——思科2019年网络安全报告系列

长期以来，思科发布了大量安全和威胁情报信息，并且一直为关注信息安全的专业人员提供了知识支撑和数据驱动。今年，思科对《2019年思科网络安全报告系列》进行了升级：从不同知识获得者的角度出发，更加贴近应用场景，使内容和调研结果更加详尽；根据使用者的行为模式对庞大用户群体进行细分，从而关注不同群体的不同需求，甚至挖掘垂直领域需求。

综合以上因素，安全牛针对2019年思科网络安全报告系列展开分析与探讨。

注：《2019年思科网络安全报告系列》包括《2019年思科网络安全报告系列·CISO基准研究》《2019年思科网络安全报告系列·数据隐私》《2019年思科网络安全报告系列·威胁报告》。

一、CISO基准研究：未雨绸缪 确保安全

这是思科连续第12年发布关于网络安全形势的研究结果，也是第五年对数千名安全领导者进行基准研究。为了发布这份报告，专业研究团队针对18个国家和地区的3200多名安全领导者开展了调查。

调查发现，即使拥有解决方案较少的CISO也同样可以通过企业体系结构方法更好地管理风险和威胁情报。如今，90%的事件仍然与恶意软件有关，或者与勒索软件和类似攻击等恶意软件的演变有关。组织仍需对威胁来源进一步研究，以更好地给对业务成本以控制，扩大收益面。

• 新技术引发新挑战

以人工智能、机器学习和自动化为代表的新技术在安全领域得到广泛应用，调查结果却显示在过去的一年里，新技术热度均有不同程度的降低。原因可能是技术领域的应用，大多依附于行业的存在而存在；受访者对于新技术期望过高导致近一年内信心下降，以上均是新兴技术热潮之后趋于平静的结果。

报告指出即使最大的组织也可能并不完全接受自动化，由于种种原因新技术的应用饱受质疑，因此较前一年热度均呈不同幅度的降低，而云安全信心略有提升，但如何防护多云和混合云场景免受网络攻击，这些安全问题仍待解决。

• 专注恢复时间高效防范攻击

报告显示，恶意软件的变化会影响检测时间，面对陡增的恶意流量，同时增加的还有恶意软件的数量。

报告还指出，在当今的威胁场景中，攻击者可以熟练地避免被检测到。他们使用更加高效的工具和技术来隐藏恶意活动并逐渐破坏传统的安全技术。现在，越来越多的安全领导者专注于恢复时间而非检测时间，因为这一指标反映了公司能够多快从攻击事件中恢复业务。调查显示，仅有4%的公司遭遇了持续24小时以上的中断情况。也就是说，公司修补网络漏洞的速度越快，财务损失越小。

管理咨询公司科尔尼（A.T.Kearney）在2018年发布的一项调查预测：

对于一家大型企业而言，如果可以近乎实时检测网络安全漏洞，大约会造成433,000美元的损失。如果检测时间延迟超过一周，这一数字将会增加三倍，平均达到1,204,000美元。

也正是如此，减少单点解决方案的数量可以更好的解决管理情报。调查显示，供应商整合是趋势，在2018年有54%的企业有10家或更少的供应商，而在2019年这一比例会增加到63%；95%的受访者认为网络团队和安全团队之间协作程度非常高或很高，这都是组织高效防范网络攻击最佳实践的综合体现。

• 调控安全投入提高企业效益

思科全球安全销售部门副总裁John Maynard表示：

网络安全是一种倾向于恶意行为者的游戏。攻击者只需要一次成功的攻击，就会导致目标公司遭受巨大的财务损失。这包括现金支出、法律费用、声誉损害和业务损失等。越来越多的公司能够控制损失的这一事实表明，在受到攻击时，企业开始能够获得更多的控制权，并平衡事件风险。虽然这一趋势值得称道，但是我们仍有大量的工作要做。

