惡意軟體、電子郵件威脅、沙箱規避策略、濫用雲端服務、IoT/DDoS攻擊、安全漏洞等等網路安全威脅逐年增加,不但受害範圍持續擴大,災情也日益嚴重,為網路服務的推展極為不利,在思科所做的2018年度網路安全報告中將詳細分析目前及未來可能面對的情況。
隨著加密全球網路流量的數量成長,惡意人士似乎也正在擴大對加密的採用範圍,作為隱匿其C2活動的工具。思科威脅研究人員觀察到,在為期12個月的時間內,遭檢測的惡意軟體樣本所使用的加密網路通訊量增加了三倍以上(圖2)。截至2017年10月為止,針對超過40萬個惡意二進位檔案進行分析後發現,其中約有70%至少使用了某種加密措施。
 |
| ▲ 圖2 利用部分加密網路通訊的惡意二進位檔案數增加。(資料來源:思科資安研究部門) |
為了克服加密所造成的可視性不足,並削減惡意人士的操作時間,有越來越多的企業開始採用機器學習和人工智慧功能。這些先進的功能可以增強網路安全防護,並且在一段時間後「學會」自動偵測網路流量中可能表示惡意活動的異常模式。
機器學習對於自動偵測「已知 - 已和」威脅(之前已出現過的感染類型)非常實用(圖3)。但其真正的價值,特別是在監控加密的網路流量方面的價值,則是源自於它能夠偵測「已知 - 未知威脅」(已知威脅、同系列惡意軟體或相關新威脅的未出現過的變種)和「未知 - 未知」(網路上全新的惡意軟體)的威脅。該技術可以學習在大量加密的網路流量中識別不尋常的模式,並自動提醒安全小組需要進一步調查。
 |
| ▲ 圖3 將機器學習用於網路安全:分類。(資料來源:思科資安研究部門)
|
鑑於缺乏訓練有素的人員是加強許多組織提升資安防禦的最大障礙,這一點尤其重要,像機器學習和人工智慧這樣的自動化和智慧型工具,可以協助防禦者弭平技能和資源上的差距,使他們更有效識別已知與新興威脅,並加以應對。
電子郵件威脅
無論威脅態勢變化有多大,惡意電子郵件和垃圾郵件仍然是攻擊者發送惡意軟體的重要工具,以利將威脅直接送到端點。攻擊者只要奸巧運用幾項社交工程技術(如網路釣魚和惡意連結和附件),就能坐等不知情的使用者上門,屆時再進行惡意探索。
2016年末,思科威脅研究人員觀察到垃圾郵件攻擊行動顯著增加,這似乎與弱點攻擊套件活動的減少時機不謀而合。當主流的攻擊套件(例如Angler)突然從市場上消失時,這些套件的許多使用者會轉而或回頭使用電子郵件向量來維持盈收。然而,在一開始回頭使用電子郵件後,全球垃圾郵件數量在2017年上半年的大部分時間不是下降就是持平。接著,在2017年5月底和6月初,全球垃圾郵件數量在夏季中後期大幅飆升之前,出現短暫下滑,如圖4所示。
 |
| ▲ 圖4 IP評價區塊,依國家排序,2016年12月到2017年10月。(資料來源:思科資安研究部門) |
如同思科SpamCop服務提供的內部圖形所示(圖5),從2017年1月到4月垃圾郵件數量減少,與垃圾郵件殭屍網路活動的停頓現象相吻合。
 |
| ▲ 圖5 垃圾郵件殭屍網路活動,2016年10月至2017年10月。(資料來源:思科SpamCop) |