最新勒索軟件將可直接限制 CPU 運行用量!你準備好隨時應對嗎?
最新勒索軟件將可直接限制 CPU 運行用量!你準備好隨時應對嗎?
前陣子,勒索軟件令企業人心惶惶,不過未來的勒索軟件將會愈來愈複雜,你準備好應對了嗎?在 Cisco 公佈的 2016 年中網絡安全報告中便揭示出,原來大部份企業並未作好準備,應對未來更複雜的勒索軟件攻擊。
脆弱的網絡基建、不健全的網絡保安環境、緩慢的偵測率等網絡環境,為網絡入侵者提供了充分的時間和空間作為掩護,策動網絡攻擊。根據報告指出,企業面對的最大挑戰是如何縮窄網絡攻擊範圍以減低入侵風險,這方面亦同時威脅著數碼轉型的所需發展基礎。其他報告結果包括攻擊者的目標擴大至伺服器的層面、層出不窮的攻擊手法,以及普遍利用加密方式掩飾其惡意攻擊。
從 2016 年至今,勒索軟件已成為歷來入侵者獲得最多利潤的惡意程式。Cisco 預測這個趨勢將會持續,當中更會出現破壞力驚人的勒索軟件,不僅靠自身散佈,甚至更可操控整個企業的網絡,進而向企業進行勒索。新型的模組化勒索軟件系列,能迅速切換攻擊手法,以達到更大攻擊效益。舉例來說,未來的勒索軟件攻擊能夠藉著限制中央處理器 CPU 的用量和利用命令操縱 command-and-control actions,C&C 的方式,躲避偵測並入侵系統。這些新型的勒索軟件系列,於策動勒索活動之前,已經能夠在企業網絡內迅速傳播並自行複製。
其實網絡和終端設備的可視性不足,仍然是主要挑戰。平均來說,企業需要花上 200 天時間偵測新威脅;而隨著攻擊者的入侵技術不斷創新,許多企業扭盡六壬,確保公司內的設備及系統維持理想的網絡保安水平。欠缺廠商支援及甚少安裝修補程式的系統,對入侵者而言仿如囊中之物,讓他們能隨時進出系統而又不會被偵測,從容策動破壞並從中獲益。
而這個困局一直影響全球,正當不少重要行業如醫療業於過往數月遭受顯著上揚的攻擊,報告結果顯示,其實全球各個行業現已成為攻擊目標。俱樂部及商業機構、慈善機構、非政府機構 NGOs 和電子企業都不能獨善其身,於 2016 年上半年遭受攻擊的數字有增無減。從世界層面上來看,各國之間複雜的規管制度及網絡保安政策的相互牴觸,都成為地緣政治的關注。故此,在這個複雜的威脅情況下,對於涉及國際貿易環境進行控制及存取數據的需求,正面臨這方面的制約甚至衝突。
攻擊者隨時肆意策動攻擊
對攻擊者來說,在未被偵測下進行入侵的時間愈長,獲利空間就愈大。於 2016 年上半年間,Cisco 指出攻擊者的收益大幅上升,原因如下:
擴大攻擊範圍:攻擊者正擴大攻擊範圍,包括重心已由入侵客戶端伸延至伺服器,並避免偵測、加劇潛在的破壞和賺取更多利潤。
- Adobe Flash 漏洞繼續成為惡意廣告及攻擊工具的其中一個主要目標。在常用的 Nuclear 攻擊工具,80% 的入侵途徑皆來自 Flash。
- 勒索軟件利用伺服器漏洞進行攻擊的新趨勢,特別於 JBoss 伺服器內,其中全球 10% 已連接到網絡的 JBoss 伺服器,被發現已受感染。很多用於感染系統的 JBoss 漏洞在五年前已被識別,即是說基本修補程式和供應商升級已能輕易防禦這些攻擊。
不斷演變的攻擊模式:於 2016 年上半年間,攻擊者持續演進其攻擊手法,突顯防禦者缺乏可視性。
- Windows 二元攻擊工具於過去六個月上升成為最主要的網絡攻擊手法。這個手法於網絡基建上提供一個穩固的立足點,令這些攻擊難以識別及移除。