安全预算：影响未来预算的主要因素是入侵攻击事件，安全预算建立在衡量安全结果的基础上，结合实际战略、网络保险和风险评估，以指导组织的采购、战略和管理决策；

安全支出：最可靠的确定方法是网络保险，经调查40%的人正在使用网络保险。首先要进行风险评估，以准确识别安全风险，并确保可以通过保险或控制措施减轻这些风险；

违约成本：是因安全风险造成的，影响公司业务流程的正常销售和进行。违规行为仍是对资源的消耗，其影响不仅仅是财务方面的。

当进行数据保密工作和满足相应规定的时候，组织不应该将其视为成本，而应当作是促进业务发展和提高企业效益的机会。而在某些领域中风险没有那么高，因为组织有强大的安全实践；在其他领域，组织有机会支撑、最小化或缩小风险差距。这就是公司进行投资并为以后威胁做准备的良好方法。

https://v.qq.com/x/page/b0859091s5h.html

二、数据隐私：实现保护性投资最大价值

数据隐私基准研究利用了思科年度网络安全基准研究的数据，该研究提出了一系列专门针对隐私的问题，2900多名熟悉自己组织隐私保护流程的受访者对数据隐私保护的相关问题进行了回答。

• GDPR就绪性的挑战与机遇

作为 “史上最严” 的数据保护条例，GDPR的适用范围广、受保护者权利多、对数据处理要求更严格且处罚严厉。由此使大多数企业难以量化在数据保护上的投入。为应对数据使用的约束，避免对公司业务造成掣肘。更多的组织选择加大设计、研发和安全防御的投入，以加速符合GDPR的要求。报告显示，59%的公司表示他们目前满足所有或大多数GDPR要求，而29%的公司表示会在1年内达到GDPR的要求。

公认的实现GDPR就绪性的主要挑战包括：数据安全、员工培训和满足不断发展的法规要求。GDPR掀起的波澜中不仅有挑战也有机遇，组织不该局限于用户隐私，更应着眼于一部商业法案的终极目标——让交易更加便捷。这将意味着技术的创新与突破和交易成本的大幅降低。便捷与安全向来是同向车轮，规则之下绝不意味二选其一的偏驳，或者为了便捷就放弃安全的妥协。总之，GDPR不仅是一个挑战，也为组织提供了一个审视自己并可能获得更大发展的机遇。

• 数据隐私顾虑导致销售延迟

数据隐私顾虑对销售流程有直接的影响：销售周期延迟，客户在开展业务之前会确保他们的供应商和业务合作伙伴能够妥善解决他们的隐私顾虑。好消息是由于企业提高了对数据隐私的关注，使得担心数据隐私而造成的平均销售滞后时间也相应减少——从去年报告中的平均延迟时间（7.8周）降至2019年的3.9周。

报告分析造成数据隐私相关销售延迟的主要原因：

1）调查特定客户要求；

2）将隐私信息翻译成客户的语言；

3）向客户介绍公司的隐私实践或流程；

4）必须重新设计产品，以满足客户的隐私要求。

思科首席隐私官Michelle Dennedy表示：

组织要想最大限度地发挥其隐私保护投资的价值，还有很长的路要走。我们的研究表明，数字化市场已经形成，积极进行数据资产和隐私保护投资是进入这个市场的正确途径。

• 数据隐私保护投资带来业务效益

研究表明，GDPR就绪性公司受影响的比例最低(74%)。相比之下，1年内才能实现GDPR就绪性的组织受影响比例为80%，还需要一年以上时间才能实现的组织受影响比例高达89%。去年只有37%的就绪性公司损失超50万美元，而就绪性最低的公司有64%遭受了同等程度的损失。实现GDPR就绪性的另一个切实效益是它可以降低数据泄露的频率并减少由此造成的影响。

数据隐私保护投资能够带来包括减少销售周期的延迟时间、降低与数据泄露相关的风险和损失，以及其他潜在的效益，例如提高敏捷性、促进创新、获得竞争优势和提高运营效率。

国际隐私专业人员协会(IAPP)2018年董事会主席Peter Lefkowitz表示：

这项研究证实了隐私专家长期以来的看法，即除了实现合规性之外，组织还会从隐私保护投资中获得其他效益。这项研究表明，严格的隐私合规性可缩短销售周期并提高客户信任度。

三、威胁报告：回顾过去 展望未来

思科Talos作为业内领先的威胁研究和情报团队，据统计他们每天可以为全球用户拦截200亿次攻击，日均分析超150万新的独立恶意软件样本。他们所提供的威胁情报可为思科安全产品输送更强大的检测和阻止功能。与执法部门合作，率先打击像Not Petya、Olympic Destroyer和VPNFilter等国际恶意软件活动，这使得思科Talos始终处于全球打击网络犯罪活动的最前沿，综合选出了2018年的五大关键威胁案例。

