惡意軟體、電子郵件威脅、沙箱規避策略、濫用雲端服務、IoT/DDoS攻擊、安全漏洞等等網路安全威脅逐年增加,不但受害範圍持續擴大,災情也日益嚴重,為網路服務的推展極為不利,在思科所做的2018年度網路安全報告中將詳細分析目前及未來可能面對的情況。
內部威脅:運用雲端優勢
為了進一步細查使用者活動對安全性的影響,思科威脅研究人員最近研究了資料竊取趨勢。他們採用機器學習演算法,針對34個國家∕地區中,從2017年1月到6月使用雲端服務供應商的150,000名使用者進行分析。該演算法不僅說明了所下載的文件數量,也說明了下載時間、IP位址和地點等變數。
針對使用者進行了六個月的分析後,研究人員花了1.5個月的時間研究異常情況,針對可疑下載的情況,標記了0.5%的使用者。雖然這個數字並不大,但這些使用者總計從企業的雲端下載了超過390萬份文件,平均每位使用者在1.5個月的期間內下載了5,200份文件。在這些可疑下載的情況中,62%發生在正常工作時間以外,40%發生在週末。
研究人員還對390萬個可疑下載文件的標題進行文字探勘分析。文件標題中最常用的關鍵字之一是「資料」。「資料」一詞最常見的關鍵字是「員工」和「顧客」。在下載的文件類型中,34%是PDF文件,31%是Microsoft Office文件。
應用機器學習演算法可以讓你更詳盡地檢視雲端使用者活動,而不僅僅是下載數目。分析指出,被研究的使用者中有23%標記為進行三次以上的可疑下載,通常從少量文件開始。數量每次都會慢慢增加,最終,這些使用者突然出現明顯的下載高峰,如圖14所示。
 |
| ▲ 圖14 機器學習演算法捕獲可疑的使用者下載行為。(資料來源:思科資安研究部門) |
機器學習演算法可望在雲端和使用者行為中提供更大的可視性。如果防禦者可以開始預測使用者的下載行為,他們可以節省調查合法行為所需要的時間。他們也可以在事情發生之前,插手阻止潛在的攻擊或資料竊取事件。
IoT和DDoS攻擊
物聯網仍持續發展,但惡意人士已利用IoT裝置中的安全性弱點來入侵系統,包括支援關鍵基礎設施的工業控制系統。IoT殭屍網路的規模和實力也在不斷成長,而且越來越有能力發動強大的攻擊,可能嚴重擾亂網際網路。攻擊者轉而更加利用應用程式層,表明這是他們的目標。但是許多資安專業人員並沒有意識到或者忽視了IoT殭屍網路構成的威脅。組織不斷將IoT裝置添加到IT環境中,幾乎沒有考慮或根本不考慮安全性,或者更糟的是,沒有花時間評估有多少IoT裝置正在接觸他們的網路。透過這些方式,他們讓惡意人士可輕鬆掌握物聯網。
IoT殭屍網路正在快速發展,因為組織與使用者傾向於快速部署低成本的IoT裝置,且幾乎不考慮安全問題。IoT裝置是以Linux和Unix為基礎的系統,因此它們通常是可執行檔和可連結格式(ELF)二進位檔案的目標。與個人電腦相比,它們在控制方面所面臨的挑戰也較少,這意味著惡意人士很容易迅速建立一支龐大的軍隊。