2016戴尔安全年度威胁报告执行摘要

标签:安全数据戴尔

访客:20619  发表于:2016-03-21 13:26:01

引言

2015年发生的数据泄露事故不是因为受害者缺乏安全保护,而是因为攻击者发现并利用了他们安全机制中的小漏洞。

数据泄露事故年年有,2015年特别多。无论是从泄露数据的数量级还是从受影响企业的规模来看,2015年可说是数据泄露大灾年。这些泄露事故的受害者包括大型保险公司;政府机构,例如美国人事管理办公室(OPM);零售商,包括沃尔玛、CVS和Costco;以及在线企业,例如Ashley Madison交友网站。与往年一样,这些数据泄露事故的发生并不是因为受害者缺乏安全保护,而是因为攻击者发现并利用了他们安全机制中的小漏洞。

在2015年,攻击者充分利用了各种机会来发动攻击,通过第三方供应商、受感染的笔记本电脑、社会工程学或恶意软件等。但其实,每次成功的攻击都为安全专业人员提供了机会来学习其他人的经验教训,我们可以通过这些经验教训来审视自己的战略,并发现自己防御系统的缺陷。这也是为什么我们每年为广大读者呈现戴尔SonicWALL威胁研究团队调查发现的最常见的攻击,我们的目标是帮助各种规模的企业在2016年更有效地抵御攻击,无论是来自已知威胁还是尚未出现的威胁。

主要调查结果包括:

• 漏洞利用工具包不断改进,领先于企业安全系统,它们具有更快的速度、更高的隐藏性以及新颖的变身能力。

• 攻击者继续利用SSL/TLS加密,这在2015年导致至少9亿用户受到这种隐藏攻击的影响。

• 与2014年相比,针对Android生态系统的恶意软件持续增加,让Android智能手机的市场份额受到影响。

• 恶意软件攻击几乎翻了一番,达到81.9亿;流行的恶意软件家族继续在变身,它们具有不同的使用期限,也因地域而有所不同。

这些数据由戴尔SonicWALL全球响应智能防御(GRID)网络收集,该网络从大量设备和资源收集信息,包括:

• 在近200个国家和地区部署的超过100万安全传感器;

• 安全系统之间共享威胁相关的信息,包括戴尔威胁中心的防火墙、电子邮件安全、端点安全、蜜罐、内容过滤系统和沙盒技术;

• 戴尔SonicWALL专有恶意软件分析自动化;

• 来自全球数以万计防火墙和电子邮件安全设备的恶意软件/IP信誉数据;

• 50多家行业协会和研究组织的共享威胁情报;

• 来自自由职业安全研究人员的情报;

• 来自受戴尔SonicWALL电子邮件安全设备保护的数百万计算机用户的垃圾邮件警报信息。

2015年威胁调查结果

预测和防御新威胁的最好方法之一是分析最近的数据泄露事故。戴尔从2015年四个主要调查结果中得出2016年安全预测和安全建议,具体包括:

1、漏洞利用工具包不断改进,领先于企业安全系统,它们具有更快的速度、更高的隐藏性以及新颖的变身能力

在2015年,漏洞利用包行为仍然是呈动态的,这导致工具包的数量和类型的增加。今年最活跃的工具包是Angler、Nuclear、Magnitude和Rig,这些大量可用的漏洞利用工具包为攻击者提供了无限的机会来瞄准最新的零日漏洞,包括Adobe Flash、Adobe Reader和Microsoft Silverlight中出现的漏洞。

戴尔SonicWALL指出2015年漏洞利用工具包的关键变化包括:

• 利用反取证机制来逃避安全系统检测

在2015年9月,戴尔SonicWALL威胁研究团队发现了一个重大的未分级的漏洞利用工具包,该团队将其命名为Spartan。这个工具包可有效逃避安全系统的检测,它通过加密器初始代码以及在内存中生成可利用代码,并不写入磁盘。

• 逃避技术的升级,例如URL模式转变

在2015年9月,戴尔SonicWALL观察到Nuclear利用工具包首先使用search?q作为登录页面重定向URL的一部分。在2015年10月,这个URL改为/url?sa,这让防病毒软件和防火墙难以检测。漏洞利用工具包通常还会检查防病毒软件或虚拟环境(例如VMware或VirtualBox),并相应地修改其代码,提高攻击成功率。

