先知技术社区独家发表本文，如需要转载，请先联系先知技术社区授权；未经授权请勿转载。

投稿

• 直接右上角【个人中心】-【创建新帖子】-【节点模块】选择【技术文章】。投稿时麻烦提供下可联系到作者的IM，方便审核沟通。（如未收到回复，联系wx：50421961）

• Ps: MD编辑器支持图片拖拽上传、Word文档图片直接复制上传、截图复制自动上传 (๑•̀ㅂ•́)و✧

---

主要发现

Business email compromise (BEC) 。对攻击者来说，BEC企业邮件攻击是高获利的攻击面。根据Internet Crime Complaint Center (IC3)的数据，2013年10月到2016年12月，攻击者通过BEC诈骗获利53亿美元。而勒索软件2016年只获利10亿美元。
Spyware. 作为恶意软件的一种形式，许多组织都低估或者彻底忽略了Spyware的作用。Spyware可以窃取用户个公司的信息，弱化设备的安全态势，增加恶意软件感染的概率。
Internet of things(IoT，物联网)，物联网是企业合作和改革的方向。随着物联网的发展，安全风险也随之增加：不可见性是一个问题，防卫方并不知道什么样的物联网设备连接到网络中。而攻击者已经在利用物联网设备中的安全漏洞了。
Cisco记录了检测所需时间（TTD, time to detect)的中位数，这个时间从研究刚开始的39小时（2015年11月）降到3.5小时（2016.11-2017.5）。
Cisco观察到2016年中起垃圾邮件的数量激增，而同时工具利用活动有明显下降。攻击者从利用工具来传播勒索软件变为通过垃圾邮件传播，垃圾邮件中有含有宏的恶意文件，可以抵御许多的沙箱技术。
Supply chain attacks供应链攻击给攻击者一种通过被黑站点传播恶意软件到组织的新方法。如软件供应商的网站被黑，攻击者利用从该站点下来软件来感染主机。
Cyber攻击的频率、复杂性和体量都急剧增长，说明黑客经济遇到了拐点。目前的攻击主题主要通过对一些列有用的和低成本的资源的快速访问来获利。
对企业安全来说，云是一个被忽略的方面。Open authentication(OAuth)风险和单个特权用户账户的管理漏洞为攻击者创造了非常容易就可以利用的安全缝隙。攻击者也可以迁移到云上来进行企业云环境的攻击。
利用工具活动急剧减少。由于企业商业模型的改变等原因，利用工具活动减少，但这种情形可能是暂时的。
未合理应用和为了合法用户访问访问而故意开放的DevOps服务给企业组织带来巨大的安全风险。
通过对Fancy Bear cyberespionage组织使用的域名进行ThreatConnect分析，发现了研究攻击者IP基础设施的意义。比如，可以将这些恶意的域名、IP地址、email地址加入黑名单。
2016年底，cisco威胁研究人员发现并报告了3个Memcached服务器远程代码执行漏洞。3个月后发现互联网上扫描的之前发现有这3个漏洞的服务器中有79%漏洞仍未修复，因为没有分发补丁。

简介

威胁场景一直在变化，但是cisco的威胁研究和技术伙伴发现威胁的迅速发展和攻击的体量变化带来了很多问题。

新的攻击策略：Destruction of service(DeOS)

攻击者现在在寻找一种可以消除安全网（safety net）的方法，组织依靠安全网来恢复系统和数据。DeOS攻击的表现依赖于攻击者的核心动机和创造性、能力的限制。唯一确定的是新出现的物联网和存在安全漏洞的物联网设备和系统在这种攻击中起着核心的作用。在战场上，攻击者可以操作的空间和时间都是有限的，他们必须不断地改变策略来避免被检测到，必须改革攻击手段来提升攻击的有限性，比如使用比特币和Tor使用勒索软件更有效。

重点：减少碎片化的安全工具箱

为了减缓攻击者的攻击、限制攻击时间和空间，保护者拥有他们需要的大多数解决方案。问题的关键是如何运用这些安全。碎片化的多产品安全方法阻碍了组织管理威胁的能力。当安全团队能够统一厂商使用开放的、统一的、简化的安全方法时，就可以减少安全威胁。同时可以更好地应对快速增长的物联网和GDPR（General Data Protection Regulation）的数据保护要求带来的安全挑战。

攻击行为ATTACKER BEHAVIOR

利用工具减少，但并未消失

以Neutrino为例，利用工具仍然活跃，但活跃期很短。工具的作者把它租给特定的操作者来获利。这种租借的方法导致Neutrino工具并没有那么流行，同时难以检测。
如图1所示，利用工具活动自2016年1月起急剧减少。该趋势回应了Blackhole利用工具的作者和发布者在俄罗斯被抓。当Blackhole停止操作时，对利用工具市场产生了巨大的影响，因为开发新的工具需要时间。

另一个趋势是网络犯罪通过邮件来传播勒索软件和其他恶意软件，这种方式和传播迅速，且性价比很高。攻击者创新地使用一些方法来避免被检测到。比如，Cisco威胁研究人员发现含有宏的恶意文件的垃圾邮件增多，这些恶意文件包括常见的word、excel、PDF文件，这些文件通过与用户的交互可以绕过许多的沙箱技术。

防护者的行为如何改变攻击者的关注点？

对Flash的漏洞及时打补丁，可以减缓利用工具市场的速度。Flash软件一直是吸引web攻击的一部分。然而，flash攻击变得越来越难利用，一部分原因是补丁及时更新。

如图所示，2014年修复80%的Flash漏洞需要308天，2015年需要144天，到了2016年这个时间变为62天。
当防护者对flash软件打补丁的速度变得越来越快时，一些利用工具的作者可能会把注意力转移到利用过去已经发现但是被忽略的漏洞上去。安全团队需要花时间去评定是否修复了所有已知的flash漏洞，并优先处理可能会让组织处于危险中的高危漏洞。当攻击者利用工具变少时，就会用其他技术来传播勒索软件，比如带有宏的恶意文件。

