[[188212]]

網(wǎng)絡(luò)犯罪是門(mén)大生意，正在以指數(shù)速度蔓延。英國(guó)倫敦勞埃德保險(xiǎn)社估計(jì)2015年的網(wǎng)絡(luò)犯罪的市場(chǎng)為4000億美元。僅僅兩年后的今天，世界經(jīng)濟(jì)論壇預(yù)計(jì)目前網(wǎng)絡(luò)犯罪市場(chǎng)達(dá)3萬(wàn)億美元。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)投資公司預(yù)測(cè)：到2021年，網(wǎng)絡(luò)犯罪將使全球每年的市場(chǎng)達(dá)6萬(wàn)多億美元。

網(wǎng)絡(luò)犯罪爆炸性增長(zhǎng)背后的推動(dòng)力之一在于網(wǎng)絡(luò)罪犯能夠深入互聯(lián)網(wǎng)某處“犯罪天堂”進(jìn)行非法交易，這是大多數(shù)人從來(lái)沒(méi)有見(jiàn)過(guò)的地方，也不知道如何訪問(wèn)。“暗網(wǎng)”是普通網(wǎng)頁(yè)瀏覽器瀏覽不到的，由匿名層進(jìn)行保護(hù)，已經(jīng)成為商業(yè)犯罪的天堂。

要深入了解激增的網(wǎng)絡(luò)威脅和在線犯罪活動(dòng)，我們需要從獲取優(yōu)質(zhì)信息開(kāi)始。今天，F(xiàn)ortinet 發(fā)布2016年第四季度的威脅趨勢(shì)報(bào)告。報(bào)告中的數(shù)據(jù)來(lái)自全球各地的數(shù)百萬(wàn)安全設(shè)備，這些設(shè)備每天分析多達(dá)500億威脅信息。這意味著該報(bào)告中詳述的結(jié)論和趨勢(shì)是以2016年10月1日到12月31日期間發(fā)生的萬(wàn)億次安全事件為基礎(chǔ)的。

這種威脅情報(bào)的重要性無(wú)論怎樣強(qiáng)調(diào)都不過(guò)分。當(dāng)大多數(shù)IT安全專(zhuān)業(yè)人員花費(fèi)大量時(shí)間查閱日志文件和安全報(bào)告時(shí)，有必要將本地威脅情報(bào)放到更大的環(huán)境中來(lái)。新的和新出現(xiàn)的威脅都有一些特征和可執(zhí)行的IOC(IOC：indications of comprise，被利用的跡象)— 這些信息可以幫助減少威脅的影響，甚至可以阻止和/或預(yù)防威脅。如果你知道要尋找什么，總是容易發(fā)現(xiàn)并預(yù)防復(fù)雜的威脅。

當(dāng)然，隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施的持續(xù)發(fā)展，這一過(guò)程會(huì)越變?cè)綇?fù)雜。漏洞、惡意軟件和僵尸網(wǎng)絡(luò)不會(huì)憑空發(fā)生，所以必須研究基礎(chǔ)設(shè)施發(fā)展趨勢(shì)與威脅趨勢(shì)之間的關(guān)聯(lián)方式和因果關(guān)系。網(wǎng)絡(luò)威脅會(huì)隨著應(yīng)用、技術(shù)、配置、控制和行為的改變而不斷進(jìn)化和適應(yīng)。

例如，第四季度報(bào)告顯示使用SSL進(jìn)行加密的流量在傳輸網(wǎng)絡(luò)的所有流量中占據(jù)一半以上。HTTPS流量使用是一個(gè)值得監(jiān)控的重要趨勢(shì)，雖然這有助維護(hù)隱私，但卻對(duì)威脅檢測(cè)帶來(lái)挑戰(zhàn)，這些威脅可以隱藏在加密通信中。太多的SSL流量未經(jīng)檢查，因?yàn)榇蜷_(kāi)、檢查、再加密流量需要巨大的處理開(kāi)銷(xiāo)。這就迫使IT團(tuán)隊(duì)在安全防護(hù)和網(wǎng)絡(luò)性能之間進(jìn)行選擇。

