【IT168 评论】(文/闫志坤)随着互联网的快速发展,网络安全问题也越来明显,无论是土耳其5万市民信息曝光,还是国内大麦网600多万用户泄露,乃至30省数千万社保用户信息泄露,那么互联网安全威胁呈现了哪些规律?国内外安全威胁是否可以相互借鉴防御?近日,赛门铁克正式发布第21期《互联网安全威胁报告》(ISTR)揭示当前更为严峻的网络威胁现状,黑客越来越聪明,漏洞出现后反应越来越快,黑客出现了组织化转型--通过采取企业实践并建立专业的犯罪业务来提高对企业和消费者的攻击效率。全新的专业性网络攻击正在覆盖整个攻击者生态系统,不仅进一步扩大针对企业和消费者的威胁范围,同时助推在线犯罪的增长。
安全威胁报告8大发现
在2015年,平均每周发现一例新型零日漏洞攻击,整体零日漏洞攻击数量大幅提升,这些漏洞的出现不仅影响相关网络设备及软件,还具有持续性,在厂商未修补已知漏洞期间,黑客会不断发现新的零日漏洞,发动第二轮攻击,正如赛门铁克报告中提到,很多零日漏洞存在于日常使用的系统或软件中,比如Microsoft OS、Adobe Flash,以及苹果的IOS系统,当安全厂商公布新的零日漏洞,黑客便会迅速采取措施,利用不同方式找到该漏洞,并把其变成攻击工具,以便发动针对个人或者商业机构的攻击。此外随着智能汽车、智能手表及其他物联网设备的发展,都存在安全威胁,安全威胁不仅仅存在物联网设备本身,还涉及整个IOT生态圈。
▲赛门铁克大中华区安全解决方案技术部、安全产品、安全咨询服务技术总监罗少辉
赛门铁克大中华区安全解决方案技术部、安全产品、安全咨询服务技术总监罗少辉表示:“当前,高级犯罪攻击组织开始仿效优异水平的攻击者。这些攻击组织拥有广泛的资源和高技术成员,使他们的攻击效率非常高。这些攻击者不仅能够在工作日对企业进行攻击,还能够利用周末和节假日发动攻击。赛门铁克发现,一些级别低的攻击者甚至能够通过创建呼叫中心,来提高欺诈活动的影响范围。”
此次赛门铁克《互联网安全威胁报告》共有八大主要发现:
第一,在2015年,曾遭受过攻击的大型企业,很可能再成为攻击目标3次,这表明,企业在遭到第一波攻击之后并未对安全攻击形成免疫,黑客依然可能采取其他手段对企业发起新的攻击;
第二,在所有的目标性攻击中,50%的攻击针对小型企业,由于中小企业在安全维护方面投入不足,很容易遭到黑客的攻击;
第三,在2015年,钓鱼式攻击活动的数量增加55%,垃圾邮件攻击数量下降,但有针对性的社会工程学攻击大大提高,使攻击成功率大大提高;
第四,全球超过75%的合法网站发现存在未修复的漏洞,由于网站进行漏洞修复的速度不够快,很多黑客便利用零日漏洞,掌握该网站消费者的行为,甚至可以通过隐藏相关恶意软件的恶意链接促使消费者下载恶意程序;
第五,已知零日漏洞的数量增加125%,黑客通过提升攻击技术,通过网络实现远程控制,将漏洞变成攻击工具;
第六,加密勒索软件增加35%, 劫持目标由终端用户拓展至企业用户,攻击范围从PC终端进一步扩展至安卓系统、智能手表、Linux及OS系统;
第七,数据泄露的情况越来越严重,2015年,全球共计发生9个大型数据泄露事件,公开报道的单次最大数据泄露事件造成了1.91亿条信息记录的泄露,失窃或丢失的个人信息总记录超过近5亿条;
第八,新型恶意软件正在逐年增加,2015年赛门铁克共发行4.3亿个新型恶意软件,这证明了专业网络罪犯正在利用庞大的资源,尝试破坏企业防御并进入企业网络。
罗少辉表示:“在数据泄漏事件发生后,选择不公布关键信息的企业数量明显增长,这是一个让人极为不安的趋势,透明度对于网络安全至关重要。如果隐藏网络攻击的全部影响,企业将会更难评估安全风险和改进安全状况,这非常不利于企业对未来的攻击进行全面的防御。”
六大网络安全威胁剖析
▲赛门铁克公司香港和台湾及华南地区系统工程总监李辉
赛门铁克公司香港和台湾及华南地区系统工程总监李辉表示,根据最新的ISTR报告,2015年恶意软件数量约4.3亿。2009年恶意软件只有230万,到了2015年,平均每天产生120万个恶意软件,这个数量仅仅只是赛门铁克所看到的全球变种恶意软,造成恶意软件快速增长的原因有很多,其中最主要的原因是由于攻击程序编辑日趋简单化,黑客只需对互联网购买的工具进行简单编辑,就能够轻易得到有针对性的攻击程序。
零日漏洞(Zero-Days)指应用软件或上网套件存在漏洞,但厂商还未进行修复的真空期,黑客可以对该漏洞进行攻击,由于尚未进行修复,企业完全没有抵挡能力。从2006年的13个,到了2015年达到了54个,最“着名”的漏洞是Adobe Flash漏洞,如今很多厂家都在呼吁用H5等新格式来替代Flash.
