赛门铁克在京公布第二十期《互联网平安威胁讲
日期:2015-04-22 / 人气: / 来源:网络
影响更广泛的漏洞、速度更快的攻击、以实现勒索目的的文件控制,以及显著增多的恶意代码。与2013年相比,2014年互联网安全面临了更严峻的挑战。
4月21日,赛门铁克在京发布第二十期《互联网安全威胁报告》(ISTR),揭示了全球互联网安全的六个趋势:第一,网络犯罪分子使用新的欺骗手法侵入公司网络;第二,网络犯罪分子在速度和精准度上获胜;第三,恶意软件数量的大幅度上升分散应该部署在高级安全问题的IT资源;第四,数字勒索处于上升趋势:2014年,勒索软件攻击上升了113%;第五,利用消费者对朋友所分享内容的信任,网络犯罪分子实施社交网络和移动诈骗;第六,物联网安全不是一个新兴问题,而将是一个持续的问题。注:该报告基于赛门铁克全球智能网络中的数据,赛门铁克全球智能网络由超过5760万个攻击传感器组成,每秒可以记录数以千计的网络活动,赛门铁克以此监测157个国家和地区进行网络安全威胁活动。
赛门铁克公司大中华区信息安全技术销售部区域总监罗少辉表示,“当下的网络环境里,安全威胁不断增多,网络攻击者的攻击手法也不断创新,因此,企业单靠产品和人力根本不足防御安全威胁,企业需要更丰富的安全情报来抵御安全威胁。赛门铁克认为,用户需要进行多重防御,包括在整个网关、终端上加强保护。另外,企业需要把一些安全事件进行互动,通过连结相关信息来发现高级的攻击。因为,如果单纯从邮件的附件有没有恶意程序来进行判断,很多时候是没办法发现网络攻击的。比如勒索软件,他们的附件本身是没有恶意程序的,只有当用户安装这个插件或附件时,他们才会进行恶意攻击。所以要把整串的安全事件串起来,才能把相关的保护做到最完善。网络韧性(Cyber Resilience)和安全智能(SecurityIntelligence)是2014年的网络安全热词,赛门铁克可以为企业用户和个人用户提供安全智能,为整个信息环境提供全面的保护。”
我们知道,中小企业在安全的投入比较少,没有那么多专业资源来做更多的安全防护,因此,他们也成为了攻击者的一大目标。对此,赛门铁克公司大北区安全解决方案技术支持部经理马蔚彦表示,“现在很多技术都在走向云端。中小企业可以把企业安全交由更加专业的厂商和机构来解决,他们可以用云的方式订阅安全服务,达到防护效果的同时,也不需要那么多的资金投入。赛门铁克将通过云服务的方式服务更广泛的客户群,把智能网络变成一种SaaS服务,向中小型企业提供安全即服务(Security as a Service)。”
下面让我们来具体看看2014年的六大网络安全威胁趋势吧!
趋势一:新的欺骗手法,网络攻击者采用跳跃方式躲避企业防御
在当今高度互联的世界中,网络犯罪分子已经开始转变攻击战术,他们使用很多新型的欺骗手法,除了最普通的邮件附件,网络文档,网络图片以及屏保程序都成为网络攻击者用来吸引受害者的途径。
网络攻击者主要采用三种手段。第一种是鱼叉式网络钓鱼攻击,这也是是针对性攻击最常用的手段。它最主要的方法是向目标群体发送电子邮件,通过电子邮件里面附带的恶意程序,感染和实施攻击。第二种是水坑攻击,通过感染网站等待目标客户主动上钩。水坑式攻击主要的关注点是在企业的外部网站。第三种是利用软件更新的方式来植入木马。网络犯罪分子会利用常见程序的软件更新植入木马,耐心等待并诱骗公司自行下载更新,从而受到感染。
高级网络攻击者不断借助针对性极强的鱼叉式网络钓鱼攻击侵入网络。2014年,这种攻击手段的使用增长率为8%。值得关注的是,鱼叉式网络钓鱼攻击在实施每次攻击的时候,所发布的电子邮件数量在降低,收件人数量也在减少,但这说明针对性攻击不再像以前针对大规模人群。网络攻击的准确性大幅提高,结合更多隐蔽式强迫下载恶意软件和基于Web的漏洞,垃圾邮件数量即使减少了20%,仍旧能够精准攻击目标受害者。
网络攻击者会:从某公司盗取受害者的电子邮件账户,利用鱼叉式网络钓鱼手段对更高级的受害者进行攻击;潜出前,利用公司的管理工具和程序在公司网络中移动盗取的IP;在受害者的网络内部构建定制的攻击软件,以进一步掩盖自己的攻击活动。
从鱼叉式网络钓鱼攻击的分布来看,在2011年,大型企业受到鱼叉式网络钓鱼攻击占到了50%。但是到2014年,大型企业占比在减少。相反,中型企业成为鱼叉式网络钓鱼攻击的目标的数量在增加。此外,大型企业的风险率仍旧最高,平均每1.2个企业就有一个被作为目标攻击对象,相当于每6家企业中有5家是攻击目标,占比83%,比前一年增加了40%。