此外，我們還發(fā)現(xiàn)，企業(yè)及組織機(jī)構(gòu)正在使用的云應(yīng)用程序數(shù)量不斷上漲。企業(yè)內(nèi)部運(yùn)行的所有應(yīng)用程序中將近三分之一基于云端。這種趨勢(shì)(又稱(chēng)影子IT)對(duì)安全具有重要影響，因?yàn)镮T團(tuán)隊(duì)對(duì)云應(yīng)用程序中駐留的數(shù)據(jù)沒(méi)有足夠的可見(jiàn)性，不了解數(shù)據(jù)的使用方式以及數(shù)據(jù)訪問(wèn)者的身份。

雖然該報(bào)告研究大范圍的威脅和數(shù)據(jù)，但關(guān)注點(diǎn)在于網(wǎng)絡(luò)罪犯當(dāng)前所利用的三種集中威脅趨勢(shì)——應(yīng)用程序漏洞利用、惡意軟件、僵尸網(wǎng)絡(luò)。對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，這些就是每天都要全力應(yīng)付的具體且實(shí)際的問(wèn)題。

此外， 2016年第四季度的網(wǎng)絡(luò)攻擊數(shù)量、發(fā)生率和強(qiáng)度同樣繼續(xù)呈上升。例如，安全行業(yè)在該季度遭受1-2 次沉重打擊 ，發(fā)生了史上最大規(guī)模的數(shù)據(jù)泄露和分布式拒絕服務(wù)攻擊， 其數(shù)量和影響均為之前有記錄可查的最嚴(yán)重攻擊的兩倍。

雖然這種針對(duì)性攻擊往往占據(jù)新聞?lì)^條，但是大多數(shù)組織機(jī)構(gòu)面臨的大部分威脅以及因此產(chǎn)生的大部分經(jīng)濟(jì)損失都具有機(jī)會(huì)主義性質(zhì)。

故此，最有效的安全工作仍然需要審查安全狀況和策略、最小化外部可見(jiàn)和可訪問(wèn)的攻擊表面;方法是安裝補(bǔ)丁和系統(tǒng)強(qiáng)化，在網(wǎng)絡(luò)覆蓋范圍內(nèi)構(gòu)建并實(shí)施高級(jí)威脅檢測(cè)和響應(yīng)措施，增強(qiáng)分布式網(wǎng)絡(luò)(包括終端、物聯(lián)網(wǎng)和云端)范圍內(nèi)的可見(jiàn)性和控制能力。

以下是第四季度報(bào)告中的一些亮點(diǎn)摘要：

• 哦，Mirai。此次創(chuàng)紀(jì)錄的分布式拒絕服務(wù)攻擊利用了眾多日常聯(lián)網(wǎng)設(shè)備，該新聞使物聯(lián)網(wǎng)安全爭(zhēng)論達(dá)到白熱化的程度。背后源代碼的公布使Mirai僵尸網(wǎng)絡(luò)活動(dòng)數(shù)量立刻增加了25倍，是我們觀察到的所有季度中周間漲幅最大的一次。在2016年結(jié)束之前，該僵尸網(wǎng)絡(luò)活動(dòng)數(shù)量最終漲了5倍。我們或?qū)⒖吹骄W(wǎng)絡(luò)罪犯越來(lái)越多的利用未受保護(hù)的存在漏洞的IoT設(shè)備。

• 無(wú)窮盡被利用的漏洞。網(wǎng)絡(luò)犯罪的增長(zhǎng)擴(kuò)大了可能的攻擊足跡，每個(gè)人都可能成為潛在目標(biāo)。每個(gè)組織或機(jī)構(gòu)平均存在10.7個(gè)的應(yīng)用程序漏洞，而10家公司中有9家檢測(cè)到重大或非常嚴(yán)重的漏洞。

• 老就是新。網(wǎng)絡(luò)罪犯通也會(huì)抓住大多數(shù)企業(yè)網(wǎng)絡(luò)的通病，“如果它沒(méi)有破，不要修理它。”這就是為什么足有86%的公司所遇到的攻擊，是通過(guò)已經(jīng)存在十多年的漏洞而滲透進(jìn)入的。這些公司中的幾乎40%發(fā)現(xiàn)這些攻擊所針對(duì)的CVE(常見(jiàn)漏洞和風(fēng)險(xiǎn))第一次被確認(rèn)還是在上一個(gè)世紀(jì)。