Web攻击方法说明Internet变得成熟了

代理很早就出现了，而且随着互联网的发展功能越来越成熟。防护者使用内容扫描的代理来检测网络基础设施中的潜在威胁。这些威胁包括：

• PUA，比如恶意浏览器扩展；
• 木马；
• 指向垃圾邮件和广告欺诈的链接；
• 特定的浏览器漏洞，如JS和图形渲染引擎；
• 浏览器重定向、劫持和其他将用户定向到恶意web内容的方法；

全球web拦截活动

Cisco追踪了不同国家和地区的基于恶意软件的区块活动。攻击者频繁地改变攻击的基地，寻找有弱点的基础设施。通过检查整体的流量和区域活动，Cisco的威胁研究人员能够提供恶意软件的发源地。Block ratio值等于1表明block的数量和网络体量是成正比的。Block活动高于正常值的国家和地区的网络中含有的有漏洞的服务器和主机。图4是全球2016年11月到2017年5月的block活动。

Spyware的影响很大

许多网上的PUA广告软件都是spyware，spyware的厂商尽可能地把软件做得看起来像合法的工具，提供给用户很多有用的服务。然而，无论怎么伪装，spyware都是恶意软件。一般的spyware都是在用户不知情的情况下安装的，会收集和传递关于用户电脑活动的信息。我们把spyware分为三类，adware广告软件，system monitor系统资源监视器和木马trojans。
在企业环境下，spyware会带来一系列潜在的安全风险，比如：
窃取用户和公司的信息，包括PII个人识别信息和其他隐私、机密信息；
通过修改设备的配置、安装额外的软件、允许第三方访问来弱化设备的安全等级。一些spyware甚至允许远程代码执行，可以让攻击者完全控制设备；
增加恶意软件感染的概率。一旦用户感染了类似spyware或adware之类的PUA，他们就容易感染更多恶意软件。
为了研究spyware感染的情况，Cisco的研究人员研究了大约300家企业的网络流量（2016.11-2017.5）来找出目前企业网络中存在的spyware家族和被感染的程度。研究人员发现了感染了样本超过20%的3个spyware家族，分别是Hola，RelewantKnowledge和DNSChanger/DNS unlocker。

Hola

Hola是一款免费的web和手机端VPN应用，既是spyware又是adware。它使用点对点的缓存技术，让用户存储其他用户下载的内容。这是一款分布式的基于浏览器的客户端应用，hola既可以作为浏览器扩展，也可以作为一个独立的应用。据称hola在全球有1.21亿用户。

为什么说hola是spyware？Hola的一个功能就是通过Luminati服务出卖用户带宽，可以在用户系统中安装自签名的证书，下载文件时可以绕过病毒检查，远程执行代码。

RelewantKnowledge

RelewantKnowledge收集大量的用户浏览习惯、系统和配置的信息，属于spyware和系统监视器。RelewantKnowledge可以直接或间接方式安装，甚至不需要用户同意。

为什么认为是spyware？RelewantKnowledge可以未经用户同意直接安装，而且收集的信息会卖给第三方。

DNSChanger/DNS unlocker

DNSChanger/DNS unlocker是同一恶意软件的两个版本。DNSChanger是一个木马程序，能够改变甚至截至感染主机的DNS设置。DNS unlocker是一款可以不安装的广告恶意软件服务。恶意软件用自己的域名服务器替换DNS设置中的域名服务器将用户HTTP和其他请求从主机指向攻击者控制的服务器，攻击者可以监听、修改用户主机的流量。该恶意软件感染的终端而不是浏览器。通过PowerShell，DNSChanger/DNS unlocker可以在受感染的主机上执行命令。

为什么认为是spyware？除了上面提到的功能，DNS Unlocker能窃取PII，重定向用户的流量，通过在特定服务注入来改变用户的内容，比如在线广告。

数据表明，在样本中这三款spyware家族中，DNS Unlocker是最流行的。DNS Unlocker的感染率占了月感染量的40%。

利用工具活动的减少好像会影响全球垃圾邮件的趋势

研究人员发现垃圾邮件的体量在不断增加，同时利用攻击的情形保持不变flux。Email是可以直接到达终端的，所以攻击者通过社会工程学钓鱼，可以轻而易举地dupe users最终搞定整个企业的网络。

恶意邮件Malicious email: A closer look at malware authors’ file type strategies

更多的网络犯罪选择email作为传播勒索软件和其他恶意软件的首选，cisco的研究人员记录了恶意软件家族使用比较多的文件类型。这可以减少我们TTD所用的时间。

我们分析了2017年1月到4月的恶意软件检测来找出恶意邮件中的前20个恶意软件家族。

文件类型和恶意软件家族的关系

研究样本中前5个恶意软件家族中，每个家族都有不同的文件类型策略，比如：
Adwind，远程访问木马RAT，最长使用的是jar文件；
Nemucod，用来传播勒索软件的木马下载器，使用的是.zip文件；
MyWebSearch，一款恶意广告软件，在文件选择上非常有个性，只使用.exe扩展，有时每个月只使用一个文件扩展类型；
Fareit，另一款RAT，使用很多文件类型，但是偏爱.zip和.gz文件；

可以看出，许多恶意软件家族使用更加模糊和古老的文件类型，如.jar和.arj。

相比勒索软件，企业邮件的威胁可能更大

最近，勒索软件受到安全界越来越多的关注，相比之下，企业邮件受骇（business email compromise，BEC）带来的安全威胁可能更大。Flashpoint研究了BEC问题，发现BEC是目前最有吸引力最容易获利的黑客攻击手段。而这看似简单的攻击是依赖社会工程学来触发的。

一般，BEC的基础是发给财务人员的（伪造的）邮件。首先，攻击者会研究公司的架构和员工，如利用社交网络的简历来建立可能的命令传递链。这种邮件可能会来自CEO或其他高管，要求接受者电汇给合作伙伴或者其他厂商。邮件内容表现的比较急迫，强制接受者尽快电汇；而电汇的接受者一般是攻击者控制的银行帐户。

BEC的目标一般是大型公司，虽然大公司可能有针对金融诈骗的成熟的防御体系。但是Facebook、Google等公司都是BEC的受害者。因为BEC消息不含有恶意软件和链接，可以绕过大多数的防御检测工具。

Internet Crime Complaint Center（IC3）的数据显示，2013年10月到2016年12月BEC诈骗的金额为53亿美元，平均每年17亿。相比之下，2016年勒索软件只收到10亿美元的赎金。2013年10月到2016年12月，美国BEC诈骗的企业数量为22.3万。

