思科發(fā)表年度安全報(bào)告指出網(wǎng)絡(luò)安全就緒程度在認(rèn)知與實(shí)際情況存有巨大落差

　　CTI論壇（ctiforum）1月29日消息（記者 李文杰）： 思科發(fā)表《思科2015年度安全報(bào)告》，針對(duì)威脅情資與網(wǎng)絡(luò)安全趨勢(shì)進(jìn)行調(diào)查，顯示組織必須以「全員參與」的方式來(lái)防御網(wǎng)絡(luò)攻擊。攻擊者愈趨精明，知道如何利用安全漏洞規(guī)避偵測(cè)并隱匿惡意行動(dòng)。防御者，也就是資安團(tuán)隊(duì)，必須持續(xù)改善防護(hù)方法，才能保護(hù)組織免于遭受日益精良的網(wǎng)絡(luò)攻擊活動(dòng)。這些問題更隨著攻擊者的地緣政治動(dòng)機(jī)、以及與當(dāng)?shù)胤�律相沖突的要求而更趨復(fù)雜，包括數(shù)據(jù)主權(quán)認(rèn)定、數(shù)據(jù)在地化及數(shù)據(jù)加密等方面。

　　攻擊者

　　網(wǎng)絡(luò)罪犯不斷增進(jìn)攻擊手法進(jìn)行攻擊活動(dòng)，使其更難被偵測(cè)與分析。根據(jù)思科的威脅情資分析出去年前3大攻擊趨勢(shì)為：

　　「雪靴」垃圾郵件（Snowshoe Spam）：一種新興的熱門攻擊方式，攻擊者從大量IP位址中發(fā)送少量垃圾郵件以規(guī)避偵測(cè)，其中是利用已被入侵的帳號(hào)來(lái)做攻擊。

　　隱匿在明顯易見之處的網(wǎng)絡(luò)攻擊套件：常見的攻擊套件很快就會(huì)被資安公司破解，因此網(wǎng)絡(luò)罪犯轉(zhuǎn)而運(yùn)用其他較少見的套件，成功\執(zhí)行攻擊策略。此方式較不容易引起注意，進(jìn)而成為持續(xù)發(fā)展的攻擊模式。

　　惡意攻擊組合：Flash和JavaScript傳統(tǒng)上都曾是安全堪慮的程式，但隨著安全偵測(cè)與防御技術(shù)的進(jìn)步，攻擊者學(xué)會(huì)結(jié)合兩者的弱點(diǎn)并展開攻擊。攻擊程式可同時(shí)被Flash和JavaScript兩種檔案共享，讓安全裝置更加難以辨別和封鎖攻擊，或是通過逆向工程工具進(jìn)行分析。

　　使用者

　　使用者面臨左右夾攻的情況，因?yàn)樗麄儾粌H是網(wǎng)絡(luò)攻擊的目標(biāo)，也在不知不覺中成為網(wǎng)絡(luò)攻擊的幫手。思科威脅情資研究顯示在2014年間，攻擊者逐漸將他們的攻擊焦點(diǎn)從企圖癱瘓伺服器和作業(yè)系統(tǒng)，轉(zhuǎn)向攻擊使用者的瀏覽器和電子郵件。使用者從問題網(wǎng)站下載檔案，使得針對(duì)Silverlight的攻擊程式數(shù)量增加228%，垃圾郵件和惡意廣告的攻擊程式數(shù)量成長(zhǎng)250%。

　　防御者

　　思科資安能力基準(zhǔn)研究報(bào)告，以9國(guó)共1,700家企業(yè)的資訊安全長(zhǎng)（CISOs）和安全營(yíng)運(yùn)（SecOps）主管為調(diào)查對(duì)象，結(jié)果顯示防御者對(duì)于自身安全能力的認(rèn)知與事實(shí)之間存有巨大落差。其中，75%的CISOs認(rèn)為他們的安全工具很有效或非常有效。然而，不到50%的受訪者使用如修補(bǔ)程式和組態(tài)等標(biāo)準(zhǔn)工具來(lái)補(bǔ)強(qiáng)安全缺口，并確認(rèn)使用最新版本。Heartbleed為去年最具代表性的安全漏洞，但仍有56%已安裝的OpenSSL為4年前的版本，這是資安團(tuán)隊(duì)未能適時(shí)更新安全程式的證明。

　　雖然許多防御者以為他們使用的安全程序已達(dá)最佳化，安全工具也確實(shí)有效，但其實(shí)他們的安全就緒程度可能有待加強(qiáng)。

　　報(bào)告結(jié)論顯示，企業(yè)中的董事會(huì)應(yīng)承擔(dān)起制定資安任務(wù)優(yōu)先順序和期望值的角色。思科「安全宣言（Security Manifesto）」為一套正式安全準(zhǔn)則，作為網(wǎng)絡(luò)安全的基礎(chǔ)，協(xié)助企業(yè)董事會(huì)、資安團(tuán)隊(duì)及使用者更加了解并回應(yīng)現(xiàn)今的網(wǎng)絡(luò)安全挑戰(zhàn)。當(dāng)企業(yè)要建立一套更靈活的安全方案，并在創(chuàng)新及實(shí)作方面領(lǐng)先網(wǎng)絡(luò)罪犯，可將此安全準(zhǔn)則作為基準(zhǔn)。此準(zhǔn)則包括：

　　1. 資訊安全必須能支持企業(yè)營(yíng)運(yùn)

　　2. 資訊安全必須與既有架構(gòu)相容且具使用性

　　3. 資訊安全必須透明化且資訊化

　　4. 資訊安全必須具有能見度并可采取適當(dāng)?shù)男袆?dòng)

　　5. 資訊安全必須被視同為「人的問題」

　　支持引述

　　思科資深副總裁暨資訊安全長(zhǎng)John N. Stewart：「安全需要一套全員參與的完整方案，從董事會(huì)到個(gè)別使用者，每個(gè)人都應(yīng)該投入。過去我們擔(dān)心DoS作業(yè)系統(tǒng)（Disk Operating System），現(xiàn)在我們也擔(dān)心資料受損；我們?cè)��?jīng)擔(dān)心IP位址被盜用，現(xiàn)在我們擔(dān)心關(guān)鍵業(yè)務(wù)停擺。我們的敵人日趨精明，利用我們的弱點(diǎn)，在顯而易見之處隱藏他們的攻擊。有效的資安措施必須在全程攻擊中提供持續(xù)性的防護(hù)，采用的技術(shù)必須依此些需求來(lái)設(shè)計(jì)建置。線上服務(wù)必須具備回復(fù)力，所有動(dòng)作都必須立即到位才能夠保護(hù)我們的未來(lái)，而我們的產(chǎn)業(yè)必須具備前所未有領(lǐng)導(dǎo)力、合作與當(dāng)責(zé)的能力�！�

　　思科安全事業(yè)群首席工程師Jason Brvenik：「攻擊者越來(lái)越擅長(zhǎng)利用安全漏洞，我們發(fā)現(xiàn)56%的OpenSSL版本仍易遭受Heartbleed攻擊，而主要的攻擊只需利用1%的高度危急弱點(diǎn)就能成功\。盡管如此，仍有不到半數(shù)的受訪資安團(tuán)隊(duì)會(huì)采用修補(bǔ)程式及組態(tài)管理等標(biāo)準(zhǔn)工具來(lái)預(yù)防安全缺口。即便使用領(lǐng)先的安全技術(shù)，企業(yè)仍需要杰出的防護(hù)程序，才能夠在日益復(fù)雜的攻擊活動(dòng)中保護(hù)組織和使用者�！