不断提高,在没有结束的迹象,尽管支出这一数额的税做生意,数十年之久斗争的恶意软件拖累。
[也:恶意软件的未来]
目前,平均IT预算的5%左右致力于安全,估计约翰·佩斯卡托,在SANS技术研究所主任。网络犯罪(包括恶意内部攻击和设备盗窃)的成本美国公司平均每年的1160万$,根据Ponemon的该研究所的2013年10月的研究,是由惠普企业安全赞助。这个成本代表了去年的平均890万$每家公司增加了23%。
当被问及为什么恶意软件是没有结束战争,专家普遍接受任何军事或生态隐喻。那些与军事观点说有缺陷的防御已经导致了僵局。生态头脑不认为这是一场战争来赢取或丢失 - 他们看到捕食与被捕食者之间的永恒的周期,目标不是胜利,而是平衡。
一个谁主张军事隐喻是大卫·赫尔策,对飞地取证亨德森,内华达州的研究总监,“我们在圈子里基本上是走了,”他说。“我们仅改善后我们的对手打败我们的防御工事。大多数软件仍是充满了漏洞,但供应商通常做,直到它变成公开披露没有移动到固定的。编码人员没有在安全培训,并在‘写得很好’的意思是”预算。'”
安全顾问兰尼Zeltser选择生态隐喻。“攻击者利用的捍卫者,以及维护者作出反应。它的一部分周期的,”他说。“如果攻击者在得到太容易,他们花费了太多的攻击我们。如果我们阻止的攻击100%,我们可能花太多的防守。我们一直在平衡状态一段时间后,总是会可以。但是,自满是危险的,因为我们必须不断施加能量来维持平衡。”
金融领域的发展为我们提供了一个例子,说明了为什么持续使用能量来维持平衡是很重要的。趋势科技(Trend Micro)的一份新报告指出,最近的攻击旨在窃取网上银行凭证飙升的水平自2002年以来没有见过。
然而,专家们一致认为已经取得了进展——即使只是朝着维持生态平衡或军事僵局的方向。
目前为止的胜利
在这一点上,“没有任何类型的恶意软件对其中有没有防御,我们目前知道的,”罗尔Schouwenberg,在反恶意软件厂商卡巴斯基实验室的研究员说。
“我们再也看不到大类传播的恶意软件,我们三,四年前看到的,[例如] 2000年的ILOVEYOU病毒,补充说:”威廉·休·穆雷,安全顾问,海军研究生学院的教授。
与证券分析师和高管的访谈销售商迈克菲,AVG和卡巴斯基实验室建议,以下是四个主要武器,使这成为可能:
“签名检测,这种方法使您能够发现恶意代码,除其他事物的能力。
“行为监控。通过采用这种技术,你可以做这样的事情现货恶意活动在计算机或确定一个可疑文件会以虚拟诱饵回应
“列入黑名单,这对于阻止访问到包括不良实体的名单上的网站和文件的机制。
“白名单通过这种方法,基本上是相反的黑名单,只允许用户访问已知是无害的实体清单上的网站和文件;访问被拒绝,不在名单上的网站和文件。
四个都有其支持者和反对者,所有质疑这篇文章的反恶意软件厂商表示,他们使用了某种形式的所有四个武器,在组合。
其他防御措施包括防火墙,它可以防止入侵,至少对Windows来说,它是操作系统的一部分,以及供应商定期发布补丁来解决漏洞。
网络攻击的频率
在对60家公司进行的为期四周的基准测试中,不同类型的攻击发生的频率。
病毒,蠕虫,木马100%
恶意软件97%
僵尸网络73%
基于Web的攻击63%
服务50%的拒绝
恶意代码48%
恶意的内部42%
钓鱼/社会工程42%
被盗的设备33%
来源:Ponemon的研究所/ HP企业安全“成本2013网络犯罪”的研究。
有时会有人提出这样一个问题:是否有更先进的武器是我们还没有了解到的。Zeltser说:“我听说反恶意软件供应商有更好的防御手段,他们选择不发布,因为还没有必要,而且他们不想泄露自己的秘密。”
