《思科 2017 年中网络安全报告》全文（附英文和中文版下载）

白皮书 7年前 (2017) 阿Q

2,001 0 0

思科 2017 年中网络安全报告 2017年5月发布，之前在1月份发布的是年度的，见《《思科 2017 年度网络安全报告》全文（附中文版下载）》

内容试读

—————————————

执行摘要
近十年以来，思科不断坚持发布综合性网络安全报告，旨在向安全团队及其支持的企业通报网络威胁和漏洞，并介绍有助于提高安全防护和网络恢复能力的措施。在这些报告中，我们竭力提醒防御者注意日益复杂的威胁，并警惕攻击者用于攻击用户、窃取信息和造成中断的技术。

主要研究结果

企业邮件入侵 (BEC) 已成为攻击者牟取暴利的威胁媒介。根据互联网犯罪投诉中心 (IC3) 的数据，2013 年 10 月至 2016 年 12 月，因 BEC 欺诈而被盗的金额达到 53 亿美元。相比之下，2016 年勒索软件漏洞攻击攫取的收入为 10 亿美元。
间谍软件表面上似乎是一种可能有害的应用 (PUA)，但实际上也应被视为恶意软件，而这种威胁的潜在风险却被许多组织低估或完全忽视。实际上，间谍软件会窃取用户和公司信息，影响设备的安全状况，并增加恶意软件感染数量。间谍软件感染情况也相当猖獗。思科威胁研究人员针对挑选出的三种间谍软件系列对 300 家公司进行了抽样调查，结果其中 20% 的公司发现了这些间谍软件。
物联网 (IoT) 为业务协作和创新提供了广阔的前景。但是随着它不断发展，安全风险也在发生着变化。缺乏可视性是一个问题：防御者根本不知道有哪些物联网设备连接到其网络。他们需要迅速采取行动，解决可视性问题和影响物联网安全的其他障碍。攻击者已经在利用物联网设备中的安全漏洞。这些设备成为攻击者的据点，让他们能够相对轻松地在网络中偷偷横向移动。
从 2015 年 11 月开始，思科开始不断跟踪平均检测时间 (TTD) 指标。自那时起，我们的 TTD 总体呈现出下降趋势，从 2016 年 11 月的逾 39 小时缩短至至 2017 年 5 月的约 3.5 小时。
思科注意到，垃圾邮件的数量自 2016 年年中起一直呈整体增长趋势，而在同一时期，漏洞攻击包的活跃度却出现大幅下降。曾经非常依赖漏洞攻击包传送勒索软件的攻击者正转而改用垃圾邮件（包括含有加载宏的恶意文档的垃圾邮件），这是因为它们需要用户交互才会感染系统并传送负载，所以能让许多沙盒技术失去用武之地。
供应链攻击为攻击者通过一个被侵入的站点将恶意软件传播到许多组织提供了途径。在思科合作伙伴 RSA 研究过的一起攻击中，某软件供应商的下载网页被侵入，感染因此扩散到通过该供应商下载软件的所有组织。
据思科合作伙伴 Radware 称，过去一年网络攻击频率、复杂性和规模的急剧增长表明黑客经济已经出现转机。Radware 指出，随着技术的发展，人们能够快速便捷地访问各种有用的低成本资源，这反而让现代黑客界大为受益。
在企业安全方面，云安全常被人们忽视：开放授权 (OAuth) 风险和单一特权用户帐户管理不善造成了容易被攻击者利用的安全漏洞。思科威胁研究人员指出，恶意黑客已经将魔掌伸向云端，并开始肆无忌惮地设法侵入企业云环境。
在漏洞攻击包形势方面，此类攻击的活跃度显著下降，并且已久无创新，因为 Angler 和其他漏洞攻击包主力已经销声匿迹或改变了攻击方式。鉴于该市场以前的规律，这种情况可能是暂时的。但是其他因素（例如利用以 Adobe Flash 技术构建的文件中的漏洞难度加大）可能会减缓其复苏的步伐。
思科合作伙伴 Rapid7 的研究表明，开发运营服务如果部署不正确或为了方便合法用户访问而有意保持开放，会给组织带来重大风险。事实上，因为这个原因而被勒索赎金的例子不在少数。
ThreatConnect 通过分析连接到 Fancy Bear 网络间谍组织的攻击者所使用的托管域，向人们证明了研究恶意威胁发起者 IP 基础设施策略所能获得的价值。通过研究此基础设施，防御者获悉了更多需要主动阻止的域、IP 地址和邮件地址。
2016 年年底，思科威胁研究人员发现并报告了 Memcached 服务器中的三个远程代码执行漏洞。数月后对互联网进行的扫描显示，之前确定面临威胁的近 11 万台 Memcached 服务器中，79% 仍然存在这三个漏洞，因为它们尚未应用补丁。