应对BEC诈骗需要改进企业运作流程，Flashpoint建议对用户进行培训，比如培训用户识别与普通金融转账不同的转账要求，在电汇前与其他同时确认一下细节。

恶意软件6个月的发展

趋势1：攻击者使用恶意软件分发系统，而该系统需要用户的一些正的行为才能激活威胁

越来越多的恶意邮件附件能够绕过自动恶意软件检测系统。在沙箱环境中，这些恶意附件并不会有什么恶意行为，而在用户环境下：
密码保护的恶意文件，密码会在邮件正文中提供给用户；
恶意文件弹出对话框请求用户权限（如，点击ok按钮）来执行一些操作；
Word文档中的恶意OLE对象；
Pdf文件中嵌入的恶意word文档；

Sender policy framework defense（SPF发送策略框架）这样的威胁检测工具能够拦截来自伪造邮箱地址发来的邮件。但是，企业并没有决定开启这项功能，因为SPF可能会拦截合法邮件除非IT管理员合理管理。

像Facebook、Google这样的巨头和员工数较少的企业都是BEC诈骗的潜在目标。因为这是一种低成本、高汇报的攻击方法，这样攻击方式未来可能会持续发展。

趋势2：攻击者用勒索软件的codebase来最大化利益
使用开源的代码库，像Hidden Tear和EDA2来创建恶意软件是既快又容易，性价比也很高。Hidden Tear这样的开源代码库会公开勒索软件代码供大家学习。攻击者会修改代码然后应用到新的恶意软件中。研究人员发现最近几个月的许多新的勒索软件家族都是基于开源代码库中的开源代码的。

趋势3：Ransomware-as-a-service (RaaS) 平台发展迅速
像Satan这样的RaaS平台对于想进入勒索软件市场又不想写代码或设计新的勒索技巧的人来说是非常理想的。这类平台的运营者，增长非常快，并且截取了攻击者的一部分获利。一些平台甚至提供除勒索软件外的额外服务，比如追踪客户勒索的进度等。

趋势4：内存中的恶意软件变得越来越流行
有这样一种流行的恶意软件，他们依赖powershell或WMI在内存中运行恶意软件，而不会有任何的文件系统和注册表的修改。这让检测恶意软件变得更难，调查取证和应急响应也会变难。

趋势5：攻击者依赖匿名和分散的基础设施来混淆C2C
研究人员发现访问恶意软件和Tor网络中的C2C服务中使用桥接服务增多。例如Tor2web，是一个允许网络上的系统访问Tor网络中的所有事物的代理服务，在这个过程中，用户不需要在本地安装Tor客户端。攻击者使用Tor2web可以在不修改恶意软件代码的情况下使用Tor。

威胁情报：追踪攻击和漏洞

Cisco的安全团队Talos坚持进行漏洞研究和威胁趋势分析。漏洞研究尤其重要，因为他强调了攻击者和防守者之间的战斗。一般认为攻击者有优势，因为有更多的时间进行准备。漏洞研究让防守者能够在攻击者利用漏洞之前进行防护。通过找出0day漏洞以及与软件厂商协作，可以确保补丁开发和分发的时效性，减少0day的窗口期。

另一个趋势是攻击者从利用攻击发起攻击转变为利用垃圾邮件。在研究中，包含Flash和Java软件的威胁变少了，因为浏览器开发者拦截了相关的插件，因此，攻击者很难利用这些发起攻击。

Time to detection检测所需时间

Cisco定义TTD为攻击产生到检测到的窗口时间。图中，TTD的中位数变大表明攻击者引入了新的微信；TTD变小，表明防守者很快找出了已知的威胁。

图20反映了2016年11月到2017年4月之间发效率最高的前20个恶意软件家族。平均TTD为3.5小时，比较老的和流行的威胁的TTD时间小于3.5小时。一些漏洞虽然是已知的，但是也很难找出来，因为攻击者使用了不同的混淆技术。

Time-to-evolve趋势：Nemucod, Ramnit, Kryptik, and Fareit

一些恶意软件家族产生大量的DGA（domain generation algorithms），用来保持恶意软件的新鲜度和攻击用户系统的有效性。一些恶意软件家族产生大量的DGA域名，这些域名与给定的域名的不同的，是一种隐藏流量和避免被检测的有效方法。研究人员分析了web攻击的数据，包括web代理数据、云和终端高级恶意软件产品、和复杂的反恶意软件引擎。通过这些数据可以进行TTE的分析，TTE是攻击者改变恶意软件传输或者攻击策略所需要的时间。

从2016年11月到2017年5月，研究人员对4大著名的恶意软件家族进行了深入分析，分别是Nemucod, Ramnit, Kryptik和Fareit。分析了传递这些恶意软件的文件类型和文件内容类型的变化，对每种恶意软件家族，检查了web和邮件传递的方法。

图21是该时间段内四大恶意软件家族进行web攻击所使用的特别的攻击向量

图22是该时间段内四大恶意软件家族进行email攻击所使用的特别的攻击向量

TTE分析：Kryptik

Kryptik恶意软件是高级银行木马的合并，该木马的源码是开放的。TTE研究中，大约1/3的Kryptik恶意软件的web事件包括JavaScript，约25%的使用.php扩展。包含MIME类型的文件有word、octet流和HTML。大多数邮件事件使用的是.zip、.js和可执行文件。
图23的数据表明，恶意软件很难被检测到。到2017年4月底，Kryptik RAT TTD的中位数大约是平均TTD的2倍。

TTE 分析：Nemucod

Nemucod仍是2017年最常见的恶意软件家族，下载器被用来分发恶意软件和其他威胁，比如后门木马等。Nemucod使用了超过15种文件扩展和文件内容类型的组合，见图24。从图中可以看出，Nemucod主要依赖hashes赶在防守者的前面，而hash的时间都小于24小时。最近几个月里，恶意软件使用older hash比较多，这表明安全社区在成功检测到了Nemucod的新实例，所以恶意软件作者开始使用之前成功使用过的older hash。