• 登录页面重定向技术变化

网络罪犯不再一定使用标准的document.write或iframe重定向。在2015年,Magnitude等较大型攻击开始使用隐藏技术,这涉及在另一个文件、消息、图片或视频内隐藏文件、消息、图片或视频。

• 登录页面包封技术变化

有些攻击直接调用JavaScript的功能来确定受害者正在使用的浏览器和插件,而不是利用整个JavaScript PluginDetect库。

2、攻击者继续利用SSL/TLS加密,在2015年这导致至少9亿用户受到这种隐藏攻击的影响。

通过利用SSL/TLS加密或HTTPS流量,精明的攻击者可加密命令和控制通信以及恶意代码来逃避入侵防御系统(IPS)及反恶意软件检查系统。这些攻击可以非常有效,因为大多数企业没有部署适当的基础设施来检测它们。传统网络安全解决方案通常无法检测SSL/TLS加密的流量,或者它们的性能非常低,当进行检查时瘫痪以至无法使用。

而攻击者充分利用了这种局面,加上全年HTTPS流量都在增加。在2015年8月,攻击者利用SSL/TLS加密来伪装受感染的Yahoo广告,导致多达9亿用户受到影响。这个攻击会重定向Yahoo访客到Angler感染的网站。而在数周前,另外还有1000万用户因为点击E-planning营销公司放置的广告而受到感染。

同时,戴尔SonicWALL发现HTTPS连接数量的增加,以及其使用的地理差异。

• 在2015年第四季度,HTTPS连接(SSL/TLS)占网络连接的64.6%,超过全年大部分时间HTTP的使用。

• 在2015年1月,HTTPS连接比前一年同比增长109%。此外,在2015年,每个月都比2014年相应月份增加53%。

• 从地域来看,2015年朝鲜HTTPS占网络连接的81.6%,而在韩国仅占34.4%。中国的HTTPS使用率最低,只占网络连接的8.63%。

3、与2014年相比,针对Android生态系统的恶意软件持续增加,让Android智能手机的市场份额受到影响。

在2015年,戴尔SonicWALL发现大量新的进攻型和防御型技术,这些技术试图增加针对Android生态

系统的攻击力度。

Stagefright是迄今为止发现的最危险的Android漏洞之一,该漏洞深深嵌入在Android操作系统中,估计影响运行Froyo 2.2到Lollipop 5.1.1的10亿台设备。所幸的是,在谷歌发现并修复这个漏洞之前,戴尔SonicWALL和其他安全组织没有发现用户受到感染。

另外,戴尔SonicWALL发现2015年针对Android设备的攻击的几个新趋势:

• 针对Android的勒索软件开始流行

在2015年9月,戴尔SonicWALL发现新的勒索软件变体,其中添加了随机生成的PIN到典型的勒索软件锁屏。

• Android恶意软件编写者继续寻找创新的方法来逃避检测和分析

在2015年,他们开始将恶意代码作为库文件的一部分,而不是类文件,因为类文件更可能被杀毒软件扫描。此外,在2015年,名为AndroidTitanium的新Android恶意软件开始兴起,该恶意软件将恶意内容作为libTitaniumCore.so存储到lib文件夹中的Unix库文件,这个.so文件被lasses.dex文件的类加载作为本地库。通过简单地引用保存在其他地方的内容,该恶意软件可确保classes.dex文件本身没有恶意内容。

• 金融行业仍然是Android恶意软件的主要目标,很多恶意威胁开始瞄准受感染设备的银行应用

在2015年9月,戴尔SonicWALL发现从受感染设备窃取信用卡和银行相关信息的攻击活动。在这个攻击活动中,很多恶意Android安装包(APK)利用官方Google Play Store作为渠道来诱骗受害者输入其信用卡信息。有些APK还监控硬编码应用(特别是金融应用)以窃取登录信息,这些恶意应用还可以远程执行通过短信接收到的命令,并传输设备相关数据给攻击者。

