在赛门铁克,我们无比重视自己保护全球信息安全的使命。为了确保我们的产品尽可能有效,我们依靠赛门铁克专家和安全研究社区来监视潜在的产品漏洞,使我们能够快速采取补救措施并发布相应的产品更新。根据我们的标准最佳做法,我们通过定期更新不断加强产品所提供的安全防护,并建议诺顿和企业产品客户始终及时更新他们的产品,以便尽可能获得最佳防护。
在此案例中,我们收到了 Google Project Zero 的一位研究员发来的警示,他在审查我们的产品组合之后发现了 8 个漏洞。赛门铁克尚未在外界发现这些漏洞被利用的任何证据。更重要的是,修补程序目前已就位,而且更新也已推出,可供客户安装。 尽管许多产品都可以自动更新,但我们建议所有客户仔细阅读受影响的产品列表和安装说明,请单击此处。
要想始终比攻击者的威胁领先一步,需要有警惕性和行业范围的信息共享。我们始终致力于确保我们的产品能够消除目前最棘手的威胁,同时我们也非常感谢安全社区成员的协助。
Bulletproof hosting services, which thrive in countries with relaxed cybercrime laws and enforcement, enable cybercriminals to stand up the infrastructure necessary to support their malicious activities. To protect against threats originating from domains hosted in these regions, CISOs have implemented blocking strategies and aligned security teams accordingly.
The latest research findings from Symantec’s DeepSight Managed Adversary and Threat Intelligence (MATI) team, however, might influence this defensive strategy. Symantec’s MATI team of intelligence analysts and collectors are dedicated to understanding the adversary ecosystem and in providing insightful reports on adversaries including their plans, tactics, tools, and attack campaigns to enable customers to better prepare for, identify and disrupt their activities.
In a recent report, the team identified the following findings:
The increase in MENA-based bulletproof hosting parallels a rise in data center and cloud traffic growth throughout that region. According to recent global Internet studies, continued growth of traffic in the MENA region is expected to be at a rate of nearly 50% by 2019.
What does this mean for security and technology leaders?
As security plans are formed and resources allocated, IT leaders may want to take a look at their operations and consider the following options:
Stay Tuned
Research into this emerging threat in MENA is just beginning. Check back in the coming weeks for more on what the MATI team uncovers on bulletproof hosting in MENA countries.
Get More Insights
To learn more, visit the DeepSight Adversary Intelligence page to download a sample intelligence report and understand how we develop insights into changes in the threat environment.
Also, visit us at booth #523 on August 3rd and 4th at the Black Hat Conference.
For the second year, Symantec has been named to Points of Light's Civic 50 list as being one of the most community-minded companies in America.
Last week, I had the honor of accepting the Civic 50 award on behalf of Symantec at the National Conference on Volunteering and Service in Detroit, Michigan, convened by Points of Light. The Civic 50 is an initiative of Points of Light, an international nonprofit dedicated to engaging more people and resources in solving serious social problems through voluntary service.
The list analyzes the community engagement programs of US companies with a revenue of $1 billion or more. Criteria for inclusion is developed in consultation with business and community engagement experts and aims to uncover how the Civic 50 leaders are moving beyond "checkbook philanthropy" to developing innovative and integrated approaches to corporate philanthropy. The criteria is based around four dimensions – investment in community and employee engagement, integration of community engagement throughout business processes, institutionalization via policies and procedures, and impact on their business and the community.
Criteria for the Civic 50 is broken into four key categories that analyze how companies are moving beyond "checkbook philanthropy".
Each year, a full report is released that analyzes trends in corporate philanthropy and best practices across each of the four dimensions. This year's report shows that companies are increasingly finding value in connecting their philanthropy programs with corporate goals, that they are adopting the policies, systems and incentives to support community engagement, they are recognizing the benefits of skills-based volunteering that leverages corporate talent to create impact, and that measurement rooted in defined performance metrics is key to ensuring impactful community engagement programs.
Receiving the Civic 50 award is an honor as we've worked hard to structure a community engagement program that directly aligns to our business and corporate responsibility objectives, while leveraging what we do best to maximize our business and community impact:
All of this is not easy, but it's well worth the work.
The Civic 50 recognition is a direct result of the leadership and actions of our internal network of CR champions, community relations committees, Green Teams, and ERGs – these groups take our high-level corporate responsibility strategy and translate it into relevant local partnerships and programs.
We’re proud to be included on this prestigious list, highlighted among market leaders who are challenging the corporate world to rethink how value creation for business and society go hand in hand.
Lora Phillips is Symantec’s Director, Corporate Responsibility
As our jobs demand more collaboration with customers, partners and suppliers outside of our organizations, security teams are working harder than ever to secure an exponentially growing number of interconnected devices and applications, and keep sensitive data from slipping through the cracks.
The DLP team at Symantec is passionate about helping companies protect their most valuable and sensitive information from falling into the wrong hands. The new version of Data Loss Prevention 14.5 adds over twenty new data discovery, monitoring and protection capabilities to eliminate blind spots and give security teams better visibility and control over sensitive data. Read on to learn more!
During the past year, we’ve introduced new cloud discovery and monitoring capabilities for Box, Gmail for Work and Microsoft Office 365 Exchange Online. DLP 14.5 expands those capabilities so you can store and share data in the cloud even more securely.
With DLP Cloud Storage, you can track sensitive documents that users are storing and sharing on Box, and identifies risky practices such as using shared links which could give open access to unauthorized users. When users violate a policy, you can automatically move exposed files and folders a protected quarantine folder on Box and leave behind a marker file in its place to notify users by leveraging the new File Quarantine feature of DLP Cloud Storage. Not only can you secure unprotected files, but also visually tag files to alert users to self-remediate sensitive files and folders.