DGA域名的活动期expanding 和overlap

The expanding life spans—and overlap—of DGA domains
许多恶意软件家族依赖DGA来快速产生伪随机的域名来对抗检测。DGA域名活动期比较短，但有时候也可以持续几个月。Anomali公司记录了一些与恶意软件家族相关的DGA域名的活动期。研究结果显示，大多数5年前观察到的DGA域名的活动期为3天左右。然后，DGA域名的平均活动期明显增长到大约40天。

出现这种情况的原因可能是攻击者为了尽快进化恶意软件来避免被拦截。恶意软件作者需要赶在进入拦截黑名单之前开发出新变种。恶意软件背后生存DGA域名的算法在创建域名时，有2个主要因素：域名的长度和可能使用的高等级域名。需要经常产生新的DGA域名和这些限制导致了恶意软件家族经常在生存和注册DGA域名时花费了太多的精力。最终可能导致与其他8-10个字母.com格式的域名产生碰撞。在这样饱和的空间里，DGA域名可能会以进入拦截黑名单而告终，因为竞争者可能之前已经使用了相似的DGA域名，而该域名已经被防守者发现并加入黑名单中了。

通过分析基础设施来了解统计工具

在分析的过程中，找出了潜在的恶意域名，IP地址，帮助防守方在攻击方侵入网络钱采取行动。域名和IP地址是与鱼叉式钓鱼攻击相关的。通过研究相关的域名，安全专家可以找出攻击者控制的其他的基础设施，比如域名和IP地址，然后把这样域名和IP地址加入到拦截黑名单中。

根据ThreatConnect的分析，该过程的步骤如下：
Bellingcat提供了来自于俄罗斯政府资助的黑客的鱼叉攻击的邮件头消息，ThreatConnect使用之前的Fancy Bear行为来判断Fancy Bear主导了对Bellingcat的攻击。
ThreatConnect用WHOIS注册信息找出鱼叉攻击消息的域名的注册时间和注册域名的email地址。
用被动DNS可以找出注册域名所用的IP地址。这就找出了与攻击者相关的IP地址。
再次使用被动DNS，研究人员找出了哪些IP地址与域名之间的关系，来排除多域名的IP地址。
用WHOIS和被动DNS，ThreatConnect找出了可能的攻击者的IP地址的子集，缩小了可能被用于APT攻击的IP地址的范围。
从IP地址的子集中，ThreatConnect用被动DNS找出同一时间同一IP地址的不同域名。
ThreatConnect还找出了注册原始域名的同一email地址注册的其他域名。当一个email地址注册了APT活动相关的域名时，其他用该email注册的域名也可能被用于APT攻击。
ThreatConnect用新发现的域名来进行随后的迭代分析。
ThreatConnect使用被动DNS来找出已知域名的子域名。这些信息可以帮助找出系统IP地址上的邮件服务器和其他子域名。

图28中使用的分析方法可以帮助找出与攻击活动和潜在的攻击活动相关的指数级的邮件地址，IP地址和域名。

图29 ATP组织使用的基础设施之间的关联

供应链攻击：一个被攻击的单元会影响整个企业网络

攻击者也想让攻击的操作变得更高效。RSA发现，供应链攻击对网络犯罪的攻击者来说，可以付出较小的努力得到最大的攻击效果。RSA检测到有攻击者向企业系统管理员常用的合法软件中插入木马来帮助分析Windows系统日志。

被攻击的软件可以在厂商的网站上下载，导致的结果就是，利用一个被攻击的单元——厂商的网站，通过软件和自动更新，能够把威胁传播到更多的企业网络中。RSA通过观察未找出的指向某URL的信标来追踪了被黑的软件，而该URL指向的IP地址会被解析到已知的恶意域名。通过记录域名中发现的恶意软件的源头，RSA团队发现有企业已经感染了该恶意软件，而且来源是系统管理软件。

RSA发现软件的下载页和升级页都被黑了。这就意味着之前下载了被黑版本软件的公司如果选择了自动更新，那么仍然处于威胁中。虽然网站被黑的时间只持续了2周，但是厂商并没有通知使用被黑软件的厂商。除非企业检测到被黑软件或者厂商触发了修复机制，否则威胁会一直存在。

如果企业想要拦截供应链威胁，检测过程很难。终端安全可能是最好的防护，实时监控可以帮助检测可疑的活动。

攻击者需要提供一个被黑的单元，然后就可以感染许多目标。这些攻击是静默的，给攻击者足够的时间来隐藏。

指向学术网络的基础设施Infrastructure harvesting targets academic networks

在Kingslayer的例子中，攻击者的方法包括隐藏在合法的硬件中，给软件使用者一种他们提供的产品很干净的印象。在Schoolbell僵尸网络的例子中，攻击者使用基础设施作为平台。终端安全和实时监控能够帮助组织避免供应链攻击的威胁，帮助检测RSA所谓的“infrastructure harvesting”。在这种攻击中，攻击者会尝试控制企业的基础设施，然后利用这些设施去进行大规模的利用活动。

因为该僵尸网络的目标是学术网络，因此Schoolbell僵尸网络是这种对抗策略的一个例子。在schoolbell僵尸网络的活动高峰，RSA发现被感染的僵尸网络个数大约有2000个。Schollbell僵尸网络和infrastructure harvesting方法给了这些组织一个警告，那就是他们不是网络攻击的目标，因为他们没有有价值的数据。在网络安全方面，学术组织可能采用的方法比同样大小的其他行业组织更松弛、更不安全。因此，学术组织可能更易成为一些攻击者的目标，这些攻击者可能只是想攻入网络而且不被检测到。而学术机构的网络正是这样的理想目标。

IoT僵尸网络：僵尸网络在增长，而且僵尸网络已经有了

2016年的一种攻击趋势是将互联的设备变成僵尸网络，9月开始各种TB级的攻击纷纷出现。10月的DynDNS攻击导致上百个主流网站中断服务，是最严重的IoT DDoS攻击。这些攻击正式把我们带入1TBps DDoS攻击时代。Radware分析了三大僵尸网络的活动，分别是Mirai，BrickerBot，和Hajime。

Mirai僵尸网络是DynDNS攻击的元凶，感染了成千上万的IoT设备，然后用这些设备发起大体量的DDoS攻击。研究人员估计有上百万被感染的IoT设备参与了这些攻击。

