中繼者思科安全報告zh cn cisco asr

執(zhí)行摘執(zhí)行摘IT《》結合思科安全研究部門的止攻擊方面所面臨的挑戰(zhàn)。本報告還將介紹Level3ThreatResearchLabs等外部專業(yè)機構的研究，更深入地闡明當前安全功點是安全專業(yè)人員對其組織內安全狀態(tài)的看法。通過將2015年與2014年的調查結果進行比較，思科發(fā)現(xiàn)首席安全官和安》中提供在本報告中，我們介紹和討論以下內容bWb攻擊方法和漏洞的更全面分析。為了對在015分析IT決策者們對安全風險和可信度的看法。我們還將介紹思科在降低“檢測時間”(TTD)方面取得的最新進展，并強調2目執(zhí)行摘 主要發(fā)展和發(fā) 目標明確：現(xiàn)代網(wǎng)絡犯罪分子將賺錢作為首要目目執(zhí)行摘 主要發(fā)展和發(fā) 目標明確：現(xiàn)代網(wǎng)絡犯罪分子將賺錢作為首要目 威脅情 專題報 思科借助行業(yè)協(xié)作擊敗影響廣泛且盈利性強的漏洞攻擊包和索軟件活 行業(yè)合作幫助挫敗互聯(lián)網(wǎng)最大的DDoS僵尸網(wǎng)絡之 瀏覽器感染：傳播廣泛并且是數(shù)據(jù)泄露的一個主要原 僵尸網(wǎng)絡命令和控制：全球概 消除DNS盲點：將DNS用于命令和控制的攻 威脅情報分 Web攻擊媒 Web攻擊方 最新威脅信 垂直行業(yè)遭受惡意軟件攻擊的風 Web阻止活動：地域概 行業(yè)見 加密：日益發(fā)展的趨勢-也是防御者面臨的挑 網(wǎng)絡犯罪分子擴大在WordPress上的服務器活 基礎設施老化：10年累積下來的問 中小企業(yè)是否是企業(yè)安全方面薄弱的一環(huán) 思科安全功能基準研 準備工作頻增表現(xiàn)出信心下 展 地緣政治角度：互聯(lián)網(wǎng)治理格局的不確定 網(wǎng)絡安全問題重壓于高管心 可信度研究：為企業(yè)面臨的風險和挑戰(zhàn)帶來一線曙 檢測時間：不斷縮短空檔期的競 集成威脅防御的六個原 團結就是力量：行業(yè)協(xié)作的價 關于思 《》撰稿 思科合作伙伴撰稿 附 344通過Level3ThreatResearchLabs的幫助以及托管服務提供商LimestoneNetworks的合通過Level3ThreatResearchLabs的幫助以及托管服務提供商LimestoneNetworks的合作，思科確定并擊敗了美國最大的Angler漏洞攻擊包活動。該威脅活動每天針對90,000名受害者發(fā)起攻擊，每年為幕后的威脅發(fā)起者SSHPsycos（93）(DDoS)vel3TterchsAnler因，也是一個普遍存在的問題。在接受調查的組織中我們估計受到惡意瀏覽器擴展程序影響的企業(yè)超過85%。在我們于2015年7月對一組機構所受影響的分析中，Bedep、Gamarue和Miuref等臭名昭著的僵尸網(wǎng)依然是僵尸網(wǎng)絡命令與控制活動的主要代表??現(xiàn)：大多數(shù)91.3%)軟件均使用域名服務(DNS)來執(zhí)行攻擊活動。通過對DNS查詢進行追溯調查，思科發(fā)現(xiàn)在客戶網(wǎng)絡上存在活動的“惡意”DNS解析器?？蛻舨⒉恢绬T工們將這些解析器用作其DNS基礎設施的網(wǎng)絡犯罪分子仍繼續(xù)大肆利用AdobeFlash漏洞。但是，軟件供應商正努力通過Flash技術來降低用戶遭受惡意軟015TTPS惡意攻擊者開始利用已被入侵的基于流行Web開發(fā)平臺WordPress創(chuàng)建的網(wǎng)站進行犯罪活動。他們可在這些網(wǎng)站??????5?們分析了互聯(lián)網(wǎng)上1500?們分析了互聯(lián)網(wǎng)上1500個思科?查的設備中，有92%的設備正在運行存在已知漏洞的件。此外，這項分析所涉及的現(xiàn)場思科設備中，有的設備已經(jīng)“終止銷售”，8%的設備“壽命已終止”“思科2015年安全功能基準研究”顯示，在2015年安全高管對其安全工具和流程的信心不如2014年。例如在2015年，59%的組織認為他們的安全基礎設施“達到了最新水平”。而在2014年，持有這種看法的組織占到64%。但是，他們對安全越來越多的擔憂也在促使他們?例如，在2015年，48%的中小企業(yè)表示已使用Web安全方案，而在2014年這一比例為59%。此外，在2015年，29%的中小企業(yè)表示已使用修補和配置工具，而在2014年這一比例為39%。這方面的不足會使中小企業(yè)的從2015年5月開始，思科已經(jīng)將網(wǎng)絡中已知威脅的檢測時間(TTD)平均值降至大約17小時，不到一天。這遠遠低于業(yè)界當前的TTD估計值，即100至200天。??677目標明確目標明確（第0頁）。勒的情況下每天攻擊數(shù)萬用戶，攻擊者所獲得的“報酬”豐厚得將流量切換至遭受過黑客攻擊的WordPress網(wǎng)站，作為躲避檢測和使用服務器空間的一種方法（請參閱第33頁）Psychos是思科研究人員迄今為止發(fā)現(xiàn)的最大的僵尸網(wǎng)絡之一，其作案者在標準網(wǎng)絡上運行僵尸網(wǎng)絡，幾乎沒有什么干擾，直到思科和Lvel3hratRserchabs899威脅情思科借助行業(yè)協(xié)作擊敗影響廣泛且盈利性強的漏洞攻威脅情思科借助行業(yè)協(xié)作擊敗影響廣泛且盈利性強的漏洞攻擊包和勒索軟件攻擊活Angler要贖金（通常在300美元到500美元不等），再向用戶提供在這種情況下，支持Angler的IP基礎設施規(guī)模不是很大。每天處于活動狀態(tài)的系統(tǒng)數(shù)量通常為8到12個之間。大多數(shù)統(tǒng)僅在某一天處于活動狀態(tài)。圖1顯示思科在2015年7月觀察到的唯一IP地址的數(shù)量。思科發(fā)現(xiàn)Angler操作者實際上在以線性方式滾動IP地址，以正如《思科215年年中安全報告》中所指出的，比特幣等加or1.2015年7月按日期劃分的AnglerIP地址的數(shù)介于8-12之通過對Aler和相關勒索軟件趨勢進行研究，思科已經(jīng)確定一些漏洞攻擊包操作者將大量全球代理服務器用于Agler，而這些服務器由LimetoneNetworks84120157來源：思科安全研究部2AlrIP..8）開始。當系統(tǒng)攻擊用戶并遇到“干擾”（防御程序開始執(zhí)行檢測）P地址..2.2)。這IP2.支持Angler的低IP基礎設LimestoneNetworkIP地2AlrIP..8）開始。當系統(tǒng)攻擊用戶并遇到“干擾”（防御程序開始執(zhí)行檢測）P地址..2.2)。這IP2.支持Angler的低IP基礎設LimestoneNetworkIP地與這些IP地址相關的提供商。我們確定與Angler相關的大多數(shù)流量來自兩個合法托管服務提供商：LimestoneNetworks總流量中所占的比例接近75%。思科首先聯(lián)系了stes，結果發(fā)現(xiàn)此提供商承載了全球最多的Agler。Limstone234520157678來源：思科安全研究部3.2015年7月按提供商劃分的AnglerHTTP請的75%(Limestone提供商提供商來源：思科安全研究部4.2015年7月按日期劃分的唯一引用一個IPIP為了調查此活動，思科向Level3ThreatResearchLabs和OpenDNS（思科旗下公司）尋求幫助。Level3ThreatResearchLabs能夠提供更全4.2015年7月按日期劃分的唯一引用一個IPIP為了調查此活動，思科向Level3ThreatResearchLabs和OpenDNS（思科旗下公司）尋求幫助。Level3ThreatResearchLabs能夠提供更全面的全球性威脅見解，讓思科時，OpenDNS針對與威脅相關的域活動提供了獨特呈現(xiàn)方式，讓思科可以更全面了解攻擊者如何采用域遮蔽等然后，思科威脅研究人員具體調查了用戶如何遇到r并意廣告將用戶重定向至lr漏洞攻擊包。這些虛假廣告被老年人而設計的。