• 下一個(gè)勒索對(duì)象在哪?勒索軟件是網(wǎng)絡(luò)罪犯最熱衷的收入來(lái)源。我們看到的不僅有新的勒索軟件變體，還有勒索軟件即服務(wù)(RaaS)的興起。正如Fortinet在我們的2017 威脅預(yù)測(cè)報(bào)告中所解釋的，勒索軟件即服務(wù)使幾乎沒(méi)有接受過(guò)技能培訓(xùn)的罪犯只要下載工具并將其指向受害者就能夠賺錢(qián)，前提是與開(kāi)發(fā)者分享一部分利潤(rùn)。這就是我們預(yù)測(cè)這種高價(jià)值攻擊方法將在2017年大幅增加的部分原因。除了數(shù)據(jù)贖回，我們還注意到服務(wù)贖回的上升趨勢(shì)。我們的記錄顯示36%的組織機(jī)構(gòu)在第四季度檢測(cè)到與勒索軟件有關(guān)的僵尸網(wǎng)絡(luò)活動(dòng)。雖然這種情況出現(xiàn)在所有地區(qū)和行業(yè),但我們發(fā)現(xiàn)醫(yī)療保健機(jī)構(gòu)特別普遍。

• 堪稱(chēng)惡意軟件家族中的黑手黨。兩個(gè)惡意軟件系列(Nemucod 與Agent)在第四季度繼續(xù)興風(fēng)作浪，在所有捕獲的惡意軟件樣本中的比例達(dá)到令人震驚的81.4%。Nemucod系列因?yàn)榕c勒索軟件的關(guān)系而臭名昭彰。除了這兩個(gè)頂級(jí)惡意軟件系列，第四季度惡意軟件數(shù)量上升的最大原因是Locky勒索軟件。這些都是有組織網(wǎng)絡(luò)犯罪團(tuán)伙的產(chǎn)物。

• 轉(zhuǎn)向移動(dòng)設(shè)備。網(wǎng)絡(luò)犯罪傾向于安全鏈中最薄弱的一環(huán)。大約每5家組織中就有一家報(bào)告移動(dòng)惡意軟件呈上升之勢(shì)，目前在所有惡意軟件數(shù)量中的比例接近2%。我們還發(fā)現(xiàn)移動(dòng)惡意軟件存在明顯的區(qū)域差異。例如，36%的非洲組織發(fā)現(xiàn)了移動(dòng)惡意軟件，而歐洲的這一比例為8%。

• 僵尸網(wǎng)絡(luò)無(wú)處不在。我們檢測(cè)到每個(gè)組織平均存在6.7個(gè)獨(dú)特的活躍僵尸網(wǎng)絡(luò)系列。該比率在中東、非洲和拉丁美洲等新興地區(qū)為最高。

• 季節(jié)性活動(dòng)。零售/酒店和教育行業(yè)的威脅數(shù)據(jù)顯示，這些行業(yè)的網(wǎng)絡(luò)威脅活動(dòng)帶有季節(jié)性，尤其是第四季度。如同熊在鮭魚(yú)產(chǎn)卵季節(jié)聚集在河邊一樣，一年中最繁忙的購(gòu)物節(jié)才是網(wǎng)絡(luò)罪犯最活躍的時(shí)候，因?yàn)槟菚r(shí)候很多購(gòu)物者保持在線或進(jìn)行電子交易。

要了解您所在企業(yè)及組織機(jī)構(gòu)的的威脅趨勢(shì)，請(qǐng)注意以下兩點(diǎn)：1)您所面臨的威脅趨勢(shì)與其他組織所面臨威脅趨勢(shì)的相似程度超過(guò)您的想象，但是2)它與其他威脅趨勢(shì)的差異也是你可能沒(méi)有想到的。了解您可以借鑒別人的哪些策略、戰(zhàn)術(shù)和威脅情報(bào)以及哪些可以安全地?cái)R置一邊是非常有價(jià)值的學(xué)問(wèn)，需要耐心和專(zhuān)業(yè)知識(shí)來(lái)培養(yǎng)。Fortinet網(wǎng)絡(luò)威脅情報(bào)可以為您提供幫助。

作為我們打擊日益增長(zhǎng)網(wǎng)絡(luò)犯罪活動(dòng)承諾的一部分，我們將每季度發(fā)布一次“Fortinet威脅趨勢(shì)報(bào)告”。作為全球最早的威脅研究和分析組織之一，F(xiàn)ortinet有很多重要的數(shù)據(jù)期待與您共享。