工作原理：
1、Mirai使用BusyBox软件和60多个设备厂商的默认用户名密码暴力攻击Telnet服务器来连接到受害设备。
2、每个受感染的设备都不会再加入其他的僵尸网络。
3、Mirai发送受害设备的IP和证书到集中的ScanListen服务。
4、新加入的受害设备会帮助感染新的僵尸，是一种自复制的模式。

BrickerBot

Permanent denial of service (PDoS)攻击是一种快速转移的僵尸攻击，用来破坏硬件设备使其不能正常工作。这种形式的网络攻击现在越来越流行了。PDoS攻击带来的危害特别大，会严重破坏系统以至于硬件必须重新安装或更换。通过利用安全漏洞和错误配置信息，PDOS攻击能够摧毁固件和基本系统功能。

BrickerBot可以：
黑掉设备。使用跟Mirai一样的暴力Telnet方法来黑掉设备。
破坏设备。一旦成功访问设备，BrickBot执行一系列的linux命令来破环存储。然后执行命令来破坏网络连接、设备性能、擦除设备上的所有文件。

图33 BrickerBot 执行的命令顺序

Hajime

安全情报研究人员通过严密监控发现Hajime非常有意思。因为虽然感染了成千上万的设备，但是并没有采取进一步的行动。Hajime的运营者声明说自己是白帽黑客。

工作原理：Hajime是一个灵活的、精心设计的IoT僵尸网络，可以成员僵尸进行自我更新和功能扩展。Hajime通过扫描互联网TCP23和TCP5358开放端口发现和感染新的受害设备。同样使用暴力攻击来登录和控制设备。

安全研究人员发现Hajime会清除感染了Mirai的设备，而BrickerBot会破坏感染了Mirai或Hajime的设备。

Ransom denial of service (RDoS)

2016年，约49%的公司收到至少一次网络勒索事件，其中39%是勒索软件，17%是勒索DoS。图35是2016年不同国家网络勒索攻击的分布。

Radware声称，Armada Collective对大多数RDoS攻击负责。勒索数额一般为10到200比特币（大约3600到70000美元）。当支付时间到了以后，攻击者会以超过100Gbps的速度带走目标的数据中心。Copycats目前使用Armada Collective的名字。使用的技巧有假的勒索信，希望以低成本来获取高收益。下面是一些检测虚假勒索信的技巧：

• 勒索要求。一般Armada Collective要求的赎金是20比特币，其他的组织勒索的数额也在20比特币上下。所以，比较低的勒索数额可能就是假的。
• 检查网络。真正的攻击者会在发送勒索信息前进行一波小的攻击。如果网络没有任何异常，勒索信和威胁可能就是假的。
• 寻找组织结构的漏洞。真正的攻击者是非常有组织的，假的黑客一般不会链接到一个网站，也不会有官方帐号。
• 考虑其他的攻击。真正的攻击者可能同时的目标是很多公司，确认其他行业组织是否收到类似的勒索。
  ### 恶意攻击经济学的变化
  网络攻击的频率、复杂性、体量在过去的几年里都急剧上升，这表明黑客经济已经到了拐点。Radware说目前的黑客社区从以下几方面得利。
• 对一系列的有用且低成本的资源的快速访问；
• 有价值的目标把越来越多的有价值的信息放到网络上；
• 随着互联网的发展，影子经济的成熟提供给恶意攻击者效率、安全和匿名性。
  
  ## 勒索医疗设备的情况出现了
  为了在互联的世界中变得更加高效，许多医疗设备也必须与IT和操作技术结合在一起。然而，设备和系统中已知的安全漏洞随着互操作的增多，将原本互相隔离的系统（漏洞）联系在一起，给组织带来更多的安全风险。最近的WannaCry勒索软件攻击正说明了这点。虽然不是第一起针对医疗行业的攻击，但是影响了两个美国医院的Windows系统的放射设备。TrapX安全研究人员说，针对医疗设备的勒索和其他恶意软件将持增长态势。这种攻击叫做MEDJACK，即医疗设备劫持medical device hijack。

医疗设备攻击的影响是很大的，因为一般中小型的医院有大概12000到15000台设备，其中10-12%是连接网络的。跟许多的物联网设备一样，医疗设备设计之处并没有考虑安全问题。这些设备运行的系统大多比较老，而且没有补丁升级，IT人员也很少对这些设备进行安全监控。即使安全团队发现了漏洞，他们也并不能做什么，因为只有厂商才有这些设备的访问权限。在一些情况下，安全团队必须手持补丁，因为重要设备一旦下线，带来的损失非常大。而设备厂商、政府机构等对这些设备作出一点修改可能需要很多年。而且对医疗设备的支持花费也是很大的。

许多的网络犯罪都想黑掉医疗设备，因为攻击者知道对一些救命的医疗设备发起的勒索行动收益一定是巨大的。许多攻击者可能不止于此，他们可以控制植入式医疗设备，可能会对病人造成不可估量的伤害。Trapx的研究人员分析了一起正对肿瘤系统发起的XP系统漏洞利用攻击。攻击者感染了3个机器，把其中一台变成僵尸网络的管理者，并在医院网络中进行传播。

另一个MEDJACK事件是关于MRI系统被黑。同样利用的是xp系统的漏洞，攻击者在系统中找到了患者的数据，然后意识到可以进一步控制医院的PACS系统。取证分析发现，攻击者已经在医院网络中活动超过10个月。

TrapX研究人员建议企业和其他组织采取下面的步骤来减少对医疗设备和其他重要的OT技术的勒索攻击的可能性和影响：

• 了解连接网络的医疗资产的种类和数量；
• 与供应商保持联系、确保他们履行了合同中的软件、设备和系统的更新和替换工作；
• 与高层讨论这些问题，让他们意识到安全的重要性和所面临的安全威胁；
• 用工具进行网络和自动化威胁检测和补救。

漏洞

地缘更新：WannaCry攻击

在5月中旬大规模的WannaCry勒索软件攻击之前，全球关于网络空间安全的讨论急剧上升，而且收到的威胁会越来越严重。Cisco从最近的全球攻击中发现了3个重要的问题：

• 1、政府应该向厂商及时报告软件漏洞，包括POC；
• 2、技术开发人员应该公开获取、处理和公布漏洞、补丁、解决方案和相关工作信息的机制；
• 3、企业领导应该把网络安全放在最重要的位置上。