老年人這一群體通常更可能使用MicrosoftInternetExplorer等默認網(wǎng)絡瀏覽器，而且他們了解需要定期修補AdobeFlash漏洞的可能性更小。這種r活動的另一個顯著特點是其唯一引用站點數(shù)量之大及其使用頻率之低（圖4）。我們發(fā)現(xiàn)了超過,00個唯Aner.8%的站點使用頻率低于0次。因此，大多數(shù)引用站點僅在很短時間內處于活動狀態(tài)，然后在對若干用戶發(fā)起針對性攻擊之后就被刪除。在我們205年7HakingTeam零日漏洞CVE-015-51、活動高峰與零日漏洞攻擊同0120157來源：思科安全研究部r%CryallBedp軟件常用的一種惡意軟件下載程序。（請參閱“瀏覽器感染：[第6頁]。)這兩1“doe修復HackingTeam的Flash播放器零日攻擊”，作者：EduardKovacs，SecurityWeek，2015年7月8/adobe-patches-hacking-teams-flash-player-zero-dayAngler收%服務器受到入=X300平均贖金金3400目Angler收%服務器受到入=X300平均贖金金3400目標攻擊交付勒索軟每個攻擊活動勒索軟獲得的總年收 遭受支付贖9515來源：思科安全研究部據(jù)推測，在Hetzner之外的網(wǎng)絡也會達到類似的成功率。這意味著在思科執(zhí)行觀察分析這一時段，威脅發(fā)起者利LimestoneNetworksHetzner服務器發(fā)起了約一半的全球Angler攻擊活動。思科研究人員估計此項攻擊操作每年能夠產(chǎn)生6,000萬美元的總收入。根據(jù)思科的研究，在這一特定攻擊活動中承擔約一半漏洞攻擊包活動的主要攻擊者，平均每天攻擊多達90,000受害者。以此估算，此攻擊活動使攻擊者每年可獲得3,000萬5Angler后端基代理服務器從漏洞攻擊服務（端口81）發(fā)送HTTP請求5Angler后端基代理服務器從漏洞攻擊服務（端口81）發(fā)送HTTP請求HTTP請求/狀請求頁 用來源：思科安全研究部代理服務狀態(tài)服務主服務思科與msteNtrks緊密合作，在新服務器上線時進行識別，然后進行密切監(jiān)控，確保記錄下這些服務器。不久，攻擊者就遠離了er，隨后全球r活動Anglr登陸頁面的GET/（5有關思科如何阻斷Angler洞攻擊包所產(chǎn)生的大量章“威脅聚焦：思科Talos挫敗大規(guī)模國際漏洞攻擊RLTP狀態(tài)代碼“204”消息。攻擊者可以唯一標識每個代理服務器，并確保其不僅在運行，RL行業(yè)合作幫助挫敗互聯(lián)網(wǎng)最大的DDoS僵行業(yè)協(xié)作是思科能夠調查Angler漏洞攻擊包活動的一個關鍵Angler代理服務器，并且讓人們開始注意這個每天都在影響數(shù)要通過更好的合作來消滅犯罪攻擊活動。s（又稱為93組）DDoS僵尸網(wǎng)vel3TretesrchLasSSHPsycs30,0004IPDDSRootkit。這顯然是減少引起(ISP)。獨特的出于一些原因，SSHPsychosDDS威脅。因為它可以利用互聯(lián)網(wǎng)上分布的數(shù)萬臺設備，所以能夠)攻擊。在SSSHPsycs30,0004IPDDSRootkit。這顯然是減少引起(ISP)。獨特的出于一些原因，SSHPsychosDDS威脅。因為它可以利用互聯(lián)網(wǎng)上分布的數(shù)萬臺設備，所以能夠)攻擊。在S)（圖6）。SHvel3的分析，有時候，SSHPsyhosSSH流量的3%以上（圖）。6.SSHPsychos使用暴力破解攻SSH暴力破解攻擊（30萬個唯一密碼惡意軟件主來源：思科安全研究部7.SSHPsychos在高峰期間占全球互聯(lián)網(wǎng)流量的暴力破解攻擊嘗234SSHPsychosSSHPsychosSSHPsychos來源：思科安全研究部Hs域提供商、IP、托管服務提供商、DS與安全S將難以控制。我們必須與能夠有效地從互聯(lián)網(wǎng)上消除暴力破解團體的組織合作。但是，主干網(wǎng)運營商都對過濾客戶的內容猶思科于是聯(lián)Level3Hs域提供商、IP、托管服務提供商、DS與安全S將難以控制。我們必須與能夠有效地從互聯(lián)網(wǎng)上消除暴力破解團體的組織合作。但是，主干網(wǎng)運營商都對過濾客戶的內容猶思科于是聯(lián)Level3ThreatResearchLabs。Level3分析了被認為存在SSHPsychos的網(wǎng)段或IP地址范圍的流量要了解關于思Level3ThreatResearchLabs應對SSHPsychos威脅的更多信息，請閱讀思科安（圖）新活動。然而，在網(wǎng).../23上的一個新網(wǎng)絡出現(xiàn)了SHsycosSSHPsycos的流量之后，思科和Level3決定對03..124./23消除SSHPsychsDDoS止了SSHPschos染的傳播速度遠遠超出很多組織的想象。從2015年1月至10月，我們檢查了26個系列的惡意瀏覽器插件（圖9）。圖8.SSHPsychos流量在干預之后顯著下暴力破解攻思科與Level3合92015年1月到10月的瀏覽器感染百分06來源：思科安全70147102015來源：思科安全研究部瀏覽器感染檢HTTPSURL26-第0頁僵尸網(wǎng)絡命令和控HTTPSURL26-第0頁僵尸網(wǎng)絡命令和控制：全球概發(fā)送垃圾郵件或發(fā)起DDoS攻擊。這些年來，其規(guī)模和數(shù)量2015年4月至10月，我們分析了121家公司的網(wǎng)絡，尋找絡活動的總體概況信息（圖10）。LAPI圖10.各項威脅的增長（感染用戶的比例在我們抽查的45家公司中，我們發(fā)現(xiàn)在我們執(zhí)行觀察的個月中，超過85%的組織都受到了惡意瀏覽器擴展程序的者提供了更多的時間和機會來執(zhí)行其攻擊活動（請參閱“檢測第0頁0456789102015來源：思科安全研究部7月份我們發(fā)現(xiàn)與勒索軟件Cryptowall3.0相關的感染數(shù)量出現(xiàn)顯著高峰。這主要是Angler漏洞攻擊包導致的，已知其會投放Cryptowall負載。據(jù)《思科2015年年中安全報告》所報告，Angler和其他漏洞攻擊包的創(chuàng)建者都很快利用了AdobeFlash的“修補缺口”，即Adobe發(fā)行更新的時間與用戶實際進行升級的時間之間的間隔。2思科威脅研2015年7出現(xiàn)的威脅高Flash零日漏洞CVE-2015-5119導致的，此漏洞是HackingTeam泄露的Angler漏洞攻擊包還傳輸Bedep特洛伊木馬，用以執(zhí)行點7月份我們發(fā)現(xiàn)與勒索軟件Cryptowall3.0相關的感染數(shù)量出現(xiàn)顯著高峰。這主要是Angler漏洞攻擊包導致的，已知其會投放Cryptowall負載。據(jù)《思科2015年年中安全報告》所報告，Angler和其他漏洞攻擊包的創(chuàng)建者都很快利用了AdobeFlash的“修補缺口”，即Adobe發(fā)行更新的時間與用戶實際進行升級的時間之間的間隔。2思科威脅研2015年7出現(xiàn)的威脅高Flash零日漏洞CVE-2015-5119導致的，此漏洞是HackingTeam泄露的Angler漏洞攻擊包還傳輸Bedep特洛伊木馬，用以執(zhí)行點擊欺詐攻擊活動。7月該威脅的爆發(fā)量也略有上升（圖11）。圖12.根據(jù)威脅類別的每月ep、Gae和Mrf（可執(zhí)行點擊欺詐的另一特洛伊木馬和瀏覽器劫持程序）6%以上。0456789102015多功能僵尸網(wǎng)圖11.根據(jù)感染用戶數(shù)量的每月威脅覆蓋來源：思科安全研究部Bedep感染的比例在我們分析的時間段內保持相對穩(wěn)定。然而，我們發(fā)現(xiàn)Miuref感染看似有所減少。我們認為其原因是HTTPS流量增加，幫助隱藏了Miuref的感染指標。圖12顯示引起我們監(jiān)控期間大多數(shù)感染的僵尸網(wǎng)絡的類型。