【译】Cisco年中安全报告(2017)
字数 2190 2025-08-25 22:58:56

Cisco 2017年中安全报告教学文档

1. 主要安全威胁概述

1.1 企业邮件攻击(BEC)

  • 定义:通过社会工程学手段伪造高管邮件要求财务转账的诈骗方式
  • 统计数据:2013-2016年间造成53亿美元损失,远超勒索软件的10亿美元
  • 攻击特点
    • 不包含恶意软件或链接,绕过传统防御
    • 针对大型企业(如Facebook、Google)
    • 依赖对组织架构和员工的研究

1.2 间谍软件(Spyware)

  • 主要类型

    • 广告软件(Adware)
    • 系统监视器(System Monitor)
    • 木马(Trojans)

  • 主要家族

    • Hola:VPN应用,1.21亿用户,出卖用户带宽,安装自签名证书
    • RelevantKnowledge:收集浏览习惯和系统信息
    • DNSChanger/DNS Unlocker:修改DNS设置,重定向流量

1.3 物联网(IoT)威胁

  • 主要问题

    • 设备不可见性(管理员不知何种设备接入网络)
    • 固件老旧,补丁更新慢
    • 设计时未考虑安全性

  • 主要僵尸网络

    • Mirai:利用默认凭证暴力攻击Telnet,参与DynDNS攻击
    • BrickerBot:永久拒绝服务(PDoS),破坏设备固件
    • Hajime:自称白帽黑客,清除Mirai感染

2. 攻击趋势演变

2.1 攻击方式变化

  • 利用工具活动减少:从2016年1月起显著下降
  • 垃圾邮件激增:包含恶意宏的文件(Word/Excel/PDF)增多
  • 供应链攻击:通过被黑软件供应商网站传播恶意软件

2.2 恶意软件分发策略

  • 文件类型选择

    • Adwind RAT:主要使用.jar文件
    • Nemucod:使用.zip文件分发勒索软件
    • MyWebSearch:仅使用.exe扩展

  • 绕过检测技术

    • 密码保护的恶意文件(密码在邮件正文)
    • 需要用户交互的对话框
    • Word文档中的恶意OLE对象
    • PDF中嵌入的恶意Word文档

2.3 勒索软件趋势

  • 开源代码库利用:如Hidden Tear和EDA2
  • 勒索软件即服务(RaaS):如Satan平台
  • 内存中恶意软件:依赖PowerShell或WMI,无文件系统修改
  • 匿名基础设施:使用Tor2web等桥接服务

3. 防御指标与漏洞

3.1 检测时间(TTD)

  • 定义:从攻击产生到检测到的窗口时间
  • 变化:从2015年11月的39小时降至2016年11月的3.5小时

3.2 漏洞分析

  • 客户端漏洞:增长35%,可通过自动更新缓解
  • 服务端漏洞:增长36%,需手动打补丁
  • 常见漏洞类型
    • 缓冲区错误(最常见)
    • 认证问题
    • 配置错误

3.3 DevOps服务暴露风险

  • 主要暴露服务

    • CouchDB:75%服务器开放,2-3%被勒索
    • Elasticsearch:75%开放,20%被勒索
    • MongoDB:几乎100%开放
    • Docker:1000+开放实例,245个生产系统

  • 防护建议

    • 开发安全应用标准
    • 维护公共基础设施清单
    • 保持技术更新和补丁
    • 执行漏洞扫描

4. 云安全威胁

4.1 主要风险

  • OAuth风险:第三方应用通过认证后自由通信
  • 特权账户风险:6%终端用户有特权账户
    • 82%每月只从1-2个IP登录
    • 60%从不登出

4.2 攻击模式

  • 暴力攻击:利用被黑账户创建企业用户凭证
  • 循环登录:使用多个IP随机循环避免检测

4.3 共享责任模型

  • 提供商责任:物理、法律、操作和基础设施安全
  • 企业责任:底层云服务的使用安全

5. 行业特定威胁

5.1 医疗行业

  • MEDJACK攻击:针对医疗设备的劫持
  • 主要挑战
    • 老旧系统(如Windows XP)
    • 设备厂商独占访问权限
    • 停机成本高

5.2 金融业

  • 目标攻击:如Dridex和Zeus木马
  • 多厂商环境:57%使用6+厂商产品,造成告警混乱

5.3 制造业

  • IT/OT融合:老旧机器联网增加攻击面
  • 人才流失:专业制造系统知识随退休流失

5.4 公用事业

  • APT攻击:占比40%,长期潜伏风险大
  • 严格预算:影响安全投入,依赖外包

6. 防御建议

6.1 整体策略

  • 减少碎片化:统一安全厂商,采用开放、统一方法
  • 威胁情报共享:加入黑名单的域名、IP、邮箱
  • 自动化工具:弥补人员不足,处理低级告警

6.2 特定措施

  • BEC防护

    • 员工培训识别异常转账
    • 电汇前多方确认
    • 启用SPF防御

  • IoT防护

    • 保持签名更新
    • IPS防护
    • 严密监控流量
    • 设备清单管理

  • 云安全

    • 定期审查特权账户
    • 实施登出策略
    • 监控异常登录

7. 未来趋势

  • DeOS攻击:消除安全网,使系统无法恢复
  • 物联网风险:设备基数大,安全性低
  • 黑客经济成熟:低成本资源访问,匿名性增强
  • 医疗设备勒索:针对救命设备的攻击将增加