Along with the release of DLP 14.5, we’ve rolled out an update to our DLP Cloud Service for Email. The DLP Cloud Service for Email is a cloud-powered data detection service that provides powerful email monitoring for Gmail for Work, Microsoft Exchange Online, and now your on-premises Microsoft Exchange Server, and can be easily plugged into your existing DLP Enforce Management Server. It protects your corporate email regardless of whether it’s hosted in a conventional on-premise email application, public or private cloud email service, or a hybrid mix of on-premise and cloud environments.
Tax returns, insurance claims, patient forms are rife with personally identifiable information (PII) that goes undiscovered because forms are often stored as imaged documents that aren’t easily recognized by security tools. With DLP Form Recognition, you can spot sensitive data in images of handwritten and typed forms. Form Recognition is a new type of content detection technology that leverages intelligent image processing to catch and stop confidential data that would otherwise go undetected in scanned or photographed forms.
Employees have limited knowledge of the cybersecurity risks they face both inside and outside the enterprise firewall. With the DLPEndpoint Agent, you can keep them safe wherever they work by monitoring and protecting data in use across a wide range of activities such as downloading to removable storage; copying and pasting within documents; and sending over the web. In this release, we’ve added endpoint coverage for new apps, file types and operating systems routinely used by employees to store and share sensitive data:
With more and more applications encrypting their traffic to protect users from prying eyes, you lose visibility into sensitive content that company insiders are unwittingly leaking or knowingly concealing under the cover of encrypted protocols like SSL. In DLP 14.5, we’ve added new SSL monitoring capabilities for web, email, FTP and IM communications by leveraging integrations between DLP Network Monitor and these leading SSL decryption products: Blue Coat SSL Visibility and Palo Alto Networks Next Generation Firewalls.
To learn more about what’s new in the latest version of Data Loss Prevention 14.5 visit go.symantec.com/dlp
サイバー世界が急減に進化するなか、敵も潤沢な資金を背景に、動きを速めています。攻撃はますます高度になり、検出にかかる時間も長くなってきました。にもかかわらず、予算には上限があり、社内のリソースも不足しがちです。サイバーセキュリティに関するニーズの急増に対応できる専門家の数が足りない、と回答した企業は、実に 86% にものぼります[1]。こうした問題を中心に、CISO(最高情報セキュリティ責任者)は疑問をかかえ、答えを求めています。
シマンテックは、10 年以上にわたって、セキュリティ運用におけるギャップを埋めようとする経営幹部陣をお手伝いしてきました。その世界的な取り組みを通じて、現在の市場を左右するトレンド、各社の今後のセキュリティ計画に影響を及ぼしそうなトレンドが明らかになりつつあります。ここでは、セキュリティ体制の強化に最適な方法を決める際に考慮したい 6 つの点を挙げてみましょう。
脅威の環境が成熟するほど、規制の順守は煩雑になります。テクノロジの発達と、脅威を取りまく世界の爆発的な拡大によって、既存の規制を順守することは、いよいよもって難しくなってきました。PCI DSS や ISO 27001、SOX をはじめとする数多くの規定で、一貫した監督と報告が義務付けられています。これほど目まぐるしく変わる要求を把握するための時間、人材、予算を確保しようとすれば、その費用と手間は膨大になるでしょう。専門家の助力を仰ぐことが必須になります。そのプロセスを簡略にし、コンプライアンスの詳細を運用するうえで有用なのが、マネージドセキュリティサービスプロバイダー(MSSP)です。また、ISO 27001 認証などの資格認定、PCI サービスプロバイダーとしてのコンプライアンス、あるいは社内・社外の監査人による報告および立証の証明を求める SSAE16/SOC1 Type II などを毎年遅れずに更新する際にも、MSSP がお役に立ちます。
IT のクラウドへの移行には多額が投じられています。したがって、セキュリティ計画も歩調を合わせなければなりません。最近になって築き上げた堅牢なセキュリティインフラストラクチャを危険にさらさないようにしてください。データとアプリケーションがデータセンターにある場合でも、それ以外にある場合でも、同じレベルの保護を確保しましょう。MSSP は、クラウドでもオンプレミスでも、アプリケーションインフラストラクチャに同じレベルのセキュリティ監視を提供します。
高度な検出技術が、新しいリスクの回避につながります。一部の脅威は、後に残された痕跡そのものから誤認になることもありますが、実際にインシデントである可能性も否定できません。セキュリティ製品の多くは可視性に限界があります。脅威の一部しか確認できず、全体のパターンを見逃すことになるので、結果的に脅威を未検知のまま通過させてしまいます。だからこそ、MSSP がマシンラーニングなどの高度な解析機能を実装し、制御ポイントで見逃されかねないインシデントの可能性を識別できることが不可欠なのです。同じ理由で、MSSP の SOC(セキュリティオペレーションセンター)担当者は各社の業種と業務に専門的に精通していなければなりません。アラートを正しい文脈で理解し、組織に対して想定される影響の全体像を描き出して、場合によってはインシデント調査を新たに開始できるからです。
既存のセキュリティインフラストラクチャの価値は変わりません。この何年間か、予算のほとんどはセキュリティインフラストラクチャの構築と業務のサポートに費やされてきました。しかし、脅威が発展し続け、人材が手薄になった今、何らかの支援が必要です。時間をかけて企業の経営フレームワークを理解し、一緒になって致命的なギャップを埋めてくれるのが、MSSP です。MSSP は、既存のワークフローに統合されるセキュリティ監視計画を立案し、アセットを補って、セキュリティ体制を確実に強化します。
プロアクティブ(能動的)な対応で備えましょう。脅威の発見には時間がかかるようになり、修復に要する費用もかさむようになってきました。そのため、企業に対する影響は大きくなるばかりです。今や、セキュリティ侵害や危殆化を特定できれば十分という時代ではなくなりました。データや金銭を失う危険性があまりに大きくなりすぎたため、悪質な事件が発生するまで受身でいることはできません。起きそうなことに対しては、売上や評判に悪影響が出るよりはるか以前から備えている必要があります。MSSP は、あなたの会社の外で起きていること――業界のことかもしれませんし、地域のことかもしれません――も詳しく知っています。その知識の根源は、全世界の何百万というエンドポイントを利用する膨大な情報収集ネットワークです。そこからのアウトプットにより、同類の組織でこれまでに発生した IoC(侵害指標)や攻撃に関する最新の情報が次々ともたらされるため、人材と技術を配置して、切迫した脅威に対処することができます。