Gamarue和Sality等多功能僵尸網(wǎng)絡是罪魁禍首，其次是點04569107 82015來源：思科安全研究部2思科2015中安全報告：/web/offers/lp/2015-midyear-security-report/index.html/adobe-patches-hacking-teams-flash-player-zero-day由于零日漏洞攻擊而達到峰消除DNS盲點：將DNS用于命令和控制的攻為什么DNS是如消除DNS盲點：將DNS用于命令和控制的攻為什么DNS是如此之多組織的安全盲點？一個主要原因是安全團隊和DNS專家通常在公司的不同IT團隊工作，他們并不DNSS用于前述三項活動中任一活動的惡意軟件感染很重要，（的基礎設施的類型到發(fā)現(xiàn)其來源）(91.3%)的惡意軟件都使用域名服務(DNS)來執(zhí)行以下三種活獲得命重定向用DNS或僅將其用于執(zhí)行互聯(lián)網(wǎng)“運行狀況檢查”的惡意軟件。剩余的惡意軟件都在使用DNS連接經(jīng)驗證為惡意或被視不過，監(jiān)控DNS不僅要求安全團隊和DNS團隊之間進行協(xié)作，而且要求采用適當?shù)募夹g和專業(yè)知識進行相關性（有關更多見解，請參閱“思科借助行業(yè)協(xié)作擊敗影響廣泛且[第10頁]OpnDNSAnglerIP獲得）盡管攻擊者依DNS助進一步開展惡意軟件攻擊活動，但是很少有公司會出于安DNS（或出于任何原因而監(jiān)控DNS）。這種缺乏監(jiān)控的情況使得DNS成為攻擊者的一個理想渠道。根據(jù)我們最近執(zhí)行的一項調查（請參閱13），68%的安全專業(yè)人員都報告他們的組織不監(jiān)控來自遞歸DNS的威脅。（遞歸DNS名稱服務器向請求的主機提供預期域名的IP追溯性DNS分思科對DNS查詢和后續(xù)TCP與UDP流量的追溯調查可確定圖13.監(jiān)控來自遞歸DNS我們的追溯性報告可識別高級持續(xù)性威脅A)“低帶寬慢速”數(shù)據(jù)竊取嘗試，在很多情況下傳統(tǒng)威脅檢測技術都無法捕獲此類威脅。該分析的目標是在龐大數(shù)量的出站通信流量中識別出異常情況。這種“自內而外”的方法可以找出那使用DNS來源：思科安全研究部這是我們在客戶端網(wǎng)站上發(fā)現(xiàn)正在使用的“惡意”DNS解析器的方法?？蛻舨⒉恢绬T工們將這些解析器用作其DNS基礎設施的組成部分。無法有效管理和監(jiān)這是我們在客戶端網(wǎng)站上發(fā)現(xiàn)正在使用的“惡意”DNS解析器的方法。客戶并不知道員工們將這些解析器用作其DNS基礎設施的組成部分。無法有效管理和監(jiān)控DNS解析器的使用可能導致惡意行為，例如DNS緩存投毒和DNS重定向。除了發(fā)現(xiàn)和識別惡意DNS解析器之外，追溯性調查還可以發(fā)Web攻擊媒ADOBEFLASH：終將被放盡管在剛過去的一年里，F(xiàn)lash惡意軟件的總量有所下降（請參閱下一節(jié)“obFlash和PDF內容趨勢”），但它仍然是漏洞攻擊開發(fā)者鐘愛的一種工具。事實上，2015Flash時間內，F(xiàn)lash相關的惡意軟件可能繼續(xù)擔任主要漏洞媒介：值得注意的是，Angler漏洞攻擊包作者就主要以Flash漏洞在第三方垃圾郵件和惡意軟件黑名單上發(fā)現(xiàn)客戶地址空針對已知Zeus和Palevo命令與控制服務器的客戶地址活躍的惡意軟件攻擊活動，包括CTB-Locker、Angler和可疑活動，包括使ToR、電子郵件自動轉發(fā)和在線文檔針對在中國注冊域的滲透性DNS隧道傳輸繞過客戶信任的DNS基礎設施的內部客????圖14.攻擊媒介共享，2年的比較???2013920159Angler漏洞攻擊Cutwail垃圾郵來源：思科安全研究部行業(yè)內對從瀏覽體驗中刪除AdobeFlash的要求導致網(wǎng)絡上Flash內容數(shù)量減少（請參閱下一節(jié)“obFlash和PDF內容趨勢”）。這類似于近些年Java內容所發(fā)生的情況，那次變化使Java惡意軟件數(shù)量呈穩(wěn)定下降趨勢（實際上，Angler作者甚至已不再考慮采用Java漏洞攻擊）。同時，PDF惡意軟件數(shù)量保持相對平穩(wěn)。漏洞攻擊包（普通Bedep特洛伊木MicrosoftSilverlight作為攻擊媒介的情況也有所減少，因為很多供應商都停止對Silverlight用于與瀏覽器集成的API提供支持。隨著許多公司開始采用基于HTML5的技術，他們都摒棄了Silverlight。Microsoft已經(jīng)表示近期不會推出新版本的ADOBEFLASH和PDF內容趨elh下降（圖）FshFash與此相對比，PDF內容在過去一年中保持相對穩(wěn)定，ADOBEFLASH和PDF內容趨elh下降（圖）FshFash與此相對比，PDF內容在過去一年中保持相對穩(wěn)定，而且可能繼續(xù)保持穩(wěn)定。但是，它已有一段時間不再是主要Web攻擊Web攻擊方圖16和17顯示了各種類型的惡意軟件，攻擊者使用這些意軟件獲取組織網(wǎng)絡的訪問權限。圖16顯示最常見的惡意軟件：廣告軟件、間諜軟件、惡意重定向程序、iFrame漏洞和16.觀察到最常用的惡意軟總和（樣本數(shù)）x Flash內容的數(shù)量可能會繼續(xù)下降，而且近期甚至發(fā)生加速下降，因為Adobe已經(jīng)宣布將淘汰Flash。?不過，F(xiàn)lash內容可能還需要一段時間才會逐漸消失。Flash已經(jīng)嵌入到GoogleChrome、MicrosoftInternetExplorer和MicrosoftEdge等瀏覽器中，而且在游戲和視頻內容等網(wǎng)絡內容中仍廣然而，接下來幾年內，隨著新技術（例如HTML5和移動平臺）的采用，Java、Flash和Silverlight等Web攻擊可利用那么風行一時。因此對只顧賺錢的攻擊者而言，將它們作為JavaScript木馬下載程Windows二進制文Windows木馬下載程圖15.Flash和PDF占總流量的百占總互聯(lián)網(wǎng)流量的百網(wǎng)絡釣JavaScript混111來源：思科安全研究部來源：思科安全研究部?“be新聞：Flash、HTML5和開放式網(wǎng)絡標準”Adobe,2015年11月30/conversations/2015/11/flash-html5-and-open-web-standards.html圖16基本上可以視為犯罪分子用于獲取初始訪問權限的惡意JvaScipt漏洞攻擊和Facebook詐騙（）圖17顯示了少量使用的惡意軟件。請注意，“少量”并不意圖17.觀察到的少量使用惡意軟件的示總和（樣本數(shù)）< 圖16基本上可以視為犯罪分子用于獲取初始訪問權限的惡意JvaScipt漏洞攻擊和Facebook詐騙（）圖17顯示了少量使用的惡意軟件。請注意，“少量”并不意圖17.觀察到的少量使用惡意軟件的示總和（樣本數(shù)）< idwsaty惡意WindsKaK”惡意軟idws“ampa惡意Windows木9因此，監(jiān)控Web惡意軟件時，只關注最常見類型的威脅遠遠7Windows后門5特洛伊木馬下載程32WindowsWindows下載程序2Windows后門程22Windows蠕1Windows木馬11JavaScript木馬下載程1來源：思科安全研究部繼采取策略成功降低另一常見威脅媒介Jva的影響之后，很ashADOBEFLASH主要漏洞列AbeFash繼采取策略成功降低另一常見威脅媒介Jva的影響之后，很ashADOBEFLASH主要漏洞列AbeFash介。Fash漏洞攻擊仍然頻繁出現(xiàn)在高度緊迫警報列表中。在2015年，值得肯定的是經(jīng)常發(fā)生這些漏洞攻擊的網(wǎng)絡瀏覽器內置的保護將可以降低犯罪分子對Flash的依賴。由于網(wǎng)絡攻犯罪分子在2016年則很可能將漏洞利用和攻擊集中于AdobeFlash用戶身上。針對一部分Flash漏洞的攻擊方法已經(jīng)可以（如第21頁所述，F(xiàn)lash相關的內容數(shù)量已經(jīng)減少，但仍然是主要的漏洞攻擊媒介。圖18.按供應商劃分的VE總0來源：思科安全研究部門美國國家漏洞數(shù)據(jù)圖19.按供應商漏洞劃分的可用公開漏洞攻擊數(shù)上圖顯示2015年發(fā)布的按供應商劃分的CVE總數(shù)。