如今，全數字化系統已經全面融入企業的方方面面。脆弱而不安全的基礎設施無法支持新興的下一代全數字化經濟。為了幫助企業更好地把握全數字化機遇，讓安全無處不在，思科不僅提供了符合當前實際需求的智能網絡安全解決方案和業界最全面的高級威脅防范解決方案組合，更是借助從海量設備和傳感器、公共和私人來源及思科開源社區處取得的遙感勘測數據，將行業領先的威脅智能匯聚到了一起，將由此產生的情報轉化為對產品和服務的實時保護，并立即交付到全球各地的思科客戶手中。思科《2016 年年中網絡安全報告》為客戶、合作伙伴及業界人士提供了來自思科安全研究部門的威脅研究成果與行業趨勢預測。

　　新一代勒索軟件將變得更加普遍而有彈性

勒索軟件目前在惡意軟件市場中占據主體地位。雖然它不是一個新威脅，但它已逐漸發展成為有史以來最有利可圖的惡意軟件類型。2016 年上半年，針對個人和企業用戶的勒索軟件攻擊變得更加普遍和猛烈。電子郵件和惡意廣告是勒索軟件攻擊活動的主要媒介。然而，有些威脅實施者現在開始利用網絡和服務器端漏洞，這使攻擊者有機會悄無聲息地實施可能影響整個行業的勒索軟件攻擊活動。

目前，大多數已知的勒索軟件都無法輕易被解密，受害者別無選擇，在大多數情況下只能支付索價。但是，由于一些勒索軟件的早期版本存在缺陷，即使用戶支付了贖金，文件仍會丟失。此外，攻擊者可能故意篡改他們控制的文件，根據加密文件的類型（例如，醫療記錄或工程設計），數據篡改或失竊的后果可能非常嚴重。還有一個問題是重新感染的可能性，目前已經出現勒索軟件對同一機器上的相同用戶攻擊兩次的例子。

自我傳播：思科預計，自我傳播勒索軟件將是該領域創新者的下一步棋，因此敦促用戶現在就采取措施做好應對準備。今年攻擊者利用JBoss 后門發起針對醫療保健行業組織的勒索軟件攻擊活動，這是一個強烈的信號，說明攻擊者一旦有充足的行動時間，就會尋找新的方法來侵害網絡和用戶。自我傳播型惡意軟件的特點包括：利用廣泛部署的產品中的漏洞，復制到所有可用驅動器，文件感染，有限暴力破解攻擊活動，彈性指揮和控制，使用其他后門。

模塊化：開發新一代勒索軟件的攻擊者很可能傾向于使用采用模塊化設計的軟件，模塊化設計提高了效率，并使威脅實施者能夠在某個方法被發現或者無效的情況下改變策略。我們猜測，新一代勒索軟件框架將包含如下核心功能：

□ 對用戶文件的標準位置進行加密，以及提供自定義的目錄和文件類型，允許按目標進行自定義

□ 標記哪些系統和文件已加密

□ 提供使用比特幣付款的指示

□ 允許攻擊者設定贖金的數額，并指定雙重期限：一個是提高支付金額的期限；另一個是刪除加密數據的密鑰的期限

攻擊者充分利用不受限制的時間發起攻擊

漏洞為惡意攻擊實施者提供行動時間，而他們利用這個優勢在防御者修補漏洞之前發起攻擊活動。通過漏洞攻擊包、勒索軟件甚至社交引擎垃圾郵件，攻擊者依靠未修補的系統和過時的設備實現其目標。勒索軟件攻擊活動在增多，最近的攻擊活動的范圍在擴大，這些都表明攻擊者因行動時間不受限制而獲益良多。這使得他們能夠悄無聲息地為攻擊活動奠定基礎，在準備就緒后發動攻擊，并最終成功獲得收入。

為了隱藏其活動，他們會使用加密貨幣、ToR、HTTPS 加密流量和傳輸層安全(TLS)。同時，通過快速行動，對補丁進行反向工程，并利用難以管理的漏洞披露，漏洞攻擊包制作者進一步獲得成功。

惡意廣告即服務：從 2015 年 9 月到 2016 年 3 月，思科安全研究人員觀察到與惡意活動相關的 HTTPS 流量增長了五倍。根據研究，HTTPS 流量的增加主要歸因于廣告注入器和廣告軟件。惡意廣告注入器是廣告軟件感染的主要組成部分。網絡犯罪分子利用這些瀏覽器擴展將惡意廣告注入到網頁中，使用戶接觸展示廣告和彈出窗口，進而促進勒索軟件和其他惡意軟件活動。思科預計，隨著越來越多的網絡犯罪分子尋求高效方法，通過合法站點感染大量網絡用戶并躲避檢測，惡意廣告即服務這一趨勢將不斷增強。在幫助攻擊者開展勒索軟件攻擊活動中，惡意廣告發揮著核心作用，而勒索軟件攻擊活動正在快速成為攻擊者的首選攻擊方法，因為它們可能會帶來高額利潤。