今日のサイバー脅威に対抗するうえで、人間の知性に代わるものはありません。被害が確認されている脅威を特定し、ネットワークやサーバー、エンドポイントで明らかになった IP アドレス、ドメイン、ハッシュに技術的な指標を関連付けてくれるのは、テクノロジです。しかし、熟練のセキュリティアナリストによる人的なインプットに由来する、豊富なコンテキスト情報の代わりになるものはありません。そうしたアナリストは、脅威の検出、GIAC(Global Information AssuranceCertification)の詳細と認定、あるいは政府またはインテリジェンス団体の詳細やトレーニングに特化しているからです。MSSP は、全世界に複数の SOC を有し、各地の言語でサポートに当たるとともに、企業や業種、地理に関する知識を備えたアナリストやサービスチームを擁しています。各企業に固有の技術と文脈とを結び付けるには、こうした種類のサービスが欠かせません。
詳しい情報: Symantec™ Managed Security Services(MSS)は、企業のセキュリティ運用チームの延長として機能します。シマンテックは、Gartner レポートの MSSP カテゴリで 12 年間連続して、業界リーダーと認められています。シマンテックは、お客様が戦略的な重要事項に専念できるように、お客様と一緒になって現在のチームをサポートし、サイバーセキュリティサービスを通じて、サイバーセキュリティ上の幅広い難題に対処します。シマンテックの製品スイートには、DeepSight による脅威インテリジェンス、マネージドセキュリティサービス、インシデントレスポンス、サイバースキル開発がそろっています。
[1] ISACA, CyberSecurity Nexus
【参考訳】
Certified Information Systems Security Professional (CISSP) is an independent information security certification governed by the International Information Systems Security Certification Consortium (ISC2). CISSP was the first credential in the field of information security to meet the stringent requirements of ISO/IEC Standard 17024. Not only is the CISSP an objective measure of excellence, but also a globally recognized standard of achievement.
Symantec continues to encourage our employees to achieve CISSP certification and ISSA membership/fellowship as they demonstrate to our customers that we are committed and qualified to advise them on their information security programs.
It’s been 15 years since I took the CISSP test and I continue to see new CISSP achievers recognized within Symantec. This is great to see. As a global leader in information security, at Symantec we must ensure we are continually developing our skills to offer the best in information security to our customers.
This new knowledge and professional accreditation is extremely valuable beyond our company walls. For example, as an information security professional I find huge fulfillment in leveraging my CISSP certification to contribute to the InfoSec community.
There are numerous ways to do this – giving back to the public or mentoring those just beginning their InfoSec journeys.
For example, national and local security associations such as ISSA and (ISC)2 need active members and volunteers. Don’t just join – participate – attend meetings, present at meetings and network with your peers. Be proud of your certification and know that people will listen to your knowledge and insights.
You may also consider joining the Board of Directors of your local information security association (e.g. ISSA, ISC2, others). Thought leaders are also needed and sought after. ISSA has a Fellow Program that recognizes sustained membership and contributions to the profession. This is beneficial for all as you also become recognized as an industry thought leader, building people's knowledge and building your personal credentials.
Mentoring is another great example that is very much needed and one that I have personally found very rewarding. The InfoSec leaders of tomorrow are starting at a younger age and are hungry for guidance.
This is not to say you must be CISSP-certified to make a difference in the InfoSec community. For example, at Symantec we have a multitude of options for employees to give back. For example, we have virtual mentoring programs through Career Village, and our Online Safety in the Community program provides instant lessons to Symantec employees who wish to visit classrooms in their community to help kids and parents become safe cyber citizens. Additionally, through our Dollars for Doers program, employees who volunteer may qualify grants and Symantec will donate $15 for every hour of volunteer service up to $1,000 per employee each calendar year.
As the largest and greatest security company we must do our part to support the information security community and make an impact in the communities of our customers.
In closing a congratulations to all CISSPs within and outside of Symantec. I urge you think beyond your certification, about how this new achievement can be further applied to support others in the InfoSec community – current professionals or future ones.
Please contact me if you would like to know more about CISSP or how you can make a difference in the security arena.