卖主否认了这一点。反恶意软件供应商AVG Technologies的高管托尼•安斯科姆(Tony Anscombe)表示:“我们的秘密武器每天都在使用——这是一场日常战斗。”反恶意软件供应商赛门铁克(Symantec)的发言人凯文·黑利(Kevin Haley)表示,如果供应商有可以阻止所有病毒的软件,“等待使用它将是愚蠢的”。他指出,“这将是一种竞争优势”,有助于销售更多软件。
无论哪种方式,最终的结果是,反恶意软件供应商现在可以到一个新的(或“零日”)响应利用在两个小时内,虽然复杂的攻击可能需要后续跟进海利说。
与此同时,也一直在努力使软件更不容易受到感染。例如,添雨,主任微软他说,微软已经修改了开发人员使用的代码库,以消除错误和漏洞。
因此,他指出,在2006年,堆栈腐败是43%的时间被利用的漏洞,但现在只有7%的时间被使用。他还引用了研究2011年,分析师丹·卡明斯基(Dan Kaminsky)等人进行的一项调查显示,微软Office 2003有126个可利用的漏洞,而Office 2010只有7个。
多年的安全相关的软件补丁下载的用户也产生了明显的影响。雷恩斯引用了微软的在线恶意软件删除工具,这表明,最多最新的保护是系统的执行得到的统计数据分别为5.5倍不太可能被感染。
截至2012年12月,发生率为每1000台12.2感染未受保护的系统与2%为1000保护的系统。全球平均为每1000 6个感染。
在另一方面,感染还是发生了。但是,感染甚至性质似乎已经达到平衡状态。
今天的攻击分为两大类
在安全测试公司和威瑞森子公司ICSA实验室的首席安全研究员罗杰·汤普森(Roger Thompson)对今天的观点看法不一常见的感染分为两类:APT(“高级持续性威胁”)和AFT(“另一个吓坏特洛伊木马”。)
他说,APT恶意软件的新例子大约每月出现一次,它们的目标是特定的目标,而且是由资源、能力和耐心令人印象深刻的组织产生的。最经典的例子是2010年Stuxnet病毒,其目标似乎已经作出离心机在伊朗核研究实验室通过旋转太快毁了自己。
“每个人都是不同的,可怕的,”汤普森笔记。
至于AFTS,自我复制恶意软件不再是选择的感染载体,以攻击者宁愿启动驱动器由谁被诱骗访问对受害人从被感染的网站攻击。(然而,蠕虫和恶意软件年长仍然潜伏在互联网上,以及未受保护的机器仍然可以受到感染在短短的几分钟内,源同意。)
网络犯罪平均年化成本
这些费用是由攻击频率加权的60家公司基准。
拒绝服务 - $二四三九一三
恶意的内部 - $一九八七六九
基于Web的攻击 - $ 125101
恶意代码 - $一〇二二一六
网络钓鱼/社会工程 - $ 21,094
被盗的设备 - $二〇〇七〇
僵尸网络 - $ 2,088
病毒,蠕虫,木马 - $了1,324名
恶意软件997美元
来源:Ponemon的研究所/ HP企业安全“成本2013网络犯罪”的研究。
专家们同意,新木马的获取似乎只受到研究人员下载示例的能力的限制;每天可以收集成千上万的数据。许多例子只是长期存在的恶意软件家族的成员,已经重新编译,一些恶意网站将重新编译他们的有效负载——创建一个独特的文件——为每个驱动攻击。这样的家庭大概不会超过一千个,因为接管一台机器而不让它崩溃的方法是有限的,汤普森指出。
最初的感染通常是一个紧凑的引导捆扎机制,下载其他组件。它可以报告给攻击者什么样的主机已经被感染,然后攻击者可以决定如何使用受害人,解释Zeltser。
