數位版圖的安全之道 – 摘要《思科2018年度網路安全報告》
(Highlight Cisco2018 Annual Cybersecurity Report)
全球知名的資安大咖 - 思科每年提出的年度網路安全報告,為各國政府與企業界非常重視的參考資訊,其中展示了資安產業的最新進展,介紹攻擊者用來突破這些防禦和規避偵測的技術和策略。同時列出思科 2018 年安全能力基準研究的重要發現,該研究考察了企業的資安態勢以及他們對自身備戰程度的認知。本文為此研究報告的重點摘要。
|
|
|
如果防禦者能預見未來,能否扭轉乾坤,結局大不同呢?
如果他們知道攻擊即將來臨,就可以阻止或至少減輕影響,並且有助於確保需要優先保護的項目安全無虞。事實上,防禦者的確可以預見態勢。處處都是線索,而且顯而易見。
不肖人士和國家級惡意行動者均已具備必要的專門知識和工具,足以摧毀關鍵基礎架構和系統,進而讓整個區域的網路安全大受打擊。但是,當新聞出現破壞性和毀滅性的網路攻擊(例如在烏克蘭或是其他地方發生網路攻擊事件)時,一些安全專業人員起初可能認為:「我們公司的市場/地區/技術環境不是攻擊目標,所以我們可能沒有風險。」
然而,對於看似遙遠的攻擊行動漠不關心,或是將注意力消耗在攻擊者每天製造的小衝突和混亂當中,防禦者渾然不知對手正以無比的速度和規模,不斷累積和精進他們的網路武器。多年來,思科不斷提醒防禦方,全球各地的網路犯罪活動數量正不斷攀升。我們將在這份最新的年度網路安全報告中,介紹思科威脅研究人員和我們一些技術合作夥伴,在過去12至18個月內觀察到的攻擊者行為之相關資料與分析。我們將在報告中探討 多項主題,其大致圍繞在以下這三個主軸:
1.惡意人士正在將惡意軟體帶往前所未見的複雜程度及重大影響。
惡意軟體的演變(第 6 頁)是 2017 年攻擊態勢中最重要 的發展之一。由於網路型勒索軟體加密蠕蟲病毒的出現, 發動勒索軟體攻擊時不再需要人為介入。偽裝成勒索軟體 的 Nyetya 這個清除型惡意軟體證明了,對某些攻擊者來 說,獎賞不在於贖金,他們要的是完全刪除系統和資料 (見第 6 頁)。思科威脅研究人員指出,自我複製的惡意 軟體不只是危險,甚至可能摧毀網際網路。
2.惡意人士變得越來越擅長規避,並且能將雲端服務及其他合法用途的技術,用來作為他們的武器。
除了開發出能夠規避日益複雜沙箱環境(第 22 頁)的威脅 之外,有心人士更擴大對加密技術的支援來躲避偵測(第 9 頁)。加密的本意在於提高安全性,卻也為有不肖人士 提供了一個隱藏命令與控制 (C2) 活動的強大工具,讓他們 有更多時間可以操作和造成損害。 網路犯罪分子還採用 C2 通道,利用合法的網際網路服務 (例如 Google、Dropbox 和 GitHub)來進行其犯罪(見 第 24 頁)。這種做法使得惡意軟體流量更加無從辨識。 此外,現在有許多攻擊者都是從單一網域(第 26 頁)發動 多起攻擊行動。他們也會重複使用基礎架構資源,例如註 冊者的電子郵件地址、自治系統號碼 (ASN),以及名稱伺服器。
3.惡意人士會入侵欠缺安全防備的漏洞,而其中許多都來自於 不斷擴展的物聯網 (IoT) 及雲端服務的使用。
防禦者忙於盡速部署物聯網裝置,卻鮮少注意系統的安全 性。缺乏修補和監控的物聯網裝置讓攻擊者有機會滲透網路 (第 34 頁)。研究顯示,擁有易受攻擊的物聯網裝置的組 織,似乎反而對於加速補救流程缺乏動力(第 42 頁)。更 糟糕的是,這些組織的 IT 環境中可能存在著許多更脆弱的 物聯網裝置,而他們卻對此渾然不覺。
同時,殭屍網路正伴隨著物聯網不斷擴張,而且變得更加 精進和自動化。隨著殭屍網路和物聯網的成長,攻擊利用 它們來發動更進階的分散式阻絕服務 (DDoS) 攻擊 (第 31 頁)。 攻擊者還利用資安團隊難以兼顧物聯網和雲端環境的事實。 箇中原因之一是,無法確切劃分這些環境防護責任的歸屬 (見第 42 頁)。
|
組織面對不可避免的攻擊時,防禦者是否能做好準備,以及能夠以多快速度復原?思科 2018 年安全能力基準研究針對 26 個國家 3600多名受訪者的安全性實務提供深入分析,調查結果顯示防禦者有相當多的挑戰需要克服(見第 46 頁)。
即便如此,防禦者會發現,強化資安策略並遵循共同的最佳做法 可以減少暴露於新興風險之中、延緩攻擊者的進度,以及更清楚 掌握威脅態勢。他們應考慮:
- 實作可擴充的一線防禦工具,例如雲端安全平台。
- 確保遵守公司政策以及應用程式、系統和設備修補作業的做法。
- 利用網路分割來減少暴露在爆發的威脅當中。
- 採用新世代端點過程的監視工具。
- 使用及時而準確的威脅情報資料和程序,使這些資料能夠納入資安監測與事件回應。
- 執行更深入和更進階的分析。
- 檢查和實施資安回應程序。
- 經常備份資料和測試還原程序 - 網路世界瞬息萬變,還有網路型勒索蠕蟲和破壞性網路武器橫行肆虐,這個程序可謂至關重要。
- 審查第三方資安技術的效能測試,以協助降低供應鏈受到攻擊的風險。
- 對微服務、雲端服務和應用程式管理系統進行安全性掃描。
- 審查安全系統、探索安全通訊端層(SSL)分析的使用,以及 SSL 解密。
防禦者還應考慮採用包括機器學習和人工智慧功能在內的進階資 安技術。由於惡意軟體會將其通訊隱藏在加密的網路流量中,且 惡意的內部人員會透過公司雲端系統來傳送敏感資料,因此資安 團隊需要有效的工具來防止或偵測加密功能的使用情形,以防止 該功能被用來隱藏惡意活動。
|
|
