正文

Mandiant发布2016安全趋势报告

admin
admin V管理员 /0 评论 /14 阅读
0318
此篇文章发布距今已超过1143天,您需要注意文章的内容或图片是否可用!

信息安全作为整个IT市场细分的一个领域,它没有典型的季节性,也没有其他领域的周期性,因为安全是一种状态,对于安全的需求是无时无刻的,可以说地球上的企业没有一个是不需要为安全投资的,特别是在当今大数据的时代,安全问题成为了企业发展的头号敌人。

Mandiant是美国的一家著名网络安全公司,成立于2004年,公司拥有先进的安全产品和安全应急响应管理解决方案,我们的 “秘密武器”就是对威胁情报的预知能力。2014年,安全厂商FireEye以总价值10亿美元的股票和现金收购了Mandiant安全公司。

在过去的一年中,美国网络安全公司Mandiant曾对大量影响严重的数据泄漏事件进行了快速响应处理。我们从这些事件中发现了两个明显与往年有所不同的地方:

1.     与往年相比,越来越多的泄漏数据会被公开;

2.     攻击者的位置和动机呈现出一种多元化的趋势;

在2015年,大量数据泄漏事件的具体信息被曝光了出来。这也足以说明,信息安全产业正在经历着一场变革,而压力却全部集中在了很多企业和组织机构的身上。当某一企业或组织发生了数据泄漏之后,他们不仅要对社会公众的舆论作出回应,而且还要面对一系列由此事件所带来的违规问题和法律诉讼。在我们所处理的一些数据泄漏事件中,我们可以看到有的公司承受着外界给他们的巨大压力,而这些压力将会影响他们处理这些问题的效率。

2015年最有意思的一个新的发展趋势是破坏性攻击事件的数量正在不断上升。破坏性攻击指的是攻击者对数据加密并勒索赎金(例如CryptoLocker),勒索某一公司(盗窃数据,并以曝光数据为由威胁公司),从设备中删除数据或损坏系统,向源代码库中添加恶意代码,或者修改关键的企业数据等恶意行为。

我们还观察到了另一个新的发展趋势,攻击者的攻击目标开始转向了企业或机构中的个人身份信息。在此之前,我们曾经遇到过盗窃用户个人身份信息的事件,但是这类事件的发生次数在2015年增长得非常的快。

除此之外,我们还发现了第三大发展趋势。攻击者对智能物联网设备的兴趣越来越浓厚,他们会对这些设备进行有针对性的持续攻击。我们已经发现,有攻击者曾成功入侵过这类设备,并获得了目标设备的持久访问权限,而且他们还可以修改设备的安全访问控制表(ACLs),以此来访问设备受保护的部分。这样一来,攻击者就可以从这些设备中截获用户的网络通讯数据了。例如,之前曾有安全研究人员在世界黑客大会上演示了如何对特斯拉电动汽车进行攻击,而且智能家电(例如智能门铃,智能电视,以及智能开关等)和无人机等新型产品也无一幸免。

在观察到了这些发展趋势之后,我们可以从中得出一个结论:现在,我们的注意力不应该只放在某个方面的安全性上,无论是人为因素的影响,还是相关技术有设计缺陷,我们都应该开始对设备的整体安全性有一个新的认识。

用数字说话

针对企业网络设备的攻击

在过去的几年中,Mandiant还发现有攻击者成功入侵了类似路由器,交换机,以及防火墙等网络设备。这些设备往往是了企业网络基础设施中的重要组成部分,而且在安全检测人员对企业网络环境进行检测的过程中,这些设备往往会被忽略。尤其是当安全研究人员在系统中发现了后门程序,或者发现数据库被远程访问的时候,他们更加不会对这种网络硬件设备进行安全检查了。

FaaS-一个实时的安全检测与响应处理服务

无论在任何情况下,Faas(FireEye as a Service)服务都可以帮助客户进行安全威胁检测。我们的首要任务就是检测APT组织和网络犯罪分子给用户带来的安全威胁。当这些组织对用户进行攻击时,往往会给用户带来非常大的麻烦,而我们的职责就是保护用户不受这类复杂的攻击所侵害。

对单一主机或者单一客户端环境进行安全威胁检测往往是比较困难的,这也是一个历史性的难题。但是FaaS可以利用一系列高科技技术来实现这一点。Faas利用了先进的智能分层技术,再加上六个高级检测中心的配合,这样就可以保证用户二十四小时都处于安全监控之下。

2015年6月,Faas检测到了针对好几个客户的恶意网络钓鱼攻击(由APT3发动的)。FireEye的威胁情报中心经过分析和评估之后,认为APT3是一个高度成熟的黑客组织。在二十四小时之内,经过FireEye公司内多个安全部门的合作分析,我们在其钓鱼邮件中发现了一段针对Adobe Flash 0 day漏洞的利用代码。在不到三周的时间里,APT3曾利用这个0 day漏洞以及大量其他的恶意软件对FaaS的14个客户进行了攻击。

总结

每一年,攻击者都会研发出新的攻击技术来对目标进行恶意攻击。而与此同时,安全团队的研究人员也积累了大量的经验,而且现在的设备越来越先进,这些因素都能够有效地帮助安全研究人员与这些黑客技术做斗争。除此之外,我们所依赖的技术更新换代的速度也非常之快,这也就要求我们的思维能够跟得上安全领域的发展速度。我们必须开发出新的安全技术来保护自己,而且此时往往没有任何的安全实践案例可供我们参考。

正是这种“猫捉老鼠”的游戏才使得信息安全成为了一个非常特殊的领域,而且还非常富有挑战性。“足够好”往往意味着还不够好。即使与过去五年相比,现在每天平均发生的入侵事件数量已经在稳步下降了,但我们离成功还有很长一段路要走。

当某个企业或组织发生了数据泄漏事件之后,他们往往需要考虑和处理很多其他的事情,而不是第一时间去关心到底那些数据被盗了,攻击者到底是怎么入侵我们的系统的,以及如何解决这一问题。受到攻击的组织机构将会面临公众舆论的压力,政府的调查,以及之前可能从未遇到过的法律诉讼。而且,数据泄漏事件也逐渐开始影响普通人的生活了。

我们必须不断地发展我们的安全防护技术,只有这样才能跟得上不断变化的黑客技术。这也就意味着,我们必须将安全防护程序的开发过程视作一个永无止境的更新过程,这样才可以保护人们不受恶意攻击活动的侵害。