随着网络攻击日益严重，防御已经不仅仅是被动地构筑一堵堵高墙进行固守，更需要主动出击去搜索攻击的迹象并且提前进行针对性地防御。

在思科2018年度网络安全报告中，思科指出很多攻击有着显而易见的攻击前兆，而防御者一旦能预知并且识别即将到来的攻击以及攻击模式，就可以进行阻止或者缓解攻击造成的损失。

在这份报告中，思科从攻击者以及其攻击模式和防御者策略两个角度，结合了思科威胁研究人员和其技术合作伙伴根据过去12到18个月内观察到的攻击者行为得出的数据和分析结果，进行了详细的阐述以及总结。

思科发现，大量的攻击集中于三个主题：

• 攻击者将恶意软件的复杂性和影响力进一步提升；
• 攻击者更善于将合法用途的工具转换为攻击的武器；
• 攻击者利用不设防的漏洞，而这些漏洞集中于物联网和云服务。

一、攻击形势

• 恶意软件进一步演变

思科认为，2017年中，攻击形势的最大变化是恶意软件的演变。攻击者通过将恶意软件（比如勒索病毒）与自传播功能相结合，从而造成更大的破坏。因此，尽管“蠕虫式”的攻击可能被认为是旧式的威胁，然而一旦带有其他破坏功能，依然能使整个网络瘫痪。因此，防御者依然需要对此做好准备。

由于如今大量的工作与开发需要运用到非自产的第三方软件或者库，软件供应链成为了恶意软件散布的温床。例如 Nyetya （也称为 NotPetya）恶意软件是通过软件更新系统部署到一个税务软件包中，该税务软件包在乌克兰有超过 80%的公司使用，并安装在 100 万多台计算机上。乌克兰网络警察证实，它对 2000 多家乌克兰公司造成了影响。因此防御者需要外来的程序都加以注意。

• 加密的恶意网络流量

尽管加密的初衷是为了增加安全性，然而攻击者同样会使用加密技术对C2活动（command-and-control，命令与控制）进行隐藏。

思科发现，截止2017年10月，全球流量中有50%为加密流量。而与此同时，在过去12个月中，检测到的恶意软件样本使用的加密网络通信增加3倍以上。而经过对40多万个恶意二级制文件的分析，思科发现，截止2017年10月，其中约70%都使用了某种加密技术。

针对于加密数据产生的可视性不足的问题，思科建议将机器学习和人工智能应用到安全防御之中。不仅仅通过已知的威胁来寻找同类威胁，更需要通过已知的威胁去发现未知的威胁，甚至通过分析未知的威胁数据来寻找未知的威胁。

值得关注的是，思科Stealthwatch ETA(加密流量分析技术)可以在无需对加密流量进行解密的情况，运用网络感知分析方法，识别隐藏在加密流量中的恶意软件。该系统针对加密流量内部的元数据进行机器学习算法分析，准确定位加密流量中的恶意模式，实现更快更精确的判断，帮助企业快速确定可能受到感染的设备和用户，最终提升企业面对安全事件时的响应速度和水平，准确率超过99.99%。

• 邮件威胁

思科指出，无论威胁形势的变化有多大，邮件始终是传播恶意软件的重要工具。

对于恶意文件的扩展名，思科也做了统计（2017年1月到9月）：

另外，社会工程学依然是启动邮件攻击的主要方式。

• 滥用云及其他合法资源

随着大量服务转移到云端，网络周界的定义越来越模糊化。安全团队更加难以应对不断演变扩展的云以及物联网环境。这其中的原因之一则是究竟这些问题应该由谁来保护尚不明确。

当攻击者利用合法服务进行C2时，安全团队几乎无法识别恶意软件网络流量，因为他模仿了合法网络流量的行为。而由于在办公环境中大量使用其他云服务（比如Google Drive，Dropbox等），使得攻击者可以利用这些网络“噪声”作为掩护。思科与其合作伙伴Anomali在过去几年的观察中，总结了用在恶意软件后门C2架构中的几款主流合法服务：

对于防御者来说，来源于合法服务的攻击因以下原因难以被阻止：合法服务难以阻止、合法服务往往经过加密、合法服务的使用破坏了域名和证书智能。

思科也指出，对于云使用同样会造成内部威胁，造成从内部的攻击以及数据泄露。

• 物联网和DDos

尽管物联网仍在发展中，他们却早已成为攻击者们的目标。物联网僵尸网络的规模在不断增长，然而组织和用户却依然在盲目地部署低成本的物联网设备。思科提醒防御者，需要重视物联网带来的安全隐患。

