邁克菲報告：93%的安全運營主管被警報淹沒，無法鑒別潛在威脅

安全運營中心調查的受訪者坦承：跟不上網絡安全警報發布的速度，無法對安全事件鑒別歸類，并進行調查

Intel Security

2016-12-14 09:00 6428

美國加州圣克拉拉2016年12月14日電 /美通社(she)/ --

針對企業安全運營中心的調查發現，93%的受訪者承認無法對所有潛在網絡威脅進行鑒別歸類。
平均來看，企業機構無法充分調查25%的安全警報。
67%的受訪者反映：安全事故增加。
26%的受訪者承認，盡管有計劃地主動采取安全行動，但采用的仍然是被動模式。
自2016年伊始，新的勒索軟件樣本增加了80%。第三季度，新Mac OS 惡意軟件中的Bundlore惡意廣告軟件暴漲637%，但Mac OS總樣本數仍然相當低。

Intel Security發(fa)布(bu)了(le)(le)(le)。該報告(gao)(gao)深入剖析了(le)(le)(le)企業對安全運營(ying)中心(xin)（SOC）的(de)運用；詳細介紹了(le)(le)(le)勒索軟件在2016年的(de)主(zhu)要發展；并闡釋(shi)了(le)(le)(le)攻擊者如何(he)通過木馬(ma)感染合(he)法(fa)代碼，并充分利用這一合(he)法(fa)性盡可能(neng)隱藏(zang)自己，從(cong)而創建難(nan)以(yi)檢測到的(de)惡(e)意(yi)軟件。12月的(de)報告(gao)(gao)還詳細介紹了(le)(le)(le)2016年第三季度勒索軟件、移動(dong)惡(e)意(yi)軟件、宏(hong)惡(e)意(yi)軟件、Mac OS惡(e)意(yi)軟件及(ji)其它威脅的(de)增長。

Intel Security邁(mai)克菲實驗室副總裁(cai)Vincent Weafer表示：“安全行業(ye)面(mian)臨的一(yi)個難題(ti)是識(shi)別代(dai)碼的惡(e)意(yi)(yi)行為。這些代(dai)碼設(she)計(ji)得像合法(fa)軟件一(yi)樣，具有(you)較低的誤報率。一(yi)段代(dai)碼看起來越(yue)真實，就越(yue)有(you)可能被忽視。2016年(nian)，由于沙盒能識(shi)別到(dao)越(yue)來越(yue)多的惡(e)意(yi)(yi)軟件，要(yao)求(qiu)需(xu)要(yao)隱藏惡(e)意(yi)(yi)活(huo)動才能達到(dao)目(mu)的，從而推動合法(fa)應用的‘木馬化’。這種發(fa)展為企(qi)業(ye)的安全運營(ying)中(zhong)心帶來了更大的工作(zuo)量——要(yao)想成功防(fang)御威(wei)脅，需(xu)要(yao)迅速檢測、追捕并摧毀正在發(fa)生(sheng)的攻擊。”

2016年安全運營中心的現狀

2016年(nian)年(nian)中，Intel Security委托(tuo)展(zhan)開了一項基(ji)本(ben)調查，以期更深入地了解企業使用SOC的(de)方式、這些方式如何隨著時間的(de)推(tui)移而(er)改變，以及未來(lai)的(de)發展(zhan)。這份調查對(dui)來(lai)自多個地區、行業以及規模的(de)企業中近400位(wei)安(an)全(quan)從業者進(jin)行了采訪，收集了關于2016年(nian)SOC情況的(de)寶貴(gui)信息：

警報過載。平均來看，企業機構無法充分調查25%的安全警報，這一比例對不同國家或規模的公司而言并沒有顯著差異。
鑒別分類是難題。盡管大多數受訪者承認被安全警報淹沒，但高達93%的受訪者無法對所有潛在威脅進行鑒別分類。
安全事件呈上升趨勢。無論是從攻擊頻率的增加還是監測功能提高來看，67%的受訪者反映說，安全事件在上升。
上升的原因。在報告安全事件上升的受訪者中，57%的人反映說，他們受到更頻繁的攻擊，而73%的人則認為，他們發現攻擊的能力提高了。
威脅信號。絕大多數企業機構最常見的威脅檢測信號（64%）來自傳統安全控制點，例如防惡意軟件、防火墻以及入侵防御系統。
前瞻vs.被動。絕大多數受訪者聲稱，他們正朝著前瞻、優化的安全運營的目標前進，但是26%的受訪者仍然采用被動模式，采用臨時的安全運營、威脅追蹤和事件響應方式。
對手。2015年，超過三分之二（68%）的調查是針對具體實體進行的，包括有針對性的外部攻擊和內部威脅。
調查原因。受訪者反映，一般惡意軟件在導致安全調查的事件列表中排在首位（30%），其次是針對性惡意軟件攻擊（17%），接下來是網絡攻擊（15%）、意外內部事件導致的潛在威脅或數據丟失（12%）、惡意內部威脅（10%）、針對國家的直接攻擊（7%），以及針對國家的間接或黑客行為主義者攻擊（7%）。

調(diao)查受訪者表示，SOC增(zeng)長和(he)投(tou)資的首要任務是(shi)提(ti)高應對已確認攻擊的能力(li)，包括協調(diao)、修復、消除、學(xue)習以及防止(zhi)重(zhong)蹈覆轍。

欲了解(jie)更多(duo)關(guan)于邁克(ke)菲實驗室對SOC現(xian)狀調查研究的(de)信(xin)息，詳(xiang)見

“木馬化”合法軟件的興起

這(zhe)份報告還詳細介紹了攻擊(ji)者(zhe)把木馬放在普遍接受的(de)代碼中(zhong)，以期掩(yan)蓋其惡意企圖的(de)諸(zhu)多(duo)方式。邁克菲(fei)實驗室發現了實現這(zhe)一目(mu)標(biao)的(de)多(duo)種(zhong)方式：

當可執行文件下載時，通過“中間人（MITM）攻擊”，對這些傳輸中的可執行文件打補丁。
利用綁定或合并攻擊，把“干凈”和“被污染”的文件捆綁到一起。
通過補丁包修改可執行文件，無縫維持應用正常使用。
通過解釋、開源或反編譯的代碼來修改。
污染主源代碼，尤其是重新分發庫中的源代碼。

欲(yu)進(jin)一步了(le)解合法(fa)軟件的木馬化，詳(xiang)見。

2016年：勒索軟件之年？

直到第三季度結束，今年新勒(le)(le)索(suo)(suo)軟件樣本(ben)的(de)(de)數量(liang)總(zong)計為3,860,603，總(zong)勒(le)(le)索(suo)(suo)軟件樣本(ben)自年初以來增長(chang)80%。2016年，除了數量(liang)的(de)(de)激增，勒(le)(le)索(suo)(suo)軟件還表(biao)現出顯著的(de)(de)技術進(jin)步，其中包(bao)括(kuo)加密(mi)部分或完整磁盤、加密(mi)合法(fa)應用(yong)(yong)所使用(yong)(yong)的(de)(de)網站(zhan)、防沙盒、用(yong)(yong)來交付勒(le)(le)索(suo)(suo)軟件的(de)(de)更復雜的(de)(de)攻擊工(gong)具，以及開發(fa)出更多服(fu)務形(xing)式的(de)(de)勒(le)(le)索(suo)(suo)軟件。

Weafer表示：“去年，我們(men)預測2015年勒(le)索軟(ruan)(ruan)(ruan)件(jian)的(de)(de)激(ji)(ji)增(zeng)將延續到(dao)2016年。2016年可(ke)能確實會(hui)成為(wei)‘勒(le)索軟(ruan)(ruan)(ruan)件(jian)之(zhi)年’-- 勒(le)索軟(ruan)(ruan)(ruan)件(jian)攻擊數(shu)量的(de)(de)激(ji)(ji)增(zeng)，出現(xian)了(le)一(yi)(yi)些(xie)引起媒體(ti)廣(guang)泛關(guan)注的(de)(de)高(gao)調攻擊，以(yi)及這類(lei)攻擊中的(de)(de)顯著技術進步。另一(yi)(yi)方面，安全行業與執法機(ji)構之(zhi)間更(geng)緊密(mi)的(de)(de)合作、行業競爭對手(shou)之(zhi)間的(de)(de)建設性協作已經開(kai)始在抗(kang)擊網(wang)絡(luo)犯罪的(de)(de)過程中顯現(xian)出成果。因此，我們(men)預測，勒(le)索軟(ruan)(ruan)(ruan)件(jian)攻擊的(de)(de)增(zeng)長將在2017年放緩。”

欲(yu)進一(yi)步(bu)了解勒索軟件領域的發(fa)展，參見。

2016年第三季度威脅活動

2016年第(di)三(san)季度(du)，邁克菲實(shi)驗室的(de)全球威脅情報網絡記錄到了勒索軟(ruan)件(jian)、移(yi)動惡意軟(ruan)件(jian)和宏惡意軟(ruan)件(jian)的(de)顯著激增：

勒索軟件。2016年第三季度，勒索軟件總數增長18%，比年初增長80%
Mac OS惡意軟件。第三季度，新Mac OS惡意軟件暴漲637%，但這一增長主要是因為一個廣告惡意軟件系列——Bundlore。與其它平臺相比，Mac OS惡意軟件總數仍然相當低。
新惡意軟件。第三季度，新的惡意軟件數量增長速度下降了21%。
移動惡意軟件。我們在第三季度記錄了超過200萬個新的移動惡意軟件威脅。第三季度，非洲和亞洲的感染率都下降了1.5%，而澳大利亞則增長了2%。
宏惡意軟件。第二季度首次出現的新微軟Office（主要是Word）宏惡意軟件持續增長。
垃圾郵件僵尸網絡。Necurs僵尸網絡的數量幾乎是第二季度的7倍，成為第三季度數量最多的垃圾郵件僵尸網絡。我們還測算出，Kelihos的垃圾郵件數量急劇下降，這是2016年我們觀察到的季度數量首次下降的情況。
全球僵尸網絡蔓延。交付蠕蟲病毒和下載程序的Wapomi仍然在第三季度排在第一位，與第二季度的45%相比有所下降。由僵尸網絡提供的CryptXXX勒索軟件升至第二位；而在上一季度其流量僅占2%。