Scott Parker is Symantec’s Principal Systems Engineer and ISSA Distinguished Fellow
在这个不断演化的网络环境中,网络攻击者资金充足,其攻击速度变得更快,攻击方式也变得更为专业,而我们检测所用之时间却变得越来越长。而且,我们还面临着预算受限和资源匮乏的问题。此外,86%的公司声称没有足够的专业人士以满足日益增长的网络安全需要。[1]随着这些问题成为焦点,首席信息安全官(CISO)们正试图寻找问题所在及正确答案。
在这十多年中,赛门铁克一直协助公司高管们填补相关网络安全操作知识上的空缺。通过在全球范围内的工作,我们正改变着网络安全市场,并必定对您今后的网络安全规划带来一定影响。以下是您在加强安全状态时应考虑的六个事项。
随着网络环境之威胁愈演愈烈,相关法规的遵守变得越加复杂。技术发展和爆发性网络威胁使现有法规的遵守变得越来越具有挑战性。无论是PCI DSS、 ISO 27001,SOX,还是很多其它规范,均要求统一监督和报告标准。您需要寻找时间、资源和资金以满足这些不断变化的需求,这个工作可能即费时费力又纷繁复杂。因此,获取专业性帮助对于您来说至关重要。安全管理服务供应商(MSSP)可帮助您简化程序,管理合规细节,获取相关认证的最新信息,比如ISO 27001认证(PCI 服务供应商遵守之规则),SSAE16/SOC1 类型 II(公司内部和外部审计师一年对认证进行多次报告和证实)。
IT系统迁移到云架构将花费大量资金。因此,网络安全规划应保持一致。不要将您在近几年中获得的坚固的网络安全基础设施毁于一旦。无论您的数据和应用程序寄是否储存在您的数据中心,您都应确保对其采用相同等级之保护。安全管理服务供应商应有能力为您的云系统和本地应用基础设施提供相同级别的安全检测服务。
先进的检测技术科阻止新风险。一些威胁留下的踪迹可能是假相,但这可能实际上代表着一种偶发事件。很多网络安全产品检测威胁之能力有限,仅检测部分而漏掉全局,而未能检测到威胁。您的安全管理服务供应商务必拥有先进的分析能力(如机器学习),从而识别检查点所漏掉的潜在偶发事件。因此,安全管理服务供应商的SOC人员应努力了解业界情况,从而结合实际环境以查看危险警报,掌握机构所面临的潜在影响,并对新事件进行调查。
您现有的网络安全设施仍具有价值。在过去的几年中,您可能利用大部分预算搭建网络安全基础设施,从而为你的业务提供支持。但是,网络威胁日益增长,而相关人才却非常稀缺。您需要帮助!您的安全管理服务供应商应花时间去了解您的运行框架,并与您一道弥补相关的关键差距。您的安全管理服务供应商应能够帮助您制定安全检测规划,将此规划整合如您现有的工作流程之中,从而补充资产并强化网络安全水准。
积极主动才能有备无患。察觉威胁所需之时间越来越长,修补所需之费用也越来越高。因此,威胁给公司业务带来的影响也随之增大。光识别相关违约或破坏问题就可一劳永逸的日子已一去不返。恶意事件非常可能导致数据或资金丢失。您必须在资金或声誉受影响之前对可能发生的事件做好准备。您的安全管理服务供应商应深度了解公司外(行业或地区内)所发生的事情。 这种知识应来自于庞大的信息收集网络,而该网络从全世界数百万的端点收集相关信息。您可持续在信息收集网络获取有关类似机构所发生的输入/输出控制和网络攻击的情报。这样,您便可部署人员和技术以处理任何即将到来的网络威胁。
在当今对抗网络威胁的战争中,人类智能无可代替。相关技术可通过隐藏在网络、服务器或端点中的IP地址、域或散列,以帮助我们识别网络中的威胁和相关技术指标。但是,经验丰富的网络安全分析师(专门寻找网络威胁,通过GIAC y和z认证或GIAC z认证,或接收过政府或情报机构的培训)人工提供的内容丰富的网络环境信息无可取代。您的安全管理服务供应商应拥有多个国际安全运营中心(SOC),并配有分析师和服务团队。上述人员应能够提供本地语言支持,以及机构、行业和地理情况上的专有知识。若想针对您的业务在技术和网络环境间搭建桥梁,则完成上述之工作至关重要。
了解更多相关信息: 赛门铁克™ 安全管理服务(MSS)可扩展网络安全运营团队的能力。总所周知,我们作为业界领袖连续12年在高德纳安全管理服务商排行榜中独占首位。我们愿与您共同合作,对您当前网络安全运营团队之能力进行扩展和补充。这样,您便可以将重心转移至有关战略日程的重要事项。通过我们的网络安全服务,我们可帮助您解决各种网络安全问题。我们的服务套餐包括威胁情报深入分析、安全管理服务,事件响应和网络技能发展。
[1]来自于国际信息系统审计协会( ISACA)编写的《 网络安全关系》
「敵を知り己(おのれ)を知れば百戦殆(あや)うからず。彼を知らずして己を知るは一勝一負す。敵を知らず己を知らざれば戦う毎に殆うし」―孫子
孫子の言葉は、現代でもそのまま当てはまります。敵を知ったうえで、おのれの強みと弱点を自覚できる組織こそが、これからのサイバーセキュリティ戦争を高い確率で勝ち抜くことになります。攻撃されるのを座して待つことなくセキュリティ体制を強化し、攻撃者に対して先手を取りましょう。
組織のサイバー攻撃耐性を強化し、闘いに備えるには、どんな対策があるのでしょうか。シマンテックは、2016 年版『インターネットセキュリティ脅威レポート』(ISTR)に掲載されたベストプラクティスに基づいて、サイバーセキュリティ戦術のチェックリストを作成しました。ISTR は、世界的なマルウェアの活動について概要と解析をご報告している年次レポートです。
以上のベストプラクティスを 1 つずつチェックしたら、あとはひたすらテストを繰り返します。セキュリティソリューションは常に更新されていますか。データ侵害が発生した場合に、チームがとるべき対応はわかっていますか。脅威の先手を取るには、セキュリティのテクノロジだけでなく、ソリューションを運用するチームについても常に確認を怠らないことが重要です。
【参考訳】
“知己知彼,百战不殆; 不知彼而知己,一胜一负; 不知彼,不知己,每战必殆。” 孙子(中国古代军事家)。
孙子的话在今日仍能够使我们产生共鸣。 机构只有了解敌人和自己优缺点才能在持续不断的网络安全之战中站稳脚跟。 切勿在机构受到网络攻击后才提高对网络安全重要性的认知。 我们应对网络攻击者进行抵抗。
确保机构网络提高适应能力及抵抗能力的几种方法 我们的年度报告对年度全球网络威胁进行了调查和分析,因此我们依据2016 互联网安全威胁报告 (ISTR)创建了以下的战术网络安全检查表。
执行完上述这些最佳方法后,还一定要测试、测试,再测试。 您有定期更新安全解决方案吗? 您知道您的团队在数据泄露时将如何做出响应吗? 为了防范于未然,您不仅应不断测试相关的安全技术,还应对解决方案管理团队进行考核。
分布式拒绝服务(DDoS)攻击使目标任务溢满,造成网络无法正常登陆。 换而言之,浏览银行、娱乐公司、报纸和电子商务门户网站的速度将放缓,或者造成系统崩溃,甚至会影响到Xbox Live(微软游戏器网络服务)。
自2000年起,DDos攻击受到了广泛报道,其规模、数量和强度每年呈递增态势。 时间证明,这种攻击几乎无法预防,使用成本低,却能够带来持久的毁灭性后果。
在《抓手腕和DDos攻击》一书中,Gino Grieco 给出了这样的描述:
“现代DDos攻击利用所谓的僵尸网络以产生大量的网络流量..……这是一种受恶意软件感染的计算机网络,黑客可利用恶意软件对其进行远程劫持。 这些受感染的计算机大部分时间表现得完全正常,除非黑客下命令让其攻击指定目标。 一旦接受命令,僵尸网络中的每台计算机将开始在指定目标处发送特定类型的互联网流量。 黑客团伙搭建僵尸网络后可更简单地利用DDoS服务进行攻击,而我们则几乎无法抵抗这种攻击。”
虽然没有完全防止此类攻击的方法,但适当的战略计划可缓解这种影响。 因此,我们务必采用适当的行动计划,并为迎接不可避免之影响而做好准备。
如果您认为DDoS与公司无关,或您正受到DDos攻击,或希望做出最佳知情选择以制定预防DDoS的计划,那么这篇文章很适合您。
像往常一样,网络攻击者出于破坏业务之目的,将目标瞄准政府、机构,甚至个人。 其动机包括黑客主义(政治抗议)、勒索、骚扰、寻求关注/炫耀和竞争优势(特别是网络游戏)。
依据《Neustar 2015 DDoS攻击和保护报告》, 受访者表示:
40% | DDoS攻击对他们机构的威胁越来越大。 |
32% | 每小时收入损失10万美元 |
33% | 客户服务中心曾是受DDoS攻击影响的一号区域。 |
85% | 多次攻击。有30%每年攻击超出10次。 |
26% | 遭受失去消费者信任和品牌受损之苦。 |
赛门铁克全球情报网络所观察到的前五名DDoS 攻击流量
DDoS 攻击属于ICMP洪水攻击。在这些攻击中,通常来自多个来源的大量“ping”请求同时攻击目标,直到目标过载且不再能够处理合理流量。 这些攻击常通过僵尸网络执行。
2015年的攻击(按类型区分)
85.7% | 通用型ICMP洪水攻击 |
6.4% | 通用型TCP Syn Flood 拒绝服务攻击 |
2.1% | 通用型Ping 广播 (Smurf)拒绝服务攻击 |
2.0% | |
0.6% |
来源: 《2016年互联网安全威胁报告》
常见的DDoS 攻击
最为常见的DDoS 攻击可分为三类:
租用型僵尸网络
据赛门铁克合作伙伴Incapsula声称,在2015年第二季度,约有40%的DDoS网络层攻击使用了租用型僵尸网络。 虽然网络罪犯可以努力感染多个易受攻击的设备以搭建自己的僵尸网络,从而执行DDos攻击,但是租用已有僵尸网络可能更为简单。
简单有效
据ISTR 21 报告声称 ,DDoS攻击“易于搭建且难于阻止,非常有效。” DDoS攻击经常对实际目标附近的公司带来附带伤害。 一旦带宽被占满,任何由相同供应商托管的站点均可能无法访问互联网。 因此,尽管这些站点不是直接目标,但仍可能面临停机。
黑客主义
Anonymous可能是最专业和最知名的黑客团伙。 他们甚至 曾经向白宫请愿: “请将分布式拒绝服务(DDoS)定为合法的抗议手段 ,” 他们将DDoS描述为, “相当于在网页上重复按下刷新按钮 ...... 不是一群人站在建筑外来占据这个区域,而是使用其计算机占据一个网站,从而在短时间内放慢(或拒绝)特定网站的服务。”
Anonymous 发起多次高调性攻击,唐纳德·特朗普便是该黑客团伙最近的目标。 Adam G. Klein在其文章《The Anonymous大战唐纳德·特朗普》中说道: “大多数黑客活动均有一个清晰的任务宗旨......其战术反映了社会变化的驱动力。 记者Andres Jauregui 将Anonymous的攻击方法DDoS比作是二十世纪六十年代学生运动者所采用的非暴力反抗策略: 即使用足够的人‘阻挡政府机构的过道,这种方法可有效地中断政府机构工作;使用足够流量堵塞网站也能获取相同效果。’ ”
Anonymous 已向政府、团体、企业和机构发起具有极大破坏性的DDoS 攻击,包括:
敲诈勒索
黑客使用DDoS可攻击控制相关站点,从而获取大量资金。 由于租用 booter或stresser每天只需几美元,胆大妄为的网络罪犯们高调发起攻击,威胁受害者其将重复关闭其网络。
FBI网络和反情报计划的Joseph Bonavolonta建议网络攻击受害者支付赎金,因此不法分子受到鼓舞,其甚至在他们的勒索邮件中引用这位FBI代表的建议。
动机转移
据Arbor Networks 公司安全技术主管Gary Sockrider成, “从过往记录上看, ‘意识形态之黑客主义’通常是DDoS攻击的首要动机, 在去年才由‘虚无主义/ 故意毁坏主义’代替。 然而,今年的形势发生了改变。 越来越多的调查对象声称黑客们用DDoS攻击作为幌子,以进行恶意软件渗透及泄露数据。”
在臭名昭著的索尼数据泄露案中,黑客在实际泄露数据以获取网络情报前的三年中就使用了DDoS攻击,同时转移资源使其免遭检测及停止渗透。
有竞争力的优势/炫耀权
网络游戏是 DDoS 攻击的主要战场。 据赛门铁克的Candid Wueest声称,在网络游戏竞技期间租用几分钟DDoS攻击可创造巨大利益。
Incapsula公司的Igal Zeifman强调炫耀权和投资回报率均是黑客的主要动机,他说: “就Lizard Squad在去年圣诞节对 PlayStation 和 Xbox 在线平台的攻击而言: 在24小时的期间内,该团伙仅在推特上就提及此事10万次以上。 随着病毒性影响散去,这些攻击像‘江南 Style’这首歌一样一夜成名。这对于所有希望通过一次DDoS爆发性攻击就能吸引注意力的网络罪犯来说是最好的投资回报。
发起DDoS攻击的成本非常低,但造成的损失非常高。
据《Incapsula公司调查: DDoS 攻击究竟给企业带来怎样损失》描述,企业预计损失为每小时4万美元。
很多公司还产生了非财政类损失和无形损失,如:
非常便宜 — 在一天10至1,000美元之间。 攻击成本依据攻击时间,有时还依据带宽。这种攻击可轻松在网上购买。 您可以在网购平台购买看似合法的‘stresser’,这种软件本用来测试自己网站的承载能力。
一个名为‘Foceful’的俄罗斯网络犯罪团伙对外出售 DDoS 服务:
考虑花费这么点钱就可以造成如此大之损坏,攻击者们便更肆无忌惮了。此外,这种攻击的投资回报率非常可观。 Arbor Network公司 全球基础设施安全报告(WISR)称受害者平均损失在每分钟500美元左右,而攻击者每次攻击的平均成本才只有66美元。
赛门铁克研究员Candid Wueest认为很多公司或个人觉得DDoS攻击与自己无关: “攻击Sony、Xbox、 BBC News 和唐纳德·特朗普可上新闻头条,这解释得通,但是这种攻击不会发生在我的公司。”
但事实上,如果你拥有任何规模之对外公司,或你是一名游戏发烧友,或甚至是你惹恼了不该惹的人,或信奉之观念与某人不同,那么无论你在世界任何位置,你都有可能成为攻击目标。
1. 不要指望这种攻击不会发生在自己的身上, 因为这种机会非常大。
2. 准备预防DDoS 攻击的全盘计划。
3. 创建一份DDoS手册,该手册应包括以下内容:
4. 购买网络保险。
Candid Wueest的白皮书《DDoS 攻击的持续上升》就有关环境和防止DDoS攻击的方法提出了一个综合性的观点。 他在被问及未来发展趋势时指出:
最重要的是网络犯罪已成了一种新常态。 所报道程度的攻击或漏洞利用之成本很低,但其却能够暴露您的数据并给您带来压倒性的伤害。 您的数据肯定会因此泄露。 因此,最佳策略是对不可避免之攻击做好准备,并缓解DDoS攻击所带来的影响。
Candid Wueest总结道: “若不做好相应准备,则请不要加快基础建设。”
分散サービス拒否(DDoS)攻撃は、標的に膨大な量の処理を要求し、正規のトラフィックで Web サイトにアクセスできないようにする攻撃です。その結果、取引先の銀行、エンタテインメント企業、新聞、電子商取引ポータルなど、さらには Xbox Live を楽しんでいるインターネット回線までが、異常に遅くなったりクラッシュしたりします。
DDoS 攻撃は、2000 年から広く報告されていますが、年とともに規模も数もふくらみ、手強くなっています。長年の風雪に耐えてきただけあって防止はほぼ不可能であり、安価なレンタルが可能なうえ、その影響は破壊的で長く続きます。
「Wrist Grabs and DDoS Attacks(強引な DDoS 攻撃)」と題する記事で、Gino Grieco 氏は次のように解説しています。
「最近の DDoS 攻撃は、いわゆるボットネットを利用して膨大な量のネットワークトラフィックを発生させます。ボットネットとは、悪質なソフトウェアに感染したコンピュータのネットワークのことで、ハッカーはリモートでそのコンピュータを乗っ取ることができます。感染したコンピュータは、ほとんどの時間まったく正常に動作し、通常と異なる動作をするのは、スパム送信のコマンドを受け取ったときだけです。ひとたびコマンドを受信すると、ボットネットの各コンピュータは指定された標的に対して、指定された種類のインターネットトラフィックを送信し始めます。ボットネットを構築すると、ハッカーグループがサービスに DDoS 攻撃を仕掛けるのはずっと容易になり、それを防ぐことはほぼ不可能になるのです」
攻撃を完全に防ぐ手段はありませんが、戦略的な計画を立てれば影響を抑えることはできます。アクションプラン(実行計画)を定め、避けようのない事態に備えておくことが重要です。
DDoS 攻撃が自社には無縁とお考えでも、あるいは今まさに DDoS 攻撃を受けて苦慮している場合や、十分な情報に基づく判断で DDoS 対策を実施したいと検討中の場合でも、今回の記事がお役に立つはずです。
政府、企業、さらには個人も、通常の業務を阻害しようという意図の標的になります。動機は、ハックティビズム(政治的な主張)、脅迫、嫌がらせ、目立ちたがり/自慢、競争での優位(特にオンラインゲームの世界で)などです。
Neustar 2015 DDoS Attacks and Protection Report(Neustar 社、DDoS 攻撃と保護に関するレポート、2015 年版)によると、回答は以下のとおりでした。
40% | 自社にとって DDoS 攻撃の脅威は深刻化している |
32% | 収益の損失は 1 時間ごとに 10 万ドル以上に及ぶ |
33% | DDoS 攻撃で影響を受ける部門のトップはカスタマーサポート |
85% | 攻撃を複数回受けた。1 年間に 10 回以上という回答も 30% |
26% | 顧客の信頼とブランドイメージが損なわれた |
シマンテックの Global Intelligence Network(GIN)で確認された DDoS 攻撃トラフィックの上位 5 つ
DDoS 攻撃の大多数は ICMP フラッド攻撃です。複数のソースから送られる大量の(通常は)ping 要求によって同時に 1 つの標的を攻撃し、正規のトラフィックを処理できなくなるほどの過負荷状態に至らせます。こうした攻撃が、ボットネットを通じて実行されることもよくあります。
2015 年に見られた攻撃の種類
85.7% | 一般的な ICMP フラッド攻撃 |
6.4% | 一般的な TCP SYN フラッドサービス拒否全般 |
2.1% | 一般的な Ping ブロードキャスト(Smurf)サービス拒否攻撃 |
2.0% | |
0.6% |
出典: 2016年版『インターネットセキュリティ脅威レポート』
最も一般的な DDoS 攻撃
一般的な DDoS 攻撃は、以下の 3 つのカテゴリに分類されます。
ボットネット貸し出し
シマンテックのパートナーである Incapsula によれば、2015 年の第 2 四半期には、すべてのネットワーク層 DDoS 攻撃のほぼ40% にボットネット貸し出しサービスが利用されていました脆弱な複数のデバイスを感染させ、独自のボットネットを構築して DDoS 攻撃を仕掛けることもできますが、たいていは出来合いのボットネットを時間単位で借りるほうがはるかに簡単だからです。
簡単だが効果的
『インターネットセキュリティ脅威レポート』第 21 号によると、DDoS 攻撃は「セットアップが簡単で、阻止するのが難しく、非常に効果的」です。DDoS 攻撃は、実際の標的に近い企業にも巻き添えの被害を与えることが少なくありません。いったん帯域幅がいっぱいになってしまうと、同じプロバイダによってホストされているサイトも、インターネット上でアクセスできなくなるからです。そのため、直接は狙われていないにもかかわらず、他のサイトも停止に追い込まれる可能性があります。
ハックティビズム
最も高度に進化し、最も知名度の高いハックティビストグループといえば、おそらくアノニマスでしょう。アノニマスは、「分散サービス拒否(DDoS)を、合法的な抗議活動の一種として認めよ」という請願書までホワイトハウスに提出しています。DDoS は「Web ページで更新ボタンを何度も何度も押すことに等しい。(中略)屋外に集まった群衆が、特定の場所を占拠するのと同じように、コンピュータを使って Web サイトを占拠し、その Web サイトのサービスを短期間だけ遅くする(あるいは拒否する)だけなのだ」というわけです。
アノニマスは、注目を引く攻撃を次々と繰り出しており、ごく最近ではドナルド・トランプ氏を標的にしています。「How Anonymous Hacked Donald Trump(アノニマスはいかにしてドナルド・トランプにハッキングを仕掛けたか)」と題する最近の記事で、Adam G. Klein 氏は、次のように述べています。「ハックティビストによる『攻撃活動』のほとんどは、明確な綱領によって裏付けられている。(中略)社会変革をめざす彼らの方向性が、その戦術に反映されている。ジャーナリストの Andres Jauregui 氏は、アノニマスが用いる手口のひとつである DDoS 攻撃を、1960 年代の学生活動家がとった市民的不服従の戦略になぞらえている。『一定以上たくさんの人で官庁の廊下をぎゅう詰めにすれば、確実に機能停止に追い込むことができる。一定以上のトラフィックを Web サイトに仕向けても、同じことが起きる』というのである」
以下に挙げる事例のように、アノニマスは政府、グループ、企業、組織に対して壊滅的な DDoS 攻撃を仕掛け続けています。
脅迫
DDoS 攻撃でサイトを人質にとるのは、相当いい稼ぎになります。ブーターやストレッサーを 1 日数ドル程度でレンタルできる果敢な攻撃者は、シャットダウンを繰り返すと脅迫して、特に儲けの大きい攻撃を実行します。
