根据Websense安全实验室发布的《Websense 2012年威胁报告》,我们看到三个因素正在成为数据窃取“得力助手”:第一,基于社交网络生成的各种诱饵,这是当前极富成效的攻击手段;第二,现代恶意软件在渗入时已具备回避安全检测的能力;第三,机密数据的泄露方式日益复杂。为了帮助企业有效的应对威胁现状,该报告不仅陈列了最新的安全调查发现,还为安全专业人士提供多起案例进行参考,并提出切实可行的防范建议。
Websense中国安全实验室经理洪敬风表示:“传统的安全防线已经失去了作用,面对现代威胁环境,只有依靠多点检测的实时防御方案,深度检测和分析入站的每一个网页与电子邮件内容以及出站敏感数据传送才能帮助企业有效缓解数据泄露等信息安全风险。在我们的观察中发现:利用Web和电子邮件进行攻击几乎发生在每一起恶意数据窃取行动中;而以人为突破口发起的各种社会工程学攻击更是越加普遍。因为新一代攻击者懂得针对一个目标基于多种威胁渠道从多个数据点发起攻击,所以只有充分了解威胁的整个生命周期,并且能够将数据安全嵌入各个环节的解决方案才能够有效防止新的威胁。”
关键发现:
82%的恶意网站被托管在已经被恶意份子控制的主机上。主机一旦被恶意份子攻陷则不再能提供可被信任的基准、云或者托管服务。从大的环境来讲,这阻碍了社会经济的发展,因为云技术被大量应用于发展商业、交通和文化。
55%的数据窃取源于基于Web的恶意软件通讯。
43%的Facebook分享为流媒体,其中有不少为病毒式视频。目前它所占比例已经超过Facebook第二大内容分类——新闻与媒体5倍。流媒体的所占比例是一个很重要的线索,因为当前的各种Web诱饵(视频、虚假礼品赠与、虚假调查问卷和诈骗等)都是从吸引人的好奇心出发,并越来越多地被使用在社交网络上。Websense是Facebook的内容安全合作伙伴,致力帮助Facebook扫描其内容更新中的所有 Web链接,所以 Websense调查员对社交网络内容具有深入的了解和敏锐的观察。
50%的恶意软件的重定向地址指向美国,其次是加拿大。
60%的钓鱼网站主机在美国,还有一大部分在加拿大。而美国亦是托管最多恶意软件的国家,占总量的36%,紧随其后的是俄罗斯。
74%的电子邮件是垃圾邮件,在前一年这个数据是84%。总体来说,在对抗垃圾邮件僵尸网络方面的努力颇有成效。而另一方面,在垃圾邮件的总量下降的同时,我们看到92%的垃圾邮件都包含一个URL链接,这说明混合电子邮件和Web威胁的攻击正在上升。排名前五位的垃圾邮件诱饵有:订单状态通知、票务确认、交货通知、测试邮件,以及退税通知。另外,鱼叉式网络钓鱼攻击也在持续增长,大多数被用于针对性攻击。
Websense安全实验室分析了超过20万个安卓应用,发现了大量的包含恶意目地和许可的软件。可以预计,未来将会有更多的用户会成为恶意移动应用程序的受害者。
先进威胁的生命周期可以被分为6个阶段:诱惑、重定向、攻击工具包、dropper木马文件、自动通讯,和数据窃取。其中每一个阶段都有不同的特征,需要专门的实时防御系统。传统的安全防护手段因为主要关注第四阶段,并且只能够基于已知威胁特征库查找恶意软件,所以在现代威胁面前顿时失灵。先进威胁中使用的dropper木马可能在数小时或者数天中都无法被传统安全工具检测到。
Websense安全实验室运用Websense ThreatSeeker Network对全球互联网威胁进行实时监测。Websense ThreatSeeker Network每小时扫描4千多万个Web网站和1千多万封电子邮件,以查找不当内容和恶意代码。利用全球超过5千万个节点的实时数据采集系统,Websense ThreatSeeker Networks监测并分类Web、邮件以及数据内容,这使得Websense在审查Internet及电子邮件内容方面具有独一无二的可视能力。