- 與此同時,透過 Facebook 進行欺詐的社交工程由 2015 年的第一位跌至第二位。
掩飾痕跡:防禦者不單面對可視性的挑戰,攻擊者愈來愈常使用加密方法,掩飾他們各項入侵環節。
- 發現使用電子加密貨幣 cryptocurrency 傳輸層安全協議 Transport Layer Security 及洋蔥路由器 Tor 的數量不斷增加,讓用戶於網絡上進行匿名交流。
- 顯著的是,用於惡意廣告的 HTTPS 加密惡意程式由 2015 年 12 月至 2016 年 3 月大增 300%。加密惡意程式進一步令攻擊者隱藏其網絡活動和延長入侵時間。
防禦者努力減少漏洞及消除差距
面對著複雜攻擊、有限資源及基建老化,防禦者正努力跟上攻擊者的步伐。數據指出,愈是對於業務營運至為關鍵的技術,防禦者愈難透過安裝修補程式等方法來確保健康的網絡保安環境。例如:
- 瀏覽器方面,Google Chrome 應用自動更新,約 75% 至 80% 的用戶正使用最新版本或前一個版本的瀏覽器。
- 軟件方面,Java 的遷移進展緩慢,三分之一的測試系統正運行 Java SE 6,該版本現已逐步被 Oracle 淘汰 (最新版本為SE 10)。
- 在 Microsoft Office 2013 的 15x 版本,10% 或以下的用戶正使用最新的 Service Pack 版本。
另外,調查亦發現用戶大部分的基建已不再享有供應商支援或維修服務,或存在已知漏洞,對供應商和終端而言是一個系統性的問題。具體來說,研究人員測試了 103,121 個連接到互聯網的 Cisco 設備,研究結果發現:
- 平均每個設備存在 28 個已知漏洞。
- 設備存在已知漏洞平均長達 5.64 年。
- 超過 9% 的設備存在十年前已被發現的漏洞逾十年。
同時,報告亦調查了超過 300 萬個軟件基建樣本以作比較。當中大部分為 Apache 及 OpenSSH,平均存在 16 個已知漏洞,並且平均已經運行了 5.05 年。
瀏覽器更新為終端最簡易的更新,而企業應用程式和伺服器基建相對地較難進行更新,更有機會導致業務出現持續性問題。總括而言,對業務營運愈為關鍵的應用程式,就愈疏於更新,繼而令網絡攻擊者有機可乘。
Cisco 建議幾項簡單步驟以保護業務環境
Cisco Talos 研究人員發現,不同機構只需採取幾個簡單而重要的步驟,即可大幅加強業務營運的保安,包括:
- 改善網絡健康的環境:透過監測網絡、安裝修補程式和按時升級、區間網絡、在邊緣部署防禦,如電郵和網絡保安、新一代防火牆和入侵防禦系統。
- 整合防禦:利用保安架構方法,而非部署單點式產品。
- 量度威脅偵測時間:盡量縮短偵測威脅時間,一旦發現威脅需即時應對。不斷改善企業保安政策的量度標準。
- 保護隨時隨地工作的用戶:不應只保護他們平常所接觸到的系統或企業網絡。
- 備份重要數據:除了定期檢測效能,亦確保備份數據不易受到感染。
思科 2016 年中網絡安全報告檢視來自思科集體安全情報 Cisco Collective Security Intelligence 收集的最新威脅。該報告提供在 2016 年上半年,數據驅動的行業見解及網絡保安趨勢,連同提升保安狀況的可行建議。報告建基於廣大的數據蹤跡,量度日常收錄超過 400 億的遙測點。