漏洞升级：密钥泄露之后的攻击事件增多

之前的Cisco安全报告讨论的漏洞的泄露近几个月还存在，比如OpenSSL。研究发现了与密钥泄露相关的漏洞活动：Shadow Brockers组织公布的漏洞利用影响Windows系统，Operation Cloud Hopper运动包含针对管理服务提供商的钓鱼攻击，WikiLeaks Vault 7发布的美国情报文档描述了流行软件方案和操作系统如何被黑。漏洞可以在大众没有意识到的情况下存在和被利用。发布的漏洞允许更多的人去利用它，也给了防守者机会在寻找防御的方法。

图39中的Office漏洞发布后被就Dridex僵尸网络利用了，Apache Struct2漏洞也很快被利用了。

客户端漏洞增长趋势

2016年的Cisco半年安全报告提到服务端的漏洞正逐渐增长，攻击者利用服务端的软件漏洞来获取整个企业网络的访问权。2017年的前几个月，服务端的漏洞比2016年同期增长了36%左右；而客户端的漏洞大约增长了35%。服务端漏洞增长的一个原因是第三方软件漏洞需要手动打补丁。如果打补丁不及时，服务端漏洞的利用窗口将会很大。客户端漏洞也在增长，但是可以通过自动更新的方式来打补丁，这种方式可以缩小利用的窗口期。

利用工具活动明显减少

利用漏洞的工具利用活动明显减少，整体的利用工具活动也减少了。软件厂商尤其是web浏览器拦截了常用的威胁来源，如Adobe Flash和Java；攻击者开始使用简单的攻击策略，如勒索软件，DDoS，BEC等。

漏洞种类：缓冲区错误居首

在Common Weakness Enumeration (CWE) 威胁种类中，缓冲区错误仍然是网络犯罪分子最常用的漏洞利用。这是软件开发者经常犯的编码错误。为了预防该错误，开发者应该确保缓冲区的限制确保不被利用。

不要让DevOps技术暴露企业

2017年1月，攻击者开始加密公开的MongoDB实例并勒索赎金来换取解密密钥和软件。攻击者随后把目标扩大到其他的数据库，如CouchDB和Elasticsearch。由于没有进行合理的应用或者为了合法用户访问方便故意开放，DevOps服务经常是暴露的。Rapid7把对这些数据库的攻击分类为DevOps勒索软件攻击。公司使用的技术包括Docker，MySQL，MariaDB和其他流行的DevOps组件。

CouchDB

调查中，75%的CouchDB服务器是open的，即连接到互联网且不需要验证。只有不到25%的服务器需要验证。2-3%的服务器好像被勒索了。约2%左右的CouchDB服务器有PII，PII包含医疗诊所信息、信用卡号、个人通讯录等。

Elasticsearch

同样的，75%的Elasticsearch服务器是open的，而20%左右的服务器好像被勒索了。好消息是含有PII信息的服务器比例比较低。

MongoDB

虽然1月的勒索攻击是针对MongoDB服务器的，使用MongoDB服务器的个人和企业组织需要增强他们的安全实践。几乎100%的MongoDB是open的，好消息是这些服务器几乎不含有敏感信息。其中很大比例的服务器是新版本的，可能最近没有更新或打补丁。具体见图45。

图46是Rapid7在研究中发现的MongoDB服务器的数量库大小分布图。大多数数据库表的数量小于10，应该是实验用的服务器。大于20个表的服务器应该是真正的生产系统。

Docker

Docker是一种业务流程框架，其运营者对安全相当重视。然而，仍然有超过1000个Docker实例是open的。大多数发现的Docker实例分布在美国和中国。大多数的Docker实例好像是废弃的测试系统。但是1000个实例中的245个的内存至少是4G，应该是运行的生产系统。

Rapid7发现，199个open Docker实例中，至少3个活动容器在运行（图49）。企业组织使用这些不安全的生产系统是冒着极大风险的。攻击者可以创建互联网到任一个系统的shell连接，并控制他们。

使用这些DevOps技术的公共互联网实例的组织需要按照下面的步骤来确保不处于威胁中。安全团队应该：

• 开发安全应用DevOps技术的严格标准；
• 维护公司拥有的公共基础设施的活性；
• 保持DevOps技术的更新和补丁分发；
• 执行漏洞扫描操作。

企业组织对已知Memcached服务器漏洞更新的速度不够快

攻击者在寻找暴露在互联网上的不安全的数据库，他们可以进行攻击、数据窃取、勒索等操作。自1月的MongoDB数据库勒索攻击之后，勒索攻击变得越来越流行了。企业组织使用Memcached来改善web服务和访问的速度和性能。调查中，我们发现了3个远程代码执行漏洞，其中一个是服务端的认证机制，意味着即使开启了服务端的认证仍然可以被利用。在报告了这3个漏洞的几个月后，我们在互联网上扫描来检查补丁分发的状态。即使厂商和Linux都很快发布了更新，仍然有79%大约11万的Memcached服务器仍然存在远程代码执行漏洞攻击的风险。

影子经济中攻击互联网上的数据库和其他设施的趋势让补丁分发变得更加急迫。及时加入了认证，DevOps服务仍然存在风险。

只有约22%的服务器开启了认证，事实上所有需要认证的服务器也有被攻击的风险。我们研究中取样的服务器分部在全球，主要是在美国和中国。

黑客利用云技术Malicious hackers head to the cloud to shorten the path to top targets

云是黑客攻击的边界，黑客也在尝试对云进行攻击。因为云系统对许多企业组织来说是具有重要意义的。黑客意识到可以破环云系统来渗透连接的系统。2016年底，Cisco发现黑客对云的攻击活动明显增多了，而且技术不断熟练。2017年1月，研究人员发现黑客在晚上寻找有效的企业身份。利用网络上被黑的帐号，黑客使用暴力攻击来创建一系列验证过的企业用户证书（用户名和密码）。黑客使用20个可疑的IP地址上的服务器来尝试登录多个公司的云应用。2016年12月到2017年2月，研究人员用行为分析和其他工具分析了上千个客户公司的云环境。发现了可能登录的模式，黑客用20个IP随机循环登录来避免被检测到。

