[[188212]]

網(wǎng)絡(luò)犯罪是門大生意，正在以指數(shù)速度蔓延。英國倫敦勞埃德保險社估計2015年的網(wǎng)絡(luò)犯罪的市場為4000億美元。僅僅兩年后的今天，世界經(jīng)濟(jì)論壇預(yù)計目前網(wǎng)絡(luò)犯罪市場達(dá)3萬億美元。網(wǎng)絡(luò)安全風(fēng)險投資公司預(yù)測：到2021年，網(wǎng)絡(luò)犯罪將使全球每年的市場達(dá)6萬多億美元。

網(wǎng)絡(luò)犯罪爆炸性增長背后的推動力之一在于網(wǎng)絡(luò)罪犯能夠深入互聯(lián)網(wǎng)某處“犯罪天堂”進(jìn)行非法交易，這是大多數(shù)人從來沒有見過的地方，也不知道如何訪問。“暗網(wǎng)”是普通網(wǎng)頁瀏覽器瀏覽不到的，由匿名層進(jìn)行保護(hù)，已經(jīng)成為商業(yè)犯罪的天堂。

要深入了解激增的網(wǎng)絡(luò)威脅和在線犯罪活動，我們需要從獲取優(yōu)質(zhì)信息開始。今天，F(xiàn)ortinet 發(fā)布2016年第四季度的威脅趨勢報告。報告中的數(shù)據(jù)來自全球各地的數(shù)百萬安全設(shè)備，這些設(shè)備每天分析多達(dá)500億威脅信息。這意味著該報告中詳述的結(jié)論和趨勢是以2016年10月1日到12月31日期間發(fā)生的萬億次安全事件為基礎(chǔ)的。

這種威脅情報的重要性無論怎樣強(qiáng)調(diào)都不過分。當(dāng)大多數(shù)IT安全專業(yè)人員花費大量時間查閱日志文件和安全報告時，有必要將本地威脅情報放到更大的環(huán)境中來。新的和新出現(xiàn)的威脅都有一些特征和可執(zhí)行的IOC(IOC：indications of comprise，被利用的跡象)— 這些信息可以幫助減少威脅的影響，甚至可以阻止和/或預(yù)防威脅。如果你知道要尋找什么，總是容易發(fā)現(xiàn)并預(yù)防復(fù)雜的威脅。

當(dāng)然，隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施的持續(xù)發(fā)展，這一過程會越變越復(fù)雜。漏洞、惡意軟件和僵尸網(wǎng)絡(luò)不會憑空發(fā)生，所以必須研究基礎(chǔ)設(shè)施發(fā)展趨勢與威脅趨勢之間的關(guān)聯(lián)方式和因果關(guān)系。網(wǎng)絡(luò)威脅會隨著應(yīng)用、技術(shù)、配置、控制和行為的改變而不斷進(jìn)化和適應(yīng)。

例如，第四季度報告顯示使用SSL進(jìn)行加密的流量在傳輸網(wǎng)絡(luò)的所有流量中占據(jù)一半以上。HTTPS流量使用是一個值得監(jiān)控的重要趨勢，雖然這有助維護(hù)隱私，但卻對威脅檢測帶來挑戰(zhàn)，這些威脅可以隱藏在加密通信中。太多的SSL流量未經(jīng)檢查，因為打開、檢查、再加密流量需要巨大的處理開銷。這就迫使IT團(tuán)隊在安全防護(hù)和網(wǎng)絡(luò)性能之間進(jìn)行選擇。

此外，我們還發(fā)現(xiàn)，企業(yè)及組織機(jī)構(gòu)正在使用的云應(yīng)用程序數(shù)量不斷上漲。企業(yè)內(nèi)部運行的所有應(yīng)用程序中將近三分之一基于云端。這種趨勢(又稱影子IT)對安全具有重要影響，因為IT團(tuán)隊對云應(yīng)用程序中駐留的數(shù)據(jù)沒有足夠的可見性，不了解數(shù)據(jù)的使用方式以及數(shù)據(jù)訪問者的身份。

雖然該報告研究大范圍的威脅和數(shù)據(jù)，但關(guān)注點在于網(wǎng)絡(luò)罪犯當(dāng)前所利用的三種集中威脅趨勢——應(yīng)用程序漏洞利用、惡意軟件、僵尸網(wǎng)絡(luò)。對于大多數(shù)企業(yè)來說，這些就是每天都要全力應(yīng)付的具體且實際的問題。

此外， 2016年第四季度的網(wǎng)絡(luò)攻擊數(shù)量、發(fā)生率和強(qiáng)度同樣繼續(xù)呈上升。例如，安全行業(yè)在該季度遭受1-2 次沉重打擊 ，發(fā)生了史上最大規(guī)模的數(shù)據(jù)泄露和分布式拒絕服務(wù)攻擊， 其數(shù)量和影響均為之前有記錄可查的最嚴(yán)重攻擊的兩倍。

雖然這種針對性攻擊往往占據(jù)新聞頭條，但是大多數(shù)組織機(jī)構(gòu)面臨的大部分威脅以及因此產(chǎn)生的大部分經(jīng)濟(jì)損失都具有機(jī)會主義性質(zhì)。

故此，最有效的安全工作仍然需要審查安全狀況和策略、最小化外部可見和可訪問的攻擊表面;方法是安裝補(bǔ)丁和系統(tǒng)強(qiáng)化，在網(wǎng)絡(luò)覆蓋范圍內(nèi)構(gòu)建并實施高級威脅檢測和響應(yīng)措施，增強(qiáng)分布式網(wǎng)絡(luò)(包括終端、物聯(lián)網(wǎng)和云端)范圍內(nèi)的可見性和控制能力。