网络攻击逐利而生

牟利一直是攻击者的主要动机：恶意软件专为牟利而生，通过各种方式牟利。在许多方面，攻击者都可以将恶意加密货币挖矿活动视为一种以较少的开销快速牟利的途径。

五类关键威胁：

1）Emotet的演变

Emotet从“微不足道”的银行木马演变成能够执行各种不同攻击的模块化平台。只要受害者开启或下载恶意的PDF或Word档案，Emotet就会常驻于计算机上，进而下载恶意模块或感染网络上其他装置。

2）VPNFilter物联网攻击

VPNFilter是以多家制造商提供的大量路由器为目标，利用未打补丁的漏洞侵入路由器。

VPNFilter威胁分为三大阶段：

(1）是在设备中建立持久控制；

(2）实现恶意目的：收集文件、执行命令、泄漏数据和管理设备等；

(3）扩展二阶段功能，提供插件以辅助执行进一步的恶意操作。

虽然此类威胁已被消除，但物联网（IoT）中仍存在其他漏洞，出现其他威胁的可能性是无法避免的。伴随IoT设备数量的持续增长，并且用户不具备修复漏洞的专业技术或不重视威胁，因而抵御这类威胁并非易事。这也表明，若不采取适当措施保护设备，未来将会发生什么仍未可知。

3）针对MDM的攻击

组织利用移动设备管理(MDM)功能能充分控制网络中的设备，但也为恶意攻击者打开了大门。攻击者将将恶意配置文件放到设备上并推送应用，目的是拦截数据、窃取信息及跟踪定位等。

4）加密货币挖矿

基于网络的勒索软件的出现替代了原有勒索软件活动中的人为参与，而勒索软件已被恶意的加密货币挖矿超越。另外，加密货币矿工利用企业网络赚取收益也会造成合规性问题。加密货币挖矿软件可能会在网络管理员不知情的情况下，指向系统中的其他安全漏洞。

5）奥运会毁灭者

此类威胁极具破坏性并且专门用于摧毁信息，此类高级攻击结合了复杂的恶意软件技术与狡猾的策略。思科Talos深入研究后发现，对一些攻击者来说，赎金并不重要，重要的是对一些系统和数据的破坏，或妨碍重大盛会的成功举办。

未来发展态势

思科系列安全报告旨在帮助用户了解最新威胁信息和防御的最佳实践，该安全系列报告研究了各类关键威胁和影响业务效益的情况，并调研了处理数据隐私不同情况导致的问题。思科在大中华区推出了“每月热点威胁”项目，结合每年已发布的威胁报告和每周威胁汇总——思科Talos博客，可为用户提供不同时间跨度的威胁态势信息，这些数据可以帮助用户更好地了解特定类型恶意软件的危害和运作过程。

安全专家认为，企业面临的威胁仍是复杂和富有挑战的。随着威胁的不断增加，企业会处于更多的监督之下，包括政府监管、管理层、合作伙伴及客户。为减少风险和损失的可能性，防护者必须决定将有限的资源合理规划。安全预算仍较为紧张，除非有大的安全事件使管理层重新考虑安全问题。

安全牛评

新型网络威胁随着新兴技术的广泛应用愈演愈烈，企业根据近几年关键威胁攻击面暴露情况、自身业务重要程度和隐私合规要求进行运营决策的制定与调整。安全报告系列就运营成本、合规就绪性等对企业业务的影响整体分析，解答了GDPR实施之后的几年中，公司应对数据隐私保护法规做出何种处理方式给予了数据支撑和案例解读。2019年思科安全报告系列不仅通过用户分群在一定程度上提升了内容完整性，还使得对关键威胁分析愈加清晰、合规带来的系统调整，对企业成本和销售场景的影响。打破数据孤岛真正的了解用户，分析指标数字背后的特征，给用户带来业务提升机会和方向，也为一直关注安全的研究人员提供数据支撑和重要知识参考。

相关链接：

1. 大中华区 “每月热点威胁” 项目：

https://www.cisco.com/c/m/zh_cn/products/security/offers/threat-of-the-month.html

2. 思科Talos团队分析研究文章：

https://www.cisco.com/c/zh_cn/products/security/talos.html

相关阅读