4、恶意软件攻击几乎翻了一番,达到81.9亿;流行的恶意软件家族继续在变身,它们具有不同的使用期限,也因地域而有所不同。

仅在2015年,戴尔SonicWALL就收到6400万独特的恶意软件样本,2014年只有3700万。而且,攻击尝试的次数几乎增加一倍,从2014年42亿增加到2015年81.9亿。这种无处不在的威胁给网络世界造成严重破坏,也影响着政府机构、组织、企业甚至个人。有时候,恶意软件被设计为瞄准特定的群体;而有时候会因为外部原因感染某些群体。

戴尔SonicWALL在2015年观察到的恶意软件类型根据时限、国家和利益群体而有很大差异:

• 持久的恶意软件

Dyre Wolf企业银行木马是去年最活跃的恶意软件之一。它于2015年2月出现,一直到12月都保持活跃状态。到4月,企业已经因Dyre Wolf损失150到650万美元。Dyre Wolf攻击寿命这么长有很多原因,包括其盈利能力(吸引攻击者)、频繁的二进制代码更新、复杂的反检测技术以及容易传播等。

在2015年,Dyre Wolf和Parite占最高的恶意软件网络流量。其他持久的恶意软件包括TongJi(多个路过式攻击使用的恶意JavaScript);Virut(自2006年就开始活跃的网络犯罪僵尸网络);以及死灰复燃的Conficker,这是自2008年以来针对微软Windows操作系统的知名计算机蠕虫病毒。

• 地理占主导的恶意软件

在2015年,个别恶意软件变体的流行度与地理位置有着明显的关联。其中有着明确政治意图的地域攻击是Upatre木马,它在2015年6月和7月主导德国地区。Upatre会向受感染用户展示反无人机的消息,呼吁用户反对美国政府在战争中使用无人机。而在2015年10月和11月,戴尔SonicWALL发现的Spartan漏洞利用工具包主要集中在俄罗斯。同时,Windows XP恶意软件CVE-2010-2568则在印度极受欢迎,因为印度仍然在广泛使用XP。

2015年主要行业观察

在当今互联世界中,我们需要保持全面警惕。你的安全计划应该从你自己的软件和系统扩展到员工培训和访问权限,以及到访问你网络或数据的所有人。

2016年预测

根据2015年的观察结果和行业知识,我们预测2016年会有四个趋势:

1、HTTPS加密和威胁扫描之间的斗争会愈演愈烈,因为公司担心性能权衡问题。

2、2015年很多Flash零日病毒被发现和利用,然而,这个数字会逐渐下降,因为主要浏览器供应商(例如谷歌和Mozilla)已经停止支持Flash插件。

3、恶意威胁将会通过近场通信(NFC)漏洞来瞄准Android Pay。这些攻击可能利用恶意Android应用和POS终端,这是攻击者很容易获取和操纵的工具。

4、在2015年7月,《Wired》杂志报告称两名攻击者远程获取了2014年Jeep切诺基的控制权。尽管现在还没有汽车安装Android Auto,但随着时间的推移,这个数字预计会增加。我们可以预计恶意攻击者很快会入侵这个新的领域,他们可能会使用勒索软件(比如受害者必须支付赎金从汽车中出来,或者为了一些更具威胁性的目的)。

最后的话

在2015年,很多企业认为自己的企业受到了良好的安全保护,但仍然遭遇了数据泄露事故。这里的解决办法是企业应该以终端到终端的视角来解决安全问题,从数据的创建和存储到其使用以及传输的过程中,只要任何环节出现安全问题,整个系统都可能面临崩溃的风险。

我们可以将安全计划想象成建筑结构中最稳固形状之一:拱形。如果拱形的所有部件都部署到位,那将是不可动摇的结构,即使增加负载也不会坍塌。然而,如果拱形的某个部件缺失或者不足,该架构将无法承受丝毫的重量,无论其他部件多强硬。

对于安全专业人士来说,这意味着从每个角度检查你的安全计划,可参考以下问题:

我们不可能实现绝对的完美,但我们应该试图在董事会努力追求近乎完美的安全水平,这是避免2015年遭遇的数据泄露事故的唯一途径。这意味着IT领导者应该创建强有力的政策,延伸到企业的所有部门。同样重要的是,让整个企业了解这些政策的重要性,并保持对执行的监督。

为确保企业不成为数据泄露受害者,最佳方法是学习其他企业的经验教训。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");