这些天来,被感染的家庭系统通常是由攻击者为自己所用劫持。随着小企业,目的是窃取银行凭证,而与大企业,对象通常是工业间谍,穆雷解释说。
虽然反恶意软件供应商已经采取了多管齐下的策略,攻击者也一样——例如,编写恶意软件时,不会动,直到它发现它不在用来欺骗恶意软件暴露自己的那种虚拟机中。
与此同时,攻击者已经形成了他们自己的经济,形成了劳动分工。“有些人擅长制造恶意软件,有些人擅长感染系统,还有一些人擅长从感染中赚钱,比如通过发送垃圾邮件、发起分布式拒绝服务攻击或窃取数据,”Zeltser说。
“你可以买做帐收购所需的软件,然后把钱转换为现金,你雇骡,”穆雷补充道。
新的战场包括XP,Android的
不过,虽然许多专家希望看到进攻和防守的持续周期,他们也预见到未来更多的危险:Windows XP可能会因为支持情况而无法使用,而Android智能手机环境可能会成为下一个恶意软件的乐园。
就其本身而言,Windows Vista中不再接收的主流支持,但微软已经宣布,该公司将继续通过中期2017年4月发布的操作系统的安全更新。
Windows XP中,在2001年发布,至今仍被广泛使用,但微软将停止发放2014年4月后,它的安全更新。在这一点上,微软将继续发布安全更新的Windows 7和Windows 8,而且每一个发出后,恶意软件编写者会反向工程,以确定它的地址,降雨预测的漏洞。
“然后,他们将测试XP,看是否存在漏洞存在,如果确实如此,他们会写攻击代码,利用它,”雨说。“既然XP再也找不到一个更新,恶意软件编写者会在零日 - 永远的方案。如果他们能在这些系统上这将是非常困难的防病毒保护运行他们选择的远程代码是有效的。该情况会越来越糟,最终你将无法信任操作系统为XP。”
“人们不应该运行XP,”同意Schouwenberg。“当它被写恶意软件的问题是非常不同的比今天。它没有缓解战略和极其脆弱的。”
与此同时,Android在智能手机上的表现也非常抢手——销量超过了其他手机苹果Gartner的数据显示,苹果(apple inc .)在今年第三季度推出了iOS手机巨大的目标对于饼干。
专家们认为,Android的发展和Windows市场的早期历史有许多相似之处,硬件供应商为自己的产品采用第三方操作系统,没有任何一方能够确保安全。在Android市场上,电信运营商的额外介入是一个复杂的因素。
平均每天解决60家公司的攻击基准
恶意的内部包括员工,临时员工,承包商,可能的话,业务合作伙伴。
恶意的内部 - 65.5
恶意代码- 49.8
基于Web的攻击 - 45.1
拒绝服务——19.9
网络钓鱼/社会工程- 14.3
被盗设备——10.2美元
恶意软件 - 6.7
病毒,蠕虫,木马 - 3
僵尸网络- 2
来源:Ponemon的研究所/ HP企业安全“成本2013网络犯罪”的研究。
“这不是像与苹果的情况下,可以把安全更新,以每iPhone在一天中的世界,说:“Schouwenberg。”有了Android,制造商必须执行补丁,然后再通过认证,具有托架的补丁部署之前。假设你的手机仍然得到它可能是几个月,你让他们之前的安全更新。这不会被认为是可接受的笔记本电脑“。
“Android是在一个位置的Windows是在几年前,没有足够的保护,补充说:”约翰内斯·乌尔里希,在SANS技术研究所,其认证的计算机安全专家的研究主管。
有希望吗?
返回到生态隐喻,小行星有时影响将推动物种灭绝。而且,事实上,源可以指向灭绝事件类型的恶意软件生物圈的历史很短。