攻防之战唯快不破

【前言】攻防之战唯快不破由文秘帮小编整理而成，但愿对你的学习工作带来帮助。此调研发现，Angler是当前最复杂、应用最广泛的漏洞利用工具包。此外，攻击者可利用它通过域名阴影（Angler的技术之一，大部分域名阴影活动的缔造者）逃避检测。 针对Adobe Flash漏洞的工具，集成在Angler和Nuclear工具包内，呈上升趋势。导致这一现象的原因是缺少自...

近几年，随着系统和应用软件更新频率的加快，大量的软件漏洞不断出现在我们面前。这些软件漏洞正在成为攻击者利用的途径。攻击者针对这些漏洞频繁出招，致使网络攻击事件日益增多。在这些快速有效的攻击面前，众多企事业单位和个人频繁中招。

这些网络攻击不仅仅发生在电脑上，还出现在其它设备上。很多移动设备频遭攻击，甚至汽车也被入侵，直接威胁到司乘人员和公众的生命安全。为了抵御这些威胁，安全厂商正在竭尽全力，与之较量。这是一场没有硝烟的战役，战场就在我们身边，而且战场范围还在扩大，这给公众带来了更多的困扰和风险。

2015年第二季度，安全厂商了新一期安全报告，就如何抵御这些威胁进行了分析探讨。思科等安全厂商提出了新的解决方法，诀窍就是“快”。缩短检测时间，快速处理，这样才能抵御变幻莫测的攻击行为。

吹响战斗的号角

近日，思科了2015年年中安全报告。在该报告中，我们可以看到Angler Exploit Kit成为了常见威胁类型的代表。由于数字经济和万物互联（IoE）为攻击者创造了新的攻击途径和盈利机会，此类威胁将会给企业带来严峻挑战。

此调研发现，Angler是当前最复杂、应用最广泛的漏洞利用工具包。此外，攻击者可利用它通过域名阴影（Angler的技术之一，大部分域名阴影活动的缔造者）逃避检测。

针对Adobe Flash漏洞的工具，集成在Angler和Nuclear工具包内，呈上升趋势。导致这一现象的原因是缺少自动执行的更新补丁，消费者因此未能及时更新。在2015年上半年，通用漏洞披露网站（CVE）的系统报告显示，2014年全年Adobe Flash Player漏洞数量增加了66%。按照这样的速度，2015年CVE报告的Flash漏洞数量将创下空前纪录。

除了漏洞危机，勒索软件（ransomware）也逐渐演变，成为黑客的攻击武器。黑客对勒索软件的操作已经非常熟练。为使支付交易躲避执法机关的检查，勒索通常采用更为隐秘的无实体付款方式。

当然，还有来自于变异恶意软件的威胁。这些软件的创造者对规避安全措施有着深刻的理解。作为其逃避战术的一部分，攻击者会快速改变电子邮件的内容、用户、附件，或者推出新的活动，迫使传统杀毒系统重新检测它们。

思科全球高级副总裁兼首席安全官John N. Stewart表示：“企业不能只是简单地接受‘妥协是不可避免的’这种局面。技术行业必须终结这个游戏，提供可靠的弹性产品和服务，同时安全行业必须提供大幅改进且显著简化的功能，以检测、预防攻击，以及从攻击中恢复。在这一方面，我们始终处于行业发展的最前沿。客户经常告诉我们，业务战略和安全战略是他们面临的两个最重要的问题，他们希望与我们建立可信赖的合作伙伴关系。信任与安全密切相关，同时透明度至关重要。因此，技术领先只是成功的一半，我们致力于同时提供行业领先的安全功能和跨所有产品线值得信赖的解决方案。”

DDoS威胁波及面广

吹响战斗号角的不仅仅是思科一家厂商。还有很多安全厂商都在研究新的网络威胁机制，积极应对。卡巴斯基实验室的2015年第二季度DDoS情报统计数据显示，在遭遇僵尸网络攻击的资源中，四分之三均位于中国、美国、韩国、加拿大、俄罗斯、法国、越南、克罗地亚、德国等九个国家。同上一季度相比，这一数据有所下降。2015年第一季度，十分之九的受害者位于排名前九位的国家。本季度，美国和中国位居前两位，究其原因可能是这两个国家的网络托管服务较为便宜。第二季度，遭受DDoS攻击的国家从76个上升到79个。排行榜中排名的变化，以及越来越多的国家遭受这类攻击的危害，均表明没有任何国家能够从DDoS攻击中幸免。

卡巴斯基实验室卡巴斯基DDoS保护总监Evgeny Vigovsky对此表示：“社交工程技巧的滥用、新型互联网访问设备的出现、软件漏洞和对于反恶意软件保护重要性的低估，都造成了僵尸程序的泛滥，增加了DDoS攻击的数量。所以，不管企业在哪里，规模和类型如何，都面临遭遇攻击的风险。2015年第二季度，卡巴斯基实验室所保护的DDoS攻击受害者包括政府机构、金融机构、大众媒体甚至教育机构。”

在发动攻击技术方面，网络罪犯开始更多地开发利用网络设备创建僵尸网络的技术，例如利用路由器和调制解调器。这些变化会对未来僵尸网络造成的DDoS攻击数量增长造成影响。

由于现在几乎没有公司不使用在线资源（电子邮件、网络服务和网站等），通过DDoS攻击服务器，将给企业造成严重的商业风险和经济损失。因此，卡巴斯基实验室建议所有企业都要事先确保自己服务的安全。在为企业IT基础设施选择抵御DDoS攻击的解决方案时，最好选择市场上知名的供应商。