FBI の「Cyber and Counterintelligence Program(サイバーおよび対防諜プログラム)」担当、Joseph Bonavolonta 氏が、身代金を支払うよう被害者に勧めたことも、攻撃者にとっては追い風になっています。あげくには、身代金要求のメールで Bonavolonta 氏のこの助言を引用する始末です。
注意をそらす陽動
Arbor Networks で主任セキュリティテクノロジストを務める Gary Sockrider 氏によると、「歴史的には、『イデオロギー的なハックティビズム』が(DDoS 攻撃の)動機としては最多を占めるのが普通だったが、昨年はついに『虚無主義/破壊行為』が取って代わった。だが、今年に入ってさらに状況が変わっている。DDoS 攻撃は、マルウェアが侵入したりデータを盗み出したりするための陽動として使われているという回答が増えつつある」
ソニーで起きた甚大なデータ侵害では、情報を入手してネットワークに実際に侵入する 3 年も前に、DDoS 攻撃が使われました。その間、リソースは注意をそらされ続けていたため、侵入を検出・阻止できませんでした。
競争での優位/自慢のタネ
DDoS 攻撃は、オンラインゲームの世界でも顕著です。シマンテックの Candid Wueestによると、DDoS 攻撃をわずか数分間でもレンタルすれば、オンラインゲームでの勝敗で圧倒的に有利になるということです。
Incapsula の Igal Zeifmanは、強力な動機として「自慢のタネ」と ROI(投資利益率)を強調しています。「たとえば、昨年のクリスマスに PlayStation と Xbox のネットワークを襲った Lizard Squad の攻撃を見てみよう。その日の 24 時間で、このグループは Twitter だけでも 10 万回以上言及された。口コミの影響が広がると、この攻撃は YouTube で記録的にヒットした曲「江南スタイル」並みの知名度を獲得する。目立ちたがりの犯人が、たった 1 回の DDoS 攻撃で望みうるかぎり最大の投資利益率となったのである」
DDoS 攻撃のコストは、仕掛ける側にはごく低い一方、受ける側にとっては非常に高くつきます。
「Incapsula Survey: What DDoS Attacks Really Cost Businesses(Incapsula によるアンケート調査: DDoS 攻撃が企業に及ぼす真のコスト)」によると、そのコストは推定で 1 時間あたり 40,000 ドルです。
直接的な金銭以外に、企業の多くは形に表れないコストも被っています。たとえば、以下のような被害です。
1 日あたり 10 ドルから 1,000 ドル程度と、驚くほど安価です。価格は、期間と、場合によっては帯域幅に基づいて決まり、オンラインで簡単に購入できます。オンラインの市場では、合法的と思われる「ストレッサー」も買うことができます。これは、自分たちの Web サイトの耐性をテストするためのツールです。
ロシアの犯罪集団 Forceful は、以下の条件で DDoS サービスをレンタルしていました。
これほど格安に引き起こせるダメージの大きさを考えると、攻撃者が参入する障壁はないも同然であり、大きい ROI を期待できます。Arbor Network の「Worldwide Infrastructure Security Report(WISR)(ワールドワイドインフラストラクチャセキュリティレポート)」によると、被害者が要するコストは平均で 1 分あたり 500 ドルですが、攻撃者に必要なコストは 1 回の攻撃あたり、わずか 66 ドルです。
シマンテックの研究者 Candid Wueestの主張によると、企業は――そして個人ユーザーも――、DDoS 攻撃を他人事のように考えているといいます。「ソニー、Xbox、BBC News、ドナルド・トランプ――そういった標的なら、ニュースの見出しとして注目されるのは当然だが、うちの会社にそんなことは起こるまい」ということです。
しかし実際には、規模を問わず一般ユーザーと接する企業であれば、あるいはオンラインゲームのファンというだけでも、当然のように標的になります。間違った人を怒らせたり、世界のどこかにいる誰かと違う意見を支持したりしても同様です。
1. 自分の身には起きないという考えは捨てましょう。DDoS 攻撃に狙われる可能性は十分にあります。
2. DDoS 攻撃は起きるものという前提で、徹底的な対策を立てておきます。
3. DDoS 対策計画書を作成します。以下の内容を盛り込んでください。
4. サイバー保険を契約します。
Candid Wueest によるホワイトペーパー「The Continued Rise of DDoS Attacks(増加の一途をたどる DDoS 攻撃)」には、現在の DDoS 攻撃の詳しい状況と、DDoS 攻撃を防ぐためにできる対策が記されています。今後の予測について、Wueest は以下のように述べています。
結論として、サイバー犯罪は今や常態化したと言えます。報告される攻撃の規模も、脆弱性や、被害を受けた場合のコスト、無防備さ、被害の大きさも、今や圧倒的です。自分も DDoS 攻撃を受けることは、ほぼ間違いありません。避けようのない事態に備え、DDoS 攻撃の影響を低減することがベストプラクティスです。
Candid Wueest は、こう要約しています。「備えがなければ、速度を武器にすることはできない」
【参考訳】
BEC scams, also known as “whaling’ or “CEO fraud”, involve crafted emails sent to recipients by fraudsters pretending to be senior executives. These emails leverage social engineering and urgent requests to get employees to carry out large wire transfers or send over sensitive information such as W2 forms.
BEC emails are typically characterized by:
The FBI has reinforced the growth and criticality of Business Email Compromise (BEC) with their latest Public Service Announcement, which found that BEC increased by 1,300% since 2015 and is responsible for more than $3 billion in exposed losses. This announcement also added a fifth BEC scenario of "Data Theft".
