据思科2017年度网络安全报告(Cisco 2017 Annual Cybersecurity Report,即ACR)显示,在2016年遭遇过安全攻击的企业中,三分之一以上的企业损失了超过20%的重要客户、商业机会和收入。其中,90%的企业在攻击发生后,通过区分IT和安全职能(38%)、加强对员工的安全意识培训(38%)、以及缓解应用风险技术(37%),改进威胁防御技术和流程。该报告在《安全能力基准调查》(思科ACR的一部分)中,对来自13个国家和地区的近3000位首席安全官(CSO)和安全运营领导者进行了调查。
在十周年之际,该全球报告强调了安全团队在防御不断演进的网络犯罪和不断变化的攻击模式时,所面临的挑战和机遇。首席安全官们认为,改进安全环境面临的最大障碍是:预算限制、系统兼容性问题、和经过培训的人才缺乏。同时,领导者们指出,安全部门正在使企业环境变得日趋复杂,有65%的企业使用6-50余种安全产品,这增加了安全有效性缺口的可能性。
ACR数据显示,为利用安全有效性缺口,犯罪分子正带动“传统”攻击载体的复兴,例如广告软件和垃圾邮件,而后者自2010年以来已较少大规模出现。垃圾邮件占全球电子邮件总量的近三分之二(65%),其中8%到10%被视为恶意邮件。全球垃圾邮件数量正不断增长,经常通过快速壮大的大型僵尸网络进行传播。
面对这些攻击,检测安全实践的有效性至关重要。思科一直致力于减少“检测时间(Time to Detect,即TTD)”,即发生威胁到发现威胁之间的时间差。缩短检测时间,对于限制攻击者的操作空间和最大限度减少入侵造成的损失至关重要。思科已成功将检测时间从2016年初的平均14小时减少到了2016下半年的6小时。这一数字基于在全球范围部署的思科安全产品收集到选择性的遥测数据。
网络威胁的业务成本:客户丢失,收入损失
2017年度网络安全报告(ACR)揭示了攻击对企业(包括大型企业和中小企业)造成的潜在财务影响。超过50%的企业在遭遇安全攻击后将面临公众审查。受影响最严重的是运营和财务系统,其次是品牌声誉和客户保留。这对于遭遇过攻击的企业,影响极其严重:
• 22%的被攻击企业发生客户丢失,其中40%丢失超过20%的客户。
• 29%的被攻击企业发生收入损失,其中38%损失超过20%的收入。
• 23%的被攻击企业发生业务机会的损失,其中42%损失超过20%的业务机会。
黑客运营和全新“业务”模式
2016年,黑客变得越来越“企业化”。全数字化引领的技术环境的动态变化,给网络犯罪可乘之机。黑客不仅继续利用成熟技术,同时也采用了反映其公司目标的“中间管理”结构的新方法。
• 全新攻击方法可模拟公司层级:某些恶意广告活动使用代理(或“网关”)作为中间管理者,掩盖恶意活动。然后,攻击者可更快行动,维护其操作空间,并逃避检测。
• 云的机会和风险:员工采用的第三方云应用,有27%被归类为高风险应用,且造成了严重的安全隐患,虽然这些应用是用于开启全新业务机会和提高效率的。
• 旧式广告软件(即未经用户允许就下载广告的软件)仍在发挥作用,被调查企业有75%被其感染。
• 好消息是,大型漏洞利用工具(如Angler、Nuclear和Neutrino)的使用率有所减少,其感染的用户数量在2016年出现了下降,但更小的漏洞利用工具填补了其中的空缺。
保护业务,保持警惕
2017年度网络安全报告(ACR)显示,仅56%的安全警报得到了调查,仅有不到半数的真实警报得到修复。尽管防御者对其工具充满信心,但他们面对着错综复杂的环境和严峻的人力资源挑战,所以攻击者仍有发挥自身所长的时间和空间。思科建议采取以下步骤来防御、检测和缓解威胁,并最大限度地降低风险:
• 将安全视为一项业务优先项:领导层必须肩负安全责任,积极进行宣传,并大力支持安全工作。
• 审视运营规则:审核安全实践、补丁,以及到网络系统、应用、功能和数据的控制访问点。
• 测试安全有效性:制定明确指标,使用它们验证和改进安全实践。
• 采用集成化的防御方法:将集成化和自动化置于评估标准列表的首位,以提高可见性、简化互操作性、缩短检测时间、缩短阻止攻击所需的时间,以便安全团队集中精力调查和解决真正的威胁。
思科年度网络安全报告——十年的数据与洞察
从2007年首次推出思科年度安全调研报告至今,网络安全发生了显著变化。尽管技术让攻击变得更具破坏性,让防御变得更为复杂,但安全的基础仍像以往一样重要。
• 2007年度网络安全报告(ACR)显示Web和业务应用成为了攻击目标,通常攻击是通过社会工程或用户带来的违规行为进行的。2017年,黑客在攻击基于云的应用,垃圾邮件不断升级。
• 10年前,恶意软件攻击不断增长,有组织的犯罪行为从中牟利。在当今的影子经济中,攻击者将网络犯罪作为一种商业来运行,为潜在客户提供了低准入途径。如今的犯罪者可以是任何地方的任何人,他们不需要任何安全背景,且能轻松购买“现成的”漏洞利用工具。
• 2007年的报告跟踪了4773个思科IntelliShield安全警报,与国家信息安全漏洞库的规模相近。根据2017年的报告,厂商披露的漏洞警报数量增加了33%,达到6380个。我们认为,这一增长是由更强的安全意识、不断增加的攻击面和活跃的攻击者等因素造成的。
• 2007年,思科建议防御者采用整体性的安全方法,整合工具、流程和策略,并提高利益相关方保护自身环境的意识。企业向厂商寻求应对威胁的全面解决方法,但往往徒劳无功,厂商总是给出零碎的单点解决方案。2017年,首席安全官致力于解决其环境的复杂性。思科正通过一种架构化的安全方法来解决这一问题,帮助客户从现有的安全投资中获得更多收益,在降低复杂性的同时提高安全能力。
支持引言
“2017年,网络与业务密不可分,这要求我们采用完全不同的方式,带来新的成果。我们需要持续改进,并从效力、成本和有序管理的风险等角度对改进措施进行衡量。2017年度网络安全报告不仅表明了我们的努力,同时也证明了我们在预算、人员、创新和架构方面所采取的措施行之有效。”
– John N. Stewart,思科全球高级副总裁兼首席安全官
“在2017年度网络安全报告中,我们强调的关键指标之一是‘检测时间’,即用于发现和缓解恶意活动所花费的时间。我们已将这一数字缩短到6小时。同时,我们也引入了‘演进时间(Time to Evolve,即TTE)’这一新指标,用于评估威胁行动者可在多短时间内改变攻击以掩盖身份。通过充分利用报告调研结果中收集的各类指标,以及携手其他企业实现其威胁防御措施的自动化和集成化,我们能更好地帮助他们最大限度地降低财务和操作风险,并实现业务增长。”
– David Ulevitch,思科全球副总裁兼安全业务总经理
关于报告
思科年度网络安全报告现已开展十年,旨在调查思科安全专家收集的最新威胁情报,提供行业洞察以帮助客户了解安全趋势。此外,2017年的报告还强调了第三次年度《思科安全能力基准调查(SCBS)》的主要结果,重点介绍了安全专业人员对其企业安全状况的看法。报告体现了地缘政治趋势、围绕数据本地化的全球发展、以及网络安全作为企业高层关注主题的重要性。
*请点击《思科2017年度网络安全报告》获得完整报告,了解更多思科对于企业如何缓解风险的建议。