請意，Adobe在本圖中并沒有在右圖中那樣突出，右圖顯示漏洞此外，WordPress在2015年自身產(chǎn)品僅顯示12個漏洞。他240個漏洞來自第三方提供商創(chuàng)建的插件和腳本20所示，漏洞和相關漏洞攻擊的列表可以為安全專業(yè)人員洞。有關各供應商CVE的更多信息，請參閱CVE詳細信息網(wǎng)站5(https://www.cvedetails.com/top-50-products.php)0思科NovellAdobeMicrosoft20常見漏其他漏Flash漏NuclearSweetFlashCVE-- 來源：思科安全圖0利用（請參閱“l(fā)sh漏洞攻擊包”行），還是可以公開得到（）20常見漏其他漏Flash漏NuclearSweetFlashCVE-- 來源：思科安全圖0利用（請參閱“l(fā)sh漏洞攻擊包”行），還是可以公開得到（）垂直行業(yè)遭受惡意軟件攻擊的風為了跟蹤遭受eb析了攻擊流量的相對數(shù)量（“阻止率”）圖21顯示了28種主要行業(yè)及其相關阻止活動，以占常規(guī)絡流量的比率表示。比率為1.0意味著阻止活動的數(shù)量與觀到的數(shù)據(jù)流量相稱。任何高于1.0的比率則表示阻止率高于期，任何低于1.0的比率表示阻止率低于預期212014年11月至2015年垂直行業(yè)遭受惡意軟件攻擊的風為了跟蹤遭受eb析了攻擊流量的相對數(shù)量（“阻止率”）圖21顯示了28種主要行業(yè)及其相關阻止活動，以占常規(guī)絡流量的比率表示。比率為1.0意味著阻止活動的數(shù)量與觀到的數(shù)據(jù)流量相稱。任何高于1.0的比率則表示阻止率高于期，任何低于1.0的比率表示阻止率低于預期212014年11月至2015年9月期間每月的垂直行業(yè)阻止86421864218642186421政電 421212121 銀行和金農業(yè)和礦21212121教汽車制造零售和批421421421421 保醫(yī)藥和化421421421421 公用事傳媒和出旅游和休42142142121食品和飲會IT電421 421421 421工20141120159201411201592014112015920141120159來源：思科安全研究部2015PHPiame攻擊。圖22說明攻擊者對特定垂直行業(yè)的關注如何可以轉瞬（零代表無凈變。）2015年1月到3月，政府是阻止率最高的垂直行業(yè)。3月至5月，是電子行業(yè)。仲夏期間，專業(yè)服務行業(yè)一舉奪魁。在2015年秋季，醫(yī)療保健行業(yè)的阻止率則圖22.垂直行業(yè)2015PHPiame攻擊。圖22說明攻擊者對特定垂直行業(yè)的關注如何可以轉瞬（零代表無凈變。）2015年1月到3月，政府是阻止率最高的垂直行業(yè)。3月至5月，是電子行業(yè)。仲夏期間，專業(yè)服務行業(yè)一舉奪魁。在2015年秋季，醫(yī)療保健行業(yè)的阻止率則圖22.垂直行業(yè)相對阻止率逐月比840--840 --840 --840--政電醫(yī)療保專業(yè)服20-20 -20-20-制造銀行和金農業(yè)和礦20-20 -20-20-汽車教零售和批20-2 0-2 -20-保醫(yī)藥和化20-20 -20-20-傳媒旅游和休20-20-20 -20-食品和飲IT電20-20 -20-20-工娛樂20141120159201411201592014112015920141120159來源：思科安全Web阻止活動：地域概如圖23動的發(fā)源地進行了分析。依據(jù)這些國家/地區(qū)的互聯(lián)網(wǎng)流量，選擇相應國家/地區(qū)來進行研究。“阻止率”值為Web阻止活動：地域概如圖23動的發(fā)源地進行了分析。依據(jù)這些國家/地區(qū)的互聯(lián)網(wǎng)流量，選擇相應國家/地區(qū)來進行研究?！白柚孤省敝禐?0表示所可能存在大量帶有未修補漏洞的Web服務器和主機。惡意攻擊者無視國家/地區(qū)邊界，并且在惡意軟件能夠發(fā)揮最圖23.按國家或地區(qū)的Web阻俄羅波蘭日本中國香港特別行政區(qū)阻止活動=惡意流量/預期流來源：思科安全請注意，從15年春季開始，中國香港出現(xiàn)了高于常規(guī)的Web阻止活動，法國也是如此。然后，中國香港和法國都出現(xiàn)了Web阻止活動顯著下降的情況，但由于今年年初活動阻圖24顯示從2014年11月至2015年10月期間按國家或地區(qū)劃分的Web阻止活動數(shù)量的逐月對比，為這些排序提供242014年11月至2015年10月按國家或地區(qū)的Web阻止請注意，從15年春季開始，中國香港出現(xiàn)了高于常規(guī)的Web阻止活動，法國也是如此。然后，中國香港和法國都出現(xiàn)了Web阻止活動顯著下降的情況，但由于今年年初活動阻圖24顯示從2014年11月至2015年10月期間按國家或地區(qū)劃分的Web阻止活動數(shù)量的逐月對比，為這些排序提供242014年11月至2015年10月按國家或地區(qū)的Web阻止活動逐月53105310德澳大利975310975310法975310975310中中國香港特1120144 620151120146201528月10248月10來源：思科安全行業(yè)見加密：日益發(fā)展的趨勢-也是防御者面臨的挑行業(yè)見加密：日益發(fā)展的趨勢-也是防御者面臨的挑在觀察了2015年的趨勢之后，我們的研究人員認為加密流（特別是HTTPS流量）已經(jīng)達到一個臨界點。雖然這種流流量形式。事實上，我們的研究表明，由于HTTPS的較大開銷以及通過HTTPS發(fā)送的更大內容（例如向文件存儲站點的50%以上（圖25）。圖25.SSL流量百分總字節(jié)百分人員都需要適應這種新的局面，通過收集數(shù)據(jù)流的報頭和其他未加密部分以及其他情景信息來源來分析加密流量。那些依賴負載可視性的工具（例如完整數(shù)據(jù)包捕獲方法）的有效性正在逐漸降低。如今，執(zhí)行CoewHTTPS請求百分1102015來源：思科安全研究部任何Web事務都需要發(fā)送（出站）和接收（入站）一定數(shù)量的字節(jié)。HTTPS事務的出站請求比HTTP出站請求額外多出約2000字節(jié)。不僅如此，HTTPS入站請求也有開銷，但是通過合并每個WebTTPS加密的每個WebTTPSTPS25年1月的4%增至10月的57（圖2）。26.HTTPS請求：2015年1月到9月的最大變差值百分2015通過合并每個WebTTPS加密的每個WebTTPSTPS25年1月的4%增至10月的57（圖2）。26.HTTPS請求：2015年1月到9月的最大變差值百分2015來源：思科安全研究部通過網(wǎng)絡流量分析，我們還確定HTTPS請求一直在逐漸增加，只是自20151月開始增幅顯著。如圖25所示，1月份有24%的請求使用HTTPS協(xié)議；其余請求使用HTTP而在10月，我們所觀察的請求中，有33.56%屬于HTTPS請求。此外，我們發(fā)現(xiàn)入站HTTPS字節(jié)的百分比也有所增加，而且全年如此。由于使用HTTPS的流量增加，需要的帶寬也隨之增加。每個事務需要增加5kbps帶寬。我們認為，加密網(wǎng)絡流量的整體增加主要歸因于以下因素來自應用的移動流量增加，這些流量本身就是加密流來自用戶的加密視頻下載請求增事實上，圖26顯示，向在線存儲和備份資源發(fā)出的HTTPS請求自2015年初以來已提高50%。同一時期，文件傳輸服務也大幅增加，增幅為36%。圖27.加密HTTPS流量最多的主機抽樣主機的26-50% 抽樣主機的0- c2s-26-12臺主12 抽樣主機的51-圖27.加密HTTPS流量最多的主機抽樣主機的26-50% 抽樣主機的0- c2s-26-12臺主12 抽樣主機的51-44臺主 32臺主抽樣主機的76-www.google- 加密百分0-76-26-51-來源：思科安全通過觀察請求量排名靠前的域（圖27）可以看出，Google和Facebook的許多主要內容頁面都經(jīng)過加密。通常，這些網(wǎng)站的廣告流量只有10%經(jīng)過加密。