Sophos全球报告:网络罪犯入侵点和时间仍然成谜
调查报告主要发现:大多数网络罪犯行动乃于服务器(37%)或网络(37%)上被侦测出;另有17%在端点以及10%在移动设备上被发现有五分之一的IT主管承认并不知道其所遇到的最重大攻击是如何进入系统,又或在被发现前已潜伏了多久那些每月侦查到一宗或以上潜在安全事故的企业,平均每年要花48天(即每月四天)来调查这些事故北京,2019年3月18日-全球网络及端点安全领导厂商Sophos(LSE:SOPH)发表其最新全球调查报告《七个令人不安的端点安全真相》(7UncomfortableTruthsofEndpointSecurity),显示IT主管最有可能在其所属机构的服务器和网络,而非别处,捕捉到网络罪犯的活动。事实上,在IT主管所遇到的最重大攻击当中,有37%是在公司的服务器上被发现,另有同样37%于企业网络上被侦测出。同时,分别只有17%和10%是在端点及在移动设备上被发现。该调查访问了来自美国、加拿大、墨西哥、哥伦比亚、巴西、英国、法国、德国、澳洲、日本、印度及南非等12个国家的中型企业共3100位IT决策人。Sophos首席研究科学家ChesterWisniewski指出:“服务器存储了企业的财务、雇员、专利资产和其他敏感数据,加上如GDPR(一般数据保护规则)这等日趋严苛的法规要求企业通报数据外泄事故,使企业在服务器安全方面的风险的高。这自然使IT主管专注于保护业务关键服务器,并以阻止攻击者入侵网络为首要任务,也顺理成章在这两个领域侦测出更多的网络犯罪活动。然而,IT主管不能忽略端点,因为绝大部分网络攻都是由此展开。问题是,比预期更多的IT主管仍然无法辨识到网络威胁是如何及何时进入系统之内。”根据这份调查报告,有两成在去年遭受一次或以上网络攻击的IT主管未能指出攻击者是如何得以进入系统,也有17%的受访者不知这些威胁在被发现之前已经隐藏在系统中有多久。为了改善这种欠缺可视度的情况,IT主管需要端点侦测与响应(EDR)技术的协助,以曝露这些威胁的入侵源头,以及攻击在公司网络上四处游走的数码足迹。ChesterWisniewski表示:“如果IT主管不知攻击的源头或动向,他们就无法尽力减低风险,也不能中断攻击链以防范进一步渗透。EDR技术协助IT主管辨别出风险,且能为企业在安全成熟度模型(securitymaturitymodel)的首尾两端落实执行程序。如果说IT人员较专注于侦测,EDR方案则能更迅速发现、阻截和补救;如果说IT人员仍是信息安全的基础,EDR方案便是其中之一个整合部分,提供他们必需的威胁情报。”据报告指出,每月侦查到一宗或以上潜在安全事故的企业,平均每年要花48天(即每月四天)来调查这些事故。难怪IT主管把辨识可疑事件(27%)、警报管理(18%),以及为可疑事件排列优先处理次序(13%)为头三大EDR解决方案必要功能,以便他们可缩短辨别安全警报重要性并作出适当反应的时间。Chester补充:“多数撒网式(sprayandpray)网络攻击都可以在端点部分瞬间被截停而不会觸发警报。顽强的攻击者,包括那些运用SamSam这等针对性勒索软件的,会有耐性地寻找一些使用未经慎重考虑、容易猜中密码的远程存取系统,例如远程桌面协议(RDP)、虚拟网络控制面板(VNC)、虚拟私云端(VPC)等作为垫脚石,再静悄悄四围窜动直至造成祸害。假如IT主管可借EDR方案获得深层防护,他们也能更快侦查事故并利用所得之威胁情报,协助找寻整个系统架构内的同类感染。只要网络罪犯得知某种攻击奏效,他们便通常在受害机构内复制这种攻击。因此,发现且拦截这些攻击模式将有助于减少IT主管投放在侦察潜在事故的时间。”有57%的受访者指自己计划在12个月内部署EDR方案。推行EDR方案也有助于解决技能落差问题。调查显示,有八成IT主管希望拥有一支更强大的团队。欲知更多详情,可到SophosNews网站下载《7UncomfortableTruthsofEndpointSecurity》报告的pdf版本。Sophos的《7UncomfortableTruthsofEndpointSecurity》调查由独立市场研究专家VansonBourne于2018年12月至2019年前1月期间进行。该调查访问了来自美国、加拿大、墨西哥、哥伦比亚、巴西、英国、法国、德国、澳洲、日本、印度及南非等六大洲的12个国家,拥有100至5,000名雇员企业的3,100位IT决策人。###关于SophosSophos是新一代终端和网络安全的。作为同步式安全的先驱,Sophos致力于开发一系列相得益彰的创新安全解决方案,涵盖端点、网络、加密、互联网、电子邮件与移动安全等。全球150个国家超过1亿用户选择Sophos的解决方案作为抵御复杂威胁和避免数据流失的最佳保障。Sophos产品通过由26,000多家注册伙伴所组成的全球渠道网络供应。Sophos总部设于英国牛津,并于伦敦股票交易所上市,代号SOPH。更多资讯,请浏览www.sophos.com。欢迎关注Sophos的官方微信,查找公众号“北京守护使计算机安全”或扫描下方二维码:
