- 安全运营中心调查的受访者坦承:跟不上网络安全警报发布的速度,无法对安全事件鉴别归类,并进行调查
 

针对企业安全运营中心的调查发现,93%的受访者承认无法对所有潜在网络威胁进行鉴别归类。


平均来看,企业机构无法充分调查 25%的安全警报。


67%的受访者反映:安全事故增加。


26%的受访者承认,尽管有计划地主动采取安全行动,但采用的仍然是被动模式。


自 2016 年伊始,新的勒索软件样本增加了 80%。第三季度,新 Mac OS 恶意软件中的 Bundlore 恶意广告软件暴涨 637%,但 Mac OS 总样本数仍然相当低。


Intel Security 发布了《迈克菲实验室威胁报告:2016 年 12 月》。该报告深入剖析了企业对安全运营中心(SOC)的运用;详细介绍了勒索软件在 2016 年的主要发展;并阐释了攻击者如何通过木马感染合法代码,并充分利用这一合法性尽可能隐藏自己,从而创建难以检测到的恶意软件。12 月的报告还详细介绍了 2016 年第三季度勒索软件、移动恶意软件、宏恶意软件、Mac OS 恶意软件及其它威胁的增长。

 

Intel Security 迈克菲实验室副总裁 Vincent Weafer 表示:“安全行业面临的一个难题是识别代码的恶意行为。这些代码设计得像合法软件一样,具有较低的误报率。一段代码看起来越真实,就越有可能被忽视。2016 年,由于沙盒能识别到越来越多的恶意软件,要求需要隐藏恶意活动才能达到目的,从而推动合法应用的‘木马化’。这种发展为企业的安全运营中心带来了更大的工作量——要想成功防御威胁,需要迅速检测、追捕并摧毁正在发生的攻击。”

 

2016 年安全运营中心的现状

 

2016 年年中,Intel Security 委托展开了一项基本调查,以期更深入地了解企业使用 SOC 的方式、这些方式如何随着时间的推移而改变,以及未来的发展。这份调查对来自多个地区、行业以及规模的企业中近 400 位安全从业者进行了采访,收集了关于 2016 年 SOC 情况的宝贵信息:

 

警报过载。平均来看,企业机构无法充分调查 25%的安全警报,这一比例对不同国家或规模的公司而言并没有显著差异。


鉴别分类是难题。尽管大多数受访者承认被安全警报淹没,但高达 93%的受访者无法对所有潜在威胁进行鉴别分类。


安全事件呈上升趋势。无论是从攻击频率的增加还是监测功能提高来看,67%的受访者反映说,安全事件在上升。


上升的原因。在报告安全事件上升的受访者中,57%的人反映说,他们受到更频繁的攻击,而 73%的人则认为,他们发现攻击的能力提高了。


威胁信号。绝大多数企业机构最常见的威胁检测信号(64%)来自传统安全控制点,例如防恶意软件、防火墙以及入侵防御系统。


前瞻 vs. 被动。绝大多数受访者声称,他们正朝着前瞻、优化的安全运营的目标前进,但是 26%的受访者仍然采用被动模式,采用临时的安全运营、威胁追踪和事件响应方式。


对手。2015 年,超过三分之二(68%)的调查是针对具体实体进行的,包括有针对性的外部攻击和内部威胁。


调查原因。受访者反映,一般恶意软件在导致安全调查的事件列表中排在首位(30%),其次是针对性恶意软件攻击(17%),接下来是网络攻击(15%)、意外内部事件导致的潜在威胁或数据丢失(12%)、恶意内部威胁(10%)、针对国家的直接攻击(7%),以及针对国家的间接或黑客行为主义者攻击(7%)。


调查受访者表示,SOC 增长和投资的首要任务是提高应对已确认攻击的能力,包括协调、修复、消除、学习以及防止重蹈覆辙。

 

“木马化”合法软件的兴起

 

这份报告还详细介绍了攻击者把木马放在普遍接受的代码中,以期掩盖其恶意企图的诸多方式。迈克菲实验室发现了实现这一目标的多种方式:

 

当可执行文件下载时,通过“中间人(MITM)攻击”,对这些传输中的可执行文件打补丁。


利用绑定或合并攻击,把“干净”和“被污染”的文件捆绑到一起。


通过补丁包修改可执行文件,无缝维持应用正常使用。


通过解释、开源或反编译的代码来修改。

 

污染主源代码,尤其是重新分发库中的源代码。


 

2016 年:勒索软件之年?

 

直到第三季度结束,今年新勒索软件样本的数量总计为 3,860,603,总勒索软件样本自年初以来增长 80%。2016 年,除了数量的激增,勒索软件还表现出显著的技术进步,其中包括加密部分或完整磁盘、加密合法应用所使用的网站、防沙盒、用来交付勒索软件的更复杂的攻击工具,以及开发出更多服务形式的勒索软件。

 

Weafer 表示:“去年,我们预测 2015 年勒索软件的激增将延续到 2016 年。2016 年可能确实会成为‘勒索软件之年’-- 勒索软件攻击数量的激增,出现了一些引起媒体广泛关注的高调攻击,以及这类攻击中的显著技术进步。另一方面,安全行业与执法机构之间更紧密的合作、行业竞争对手之间的建设性协作已经开始在抗击网络犯罪的过程中显现出成果。因此,我们预测,勒索软件攻击的增长将在 2017 年放缓。”

 

2016 年第三季度威胁活动

2016 年第三季度,迈克菲实验室的全球威胁情报网络记录到了勒索软件、移动恶意软件和宏恶意软件的显著激增:

 

勒索软件。2016 年第三季度,勒索软件总数增长 18%,比年初增长 80%Mac OS 恶意软件。第三季度,新 Mac OS 恶意软件暴涨 637%,但这一增长主要是因为一个广告恶意软件系列——Bundlore。与其它平台相比,Mac OS 恶意软件总数仍然相当低。


新恶意软件。第三季度,新的恶意软件数量增长速度下降了 21%。


移动恶意软件。我们在第三季度记录了超过 200 万个新的移动恶意软件威胁。第三季度,非洲和亚洲的感染率都下降了 1.5%,而澳大利亚则增长了 2%。


宏恶意软件。第二季度首次出现的新微软 Office(主要是 Word)宏恶意软件持续增长。


垃圾邮件僵尸网络。Necurs 僵尸网络的数量几乎是第二季度的 7 倍,成为第三季度数量最多的垃圾邮件僵尸网络。我们还测算出,Kelihos 的垃圾邮件数量急剧下降,这是 2016 年我们观察到的季度数量首次下降的情况。


全球僵尸网络蔓延。交付蠕虫病毒和下载程序的 Wapomi 仍然在第三季度排在第一位,与第二季度的 45%相比有所下降。由僵尸网络提供的 CryptXXX 勒索软件升至第二位;而在上一季度其流量仅占 2%。