以下是第四季度報告中的一些亮點摘要：

• 哦，Mirai。此次創(chuàng)紀(jì)錄的分布式拒絕服務(wù)攻擊利用了眾多日常聯(lián)網(wǎng)設(shè)備，該新聞使物聯(lián)網(wǎng)安全爭論達(dá)到白熱化的程度。背后源代碼的公布使Mirai僵尸網(wǎng)絡(luò)活動數(shù)量立刻增加了25倍，是我們觀察到的所有季度中周間漲幅最大的一次。在2016年結(jié)束之前，該僵尸網(wǎng)絡(luò)活動數(shù)量最終漲了5倍。我們或?qū)⒖吹骄W(wǎng)絡(luò)罪犯越來越多的利用未受保護(hù)的存在漏洞的IoT設(shè)備。

• 無窮盡被利用的漏洞。網(wǎng)絡(luò)犯罪的增長擴(kuò)大了可能的攻擊足跡，每個人都可能成為潛在目標(biāo)。每個組織或機(jī)構(gòu)平均存在10.7個的應(yīng)用程序漏洞，而10家公司中有9家檢測到重大或非常嚴(yán)重的漏洞。

• 老就是新。網(wǎng)絡(luò)罪犯通也會抓住大多數(shù)企業(yè)網(wǎng)絡(luò)的通病，“如果它沒有破，不要修理它。”這就是為什么足有86%的公司所遇到的攻擊，是通過已經(jīng)存在十多年的漏洞而滲透進(jìn)入的。這些公司中的幾乎40%發(fā)現(xiàn)這些攻擊所針對的CVE(常見漏洞和風(fēng)險)第一次被確認(rèn)還是在上一個世紀(jì)。

• 下一個勒索對象在哪?勒索軟件是網(wǎng)絡(luò)罪犯最熱衷的收入來源。我們看到的不僅有新的勒索軟件變體，還有勒索軟件即服務(wù)(RaaS)的興起。正如Fortinet在我們的2017 威脅預(yù)測報告中所解釋的，勒索軟件即服務(wù)使幾乎沒有接受過技能培訓(xùn)的罪犯只要下載工具并將其指向受害者就能夠賺錢，前提是與開發(fā)者分享一部分利潤。這就是我們預(yù)測這種高價值攻擊方法將在2017年大幅增加的部分原因。除了數(shù)據(jù)贖回，我們還注意到服務(wù)贖回的上升趨勢。我們的記錄顯示36%的組織機(jī)構(gòu)在第四季度檢測到與勒索軟件有關(guān)的僵尸網(wǎng)絡(luò)活動。雖然這種情況出現(xiàn)在所有地區(qū)和行業(yè),但我們發(fā)現(xiàn)醫(yī)療保健機(jī)構(gòu)特別普遍。

• 堪稱惡意軟件家族中的黑手黨。兩個惡意軟件系列(Nemucod 與Agent)在第四季度繼續(xù)興風(fēng)作浪，在所有捕獲的惡意軟件樣本中的比例達(dá)到令人震驚的81.4%。Nemucod系列因為與勒索軟件的關(guān)系而臭名昭彰。除了這兩個頂級惡意軟件系列，第四季度惡意軟件數(shù)量上升的最大原因是Locky勒索軟件。這些都是有組織網(wǎng)絡(luò)犯罪團(tuán)伙的產(chǎn)物。

• 轉(zhuǎn)向移動設(shè)備。網(wǎng)絡(luò)犯罪傾向于安全鏈中最薄弱的一環(huán)。大約每5家組織中就有一家報告移動惡意軟件呈上升之勢，目前在所有惡意軟件數(shù)量中的比例接近2%。我們還發(fā)現(xiàn)移動惡意軟件存在明顯的區(qū)域差異。例如，36%的非洲組織發(fā)現(xiàn)了移動惡意軟件，而歐洲的這一比例為8%。

• 僵尸網(wǎng)絡(luò)無處不在。我們檢測到每個組織平均存在6.7個獨特的活躍僵尸網(wǎng)絡(luò)系列。該比率在中東、非洲和拉丁美洲等新興地區(qū)為最高。

• 季節(jié)性活動。零售/酒店和教育行業(yè)的威脅數(shù)據(jù)顯示，這些行業(yè)的網(wǎng)絡(luò)威脅活動帶有季節(jié)性，尤其是第四季度。如同熊在鮭魚產(chǎn)卵季節(jié)聚集在河邊一樣，一年中最繁忙的購物節(jié)才是網(wǎng)絡(luò)罪犯最活躍的時候，因為那時候很多購物者保持在線或進(jìn)行電子交易。

要了解您所在企業(yè)及組織機(jī)構(gòu)的的威脅趨勢，請注意以下兩點：1)您所面臨的威脅趨勢與其他組織所面臨威脅趨勢的相似程度超過您的想象，但是2)它與其他威脅趨勢的差異也是你可能沒有想到的。了解您可以借鑒別人的哪些策略、戰(zhàn)術(shù)和威脅情報以及哪些可以安全地擱置一邊是非常有價值的學(xué)問，需要耐心和專業(yè)知識來培養(yǎng)。Fortinet網(wǎng)絡(luò)威脅情報可以為您提供幫助。

作為我們打擊日益增長網(wǎng)絡(luò)犯罪活動承諾的一部分，我們將每季度發(fā)布一次“Fortinet威脅趨勢報告”。作為全球最早的威脅研究和分析組織之一，F(xiàn)ortinet有很多重要的數(shù)據(jù)期待與您共享。