按行业来看,矿业是受鱼叉式网络钓鱼攻击最严重的行业,就风险率来讲,平均2.3个行业中的企业有一个会被作为目标性攻击的对象。其次是批发行业和制造行业。
趋势二:网络攻击者的行动加快,防御却没有跟上
零日漏洞的数量在2014年创历史最高,赛门铁克认为零日漏洞的数量在2015年仍然不会下降。2014 年,共有24个零日漏洞被发现,网络犯罪分子在这些漏洞被修补之前毫无顾忌的利用已知的安全漏洞对企业发起攻击。去年非常热门的漏洞和攻击是心脏出血(Heartbleed)和破壳(Shellshock)漏洞。心脏出血被认为是有史以来在整个IT界影响范围最广的漏洞,破壳也可以被认为是迄今为止严重程度最高的漏洞,因为它们都跟Linux系统有关。
“零日漏洞”的利用价值非常高,在没有被公开之前,黑客可以做很多攻击。而被公开往往会吸引更多的黑客或攻击者,他们会快速寻找没有打补丁的系统并实施攻击。以Heartbleed(心脏出血)为例,该漏洞在4个小时内迅速被利用并用于发动攻击。软件公司平均需要59天来生成和推出补丁,而在2013年仅需4天。2014年,在厂商推出补丁之前,攻击者利用排名前5大“零日漏洞”并主动实施攻击的时间总共长达295天。
合法网站上也可能含有恶意软件,2014年含有恶意软件的网站数量有所减少,1126个网站中才有一个包含恶意软件。然而,这并不说明企业的防御和安全性得到了提升。事实上,这是因为攻击者的方法和策略发生了变化,他们会在实施攻击中使用更高级的数据包,甚至利用SaaS技术。合法网站上所含的恶意软件数量虽然减少了,但是网络攻击者会将受害者重定向到受到攻击者控制的网站上,使用工具包和SaaS从他们的网站实施攻击。
2014年,数据泄露总量较2013年增加了23%,2014 年,大规模数据泄露事件减少,4起数据泄露事故所涉及的身份信息泄露超过1000 万(2013 年为8 起)。数据泄露的主要原因分别为:攻击者(49%)、意外泄露——设备被盗或丢失(43%)以及内部偷窃(8%)。在2013年,主要的泄露原因是意外或者设备丢失被盗。2014年,主要的泄露原因是来自攻击者。同时,发生数据泄露的企业中,五分之一没有报告数据泄露事件,在2013年为六分之一。
过去,网络犯罪主要集中在金融行业,但在2014年,医疗和零售是数据泄露重灾区。医疗数据与用户的生活息息相关,如果黑客能获取用户的医疗数据,后果不堪设想。
零售行业最常见的数据泄露原因是网络攻击者,而医疗行业最常见的数据泄露原因是意外泄露/ 设备丢失或被盗。零售行业泄露事件占比11%,但却造成59%身份信息的泄露。医疗行业泄露事件占比37%,但仅2%身份信息的泄露。
趋势三:恶意软件数量的大幅度上升,分散应该部署在高级安全问题的IT资源
恶意软件的数量呈现出大幅度增长,并导致企业IT人员在运维各方面的精力、时间以及资源分配都放在应对大量恶意软件上。同时,恶意软件不仅仅是数量大,还出现了新的、更高级的恶意软件。恶意软件新变种逐年增加,2014年产生了3.17亿个,较2013年的2.52亿个增长了26%,这意味着,在2014年每天出现约100万种新型威胁。
罗少辉指出,企业需要不停地定义安全相关的政策并调节IT系统,以确保安全性和可用性。攻击数量不断增加的同时,攻击手法也在不停创新,黑客也在采取更高级的手段。他们可以隐藏恶意程序,测试受害者系统是否有互联网接入功能,是否会通过下载方式下载恶意程序。
2014年,28%的恶意软件可“感知虚拟机”,而某些恶意软件(如Crisis)可搜索虚拟镜像。
电子邮件的恶意软件不仅仅局限于在邮件的附件中夹杂恶意软件,有很多是通过在邮件当中放URL隐藏恶意代码。2014年的数据显示,用URL方式的占比是下降的,从25%下降到12%。攻击者并不需要URL隐藏,在附件中放恶意软件仍然是主流方式。
从整体趋势上来看,企业IT人员会用大量的时间和精力来应对常规威胁,对于新出现的、可能危害性更重的高级安全问题,企业没有资源进行防护和防御。
趋势四:数字勒索处于上升趋势
在2014年,中国也出现了勒索软件,它们会将用户的硬盘和里面的内容锁定,并要求用户通过付赎金来解锁。
2014年,勒索软件的数量上升了113%,这里指的是针对个人或企业电脑和手机内的应用和数据的劫持和绑架。密码勒索软件急剧增长,增长了45倍。密码勒索软件的攻击策略并不会采取传统勒索软件那样伪装成执法部门对盗取内容收取罚金的方式,而是更加恶劣地劫持受害者的文件、照片和其他数字内容,毫不掩饰他们的攻击目的。
未来勒索软件的演变:
- 密码勒索软件将继续攻击:
–Office 和PDF 文件
–个人文件与照片 - 密码勒索软件将继续攻击:
–映射驱动器
–附加存储
–云存储(类似于映射驱动器) - 勒索软件正在寻找新的攻击目标:
–2014 年,Synolocker攻击了NAS 驱动器
–2014 年,首个针对智能手机的密码勒索软件呈现出疯狂传播势态
趋势五:利用消费者对朋友所分享内容的信任,网络犯罪分子实施社交网络和移动诈骗
在很多情况下,黑客不会主动吸引用户下载,而是通过信任的朋友和手动的方式传播恶意软件。2014年,攻击者利用人们对朋友所分享内容的信任,70%的社交媒体骗局都通过用户手动分享而传播。网络犯罪分子甚至不需要做一个加密程序去勒索,通过社交平台,他们把恶意软件和恶意代码传播了出去。电子邮件仍是网络犯罪分子的重要攻击途径,但他们继续针对移动设备和社交网络尝试新的攻击手段。
趋势六:物联网安全是一个持续的问题
无论用户是否将智能手机看做是物联网的一部分,智能设备已经是物联网风险的组成部分,因为移动应用通常就是物联网的用户界面。
用户使用同样的密码登陆了多少应用和网站?四分之一的最终用户承认在接受应用条款时,并不知道他们允许开放了哪些访问授权;而68%的用户愿意用隐私交换一个免费应用。
罗少辉指出,物联网安全是非常值得关注的领域,因为,在智能设备和应用中包含了用户的大量个人隐私数据。应用开发商会如何利用这些数据,是否会分享给其他第三方,或者在传输中是否有进行加密,这些都值得思考。
马蔚彦总结道,“当下的互联网威胁环境越来越严峻和复杂,新的威胁速度更快,攻击更准确,攻击技术甚至比企业在安全防御方面运用的IT技术更高级。物联网的广泛使用,在用户忽视安全问题的时候,已经出现攻击。作为专注安全领域的厂商,赛门铁克希望通过最新的互联网威胁趋势信息,向广大的企业和个人用户来进行安全动态分享,帮助企业和个人用户增强安全防护意识。赛门铁克向企业提供从端点到网关到数据中心的整体解决方案。同时,赛门铁克将很大部分的资源投放在移动应用端点解决方案上。在智能手机方面,赛门铁克提出了自己的解决方案来应对欺诈以及物联网所造成的风险。其次,赛门铁克已经发布了一些针对物联网的产品,例如针对POS机,ATM机等设备,在这方面赛门铁克还会进行不断更新,适用更广泛的物联网设备。”
基于以上六大趋势,赛门铁克呼吁,企业和消费者需要采取更多保护自己的应对方法。
对于企业:
- 不要毫无准备:采用高级威胁智能解决方案,帮助用户及时发现入侵信号并做出快速响应。
- 保持强大的安全态势:部署多层端点安全防护、网络安全防护、加密、强大有效身份的验证和采取拥有高信誉的技术。与安全托管服务提供商合作,增强 IT 团队的防范能力。
- 为最坏的情况做准备:事件管理可确保用户的安全框架得到优化,并具备可测量和可重复性,而且还可帮助用户吸取教训以改善安全态势。考虑与第三方专家开展合作,从而强化危机管理。
- 提供长期且持续的教育和培训:创建指导方针及公司策略及程序,以保护个人和公司设备上的敏感数据。定期评估内部调查团队,进行实践演练,确保用户拥有有效对抗网络威胁的必要技能。
对于消费者:
- 使用安全性高的密码:无论如何强调该建议都不为过。为账户和设备设置强大而独特的密码,定期进行更新,建议每三个月进行一次。切勿将相同密码用于多个账户。
- 谨慎使用社交媒体:切勿点击来源不明的网络链接,尤其是来自陌生人的电子邮件或社交媒体信息。诈骗者知道人们往往会点击来自朋友的链接,这会让他们侵入相关账户,并向账户拥有者的联系人发送恶意链接。
- 了解自己所分享的权限:在安装家庭路由器、恒温器等网络连接设备或下载新应用时,认真审核权限许可,了解自己将会分享哪些数据。在不需要时禁用远程访问功能。
Raytheon打造国防级安全产品
安全产品
作者:管理员
推荐内容 Recommended
- 江苏飞浩信息科技期待您的加入07-20
- 江苏飞浩科技欢迎您07-19
相关内容 Related
- 江苏飞浩信息科技期待您的加入07-20
- 江苏飞浩科技欢迎您07-19