OAuth带来的风险

在Cisco2017 Annual Cybersecurity Report中，研究人员揭示了第三方云应用引入企业带来的风险。一旦通过OAuth认证，这些应用接触公司的基础设施，与企业云和SaaS平台自由通信。如图52所示， 每个企业组织的云应用的数量自2014年依赖急剧增长。每个企业平均有超过1000个独立的应用和超过20000次的安装。

最近针对Gmail用户和尝试滥用OAuth基础设施的钓鱼攻击强调了OAuth的安全风险。攻击者尝试控制用户的email账户，并在通讯录中传播钓鱼蠕虫。Google报告称约0.1%（10亿）用户收到这项攻击的影响。根据该数字，Cisco估计超过30万公司被该蠕虫感染。

云是一个被忽视的角落：单个特权云用户风险巨大

迄今为止，一些大的破坏最初都是某个单独的特权用户账户被黑或误用。黑客一旦获取了特权账户权限，就有了进入网络内部的钥匙，可以进一步窃取数据并造成更大的伤害。然而，许多组织并没有注意到该风险为了更好地评估这个安全问题的范围，Cisco威胁研究人员检查了495个公司组织的4410个特权用户账户，发现每个云平台上有6%的终端用户有特权用户账户。

研究发现，82%的特权用户每个月只从1-2个IP地址登录。对其他非正常模型的活动应该进行调查。60%的特权用户从来没有登出操作，这让未授权的用户更容易访问。用户应该每天登录来进行管理活动，工作完成后应该登出。

云安全的共享责任

公司在扩展云应用时，需要了解确保云安全中的角色。云服务提供商负责所出售技术的物理、法律、操作和基础设施的安全。企业负责底层云服务的使用安全。在共享的环境中应用同样的最佳实践可以最大限度地防止云系统的非授权访问。

未管理的基础设施和终端使企业处于威胁中

现在的动态网络通过引入新的安全威胁、减少可见性来增大攻击面。云和影子IT设备、应用是造成该问题的罪魁祸首。网络和网络时代的终端、资产管理方案能够创建未知的和未管理的安全gap。许多公司低估了企业网络、终端和云基础设施的盲点的风险。根据Lumeta的研究，不可见性可导致20-40%的网络和终端基础设施变得不知道或者未管理。这个问题纵向地影响政府、医疗行业、经济服务和科技组织。黑客可以很容易地黑掉未管理的网络基础设施和终端，然后攻击网络内的其他特定目标。这些未管理的设备可以用来被用来过滤数据，发送未授权的Tor流量，可以变成僵尸网络的一部分。即使一个简单的路由器，网络防火墙，或者分片误配置都能给攻击者机会渗透基础设施，并获取敏感数据的访问权。

为了获得可见性，组织需要访问实时的、内容推动的安全情报。没有可以实时监控和泄露检测的安全方案，攻击者能够成功地访问网络且不被检测到。组织还应该检查他们的分割策略，应用可以检测效果的鲁棒的工具。组织必须列出连接到网络的设备和系统的清单，如果安全团队没有最新的管理设备清单，那么可能会漏掉20%的连接到网络的设备。这样的清单应该定期和自动地更新，因为企业网络、终端、云基础设施是经常变化的，而且安全职员独自不能有效地进行监控这种变化。

防守者的安全挑战和机会

安全能力基准研究Security Capabilities Benchmark Study: Focus on verticals

虽然每个行业所面临的安全挑战不同，每个行业的安全成熟度也不同，但是也有一些共同的考虑。每个行业的安全专家都意识到不断成熟的威胁，而且需要比攻击者提前一步。在纵向上，IT和OT的结合非常重要，而且要确保结合的系统是受保护的。最近的WannaCry勒索软件攻击引起欧洲的Renault-Nissan发电厂宕机，这是一个互联的系统被攻击影响的例子。如果连接不安全，非目标的勒索软件都可以影响OT系统。

以前，这些技术和相应的团队是分开工作的，OT职员管理机器和工厂，IT管理企业商业应用。如今，许多OT传感器和系统已经归属商业端。随着互联的系统来到OT的世界，IT和OT不能再相互隔离了。IT和OT可以共享数据来帮助改善安全状况和产品质量，可以一起应对网络安全威胁。为了达到这样的目的，他们必须开发深度防御的能力，而不互联的设备不在考虑范围中。

公司规模与安全方法Company size affects approach to security

攻击者破坏网络、窃取信息，与大企业相比，中小型企业（small and medium-sized businesses，SMBs）抵御这些风险的能力有限。如果公共破坏伤害了一个品牌，引起客户转向他的竞争者，此时，大公司可以更好地预测这种影响。SMB应该确保有减少威胁和破坏带来的影响的安全机制和安全工具。研究中，与大公司相比，SMBs在抵御攻击方面有明显的缺陷。SMB天然地会想利用更少的资源和有限的支出来确保企业的安全，所以会把某些特定的威胁或功能看做高威胁的。29%的SMB认为勒索软件是最大的威胁，而员工数超过1万的企业只有21%这么认为。

因为预算和支出比较少，SMB一定程度上不太会有重要的安全防御措施，比如34%的SMB使用邮件安全工具，而45%的大公司使用邮件安全工具。

与小公司相比，大公司更可能有正规的书面的安全策略（66% vs 59%），而且会要求厂商有ISO 27018认证（36% vs 30%）。

寻求安全改善的SMB可以关注安全策略和步骤，采纳常用的威胁防御来减少攻击带来的负面影响。与外部安全服务协同可以企业带来有效的正规的安全策略来开发最佳实践。为了使用适合企业需求和预算的安全基础设施，安全团队需要与厂商写作来提供安全解决方案。方案应该把安全环境简化为可管理的有效级别。同样地，越来越多的组织采用NIST网络空间安全框架来建立企业安全防线。不管企业规模如何，一个总体的安全方案可以提供更有效的安全保护，应对发展的威胁。