目标攻击(Targeted Attacks)或者说社会工程学攻击正在增加,使用传统垃圾邮件的攻击数量正在逐步减少,但提升了其攻击针对性,赛门铁克统计发现,目标性攻击自2012年的400个上升到现在的1300个,增长量超过3倍,受攻击比例上,大型企业占35%,中型企业占22%,小型企业占43%,小型企业的受攻击比例自2011年的18%上升至43%.这是由于小型企业安全意识度较低,安全系统成熟程度也不高,攻击难度比较低,因而侵入成功的几率较高。
数据泄露(Breaches)数量约达5亿条,2015年,共有4.2亿信息数据遭到泄露,包括全球共发生9个大型信息泄漏事件,但由于部分小型企业可能存在信息泄漏而不自知,或未进行报案的情况,信息实际泄露数量应高于4.2亿。赛门铁克预计,2015年的数据泄漏数量约达5亿条,较2014年增长30%.
网站漏洞(Vulnerabilities),赛门铁克检测发现,2013-2015年间存在漏洞的网站分别达到76%、77%、78%,呈现逐年增长趋势。黑客能够利用尚未更新或修补的已知漏洞,在受影响的服务器上安装Brobot恶意软件,这种恶意软件能够把存在安全漏洞网站变成僵尸网络,黑客通过这些网站实现对目标的DDoS攻击,表面上网站是一个攻击者,但它实质上同样是受害者。
勒索软件(Ransomware),2015年,许多企业以及个人用户遭遇勒索软件的攻击,勒索软件从早期修复、清理、罚款、到现在加密勒索都呈现出持续演进的势态,2015年的攻击数量增长了35%,得益于便捷的付款方式。今年,勒索软件的攻击范围从个人电脑蔓延至智能手机、Mac和Linux系统。时,iOS系统中也已经出现勒索软件攻击,iOS系统已经打破安全的神话,不再是绝对安全的系统平台。网络罪犯不断寻找联网设备来进行挟持,并要求受害者支付赎金,企业将会是下一个目标。
消费者诈骗(Consumer Scam),在2015年,赛门铁克看到许多针对物联网智能设备的攻击频频发生,例如,网络罪犯利用虚假‘技术支持’的诈骗方式在去年增长了200%.但与过去不同的是,诈骗罪犯如今通过向智能手机和类似设备发送虚假的警告消息,使用户主动致电给攻击者所运行的呼叫中心,从而上当购买虚假的服务,或者攻击汽车中控系统远程盗取汽车。
李辉还表示,通过分析,发现网络犯罪正在趋于职业化,零日漏洞爆出后,攻击者会改装用于攻击的漏洞开发工具包,根据漏洞的更新情况,对其工具包进行更新,快速针对该漏洞进行攻击;技术支持类骗局由专业的犯罪团队进行诈骗,不同犯罪人员各司其职,对于黑客而言,本应该没有休息或假期,但赛门铁克发现,这些在技术支持“客服中心”的犯罪者,会在周末或节假日停止攻击和诈骗,这表明,网络犯罪越发专业,犯罪者会根据目标群体的时间而进行针对性攻击。
随着攻击者不断变换攻击手段,企业和消费者应该采取多种方法来实现安全防护。赛门铁克公司建议采取以下措施:
对于企业:
●部署安全解决方案:用户应该部署高级威胁智能解决方案,及时发现入侵信号并做出快速响应。
●采用强大的安全态势:部署多层端点安全防护、网络安全防护、加密、强大且有效的身份验证,采用拥有高信誉的技术。赛门铁克建议企业用户与托管安全服务提供商合作,增强IT团队的防御能力。
●为最坏的情况做好准备:事件管理可以确保用户的安全框架得到优化,并具备可测量和可重复性,以及帮助用户吸取教训,从而改善安全态势。赛门铁克建议企业用户考虑与第三方专家开展长期合作,从而强化危机管理。
●提供长期且持续的教育和培训:为所有员工提供模拟培训,建立有关的指南和流程,以保护个人和企业设备上的敏感数据。赛门铁克建议企业用户定期评估内部的调查团队,进行实战演练,确保企业拥有有效对抗网络威胁的必要技能。
对于消费者:
●使用强大的密码:为账户设置独特且强大的密码。赛门铁克建议用户每三个月更换一次密码,并且不要重复使用同样的密码。此外,赛门铁克还建议用户使用密码管理器来进一步保护自己的重要信息。
●在点击前慎重考虑:打开有风险的附件可能会导致将恶意软件安装到系统中。赛门铁克建议用户不要查看、点击或复制来源不明的电子邮件附件。
●拥有保护意识:与事后解决相比,保持安全防护更加重要。赛门铁克建议用户使用防病毒软件、防火墙、浏览器保护以及可抵御网络威胁的安全防护解决方案。
●警惕‘恐吓软件':声称免费、破解或盗版的软件更容易使用户受到恶意软件的攻击。社交工程攻击和勒索软件会让用户误以为自己的电脑受到了攻击,这些恶意程序会建议用户购买无用的软件或要求直接付费以清除威胁。
●拥有保护个人数据的意识:用户在线分享个人信息十分容易受到社交工程的攻击。赛门铁克建议用户减少在社交网络和其他平台上分享登录信息、出生日期和宠物姓名等个人信息,确保个人数据的安全。
总结:随着高速带宽普及,以及支付方式的便捷和多样化,这些都导致网络攻击也越来越方便,黑客也越来越职业化,因此企业和个人都应该加强防护!
