迈克菲报告：93%的安全运营主管被警报淹没，无法鉴别潜在威胁

安全运营中心调查的受访者坦承：跟不上网络安全警报发布的速度，无法对安全事件鉴别归类，并进行调查

Intel Security

2016-12-14 09:00 5953

美国加州圣克拉拉2016年12月14日电 /美通社/ --

针对企业安全运营中心的调查发现，93%的受访者承认无法对所有潜在网络威胁进行鉴别归类。
平均来看，企业机构无法充分调查25%的安全警报。
67%的受访者反映：安全事故增加。
26%的受访者承认，尽管有计划地主动采取安全行动，但采用的仍然是被动模式。
自2016年伊始，新的勒索软件样本增加了80%。第三季度，新Mac OS 恶意软件中的Bundlore恶意广告软件暴涨637%，但Mac OS总样本数仍然相当低。

Intel Security发布了《迈克菲实验室威胁报告：2016年12月》。该报告深入剖析了企业对安全运营中心（SOC）的运用；详细介绍了勒索软件在2016年的主要发展；并阐释了攻击者如何通过木马感染合法代码，并充分利用这一合法性尽可能隐藏自己，从而创建难以检测到的恶意软件。12月的报告还详细介绍了2016年第三季度勒索软件、移动恶意软件、宏恶意软件、Mac OS恶意软件及其它威胁的增长。

Intel Security迈克菲实验室副总裁Vincent Weafer表示：“安全行业面临的一个难题是识别代码的恶意行为。这些代码设计得像合法软件一样，具有较低的误报率。一段代码看起来越真实，就越有可能被忽视。2016年，由于沙盒能识别到越来越多的恶意软件，要求需要隐藏恶意活动才能达到目的，从而推动合法应用的‘木马化’。这种发展为企业的安全运营中心带来了更大的工作量——要想成功防御威胁，需要迅速检测、追捕并摧毁正在发生的攻击。”

2016年安全运营中心的现状

2016年年中，Intel Security委托展开了一项基本调查，以期更深入地了解企业使用SOC的方式、这些方式如何随着时间的推移而改变，以及未来的发展。这份调查对来自多个地区、行业以及规模的企业中近400位安全从业者进行了采访，收集了关于2016年SOC情况的宝贵信息：

警报过载。平均来看，企业机构无法充分调查25%的安全警报，这一比例对不同国家或规模的公司而言并没有显著差异。
鉴别分类是难题。尽管大多数受访者承认被安全警报淹没，但高达93%的受访者无法对所有潜在威胁进行鉴别分类。
安全事件呈上升趋势。无论是从攻击频率的增加还是监测功能提高来看，67%的受访者反映说，安全事件在上升。
上升的原因。在报告安全事件上升的受访者中，57%的人反映说，他们受到更频繁的攻击，而73%的人则认为，他们发现攻击的能力提高了。
威胁信号。绝大多数企业机构最常见的威胁检测信号（64%）来自传统安全控制点，例如防恶意软件、防火墙以及入侵防御系统。
前瞻vs.被动。绝大多数受访者声称，他们正朝着前瞻、优化的安全运营的目标前进，但是26%的受访者仍然采用被动模式，采用临时的安全运营、威胁追踪和事件响应方式。
对手。2015年，超过三分之二（68%）的调查是针对具体实体进行的，包括有针对性的外部攻击和内部威胁。
调查原因。受访者反映，一般恶意软件在导致安全调查的事件列表中排在首位（30%），其次是针对性恶意软件攻击（17%），接下来是网络攻击（15%）、意外内部事件导致的潜在威胁或数据丢失（12%）、恶意内部威胁（10%）、针对国家的直接攻击（7%），以及针对国家的间接或黑客行为主义者攻击（7%）。

调查受访者表示，SOC增长和投资的首要任务是提高应对已确认攻击的能力，包括协调、修复、消除、学习以及防止重蹈覆辙。

欲了解更多关于迈克菲实验室对SOC现状调查研究的信息，详见你是否需要提升安全运营中心？

“木马化”合法软件的兴起

这份报告还详细介绍了攻击者把木马放在普遍接受的代码中，以期掩盖其恶意企图的诸多方式。迈克菲实验室发现了实现这一目标的多种方式：

当可执行文件下载时，通过“中间人（MITM）攻击”，对这些传输中的可执行文件打补丁。
利用绑定或合并攻击，把“干净”和“被污染”的文件捆绑到一起。
通过补丁包修改可执行文件，无缝维持应用正常使用。
通过解释、开源或反编译的代码来修改。
污染主源代码，尤其是重新分发库中的源代码。

欲进一步了解合法软件的木马化，详见木马化呈上升趋势。https://securingtomorrow.mcafee.com/mcafee-labs/trojanization-is-on-the-rise/

2016年：勒索软件之年？

直到第三季度结束，今年新勒索软件样本的数量总计为3,860,603，总勒索软件样本自年初以来增长80%。2016年，除了数量的激增，勒索软件还表现出显著的技术进步，其中包括加密部分或完整磁盘、加密合法应用所使用的网站、防沙盒、用来交付勒索软件的更复杂的攻击工具，以及开发出更多服务形式的勒索软件。

Weafer表示：“去年，我们预测2015年勒索软件的激增将延续到2016年。2016年可能确实会成为‘勒索软件之年’-- 勒索软件攻击数量的激增，出现了一些引起媒体广泛关注的高调攻击，以及这类攻击中的显著技术进步。另一方面，安全行业与执法机构之间更紧密的合作、行业竞争对手之间的建设性协作已经开始在抗击网络犯罪的过程中显现出成果。因此，我们预测，勒索软件攻击的增长将在2017年放缓。”

欲进一步了解勒索软件领域的发展，参见勒索之年。

https://securingtomorrow.mcafee.com/mcafee-labs/2016-a-year-at-ransom/

2016年第三季度威胁活动

2016年第三季度，迈克菲实验室的全球威胁情报网络记录到了勒索软件、移动恶意软件和宏恶意软件的显著激增：

勒索软件。2016年第三季度，勒索软件总数增长18%，比年初增长80%
Mac OS恶意软件。第三季度，新Mac OS恶意软件暴涨637%，但这一增长主要是因为一个广告恶意软件系列——Bundlore。与其它平台相比，Mac OS恶意软件总数仍然相当低。
新恶意软件。第三季度，新的恶意软件数量增长速度下降了21%。
移动恶意软件。我们在第三季度记录了超过200万个新的移动恶意软件威胁。第三季度，非洲和亚洲的感染率都下降了1.5%，而澳大利亚则增长了2%。
宏恶意软件。第二季度首次出现的新微软Office（主要是Word）宏恶意软件持续增长。
垃圾邮件僵尸网络。Necurs僵尸网络的数量几乎是第二季度的7倍，成为第三季度数量最多的垃圾邮件僵尸网络。我们还测算出，Kelihos的垃圾邮件数量急剧下降，这是2016年我们观察到的季度数量首次下降的情况。
全球僵尸网络蔓延。交付蠕虫病毒和下载程序的Wapomi仍然在第三季度排在第一位，与第二季度的45%相比有所下降。由僵尸网络提供的CryptXXX勒索软件升至第二位；而在上一季度其流量仅占2%。