The FBI PSA outlined five scenarios of Business Email Compromise:
In addition, learn more about W2 (tax return) related BEC fraud to better understand the recent updates from the FBI PSA about the Data Theft scenario we observed earlier this year during U.S. tax season.
While the financial damage of BEC scenarios 1-4 can be quantified and covered by a company or their cyber insurance, the new Data Theft scenario raises new challenges about how to quantify damage from personally identifiable information (PII), such as seen in the tax return fraud (W2) attempts, or even intellectual property loss. Therefore, it is even more important to view BEC as a serious threat to your organization.
We wanted to highlight a few more email characteristics that can help identify a BEC attack:
(ceo,cto,cfo,coo,office,work,dir,director,executive,exec,chief,central,chairman,president,vp,vice,private,official,md,managing,managed,chief,accountant,admin,workmail,gmo,personal,home,personal)
(Transfer|Request|response|Verification|Payment|Update|Wire|Initiate|Instructions|Bank detail|international|finance department|urgent|remit|remittance|Attention|Attached|Outstanding|confidential|desk|office)
The difficulty with BEC email is that you have a very limited set of features (i.e. checking attachments, URLs or common bad senders) you can leverage to detect such messages. Also, although the characteristics discussed above can help you detect BEC emails, this needs to be handled with care due to the risk of false positives. For instance, a financial institution that was to detect messages generically from a free mail account containing a keyword such as ‘transfer’ or ‘outstanding’ might accidently block both BEC and legitimate emails.
Earlier this year, Symantec focused on typosquat domains to gather additional intelligence that is used to improve detection for these email attacks. Specific heuristic rules generated based on our research have shown success, stopping over 16.1 million emails since beginning of this year. Symantec Email Security contains many more detection technologies that stop attacks or unwanted mail such as phishing, spam, and unsolicited emails, and we are constantly working to stay ahead of attackers by making improvements to rulesets in our Email Security solutions to detect BEC emails for our customers - without the need to purchase additional features or to use a specific product version.
Symantec will continue to invest in creating specific BEC detection to target this attack. This type of attack due its limited set of features and individual company specific focus may also require a complementary set of solutions that Symantec is also in a position to provide.
In addition to these Symantec solutions, you should also leverage the following best practices for the most effective way to protect your organization from BEC attacks:
For more information, see the latest research done by the Symantec Security Response team about Billion-dollar scams: The numbers behind BEC fraud.
To learn more about BEC check out these resources:
