网络犯罪是门大生意,正在以指数速度蔓延。英国伦敦劳埃德保险社估计2015年的网络犯罪的市场为4000亿美元。仅仅两年后的今天,世界经济论坛预计目前网络犯罪市场达3万亿美元。网络安全风险投资公司预测:到2021年,网络犯罪将使全球每年的市场达6万多亿美元。
网络犯罪爆炸性增长背后的推动力之一在于网络罪犯能够深入互联网某处“犯罪天堂”进行非法交易,这是大多数人从来没有见过的地方,也不知道如何访问。“暗网”是普通网页浏览器浏览不到的,由匿名层进行保护,已经成为商业犯罪的天堂。
要深入了解激增的网络威胁和在线犯罪活动,我们需要从获取优质信息开始。今天,Fortinet 发布2016年第四季度的威胁趋势报告。报告中的数据来自全球各地的数百万安全设备,这些设备每天分析多达500亿威胁信息。这意味着该报告中详述的结论和趋势是以2016年10月1日到12月31日期间发生的万亿次安全事件为基础的。
这种威胁情报的重要性无论怎样强调都不过分。当大多数IT安全专业人员花费大量时间查阅日志文件和安全报告时,有必要将本地威胁情报放到更大的环境中来。新的和新出现的威胁都有一些特征和可执行的IOC(IOC:indications of comprise,被利用的迹象)— 这些信息可以帮助减少威胁的影响,甚至可以阻止和/或预防威胁。如果你知道要寻找什么,总是容易发现并预防复杂的威胁。
当然,随着网络基础设施的持续发展,这一过程会越变越复杂。漏洞、恶意软件和僵尸网络不会凭空发生,所以必须研究基础设施发展趋势与威胁趋势之间的关联方式和因果关系。网络威胁会随着应用、技术、配置、控制和行为的改变而不断进化和适应。
例如,第四季度报告显示使用SSL进行加密的流量在传输网络的所有流量中占据一半以上。HTTPS流量使用是一个值得监控的重要趋势,虽然这有助维护隐私,但却对威胁检测带来挑战,这些威胁可以隐藏在加密通信中。太多的SSL流量未经检查,因为打开、检查、再加密流量需要巨大的处理开销。这就迫使IT团队在安全防护和网络性能之间进行选择。
此外,我们还发现,企业及组织机构正在使用的云应用程序数量不断上涨。企业内部运行的所有应用程序中将近三分之一基于云端。这种趋势(又称影子IT)对安全具有重要影响,因为IT团队对云应用程序中驻留的数据没有足够的可见性,不了解数据的使用方式以及数据访问者的身份。
虽然该报告研究大范围的威胁和数据,但关注点在于网络罪犯当前所利用的三种集中威胁趋势——应用程序漏洞利用、恶意软件、僵尸网络。对于大多数企业来说,这些就是每天都要全力应付的具体且实际的问题。
此外, 2016年第四季度的网络攻击数量、发生率和强度同样继续呈上升。例如,安全行业在该季度遭受1-2 次沉重打击 ,发生了史上最大规模的数据泄露和分布式拒绝服务攻击, 其数量和影响均为之前有记录可查的最严重攻击的两倍。
虽然这种针对性攻击往往占据新闻头条,但是大多数组织机构面临的大部分威胁以及因此产生的大部分经济损失都具有机会主义性质。
故此,最有效的安全工作仍然需要审查安全状况和策略、最小化外部可见和可访问的攻击表面;方法是安装补丁和系统强化,在网络覆盖范围内构建并实施高级威胁检测和响应措施,增强分布式网络(包括终端、物联网和云端)范围内的可见性和控制能力。
以下是第四季度报告中的一些亮点摘要:
- 哦,Mirai。此次创纪录的分布式拒绝服务攻击利用了众多日常联网设备,该新闻使物联网安全争论达到白热化的程度。背后源代码的公布使Mirai僵尸网络活动数量立刻增加了25倍,是我们观察到的所有季度中周间涨幅最大的一次。在2016年结束之前,该僵尸网络活动数量最终涨了5倍。我们或将看到网络罪犯越来越多的利用未受保护的存在漏洞的IoT设备。
- 无穷尽被利用的漏洞。网络犯罪的增长扩大了可能的攻击足迹,每个人都可能成为潜在目标。每个组织或机构平均存在10.7个的应用程序漏洞,而10家公司中有9家检测到重大或非常严重的漏洞。
- 老就是新。网络罪犯通也会抓住大多数企业网络的通病,“如果它没有破,不要修理它。”这就是为什么足有86%的公司所遇到的攻击,是通过已经存在十多年的漏洞而渗透进入的。这些公司中的几乎40%发现这些攻击所针对的CVE(常见漏洞和风险)第一次被确认还是在上一个世纪。
- 下一个勒索对象在哪?勒索软件是网络罪犯最热衷的收入来源。我们看到的不仅有新的勒索软件变体,还有勒索软件即服务(RaaS)的兴起。正如Fortinet在我们的2017 威胁预测报告中所解释的,勒索软件即服务使几乎没有接受过技能培训的罪犯只要下载工具并将其指向受害者就能够赚钱,前提是与开发者分享一部分利润。这就是我们预测这种高价值攻击方法将在2017年大幅增加的部分原因。除了数据赎回,我们还注意到服务赎回的上升趋势。我们的记录显示36%的组织机构在第四季度检测到与勒索软件有关的僵尸网络活动。虽然这种情况出现在所有地区和行业,但我们发现医疗保健机构特别普遍。
- 堪称恶意软件家族中的黑手党。两个恶意软件系列(Nemucod 与Agent)在第四季度继续兴风作浪,在所有捕获的恶意软件样本中的比例达到令人震惊的81.4%。Nemucod系列因为与勒索软件的关系而臭名昭彰。除了这两个顶级恶意软件系列,第四季度恶意软件数量上升的最大原因是Locky勒索软件。这些都是有组织网络犯罪团伙的产物。
- 转向移动设备。网络犯罪倾向于安全链中最薄弱的一环。大约每5家组织中就有一家报告移动恶意软件呈上升之势,目前在所有恶意软件数量中的比例接近2%。我们还发现移动恶意软件存在明显的区域差异。例如,36%的非洲组织发现了移动恶意软件,而欧洲的这一比例为8%。
- 僵尸网络无处不在。我们检测到每个组织平均存在6.7个独特的活跃僵尸网络系列。该比率在中东、非洲和拉丁美洲等新兴地区为最高。
- 季节性活动。零售/酒店和教育行业的威胁数据显示,这些行业的网络威胁活动带有季节性,尤其是第四季度。如同熊在鲑鱼产卵季节聚集在河边一样,一年中最繁忙的购物节才是网络罪犯最活跃的时候,因为那时候很多购物者保持在线或进行电子交易。
要了解您所在企业及组织机构的的威胁趋势,请注意以下两点:1)您所面临的威胁趋势与其他组织所面临威胁趋势的相似程度超过您的想象,但是2)它与其他威胁趋势的差异也是你可能没有想到的。了解您可以借鉴别人的哪些策略、战术和威胁情报以及哪些可以安全地搁置一边是非常有价值的学问,需要耐心和专业知识来培养。Fortinet网络威胁情报可以为您提供帮助。
作为我们打击日益增长网络犯罪活动承诺的一部分,我们将每季度发布一次“Fortinet威胁趋势报告”。作为全球最早的威胁研究和分析组织之一,Fortinet有很多重要的数据期待与您共享。