思科發表年度安全報告 指出網路安全就緒程度在認知與實際情況存有巨大落差
【2015年1月28日,台灣訊】思科發表《思科2015年度安全報告》,針對威脅情資與網路安全趨勢進行調查,顯示組織必須以「全員參與」的方式來防禦網路攻擊。攻擊者愈趨精明,知道如何利用安全漏洞規避偵測並隱匿惡意行動。防禦者,也就是資安團隊,必須持續改善防護方法,才能保護組織免於遭受日益精良的網路攻擊活動。這些問題更隨著攻擊者的地緣政治動機、以及與當地法律相衝突的要求而更趨複雜,包括數據主權認定、數據在地化及數據加密等方面。
攻擊者
網路罪犯不斷增進攻擊手法進行攻擊活動,使其更難被偵測與分析。根據思科的威脅情資分析出去年前3大攻擊趨勢為:
- 「雪靴」垃圾郵件(Snowshoe Spam):一種新興的熱門攻擊方式,攻擊者從大量IP位址中發送少量垃圾郵件以規避偵測,其中是利用已被入侵的帳號來做攻擊。
- 隱匿在明顯易見之處的網路攻擊套件:常見的攻擊套件很快就會被資安公司破解,因此網路罪犯轉而運用其他較少見的套件,成功執行攻擊策略。此方式較不容易引起注意,進而成為持續發展的攻擊模式。
- 惡意攻擊組合:Flash和JavaScript傳統上都曾是安全堪慮的程式,但隨著安全偵測與防禦技術的進步,攻擊者學會結合兩者的弱點並展開攻擊。攻擊程式可同時被Flash和JavaScript兩種檔案共享,讓安全裝置更加難以辨別和封鎖攻擊,或是透過逆向工程工具進行分析。
使用者
使用者面臨左右夾攻的情況,因為他們不僅是網路攻擊的目標,也在不知不覺中成為網路攻擊的幫手。思科威脅情資研究顯示在2014年間,攻擊者逐漸將他們的攻擊焦點從企圖癱瘓伺服器和作業系統,轉向攻擊使用者的瀏覽器和電子郵件。使用者從問題網站下載檔案,使得針對Silverlight的攻擊程式數量增加228%,垃圾郵件和惡意廣告的攻擊程式數量成長250%。
防禦者
思科資安能力基準研究報告,以9國共1,700家企業的資訊安全長(CISOs)和安全營運(SecOps)主管為調查對象*,結果顯示防禦者對於自身安全能力的認知與事實之間存有巨大落差。其中,75%的 CISOs 認為他們的安全工具很有效或非常有效。然而,不到50% 的受訪者使用如修補程式和組態等標準工具來補強安全缺口,並確認使用最新版本。Heartbleed為去年最具代表性的安全漏洞,但仍有56%已安裝的OpenSSL為4年前的版本,這是資安團隊未能適時更新安全程式的證明。
雖然許多防禦者以為他們使用的安全程序已達最佳化,安全工具也確實有效,但其實他們的安全就緒程度可能有待加強。
報告結論顯示,企業中的董事會應承擔起制定資安任務優先順序和期望值的角色。思科「安全宣言(Security Manifesto)」為一套正式安全準則,作為網路安全的基礎,協助企業董事會、資安團隊及使用者更加瞭解並回應現今的網路安全挑戰。當企業要建立一套更靈活的安全方案,並在創新及實作方面領先網路罪犯,可將此安全準則作為基準。此準則包括:
- 資訊安全必須能支援企業營運
- 資訊安全必須與既有架構相容且具使用性
- 資訊安全必須透明化且資訊化
- 資訊安全必須具有能見度並可採取適當的行動
- 資訊安全必須被視同為「人的問題」
若欲閱讀思科年度安全研究報告,完整內容請至 www.cisco.com/go/asr2015。
關於此報告
思科2015年度安全報告為全球知名安全調查報告,檢視思科資安專家蒐集的最新威脅情資,提供2015年網路安全趨勢的產業洞察、趨勢和重大發現。這份報告也納入思科資安能力基準研究(Cisco Security Capabilities Benchmark Survey)的數據資料,分析企業的安全態勢及其對自身防禦網路攻擊的戰備感知能力。此外,報告內容也涵蓋地緣政治趨勢、全球性的在地資料開發及將網路安全決策提升為董事會層級的議題。
支援引述
思科資深副總裁暨資訊安全長John N. Stewart:「安全需要一套全員參與的完整方案,從董事會到個別使用者,每個人都應該投入。過去我們擔心DoS作業系統(Disk Operating System),現在我們也擔心資料受損;我們曾經擔心IP位址被盜用,現在我們擔心關鍵業務停擺。我們的敵人日趨精明,利用我們的弱點,在顯而易見之處隱藏他們的攻擊。有效的資安措施必須在全程攻擊中提供持續性的防護,採用的技術必須依此些需求來設計建置。線上服務必須具備回復力,所有動作都必須立即到位才能夠保護我們的未來,而我們的產業必須具備前所未有領導力、合作與當責的能力。」
思科安全事業群首席工程師Jason Brvenik:「攻擊者越來越擅長利用安全漏洞,我們發現56%的OpenSSL版本仍易遭受Heartbleed攻擊,而主要的攻擊只需利用1%的高度危急弱點就能成功。儘管如此,仍有不到半數的受訪資安團隊會採用修補程式及組態管理等標準工具來預防安全缺口。即便使用領先的安全技術,企業仍需要傑出的防護程序,才能夠在日益複雜的攻擊活動中保護組織和使用者。」
補充資料
- 思科資深副總裁暨資訊安全長John N. Stewart年度安全報告短評影片
- 閱讀思科安全部落格
- 關注推特:@CiscoSecurity
- 至Facebook思科安全專頁按讚
* 包括美國、巴西、英國、德國、義大利、印度、中國、澳大利亞及日本。
關於思科:
思科 (NASDAQ:CSCO)為領導全球的IT網路技術供應商,協助企業透過聯所未連之科技,掌握明日商機。有關思科的最新資訊,請瀏覽http://thenetwork.cisco.com。