從2015年6月1日開始的三個月時間內，思科安全研究員觀察到有7,480,178個流來自598,138個“威脅100”惡意軟件提交樣本。在此期間的高熵流為958,851個，占12.82%我們還發(fā)現(xiàn)，通過傳輸層安全(TLS)協(xié)議傳輸?shù)牧鳛?17,052個(12.26%)。此外，有8419個TLS流流經(jīng)安全HTTP的默認端口443以外的端口。觀察到的惡意軟件用于進行通信的端口包括端口21、53、80和500。HTTPS原則”[第62頁]）。單點解決方案并不能有效識別加密流量對?熵：在計算中，熵（無序或不可預測）是操作系統(tǒng)或應用收集的隨機數(shù)，用于加密或需要隨機數(shù)據(jù)的其他用加密的發(fā)展：案例數(shù)思科旗下公司Lancope對三個工商部門（兩所大學，一間醫(yī)院和一家ISP提供商，總部全都位于美加密的發(fā)展：案例數(shù)思科旗下公司Lancope對三個工商部門（兩所大學，一間醫(yī)院和一家ISP提供商，總部全都位于美國）的內部和互Lancope在一所大學中，Lancope發(fā)現(xiàn)幾乎所有內部流量都經(jīng)過加內部(82%)。此外，該大學53%的互聯(lián)網(wǎng)流量也經(jīng)過加密。這些結果與Lancope在其他行業(yè)中觀察到的趨勢水平相當。醫(yī)院的內部數(shù)據(jù)只有36%經(jīng)過加密。但是，有超過一(52%)的互聯(lián)網(wǎng)流量經(jīng)過加密而那一家領先的ISP提供商有70%的內部流量經(jīng)過加密50%的互聯(lián)網(wǎng)流量經(jīng)過加密醫(yī)大學大學來源：Lancope威脅研究實驗網(wǎng)絡犯罪分子增加了在使用所創(chuàng)建網(wǎng)站上的服務器活Wores（）果。在不同的WordPress站點中，攻擊者可以控制數(shù)量穩(wěn)定魚攻擊的基礎設施。互聯(lián)網(wǎng)上充滿使用odPress創(chuàng)建的廢法完成。但是，通過受感染的WordPress服務器中繼加密密WordPress站點被用作中繼代理。圖28.惡意軟件作者利用的WordPress域的WrdPress215年2月到0oPs域的數(shù)量增長了221（8）。10971583642來源：思科安全研究部為了回避其他技術的弊端，犯罪分子已轉而使用WordPressodPs站點攻擊者可以利用這些漏洞將WordPress服務器納為已用，將其作為惡意軟件基礎設施（請參閱圖為了回避其他技術的弊端，犯罪分子已轉而使用WordPressodPs站點攻擊者可以利用這些漏洞將WordPress服務器納為已用，將其作為惡意軟件基礎設施（請參閱圖29）。思科研究人員已經(jīng)確定了一些經(jīng)常寄宿在受感染站點中的軟件和文件類型器可能會在發(fā)現(xiàn)受到威脅時被關閉。如果在攻擊活動中途發(fā)生這種情況，惡意軟件下載程序可能就無法檢索其負載，或者惡意軟件可能無法與其命令和控制服務器通信。思科安全研究人員注意到，惡意軟件使用多臺WrPrss（Patein）上存儲的受感染ordPress屬于漏洞攻擊包攻擊負載的可執(zhí)行文Dridex和Dyre等惡意軟件的配置文用于收集用戶名和密碼的網(wǎng)絡釣魚網(wǎng)將流量重定向至漏洞攻擊包服務器的HTML腳本?????WrdPressWordPess此外，思科研究人員還確定了使用受感染W(wǎng)ordPress網(wǎng)站作?????????Dridex信息竊取木馬Pony密碼竊取程序TeslaCrypt勒索軟件Cryptowall3.0勒索軟件TorrentLocker勒索軟件Andromeda垃圾郵件僵尸網(wǎng)絡Bartallex木馬植入程式Necurs信息竊取木馬假冒登錄頁受到感染的odsWrdrs圖29.WordPress站點如何受到感從WordPress服務器下載Cryptowall二進制文件123Flash漏洞攻Cryptowall連接至命令與4Cryptowall命令與控制服務5Cryptowall將文檔加Cryptowall信并6來源：思科安全研究部安全專業(yè)人員如果擔心被犯罪分子操控的WordPress所造成的威脅，就應借助Web安全技術檢查來自基于WordPress創(chuàng)建的站點的內容。安全專業(yè)人員如果擔心被犯罪分子操控的WordPress所造成的威脅，就應借助Web安全技術檢查來自基于WordPress創(chuàng)建的站點的內容。如果網(wǎng)絡從WordPress站點下載的不僅有網(wǎng)頁和圖像，還包括程序（雖然WordPress站點也可托管合圖30.平均軟件使用年年654如今，所有公司都要依賴IT信息技術）和T（運營技術）ITIT32101,00臺思科設 來源：思科安全研究部期(LDoS)，這意味著這些設備已無法更新和提高安全性（圖31）。而且，這些設備甚至收不到因此也就無法獲得有關新威脅的信息。客戶已經(jīng)意識到這個內部）檢查設備來確定一天抽樣115,000臺設備。通過掃描和分析，我們發(fā)現(xiàn)，這115,000臺設備中有106,000臺備運行的軟件存在已知漏洞。這意味著在我們的樣本中，92%的互聯(lián)網(wǎng)上的思科設備易受已知漏洞的感染圖31.基礎設施設備的LDoS百分思科還發(fā)現(xiàn)，這些設備運行的軟件版本平均有26個漏洞。此外，我們得知許多組織的網(wǎng)絡基礎設施上運行的也是過時軟（圖30）。我們發(fā)現(xiàn)，金融、醫(yī)療保健和零售行業(yè)的一些客戶使用的思科軟件是6年前的版本。醫(yī)療?！癐T安全：當成熟度被高估時”“對思科IOS設備的攻“YNul降臨：檢測并減輕思科IOS521來源：思科安全研究部此外，在我們分析的115,000臺樣本設備中，有8%的設已達到壽命終止階段，此外，在我們分析的115,000臺樣本設備中，有8%的設已達到壽命終止階段，另有31%的設備將于一到四年內達到根本沒有考慮到他們會100%依賴于這些基礎設施，也沒有對組織而言，老化過時的IT基礎設施就是漏洞。隨著我們逐漸向物聯(lián)網(wǎng)(IoT)和萬物互聯(lián)(IoE)發(fā)展，確保企業(yè)能夠依靠累計警報總數(shù)表圖32.年度累計警報警報總82014年至2015年增長了20142015年，累計警報總數(shù)增加了21%。2015年7月到9月的增幅特別高。這種增加在很大程度上歸因于MicrosoftApple等供應商的主要軟件更新，因為產(chǎn)品更20142013(API)0112來源：思科安全研究部威脅類別：緩沖區(qū)錯誤、信息泄漏和披露數(shù)下214年到205跨站點腳本(SS)%（圖3）2015年，信息泄漏或信息披露漏洞減少了15%。這些漏威脅類別：緩沖區(qū)錯誤、信息泄漏和披露數(shù)下214年到205跨站點腳本(SS)%（圖3）2015年，信息泄漏或信息披露漏洞減少了15%。這些漏圖33各類常見漏洞的CWE-200：信息泄漏/披CWE-119：緩沖區(qū)（增加CWE-78：OS命令注請求(CSRF)CWE-94：代碼注CWE-287：身份驗證問44（增加CWE-22：路徑遍CWE-89：SQL注CWE-59：鏈接跟CWE-16：配來源：思科安全中小企業(yè)是否是企業(yè)安全方面薄弱的一環(huán)215（請參閱第1頁），有跡象顯示中小企業(yè)對攻擊者的防御并未達到其面臨的挑戰(zhàn)所要求的防御強度。反過來，這些薄弱環(huán)節(jié)會讓中小企業(yè)的大型根據(jù)思科2014年安全功能基準研究的結果來判斷，中小企業(yè)例如，48%的中小企業(yè)在2015年表示使用了Web安全工具；而2014年有59%的企業(yè)使用。只有29%的企業(yè)表示他們在2015年使用了修補和配置工具，而2014年這一比例為39%。中小企業(yè)對某些威脅防御工具的使用呈下降趨勢。例如2014年有52%的中小企業(yè)使用移動安全產(chǎn)品，但2015年有42%的中小企業(yè)這樣做。