨勢為：

　　「雪靴」垃圾郵件（Snowshoe Spam）：一種新興的熱門攻擊方式，攻擊者從大量IP位址中發(fā)送少量垃圾郵件以規(guī)避偵測，其中是利用已被入侵的帳號來做攻擊。

　　隱匿在明顯易見之處的網(wǎng)絡(luò)攻擊套件：常見的攻擊套件很快就會被資安公司破解，因此網(wǎng)絡(luò)罪犯轉(zhuǎn)而運用其他較少見的套件，成功\執(zhí)行攻擊策略。此方式較不容易引起注意，進而成為持續(xù)發(fā)展的攻擊模式。

　　惡意攻擊組合：Flash和JavaScript傳統(tǒng)上都曾是安全堪慮的程式，但隨著安全偵測與防御技術(shù)的進步，攻擊者學會結(jié)合兩者的弱點并展開攻擊。攻擊程式可同時被Flash和JavaScript兩種檔案共享，讓安全裝置更加難以辨別和封鎖攻擊，或是通過逆向工程工具進行分析。

　　使用者

　　使用者面臨左右夾攻的情況，因為他們不僅是網(wǎng)絡(luò)攻擊的目標，也在不知不覺中成為網(wǎng)絡(luò)攻擊的幫手。思科威脅情資研究顯示在2014年間，攻擊者逐漸將他們的攻擊焦點從企圖癱瘓伺服器和作業(yè)系統(tǒng)，轉(zhuǎn)向攻擊使用者的瀏覽器和電子郵件。使用者從問題網(wǎng)站下載檔案，使得針對Silverlight的攻擊程式數(shù)量增加228%，垃圾郵件和惡意廣告的攻擊程式數(shù)量成長250%。

　　防御者

　　思科資安能力基準研究報告，以9國共1,700家企業(yè)的資訊安全長（CISOs）和安全營運（SecOps）主管為調(diào)查對象，結(jié)果顯示防御者對于自身安全能力的認知與事實之間存有巨大落差。其中，75%的CISOs認為他們的安全工具很有效或非常有效。然而，不到50%的受訪者使用如修補程式和組態(tài)等標準工具來補強安全缺口，并確認使用最新版本。Heartbleed為去年最具代表性的安全漏洞，但仍有56%已安裝的OpenSSL為4年前的版本，這是資安團隊未能適時更新安全程式的證明。

　　雖然許多防御者以為他們使用的安全程序已達最佳化，安全工具也確實有效，但其實他們的安全就緒程度可能有待加強。

　　報告結(jié)論顯示，企業(yè)中的董事會應承擔起制定資安任務(wù)優(yōu)先順序和期望值的角色。思科「安全宣言（Security Manifesto）」為一套正式安全準則，作為網(wǎng)絡(luò)安全的基礎(chǔ)，協(xié)助企業(yè)董事會、資安團隊及使用者更加了解并回應現(xiàn)今的網(wǎng)絡(luò)安全挑戰(zhàn)。當企業(yè)要建立一套更靈活的安全方案，并在創(chuàng)新及實作方面領(lǐng)先網(wǎng)絡(luò)罪犯，可將此安全準則作為基準。此準則包括：

　　1. 資訊安全必須能支持企業(yè)營運

　　2. 資訊安全必須與既有架構(gòu)相容且具使用性

　　3. 資訊安全必須透明化且資訊化

　　4. 資訊安全必須具有能見度并可采取適當?shù)男袆?/p>

　　5. 資訊安全必須被視同為「人的問題」

　　支持引述

　　思科資深副總裁暨資訊安全長John N. Stewart：「安全需要一套全員參與的完整方案，從董事會到個別使用者，每個人都應該投入。過去我們擔心DoS作業(yè)系統(tǒng)（Disk Operating System），現(xiàn)在我們也擔心資料受損；我們曾經(jīng)擔心IP位址被盜用，現(xiàn)在我們擔心關(guān)鍵業(yè)務(wù)停擺。我們的敵人日趨精明，利用我們的弱點，在顯而易見之處隱藏他們的攻擊。有效的資安措施必須在全程攻擊中提供持續(xù)性的防護，采用的技術(shù)必須依此些需求來設(shè)計建置。線上服務(wù)必須具備回復力，所有動作都必須立即到位才能夠保護我們的未來，而我們的產(chǎn)業(yè)必須具備前所未有領(lǐng)導力、合作與當責的能力。」

　　思科安全事業(yè)群首席工程師Jason Brvenik：「攻擊者越來越擅長利用安全漏洞，我們發(fā)現(xiàn)56%的OpenSSL版本仍易遭受Heartbleed攻擊，而主要的攻擊只需利用1%的高度危急弱點就能成功\。盡管如此，仍有不到半數(shù)的受訪資安團隊會采用修補程式及組態(tài)管理等標準工具來預防安全缺口。即便使用領(lǐng)先的安全技術(shù)，企業(yè)仍需要杰出的防護程序，才能夠在日益復雜的攻擊活動中保護組織和使用者。」