思科表示，物联网的攻击有三个特点：攻击重点转向应用层、“突发攻击”的复杂性，频率以及持续时间增加、反射放大攻击增多。对此，思科认为防御方需要检测并且修正开放或者未正确配置的设备。

值得注意的是，工业控制系统漏洞也成为了攻击者的目标，使得关键基础设施陷入危险的情况。

• 漏洞和修复

在复杂的环境中安全人员可能会忽略使用技术中的漏洞。然而，对于攻击者来说，他们永远不会停止发掘以及利用这些漏洞。

在2017年思科跟踪的常见弱点列举（CWE, Common Weakness Enumeration）漏洞中，缓冲区溢出（Buffer overflow errors）错误名列榜首。

CWE威胁类别漏洞

另外，物联网和库漏洞在2017年中逐渐增多。在2016年10月1日至2017年9月30日期间发现224个新漏洞，其中40个漏洞（17.86%）与产品中包含的第三方软件库有关，74个（33.04%）与物联网设备有关。然而，尽管物联网的漏洞日益增多，很多漏洞修复速度很慢，甚至完全没有被修复。组织需要像对待其他计算设备那样对待物联网设备，确保他们的固件按时更新。

同时，思科提醒，尽管常见漏洞严重性较低，但风险依然较高，一旦不注意更新修复，也会成为攻击者的攻击途径。

二、防御形势

攻击者是永远不会停止攻击的脚步的，他们会不断发展和调整他们的技术，并在实际场景中进行各种实验。而面对越来越繁多的攻击，防御方是否做好准备了呢？

数据泄露带来的损失已经不是一个假想的情况，而是能在企业的账本上明确反映出来的情况：根据思科对受访者的调查，53%的攻击会导致超过50万美元（约314万人民币）的损失。

然而，相对于攻击者只需要找到一个弱点，进行单点突破，企业的防御却需要做到全方位的保护——从而对整个安全防御带来极大的挑战。为了应对各种挑战，安全人才逐渐成为了极大的需求。根据思科调查，在2017年，有27%的受访者认为缺乏人才是一大障碍（2016年为25%，2015年为22%）。而缺乏人才带来的问题之一，就是企业无法协调、理解并修复来自不同安全供应商的风险通告。

尽管管理多个安全供应商会带来极大的混乱，企业为了追求最佳的效果，依然会为了满足一些特定的需求而选择购买最佳单点解决方案。企业已经逐渐意识到公众对于信息泄露的敏感，而信息泄露一旦被曝光，将给企业带来巨大的损失。因此，企业为了确保安全，已经越来越愿意把钱花在安全供应商上。

思科指出，企业需要同时解决三大问题以应对即将到来的威胁：策略、技术以及人员。而安全漏洞促使企业需要加大对技术和人员培训的投资。

在思科这份报告中，我们可以发现，从攻击形势的角度，攻击模式越来越多：“老”式的攻击依然奏效，“新”式的攻击也在逐渐增加。老式的蠕虫型恶意程序以及邮件攻击依然是攻击者的宠儿，甚至随着结合新的攻击元素能够进一步变化。而新式的攻击则针对于企业新开展的业务以及利用的设备和服务展开攻击——比如越来越多的云办公以及飞速发展的物联网。

另外，攻击者也擅长学习：安全技术不仅仅能用于防御，也能用于攻击。因此，攻击者会利用合法服务进行攻击，甚至采用加密技术——这一传统意义上被认为是加强安全性的技术，进行发送攻击指令。

思科的攻击形势分析给我们带来了三个启示性问题：旧式的攻击手段是否真的过时了？飞速的技术发展是否真的安全？既然攻击者开始利用安全技术了，那么防御者是否有机会从攻击手段角度进行防御？

最后，从防御者角度，企业逐渐加强的安全意识固然值得称赞，但是企业如何将有限的资源更好的利用于安全，如何更好地利用安全产品的功能，似乎依然有很长的路要走。而其中的重点，依然在人员上——不仅仅是技术上的人才，也需要整个公司的员工安全意识的增强，管理人员对安全更好的利用和部署。

报告下载：

https://www.cisco.com/c/zh_cn/products/security/security-reports.html

作者：星云