此外，2014年有48%的中小業(yè)使用漏洞掃描產(chǎn)品，而2015年的這一比例為40%（請參閱圖36）。中小企業(yè)使用事件響應團隊的可能性較在許多情況下，中小企業(yè)組建事件響應團隊和威脅情報團隊的可能性比大型企業(yè)低。其原因可能是預算限制：受訪者指出，預算問題是采用高級安全流程和技術的最大障礙之一。2%的大型企業(yè)（100工少于500人的企業(yè)中只有67%這樣做圖36.2015年中小企業(yè)防御措施的減中小企業(yè)對某些威脅防御工具的使用呈下降趨勢。例如2014年有52%的中小企業(yè)使用移動安全產(chǎn)品，但2015年有42%的中小企業(yè)這樣做。此外，2014年有48%的中小業(yè)使用漏洞掃描產(chǎn)品，而2015年的這一比例為40%（請參閱圖36）。中小企業(yè)使用事件響應團隊的可能性較在許多情況下，中小企業(yè)組建事件響應團隊和威脅情報團隊的可能性比大型企業(yè)低。其原因可能是預算限制：受訪者指出，預算問題是采用高級安全流程和技術的最大障礙之一。2%的大型企業(yè)（100工少于500人的企業(yè)中只有67%這樣做圖36.2015年中小企業(yè)防御措施的減生前水平的流程也更少（圖35）。例如，員工超過10,000人的企53使用網(wǎng)絡流量分析工具分析受感染的系統(tǒng)，而工少于500人的企業(yè)中只有43%這樣做。員工超過10,000的企業(yè)有60%會修補和更新有漏洞的應用，而員工少于500的企業(yè)中只有51%會這樣做20142015安全信息和事件管理圖34中小企業(yè)的最大您認為下面哪些項是采用高級安全流程和技術的最大補丁和配終端設備調查分來源2015年安全功能基準研公司規(guī)250-500-1000-預算限來源2015年安全功能基準研圖35.中小企業(yè)使用的安全流程少于大型企您的組織目前使用下列哪些流程（如果有）來分析受入侵的系統(tǒng)250-500-1000-內存調查分網(wǎng)絡流量分關聯(lián)事件/日志分外部（或第三方）事件響應/分析團系統(tǒng)日志分注冊表分IOC檢您的組織使用什么流程將受影響的系統(tǒng)恢復到發(fā)生事件之前的運行狀態(tài)修補和更新視為有漏洞的應實施額外或新的檢測來源2015年安全功能基準重要？未被檢測出來的安全環(huán)境中，沒有哪家企業(yè)能夠不對網(wǎng)絡采?。ǖ?4頁）重要？未被檢測出來的安全環(huán)境中，沒有哪家企業(yè)能夠不對網(wǎng)絡采?。ǖ?4頁）圖38.中小企業(yè)不認為自己是高價值目您的組織是否由高管直接負責安全事務是否經(jīng)歷過公開的數(shù)據(jù)泄露事件的可能性較10,000人的企業(yè)有52%曾成功應對過公開的安全漏洞事件的后果，而員工少于500人的企業(yè)只有39%曾經(jīng)遇到過同樣250-500-1000-圖37.中小企業(yè)報告的公開漏洞較必須管理公開安全漏組織對于攻擊者不屬于高價（對組織為什么沒有由高管直接負責安全事務的解釋）是否公司規(guī)250-500-1000-250-499人中小企10,000人以上企來源2015年安全功能基準研來源2015年安全功能基準研表明他們對威脅形勢的認知存在差距。正如圖38所示，22%的員工少于500人的企業(yè)表示他們沒有直接負責安全事務的2015年中小企業(yè)將安全職能外包的可能性更性比大型企業(yè)低。例如，55%的大型企業(yè)將2015年中小企業(yè)將安全職能外包的可能性更性比大型企業(yè)低。例如，55%的大型企業(yè)將建議與咨詢服務外包，而員工少于500人的企業(yè)只有46%這樣做。外包安全審核任務的大型企業(yè)達到56%，而員工少于500人的企業(yè)只有42%這樣做（請參閱圖39）。（）大型企業(yè)級的安全防護不過，2015年有更多中小企業(yè)至少外包了一些安全服務201.4年，24%的員工少于499人的中小企業(yè)稱其沒有包任何服務。2015年，只有18%的中小企業(yè)如此回答39更多中小企業(yè)在2015年外包安全服在安全性方面，以下哪些類型的服務（如果有）是全部或部分外包給第三方公司規(guī)250-500-1000-建議與咨威脅情-為什么您的組織（250-人中小企業(yè)）選擇外包這項/這些服務缺乏內部資（軟件、人力更具成本效更及時的事件響缺乏內部經(jīng)來源：思2015年安全功能基準研安全功能基準研思科安全功能安全功能基準研思科安全功能基準研(CSO)和安全運營(SecOps)經(jīng)理對安全資源和安全程序的看法對其進行了調查，調查對象來自多個國家/地區(qū)不同規(guī)模的組織。思科2015年安解，并將這些結果與2014準備工作頻增表現(xiàn)出信心下步。安全行業(yè)必須不斷增加工具和流程的使用，從而改善威脅的檢測、遏制和補救。鑒于預算限制和解決方案兼容性障礙，安全行業(yè)還必須鉆研出能夠提供集成式威脅防御的有效解決方案。此外，安全行業(yè)還必須在公開漏洞發(fā)生時（Sscos第14頁）安全功能基準研資源：組織采用外包的可能性更御措施，例如將那些可由顧問或供應商更有效地管理的安全任務外包。2015年，接受調查的公司有7%將安全審核外包，比204年的41%2015年有42%014年的35%圖40）。年，21%的調查受訪者稱其沒有外包任何安全服務。2015年，這一數(shù)字顯著下降至12%。53%的受訪者表示外包服務是因為這樣做更具成本效益，而49%的受訪者則稱其外包服安全功能基準研資源：組織采用外包的可能性更御措施，例如將那些可由顧問或供應商更有效地管理的安全任務外包。2015年，接受調查的公司有7%將安全審核外包，比204年的41%2015年有42%014年的35%圖40）。年，21%的調查受訪者稱其沒有外包任何安全服務。2015年，這一數(shù)字顯著下降至12%。53%的受訪者表示外包服務是因為這樣做更具成本效益，而49%的受訪者則稱其外包服使用外部解決方案的專業(yè)人員數(shù)量有所增加。2015年有20%的受訪者使用外部私有云解決方案，而2014年這一比例18%（圖41）圖40外包服務哪些安全服務是外包的20142015建議與咨圖41.外部托管有所內部承載組織網(wǎng)絡仍然最為常見；但是，外部托管自去年以來有2014年 2015年作為私有云的一部分內部部內部部無/內 內部部署但由外部第三方管為什么外包這些服務？?2015私有云外更具成本效公共云外部部需要獲得客觀公正的見來源：思科2015年安全功能基準研更及時的事件響缺乏內部專業(yè)知缺乏內部資?外包安全服務的安全受訪者（2015來源：思2015年安全功能基準研安全功能基準研圖42.預算限制是安全升級的主要障采用高級安全的最大障礙流程和技2015來源：思科2015年安全功能基準研(39%)居（32%；請參閱圖42）。對（請安全功能基準研圖42.預算限制是安全升級的主要障采用高級安全的最大障礙流程和技2015來源：思科2015年安全功能基準研(39%)居（32%；請參閱圖42）。對（請參閱圖43）39%的回43%，而在屬于中低成熟度的企業(yè)中為48%IT預算分開的組織數(shù)量略有增加。204年，%的專業(yè)人員稱其安全預算和IT215年，這一數(shù)字提高到9%（請參閱圖4）。圖44.采用單獨的安全預算的組織略有增安全預算是否包含在IT預算20142015圖43.預算限制對于低成熟度公司是更大的障$視預算限制為最大障礙的受訪者百分$部分包含在IT完全包含在IT 來源：思2015年安全功能基準研低中中高來源：思2015年安全功能基準研預算限 缺乏知兼容性問 組織文化/態(tài)認證要 缺少經(jīng)過培訓的人優(yōu)先事項 在經(jīng)過檢驗之前不愿購當前工作負載太繁 高級管理安全功能基準研安全功能基準研標準化安全策略或實踐的認證或正在爭取通過認證（圖45）圖45.大多數(shù)組織已通過認證或正在申請認組織遵循標準化的信息安全策略實踐(2015年正在為認證流程做準已經(jīng)通過認70%金融服70%電67%醫(yī)療保65%政64%公用事業(yè)/能63%其他行63%化學工程或58%非計算機制57%運輸46%農業(yè)/林業(yè)/漁44%醫(yī)36%采礦目前正在爭取通過認來源2015年安全功能基準研具是防火墻(6)(6%)%；請參閱圖6。