思科2018年度安全報告:攻防兩大角度看云與物聯網安全
隨著網絡攻擊日益嚴重,防御已經不僅僅是被動地構筑一堵堵高墻進行固守,更需要主動出擊去搜索攻擊的跡象并且提前進行針對性地防御。 在思科2018年度網絡安全報告中,思科指出很多攻擊有著顯而易見的攻擊前兆,而防御者一旦能預知并且識別即將到來的攻擊以及攻擊模式,就可以進行阻止或者緩解攻擊造成的損失。 在這份報告中,思科從攻擊者以及其攻擊模式和防御者策略兩個角度,結合了思科威脅研究人員和其技術合作伙伴根據過去12到18個月內觀察到的攻擊者行為得出的數據和分析結果,進行了詳細的闡述以及總結。 思科發現,大量的攻擊集中于三個主題: ? 攻擊者將惡意軟件的復雜性和影響力進一步提升; ? 攻擊者更善于將合法用途的工具轉換為攻擊的武器; ? 攻擊者利用不設防的漏洞,而這些漏洞集中于物聯網和云服務。 一、攻擊形勢 ? 惡意軟件進一步演變 思科認為,2017年中,攻擊形勢的最大變化是惡意軟件的演變。攻擊者通過將惡意軟件(比如勒索病毒)與自傳播功能相結合,從而造成更大的破壞。因此,盡管“蠕蟲式”的攻擊可能被認為是舊式的威脅,然而一旦帶有其他破壞功能,依然能使整個網絡癱瘓。因此,防御者依然需要對此做好準備。 由于如今大量的工作與開發需要運用到非自產的第三方軟件或者庫,軟件供應鏈成為了惡意軟件散布的溫床。例如 Nyetya (也稱為 NotPetya)惡意軟件是通過軟件更新系統部署到一個稅務軟件包中,該稅務軟件包在烏克蘭有超過 80%的公司使用,并安裝在 100 萬多臺計算機上。烏克蘭網絡警察證實,它對 2000 多家烏克蘭公司造成了影響。因此防御者需要外來的程序都加以注意。 ? 加密的惡意網絡流量 盡管加密的初衷是為了增加安全性,然而攻擊者同樣會使用加密技術對C2活動(command-and-control,命令與控制)進行隱藏。 思科發現,截止2017年10月,全球流量中有50%為加密流量。而與此同時,在過去12個月中,檢測到的惡意軟件樣本使用的加密網絡通信增加3倍以上。而經過對40多萬個惡意二級制文件的分析,思科發現,截止2017年10月,其中約70%都使用了某種加密技術。 針對于加密數據產生的可視性不足的問題,思科建議將機器學習和人工智能應用到安全防御之中。不僅僅通過已知的威脅來尋找同類威脅,更需要通過已知的威脅去發現未知的威脅,甚至通過分析未知的威脅數據來尋找未知的威脅。 值得關注的是,思科Stealthwatch ETA(加密流量分析技術)可以在無需對加密流量進行解密的情況,運用網絡感知分析方法,識別隱藏在加密流量中的惡意軟件。該系統針對加密流量內部的元數據進行機器學習算法分析,準確定位加密流量中的惡意模式,實現更快更精確的判斷,幫助企業快速確定可能受到感染的設備和用戶,最終提升企業面對安全事件時的響應速度和水平,準確率超過99.99%。 ? 郵件威脅 思科指出,無論威脅形勢的變化有多大,郵件始終是傳播惡意軟件的重要工具。 對于惡意文件的擴展名,思科也做了統計(2017年1月到9月):
另外,社會工程學依然是啟動郵件攻擊的主要方式。 ? 濫用云及其他合法資源 隨著大量服務轉移到云端,網絡周界的定義越來越模糊化。安全團隊更加難以應對不斷演變擴展的云以及物聯網環境。這其中的原因之一則是究竟這些問題應該由誰來保護尚不明確。 當攻擊者利用合法服務進行C2時,安全團隊幾乎無法識別惡意軟件網絡流量,因為他模仿了合法網絡流量的行為。而由于在辦公環境中大量使用其他云服務(比如Google Drive,Dropbox等),使得攻擊者可以利用這些網絡“噪聲”作為掩護。思科與其合作伙伴Anomali在過去幾年的觀察中,總結了用在惡意軟件后門C2架構中的幾款主流合法服務:
對于防御者來說,來源于合法服務的攻擊因以下原因難以被阻止:合法服務難以阻止、合法服務往往經過加密、合法服務的使用破壞了域名和證書智能。 思科也指出,對于云使用同樣會造成內部威脅,造成從內部的攻擊以及數據泄露。 ? 物聯網和DDos 盡管物聯網仍在發展中,他們卻早已成為攻擊者們的目標。物聯網僵尸網絡的規模在不斷增長,然而組織和用戶卻依然在盲目地部署低成本的物聯網設備。思科提醒防御者,需要重視物聯網帶來的安全隱患。 思科表示,物聯網的攻擊有三個特點:攻擊重點轉向應用層、“突發攻擊”的復雜性,頻率以及持續時間增加、反射放大攻擊增多。對此,思科認為防御方需要檢測并且修正開放或者未正確配置的設備。 值得注意的是,工業控制系統漏洞也成為了攻擊者的目標,使得關鍵基礎設施陷入危險的情況。 ? 漏洞和修復 在復雜的環境中安全人員可能會忽略使用技術中的漏洞。然而,對于攻擊者來說,他們永遠不會停止發掘以及利用這些漏洞。 在2017年思科跟蹤的常見弱點列舉(CWE, Common Weakness Enumeration)漏洞中,緩沖區溢出(Buffer overflow errors)錯誤名列榜首。 來源:安全牛