8. 关键数据总结

威胁类型 影响/数据 趋势
BEC 53亿美元(2013-2016) 持续增长
勒索软件 10亿美元(2016) RaaS平台兴起
IoT僵尸网络 Mirai感染百万设备 更多变种出现
TTD中位数 3.5小时(2016.11-2017.5) 持续下降
服务端漏洞 增长36% 需手动修复风险大
Cisco 2017年中安全报告教学文档 1. 主要安全威胁概述 1.1 企业邮件攻击(BEC) 定义 :通过社会工程学手段伪造高管邮件要求财务转账的诈骗方式 统计数据 :2013-2016年间造成53亿美元损失,远超勒索软件的10亿美元 攻击特点 : 不包含恶意软件或链接,绕过传统防御 针对大型企业(如Facebook、Google) 依赖对组织架构和员工的研究 1.2 间谍软件(Spyware) 主要类型 : 广告软件(Adware) 系统监视器(System Monitor) 木马(Trojans) 主要家族 : Hola :VPN应用,1.21亿用户,出卖用户带宽,安装自签名证书 RelevantKnowledge :收集浏览习惯和系统信息 DNSChanger/DNS Unlocker :修改DNS设置,重定向流量 1.3 物联网(IoT)威胁 主要问题 : 设备不可见性(管理员不知何种设备接入网络) 固件老旧,补丁更新慢 设计时未考虑安全性 主要僵尸网络 : Mirai :利用默认凭证暴力攻击Telnet,参与DynDNS攻击 BrickerBot :永久拒绝服务(PDoS),破坏设备固件 Hajime :自称白帽黑客,清除Mirai感染 2. 攻击趋势演变 2.1 攻击方式变化 利用工具活动减少 :从2016年1月起显著下降 垃圾邮件激增 :包含恶意宏的文件(Word/Excel/PDF)增多 供应链攻击 :通过被黑软件供应商网站传播恶意软件 2.2 恶意软件分发策略 文件类型选择 : Adwind RAT:主要使用.jar文件 Nemucod:使用.zip文件分发勒索软件 MyWebSearch:仅使用.exe扩展 绕过检测技术 : 密码保护的恶意文件(密码在邮件正文) 需要用户交互的对话框 Word文档中的恶意OLE对象 PDF中嵌入的恶意Word文档 2.3 勒索软件趋势 开源代码库利用 :如Hidden Tear和EDA2 勒索软件即服务(RaaS) :如Satan平台 内存中恶意软件 :依赖PowerShell或WMI,无文件系统修改 匿名基础设施 :使用Tor2web等桥接服务 3. 防御指标与漏洞 3.1 检测时间(TTD) 定义 :从攻击产生到检测到的窗口时间 变化 :从2015年11月的39小时降至2016年11月的3.5小时 3.2 漏洞分析 客户端漏洞 :增长35%,可通过自动更新缓解 服务端漏洞 :增长36%,需手动打补丁 常见漏洞类型 : 缓冲区错误(最常见) 认证问题 配置错误 3.3 DevOps服务暴露风险 主要暴露服务 : CouchDB :75%服务器开放,2-3%被勒索 Elasticsearch :75%开放,20%被勒索 MongoDB :几乎100%开放 Docker :1000+开放实例,245个生产系统 防护建议 : 开发安全应用标准 维护公共基础设施清单 保持技术更新和补丁 执行漏洞扫描 4. 云安全威胁 4.1 主要风险 OAuth风险 :第三方应用通过认证后自由通信 特权账户风险 :6%终端用户有特权账户 82%每月只从1-2个IP登录 60%从不登出 4.2 攻击模式 暴力攻击 :利用被黑账户创建企业用户凭证 循环登录 :使用多个IP随机循环避免检测 4.3 共享责任模型 提供商责任 :物理、法律、操作和基础设施安全 企业责任 :底层云服务的使用安全 5. 行业特定威胁 5.1 医疗行业 MEDJACK攻击 :针对医疗设备的劫持 主要挑战 : 老旧系统(如Windows XP) 设备厂商独占访问权限 停机成本高 5.2 金融业 目标攻击 :如Dridex和Zeus木马 多厂商环境 :57%使用6+厂商产品,造成告警混乱 5.3 制造业 IT/OT融合 :老旧机器联网增加攻击面 人才流失 :专业制造系统知识随退休流失 5.4 公用事业 APT攻击 :占比40%,长期潜伏风险大 严格预算 :影响安全投入,依赖外包 6. 防御建议 6.1 整体策略 减少碎片化 :统一安全厂商,采用开放、统一方法 威胁情报共享 :加入黑名单的域名、IP、邮箱 自动化工具 :弥补人员不足,处理低级告警 6.2 特定措施 BEC防护 : 员工培训识别异常转账 电汇前多方确认 启用SPF防御 IoT防护 : 保持签名更新 IPS防护 严密监控流量 设备清单管理 云安全 : 定期审查特权账户 实施登出策略 监控异常登录 7. 未来趋势 DeOS攻击 :消除安全网,使系统无法恢复 物联网风险 :设备基数大,安全性低 黑客经济成熟 :低成本资源访问,匿名性增强 医疗设备勒索 :针对救命设备的攻击将增加 8. 关键数据总结 | 威胁类型 | 影响/数据 | 趋势 | |---------|----------|------| | BEC | 53亿美元(2013-2016) | 持续增长 | | 勒索软件 | 10亿美元(2016) | RaaS平台兴起 | | IoT僵尸网络 | Mirai感染百万设备 | 更多变种出现 | | TTD中位数 | 3.5小时(2016.11-2017.5) | 持续下降 | | 服务端漏洞 | 增长36% | 需手动修复风险大 |