205賴基于云的工具。盡管安全專業(yè)人員表示愿意外包安全服（請參閱第43頁），但他們可能更傾向于在內部部署（有關完整列表，請參閱第71頁。圖46.防火墻和數(shù)據(jù)丟失保護是最常用的安全工組織使用的安全威脅防御措2014201520142015*防火墻和入侵防御在2014來源：思科2015年安全功能基準研防火墻 不適 數(shù)據(jù)丟失保 身份驗 加密/隱私/數(shù)據(jù)保 郵件/消息傳送安全 Web安 網(wǎng)絡安全、防火墻和入侵防御 不適安全功能基準研圖47.制定正式安全策略的組織增近三分之二已經(jīng)通過標準化安全策略或實踐的認證功能2015年，安全專業(yè)人員對其安全基礎設施保持最新狀態(tài)的心比2014年有所下降。安全功能基準研圖47.制定正式安全策略的組織增近三分之二已經(jīng)通過標準化安全策略或實踐的認證功能2015年，安全專業(yè)人員對其安全基礎設施保持最新狀態(tài)的心比2014年有所下降。毫無疑問，知名度極高的針對各大企2014(n=1738)2015 高漲的興趣。如圖47所示，2015年制定了正式書面安全戰(zhàn)略的公司(66%)多于2014年(59%)。實踐，例如ISO27001 來源：思科2015年安全功能基準研48.2015年信心下您如何描述您的安全基礎設20142015我們的安全基礎設施絕對是最新的，并利用可用的最佳技術不斷我們定期更換或升級安全技術，但未配備最新最好的工我們僅當原有安全技術無法使用或已過時或有全新需求時，才會更換或升級來源2015年安全功能基準研有下降。2014年，64%的受訪者表示他們的安全基礎設施是最新的并且不斷升級。2015年，這一數(shù)字下降至59%（圖48）。此外，2014年有33%的受訪者表示組織未配備最新的安全工具；2015年，這一數(shù)字提高到37%。首席安全官的信心更高一點，他們比安全運營經(jīng)理更樂觀65%的首席安全官認為他們的安全基礎設施是最新的，而4%安全功能基準研圖49.對能否檢測到漏洞的信心并不相您如何描述您的安全基礎設施非常反反(2015年能夠在安全事件全面爆發(fā)前檢測到安全漏洞的組織百分1安全功能基準研圖49.對能否檢測到漏洞的信心并不相您如何描述您的安全基礎設施非常反反(2015年能夠在安全事件全面爆發(fā)前檢測到安全漏洞的組織百分14有信心確定感染的范圍并進行補救的組織百18來源：思2015年安全功能基準研心。51%漏洞；只有%（請參閱圖49）。215（2015年有54%，而2014年有58%；請參閱圖50）（有關完整列表，請參閱第76頁。圖50.對能否將安全融入系統(tǒng)的信心有所下252014我們在將安全融入系統(tǒng)和應用方面做得很好201514來源2015年安全功能基準安全功能基準研在某些方面，對安全功能的信心不是非常高。例如，2015年只有54%的受訪者表示他們認為自己有很好的系統(tǒng)，可以驗證安全事件是否實際發(fā)生（請參閱圖51）。（有關完整列表，請參閱第77頁。）圖51.企業(yè)認為自己擁有良好的安全控安全控我們有很好的系統(tǒng)，可以驗證安全事件是否實全的信心。56%的受訪者表示他們會定期、正式、戰(zhàn)略性地審查和改進安全實踐；5%的受訪者認為他們的各種安全技術很好地融為一體，有效地共同發(fā)揮作用（安全功能基準研在某些方面，對安全功能的信心不是非常高。例如，2015年只有54%的受訪者表示他們認為自己有很好的系統(tǒng)，可以驗證安全事件是否實際發(fā)生（請參閱圖51）。（有關完整列表，請參閱第77頁。）圖51.企業(yè)認為自己擁有良好的安全控安全控我們有很好的系統(tǒng)，可以驗證安全事件是否實全的信心。56%的受訪者表示他們會定期、正式、戰(zhàn)略性地審查和改進安全實踐；5%的受訪者認為他們的各種安全技術很好地融為一體，有效地共同發(fā)揮作用（請參閱圖52）。（有關完整列表，請參閱第79頁。非常反反162014201515來源：思2015年安全功能基準研圖52.企業(yè)對能否遏制感染的信心并不相非常反非常同142014我們定期、正式、戰(zhàn)略性地審查和改進安全201514252014201514292014201518來源：思2015年安全功能基準研安全功能基準研圖53.四分之一的企業(yè)認為安全工具只是稍微有與去年類似，超過四分之一的受訪者認為他們的安全工具只是“稍微有效”，而不是“很有效”或“非常有安全工具的有效完全無不太有稍微有非常有032014阻止已知的安全威201502042014檢測網(wǎng)絡安全功能基準研圖53.四分之一的企業(yè)認為安全工具只是稍微有與去年類似，超過四分之一的受訪者認為他們的安全工具只是“稍微有效”，而不是“很有效”或“非常有安全工具的有效完全無不太有稍微有非常有032014阻止已知的安全威201502042014檢測網(wǎng)絡異常并動態(tài)防御自適應威脅的轉201502132014使我們能夠實施安全策201502142014使我們能夠評估潛在的安全風201502032014確定感染的以遏制，防止事態(tài)201502來源2015年安全功能基準研與2014年的受訪者類似，2015也有超過四分之一的安全專業(yè)人員表示他們認為自己的安全工具只是稍微有效（圖53）安全功能基準研但是，015年表示組織必須處理公開的安全漏洞事件的安全專業(yè)人員有所減少：204年這樣回答的專業(yè)人員占53%，而205年只占48%（圖54）。圖54.公開漏洞可提高安全功能基準研但是，015年表示組織必須處理公開的安全漏洞事件的安全專業(yè)人員有所減少：204年這樣回答的專業(yè)人員占53%，而205年只占48%（圖54）。圖54.公開漏洞可提高安全貴組織是否曾因安全漏洞而受到公眾關注 20142015是與性的價值：47%的受到公開漏洞影響的安全專業(yè)人員表示，漏洞促成了更完善的策略和程序。例如，43%的受訪者表示他們42%是(n=1134)流程。2059%次安全培訓，較之014年的82%（請參閱圖[82頁]）完全無不太有有點作作用很 來源2015年安全功能基準圖55.進行安全培訓的組織有所增2015年，43%的受訪者表示他們在出現(xiàn)公開漏洞后加強了安全培來源：思2015年安全功能基準研安全功能基準研圖56.成熟度模型根據(jù)安全流程評定組思科探討了多種樣本分割方法，根據(jù)一系列與安全流程有關的問題，選擇將樣本分割為五類。五類分割法與能力成熟度模型集成(M)范狀況的看法可能會改變。思科215年安全功能基準研究根五個成熟度類別（圖6）。該研究調查了功能、行業(yè)和國家5優(yōu)化階高1的榜首（圖5）。量化管定量度量和控制流2中3形成定4采用不可預測的臨時流低5來源：思2015年安全功能基準研圖57.對采用更高級安全的障礙不受成熟度的影您認為以下哪些項是采用高級安全流程和技術的最大障礙完善程低中中高預算限高級管理層的支優(yōu)先事項沖缺少經(jīng)過培訓的人流程和技術安全功能基準研圖56.成熟度模型根據(jù)安全流程評定組思科探討了多種樣本分割方法，根據(jù)一系列與安全流程有關的問題，選擇將樣本分割為五類。五類分割法與能力成熟度模型集成(M)范狀況的看法可能會改變。思科215年安全功能基準研究根五個成熟度類別（圖6）。該研究調查了功能、行業(yè)和國家5優(yōu)化階高1的榜首（圖5）。量化管定量度量和控制流2中3形成定4采用不可預測的臨時流低5來源：思2015年安全功能基準研圖57.對采用更高級安全的障礙不受成熟度的影您認為以下哪些項是采用高級安全流程和技術的最大障礙完善程低中中高預算限高級管理層的支優(yōu)先事項沖缺少經(jīng)過培訓的人流程和技術優(yōu)先事項沖來源2015年安全功能基準研安全功能基準研圖58.按基礎設施和行業(yè)測定安全成熟54比，2015金融服務：銀行保非計算機相化學工其公用事業(yè)/能電醫(yī)療保中高來源2015年安全功能基準研圖59.按行業(yè)劃分的成類的分布（按行業(yè)完善程低中中高公用事業(yè)/能 電醫(yī) 非計算機相政來源2015安全功能基準研圖58.