新设备带来新风险

趋势科技监测显示，近两周全球出现了许多新型的网络安全风险，以往仅存于iOS设备的Hacking Team间谍软件已经蔓延至Android设备。此外，汽车所面临的网络安全风险也变成现实，克莱斯勒甚至为此召回了140万辆汽车。这些网络安全风险提醒用户，需要加强对网络安全动态的关注，并部署具有前瞻性的网络安全防护系统。

iOS设备在前一段时间面临Hacking Team间谍软件的风险，现在已经继续延伸到Android设备，手机是其中的重灾区。RCSAndroid（远程控制系统Android）程序代码被认为是到目前为止已知的Android恶意软件中开发最专业且成熟的一个，可以窃听用户的通话。

除了以上这些威胁外，危险可能随时随地直接降临到司机身上。美国两名资深网络安全专家日前公开示范，他们可利用网络让行驶中的车辆熄火。美国科技媒体《连线》的编辑驾驶了一部配备有 UConnect 通信娱乐系统的 Jeep Cherokee，并开上了高速公路，两名黑客利用笔记本电脑，控制了车辆的空调、音响及雨刷，最后甚至直接将车辆熄火。

受此影响，菲亚特-克莱斯勒（Fiat Chrysler）7月24日宣布召回140万辆配备某些无线触控面板的汽车，将软件进行升级以防范可能的网络攻击。这是美国首例因黑客入侵疑虑的车辆召回，并且显示汽车业积极推进万物互联（IoE，Internet of Everything）所面临的风险。

实现快速全面检测至关重要

在不断变化的攻击面前，是否能及时全面地检测对安全厂商来说是非常重要的。下面记者以其中的一个Flash 0-Day漏洞样本为例（见图1）简单介绍一下该漏洞的攻击机制和检测机制。该漏洞是Flash动态脚本字节数组释放后重用漏洞（Action Script Byte Array Buffer Use After Free），经测试（某浏览器在安装了最新flash插件后完美弹出计算器的效果，见图2、3），该0-Day若被利用，便可引发挂马风暴。

某些安全厂商的APT检测产品可以在不升级的情况下准确检测出该漏洞样本，并且准确检测出利用这些0-Day漏洞的攻击行为（见图4）。

随着业务数字化和万物互联的不断发展，恶意软件和威胁变得更加普遍，这给预估检测时间（TTD，time to detection）长达100至200天的安全行业带来了严峻挑战。这些新威胁凸显了企事业单位和大众对缩短检测时间的需求。

那么企业该如何防御不断变化的安全威胁呢？安全厂商必须谨慎开发集成的安全解决方案，帮助企业发挥主动性，协调正确的人员、流程和技术。思科为用户提供了以下几点建议：

首先，采取集成的威胁防御。用户面临单点产品解决方案带来的严峻挑战，需要考虑嵌入拥有无处不在的安全功能、能够在任意控制点执行的集成威胁防御架构。

其次，以全面的服务填补安全空白。鉴于安全行业面临着日益碎片化、动态多变的威胁局面，同时还需考虑如何应对技能娴熟人才缺口不断扩大等问题，企业必须投资购买有效、可持续且可信的安全解决方案和专业服务。

再次，制订全球网络安全治理框架。全球网络治理并非用于处理新出现的威胁环境和地缘政治挑战。边界问题涉及政府如何收集有关公民和企业的数据并在辖区间共享，由于全球协作非常有限，这一问题已成为实现统一网络治理的重大障碍。要在全球范围保持业务创新和经济增长，一个涵盖多方利益相关者的协作网络治理框架将必不可少。

最后，向供应商提出明确需求。用户应要求其技术供应商详细说明并展示其涵盖在产品中的安全功能，以确保其成为可信赖的供应商。用户必须在产品开发的各个环节贯彻这一理念，包括从供应链到其产品部署的生命周期的各个阶段。他们必须要求供应商将其声明记录在合同中，并要求更出色的安全性。

思科安全业务事业部首席工程师Jason Brvenik认为：“黑客无所顾忌，气焰嚣张，攻击手法变化多端。我们一次又一次地见识了全国性攻击。恶意软件、漏洞利用工具包和勒索软件带给我们很多危害。纯粹的防御已经证明无效，而我们又难以接受长达数百天检测时间。‘当你受到威胁时会做什么’这一问题要求企业投资购买集成的技术，确保所有技术能够将检测和修复时间缩短至数小时；然后他们应该要求其供应商帮助他们将这一指标降至数分钟。”

齐心合力治理网络威胁

网络安全不是个人问题，需要公众共同努力，携手治理。近期由国家互联网应急中心（CNCERT）和中国互联网协会网络与信息安全工作委员会牵头，展开互联网网络安全威胁治理行动。在治理行动的第一周（2015年8月1日～8月9日）里，已经取得了明显成果。

7月27日，行动正式通过CNCERT邮箱和12321热线接收互联网网络安全威胁的举报。截至8月9日，共接到投诉威胁举报事件487起，包括普通网民举报38起和单位举报449起。在行动参与单位中，安天、杭州安恒、深信服举报网页篡改、网页跳转等网站安全事件217起，安天举报恶意APP事件28起，阿里巴巴举报拒绝服务攻击事件1起。

此外，自8月1日至8月9日，CNCERT（国家中心、北京分中心、广东分中心、河南分中心、山东分中心、上海分中心）、阿里巴巴、北京新网数码、成都飞数、成都西维数码、杭州爱名、江苏邦宁、厦门纳网科技、厦门商中在线、厦门中资源、上海美橙、上海有孚、郑州紫田等单位共处置钓鱼网站1442起；腾讯安全、360公司等通过浏览器拦截黑名单地址10598条（钓鱼网站9310条、计算机放马站点25条、移动恶意传播源地址1263条）；OPPO应用商店、苏宁应用商店等应用商店下架恶意APP 程序16个。