Fortinet 2017 年第一季威脅形勢報告

網絡安全廠商 Fortinet（納斯達克交易代碼︰FTNT）公布最新的全球威脅形勢報告指出，在重要企業技術和行業發展趨勢下，網絡安全殺傷鏈專注於三個核心方面：應用程式漏洞、惡意軟件和殭屍網絡。雖然有更多高調的攻擊，但事實上大部分機構所受到的攻擊主要本質上都是機會主義的，並由愈益普及的「犯罪即服務」（Crime-as-a-Service）基礎設施所引致。以下為報告的三個重點：

1) 攻擊工具絕不遺漏，隨時隨地無休止
現代的工具和犯罪即服務基礎設施能讓黑客以國際規模迅速肆虐。因此，大部分的網絡威脅均趨於以全球而非地區性的規模，可見互聯網並不受地理距離或國界所限。黑客常年都虎視眈眈，只要找到一絲漏洞便可能發動全球規模的攻擊。 「WannaCry」這惡意的勒索軟件及其變形的版本早前令世界各地數百間機構受到大規模影響。透過了解漏洞或勒索軟件如何運作和傳播，我們能夠更有效地避免下次同樣情況。

• 勒索軟件（ransomware）: 只有不到10％的機構檢測到勒索軟件的有關活動，其中每日平均有1.2％的機構在處理勒索軟件殭屍網絡。勒索軟件的活動高峰期通常在周末，企圖避開網絡安全人員的工作天。由於各種勒索軟件殭屍網絡的平均流量增加，平均受影響的企業亦有所上升。

• 安全漏洞：80％的機構反映了其系統存在高或嚴重級別的漏洞。雖然大部分漏洞早於過去五年被公布，但黑客仍嘗試攻擊多年前常見的弱點與漏洞。 由於大量針對漏洞的攻擊已完全自動化，漏洞在各地區的分布都頗為一致，能透過攻擊工具有系統和規模地於互聯網搜索潛在弱點。

2) 超融合系统和物聯網加速了惡意軟件的傳播
隨著網絡和用戶越來越多分享資訊和資源，攻擊在各地區和行業迅速蔓延。 研究惡意軟件可了解到準備入侵和正式發動攻擊的階段。由於手機裝置並未受內部網絡保護，亦經常連接到公共網絡而不處於公司有權限控制範圍之內，所以防止手機惡意軟體入侵仍別具挑戰性。

• 手機惡意軟體：約20％的機構檢測到手機惡意軟件，其傳播率由2016年第四季度到2017年第一季度保持平穩。 在本季度出現更多針對Android的惡意軟件，而整體而言手機惡意軟件的總比例在第一季度為8.7％，較去第四季度的1.7％上升。

• 地區性傳播：除中東以外的地區，手機惡意軟件傳播率均顯著上升。與其他區域的威脅相比，Android惡意軟件似乎具有較強的地理傾向。

3) 分佈式和彈性基礎設施的可見性正在遞減
威脅形勢反映現時網絡安全概況，因此研究科技、服務、管理和行為隨時間的變化能提供重要情報。隨著網絡變得越來越複雜和以分佈式運作，加強監控漏洞、惡意軟件和殭屍網絡的演變是非常重要的，並有助開展更廣泛的安全策略和管理模式。
網絡覆蓋愈大，潛在攻擊媒介亦持續增多，所以基礎設施的可見性和管理性正在減弱。更多私有和公共雲端解決方案、更多物聯網、更多樣多量的智能裝置，以及更多企業採用「影子IT」（企業內部人員使用非公司傳統的IT 系統）等的非主流行為應運而生，IT安全專業人員的工作逐漸超出負荷。

• 加密流量：HTTPS與HTTP流量中位數比達到55%的高位。 雖然使用HTTPS這趨勢有助於保障私隱，但對監控和檢測威脅卻帶來巨大的挑戰。許多防禦性工具在加密通訊上的處理相對較差，而在企業方面（尤其是HTTPS比率較高的公司 ）也因此面臨更多潛伏威脅。

•  應用程式：每個企業使用的雲端應用中位數為62個，大約佔檢測到的應用程式中的三分之一，代表基礎設施即服務（IaaS）的應用程式數量創下了新的高峰。 對於許多機構來說，面對最主要的挑戰是：數據一旦進入雲端，可見性便會大幅下降；而且該數據量不斷增長，長久將帶來不少問題。

• 行業：通過垂直行業的分析顯示，除了個別如教育和電訊業，普遍行業的攻擊面大致相同。配合自動化的工具，黑客能更輕易地入侵相似的弱點。

亞太地區的威脅形勢與全球及其他地區相似，例如：在所有地區檢測到的最大漏洞都與2014年的「Shellshock」漏洞有關。而在全球和亞太地區，絕大多數惡意軟件感染都與Nemucod等勒索軟件的病毒植入程式有關。最後，全球和亞太地區最大的殭屍網絡活動與Andromeda有關。如前所述，互聯網並不受地理及國界限制，威脅形勢大多為全球化概況。

Fortinet：https://www.fortinet.com/