按基礎設施和行業(yè)測定安全成熟54比，2015金融服務：銀行保非計算機相化學工其公用事業(yè)/能電醫(yī)療保中高來源2015年安全功能基準研圖59.按行業(yè)劃分的成類的分布（按行業(yè)完善程低中中高公用事業(yè)/能 電醫(yī) 非計算機相政來源2015年安全功能基準研安全功能基準研圖按基礎設施和國家/地區(qū)測定安全成熟右圖標出了各國家/地區(qū)安全基礎設施的質量和成熟度。位于右上象限的國家/地區(qū)表現(xiàn)出最高級別的成熟度和基礎設施質美下圖顯示了按國家/地區(qū)劃分的思科成熟度分布情況。結果基澳大利英中高圖61.按國家/地區(qū)劃分的成熟來源2015年安全功能基準研類的分布（按國家/地區(qū)2014年2015年完善程低中中中高美巴德英澳大利中 印日法來源：思2015年安全功能基準研安全功能基準研圖按基礎設施和國家/地區(qū)測定安全成熟右圖標出了各國家/地區(qū)安全基礎設施的質量和成熟度。位于右上象限的國家/地區(qū)表現(xiàn)出最高級別的成熟度和基礎設施質美下圖顯示了按國家/地區(qū)劃分的思科成熟度分布情況。結果基澳大利英中高圖61.按國家/地區(qū)劃分的成熟來源2015年安全功能基準研類的分布（按國家/地區(qū)2014年2015年完善程低中中中高美巴德英澳大利中 印日法來源：思2015年安全功能基準研安全功能威安全功能威脅情建議：對現(xiàn)狀核實作出反IT決策者對安全風險和可信度的看法。我們還將概述集成式威IT決策者對安全風險和可信度的看法。我們還將概述集成式威地緣政治視角：互聯(lián)網(wǎng)治理格局的不確定定性。奧地利隱私維權人士MaxSchrems對社交網(wǎng)絡巨頭Facebook提起訴訟的標志性事件產(chǎn)生了巨大的影響，導致歐洲聯(lián)盟法院(CJEU)于2015年10月6日推翻《美國安全港.0?包括它能夠為消費者和組織帶來哪些好處，以及它對執(zhí)法機構2015年11?0依靠安全港之外的機制和法律保障，向歐盟傳輸時，美國數(shù)據(jù)也要接受調查。目前，多家數(shù)據(jù)公司仍在嘗試評估這一變化所產(chǎn)生的影響。此外，雖然近兩年歐盟和美國官方一直在尋找安全港的替代方案，但人們對預期的新機制仍憂心忡忡。一種擔216年1JU??“歐盟法院宣布歐盟的美國安全港決策無效”，CJEU，2015年10月6日：/tech-policy/2015/11/safe-harbour-2-0-framework-begins-to-capsize-as-january-deadline-nears/?“隨著一月份截止日期臨近，2.0版安全港框架面臨失敗結局”，作者：GlynMoody，ArsTechnica，2015年11月161?“巴黎襲擊事件激化加密爭論”，作者：DannyYadron、AlistairBarr和DaisukeWakabayashi，華爾街日報，2015年11月19日：/articles/paris-attacks-fan-encryption-debate-1447987407能確保其業(yè)務符合數(shù)據(jù)傳輸法規(guī)要求？就短期而言，他們當然應尋求供應商的保證，確保在向歐盟之外傳輸數(shù)據(jù)時不僅使用安全港，而且還使用“歐盟標準合同條款”或“企業(yè)約網(wǎng)絡安全問題重壓于高管心能確保其業(yè)務符合數(shù)據(jù)傳輸法規(guī)要求？就短期而言，他們當然應尋求供應商的保證，確保在向歐盟之外傳輸數(shù)據(jù)時不僅使用安全港，而且還使用“歐盟標準合同條款”或“企業(yè)約網(wǎng)絡安全問題重壓于高管心是，它能否有助于公司取得成功？根據(jù)2015年10月思科就48%的受訪高管表示自己非常擔心，39%的受訪高管表示他們比較擔心。這種擔憂與日俱增，41%的受訪者表示與三年前企業(yè)領導者也認為投資者和監(jiān)管者將對安全流程提出更加嚴格的要求，就像對其他企業(yè)職能部門的要求一樣。92%的受訪者（圖62）（）圖62.企業(yè)正面臨嚴峻的網(wǎng)絡安全挑網(wǎng)絡安全投資不來源：思科安全研究部及最難保護的信息類型時，3%息”。受訪者將“客戶信息”和“機密商業(yè)信息”列為其次兩（6）。以下是我們的研究的一些重要發(fā)現(xiàn)我們發(fā)現(xiàn)65%的及最難保護的信息類型時，3%息”。受訪者將“客戶信息”和“機密商業(yè)信息”列為其次兩（6）。以下是我們的研究的一些重要發(fā)現(xiàn)我們發(fā)現(xiàn)65%的受訪者認為自己的組織面臨相當大的安全風險，主要包括企業(yè)中移動設備的使用、IT安全性和基于云的解決方案（圖64）。圖63.高管對保護關鍵數(shù)據(jù)安全的擔圖64.對安全風險的看的受訪者認為他們的組織面臨威（交易數(shù)據(jù)（運營數(shù)據(jù)企業(yè)認為組織的基礎設施在以下方面存在很高的安全漏來源：思科安全研究部們發(fā)現(xiàn)信任成為企業(yè)選擇IT和網(wǎng)絡基礎設施的主要因素。事IT安 來源：思科安全風險和可信度研2015年10ITTIT投附錄。）68%的受訪者認為惡意軟件是其所在組織面臨的頭號外部安全挑戰(zhàn)。前三大挑戰(zhàn)中，另兩大挑戰(zhàn)為網(wǎng)絡釣魚和高級持續(xù)性威脅，分別占54%和3（請參閱圖65）。圖66.（全部受訪者）所面臨的內部安全惡意軟件下員工造成的內部安全漏66）54%)認為惡意軟件下載是最大威脅，接下來為員工造成的內部安全漏洞4746。員工缺乏意68%的受訪者認為惡意軟件是其所在組織面臨的頭號外部安全挑戰(zhàn)。前三大挑戰(zhàn)中，另兩大挑戰(zhàn)為網(wǎng)絡釣魚和高級持續(xù)性威脅，分別占54%和3（請參閱圖65）。圖66.（全部受訪者）所面臨的內部安全惡意軟件下員工造成的內部安全漏66）54%)認為惡意軟件下載是最大威脅，接下來為員工造成的內部安全漏洞4746。員工缺乏意我們還發(fā)現(xiàn)大多數(shù)企業(yè)(92%)都在組織內部配備了專門的安全團隊。88%的受訪者表示他們擁有定期更新的覆蓋全組織的正式安全策略。但是，只59%的受訪者實行標準化策略和程序來驗證IT供應商可信度（請參閱圖67）。此外，約有一半49其安全基礎設施緊跟時代步伐，而其他大多數(shù)組織會定期升級基礎設施。根據(jù)我們的研究，很少有組織會等到其所采用的技IT安全人員培訓來源：思科安全風險和可信度研圖67.大多數(shù)大型企業(yè)都有專門的內部圖65.（全部受訪者）所面臨的惡意軟網(wǎng)絡釣組織范圍的安全戰(zhàn)來源：思科安全風險和可信度研暴力攻零日攻來源：思科安全風險和可信度研供應商可以如何展現(xiàn)可技術供應商可通過以下方面展現(xiàn)其可信度供應商可以如何展現(xiàn)可技術供應商可通過以下方面展現(xiàn)其可信度從一開始就將安全納入到其解決方案和價值鏈制定并落實降低風險的策略和流營造注重安全的文快速和透明地應對漏?發(fā)生安全事件后提供快速補救和保持持續(xù)警惕檢測時間：不斷縮短空檔期的競我們將“檢測時間”或“T”定義為窗口時間，指第一次觀口時間。圖68中的“回顧”類別顯示了思科最初將其歸為“未知”，據(jù)《思科2015年年中安全報告》所報告，TTD中值約為（50小時）68.2014年12月至2015年10月的檢測時中值201412來源：思科安全研究部201510從1月到3月，TTD中值大致相同，都在44至46小時間，并略呈下降的趨勢。在4月有小幅上升，達到49小時然而，到5月底從1月到3月，TTD中值大致相同，都在44至46小時間，并略呈下降的趨勢。在4月有小幅上升，達到49小時然而，到5月底，思科的TTD已降至大約41小時圖69中的TTD比較表明6月份多數(shù)威脅都是在35.3小時右的時間內被捕獲。而到9月底，更多威脅都在約17.5小時內被終止。同樣，我們認為TTD中值降低的部分原因是可以更快識別商業(yè)惡意軟件，例如Cryptowall3.0、Upatre和Dyre。集成了思科公司ThreatGRID等提供的新技術是另一個因素但是，即便TTD時間窗口縮小，仍有一些威脅比其他威脅更難以檢測。針對Mi