　　防御者必須有效使用日益緊張的保護時間

雖然防御者一直在創新，全數字化經濟依賴的基礎設施仍然很脆弱，并且依賴于不充分的安全做法。如今，由于大多數組織中網絡瀏覽器、應用和基礎設施的混雜，攻擊者有大量的入口通道。這些欠缺防護的設備和軟件向攻擊者開放了行動空間，安全專業人員必須關閉這些空間。

根據思科對數以千計的通用漏洞披露 (CVE) 進行的研究，主要終端軟件供應商從公開披露漏洞到提供補丁之間的時間中值為零天。換句話說，通常在公開披露漏洞的同時，就提供了補丁，但是仍然有很多用戶沒有及時下載和安裝這些補丁。這些補丁的提供和實際實施之間的時間差為攻擊者提供了發動攻擊的機會。惡意攻擊實施者甚至能夠在漏洞被公開披露之前就開始利用漏洞。因此，關閉補丁的提供與安裝之間的窗口對于防御至關重要。

思科將“檢測時間”或 TTD 定義為從發生入侵到發現威脅之間的這段時間窗。利用我們的全球可視性和持續分析模型，對于在發現時沒有分類的所有惡意代碼，我們都能夠測出從惡意代碼開始在終端上運行到它被確定為威脅之間的時間。從 2015 年 12 月到 2016 年 4 月，思科將其中值 TTD降低到大約 13 小時，遠低于目前讓人難以接受的行業估計值 100-200 天。TTD 的顯著下降表示思科在對抗攻擊者時獲得優勢的時間段，獲得優勢指檢測威脅的速度快于攻擊者開發和投入使用新技術的速度。

思科的威脅情報組織TALOS在今年8月發現，羅克韋爾自動化公司（Rockwell Automation）的MicroLogix 1400可編程邏輯控制器（PLC）存在無證SNMP“社區字符串”（community string），攻擊者可加以利用實現遠程更改設置或修改設備固件，從而劫持PLC。這表明，即使對于制造業客戶，OT并不是孤立且免受攻擊的，防御者必須有效使用日益緊張的保護時間，做好對抗復雜威脅的準備，積極提高組織安全性。

思科針對保護業務環境的簡單步驟建議

思科的Talos研究人員發現企業可以通過采取幾個簡單但效果明顯的步驟，顯著提高其運營安全性，其中包括：

□ 改善網絡健康：密切監視網絡；按時部署補丁和更新；對網絡進行分段；在邊緣部署防御措施，包括電子郵件和Web安全、新一代防火墻與新一代IPS等。

□ 整合防御措施：充分利用架構方法來保障安全，而非部署單獨的產品。

□ 測量檢測時間：努力以最快的速度發現威脅，然后及時做出補救。不斷改進企業安全策略中的衡量指標。

□ 隨時隨地保護用戶：不管他們在何處工作，不僅限于他們使用的系統，有不僅限于他們身處企業網絡時。

□ 備份關鍵數據：定期檢查其有效性，同時確保備份的安全。

思科《2016 年年中網絡安全報告》由以下思科安全研究團隊撰寫，對威脅情報和安全形勢的深度掌握體現了思科“以威脅為中心”的安全方法，思科致力于讓安全無處不在。

□ TALOS 安全情報和研究小組：思科的威脅情報組織，由安全專家組成的精英團隊，專門為思科客戶、產品和服務提供卓越的保護。更多信息，請訪問http://www.cisco.com/c/m/zh_cn/products/security/the-good-fight/index.html。

□ 思科安全和信任組織：負責保護思科的公共和私人客戶，在思科的所有產品與服務組合中實現和確保思科的安全開發生命周期以及信任系統工作。更多信息，請訪問 http://trust.cisco.com。

□ 思科感知威脅分析平臺：通過對網絡流量數據的統計分析，發現在受保護網絡內運行的漏洞、惡意軟件和其他安全威脅的一種基于云的服務。

□ LANCOPE：思科旗下公司，作為網絡可視性和安全情報的領先提供商，致力于保護企業抵御當今的主要威脅。

□ 思科主動威脅分析團隊：利用先進的大數據技術，幫助組織抵御已知的入侵、零日漏洞攻擊和高級持續性威脅。一周七天，一天 24 小時提供不間斷的警戒和按需分析功能。

□ 安全研究和運營組織SR&O

□ 高級安全研究和管理ASRG

□ 思科安全事件響應服務CSIRS

歡迎點擊http://www.cisco.com/c/m/zh_cn/offers/sc04/2016-midyear-cybersecurity-report/index.html □ CAMPAIGN=Security&COUNTRY_SITE=cn&POSITION=PR_article&REFERRING_SITE=Cisco_PR&CREATIVE=2016_MCR&keyCode=001346889，了解思科《2016 年年中網絡安全報告》更多信息。