用服务来弥补知识和人才缺口Using services to bridge knowledge and talent gaps

在安全部门内部，关于哪种防御方法更优的讨论一直有，最佳的解决方案还是集成的架构。安全团队面临的另一个影响安全抉择的挑战就是：缺少安全专家。随着威胁持续升级和技术选择增多，企业应该增加对安全服务的依赖来弥补人才的缺口。寻找合理的人才也影响着安全团队，Security Capability Benchmark Study研究发现在许多行业中，人才缺乏是采纳高级安全流程和技术的主要障碍。事实上，人才缺乏是一个全球问题。外部的服务可以弥补这种人才上的缺口。除了人才，安全知识是防护框架中常被忽略的因素。长期安全专家的专长是提供产品不能提供的分析等功能。

Alert fatigue是内部安全团队一直遇到的问题，许多安全人员看到的警告远超过自己所能进行调查的数量，这就会导致一些潜在的严重安全威胁未被修复。当有一些低级的警告时，安全人员可以利用技能进行自动化处理。当对低等级的警告自动化处理时，企业就可以花更多时间在对企业安全影响更大的、更优先的关注点上了。引起Alert fatigue的原因有很多，比如孤立的系统可能会产生重复的警告，团队可能不能区分不同优先级的警告或假阳性的警告。可能是因为缺乏审计这样的安全工具，这就是外部的服务团队可以较少这种fatigue并提供给企业有差别的威胁分析和响应。缺乏产品知识可能会让企业购买的技术白白浪费掉，产品常常需要产品专家进行实施操作，注意不是安全专家。安全团队可能不懂如何将产品结合在一起来提供对威胁的整体视角。有经验的安全管理团队能帮助安全专家管理云安全方案、理解如何保护数据。云提供商可能不会使用诸如双因子认证这样的安全保护，专家能帮助企业研究SLA和合同来决定云提供商使用的防护方案。

外购服务和威胁警告数据

在检查不同国家对外购服务的使用时，一些特定国家的SMB表明有很大可能性使用了外购服务而不是企业自己的服务。比如，在澳大利亚，65%的SMB使用外购的应急响应服务，只有41%使用企业自己的服务。

在对告警和修复的研究中发现，印度、巴西、和美国的SMB占的比例比较高，而在告警修复方面，中国、俄罗斯、英国的比例比较高。

IoT安全威胁

Cisco认为IoT有三部分组成，分别是IT（Information technology）、OT（operational technology）和CT（consumer technology）。工业物联网（IIoT）是指连接的设备在工业控制网络中，这是相对企业IT网络和数据中心的一个概念。IoT在企业合作和革新上有很大发展空间，同样企业和用户面临的安全威胁也很多。

不可见性是一个问题，大多数的防护者并没有意识到IoT设备是联网的。IoT设备包括从摄像头到温度感应器等等，而这些设备并没有考虑太多的安全性。许多设备的安全性远远落后于桌面安全性，漏洞的修复需要几个月甚至几年的时间。除了这些，还有以下特征：

• 很少或者没有CVE报告和更新；
• 在特定的架构上运行；
• 有一些没有打补丁或者过期的应用是有漏洞的，比如Windows XP；
• 很少打补丁。

虽然IOT设备不能很容易地访问，甚至拥有者也不能，当系统被黑后，几乎不可能修复。这些设备可以作为攻击者的基础。IOT设备的一个安全问题是防护者可能不能理解来自设备的安全警告的本质。除此之外，也不清楚组织内谁应该负责解决IOT安全问题。防护者需要关注潜在的IOT的漏洞，因为攻击者想要利用这些设备来发起勒索攻击、窃取隐私信息等。IOT设备的漏洞是属于攻击者随时可以利用的。

黑掉大规模的物联网设备可能会严重影响商业、政府甚至网络的运行。利用IOT设备发起的DDOS攻击已经产生了，IOT僵尸网络也逐渐增多，说明攻击者已经盯上IOT了。

为了应对IOT的安全挑战，攻击面正在快速增长，而且变得更加难以监控和管理。防护者需要：

• 保持以前签名的活性；
• 对IOT设备进行IPS防护；
• 严密监控网络流量；
• 追踪IOT设备如何接触网络并与其他设备互联；
• 及时打补丁；
• 与有产品安全基线和发布安全建议的厂商一起协作；

安全能力基准研究：特定行业Security Capabilities Benchmark Study: Focus on select verticals

Service providers服务提供商

Key industry concerns主要的行业考虑

服务提供市场是一个不同的行业，包括通信、云和web基础设施、媒体、提供SaaS模型应用的商业等。除了这些以外，服务提供商出售管理安全服务：调查中71%的服务提供商对终端客户提供管理安全服务。服务提供商有金字塔式的挑战，比如保护IT和生产设施以及客户的数据。59%的服务提供商安全专家说他们优先确保数据中心或核心生产网络的安全。许多服务提供商的主要挑战是理解如何将安全工具和过程结合在一起，获取最大效率，并且减少所拥有的服务和工具的扩展。服务提供商的经济现实是除非提供管理服务，否则安全不但不赚钱还花钱，因此需要精简。但是竞争和威胁形态的压力增加了对安全的关注。

服务提供商的规模创造新的挑战

在每个行业，安全厂商和攻击的增值是个问题，因为解决方案是不集成的，也不提供供应商面对的威胁的执行层面的视觉。在服务提供商来看，这个问题因为市场规模的问题被放大了。2/3的服务提供商的安全专家说他们依靠6个以上的厂商，38%的安全专家说他们依赖超过10个厂商。当问到正在使用的产品，70%的安全专家说他们使用至少6种安全产品，1/2使用超过10种安全产品。

Breaches can increase customer churn破坏可以增加销量

因为破坏，57%的服务提供商说他们解决过公共监督的问题。在遭受破坏的企业中，约一半说破坏帮助他们改善安全状况。服务提供商的安全专家看起来能很快从破坏中学习。去年，有44%的服务提供商报告因为攻击受到损失，30%说因为攻击失去了客户或商业机会。服务提供商说操作、名声和客户保有量是公共安全破坏带来的商业破坏。在一个大的竞争环境中，服务提供商从安全破坏中失去了很多。客户有很多的选择，可以很快选择其他的可以保护他们数据的提供商。

High adoption of standards标准采用量高

服务提供商在使用标准方面高于其他行业，这可能是他们管理商业范围能力的体现。约2/3的服务提供商说他们有正规的安全战略和标准的信息安全策略实践。除了这些，基于所有的服务提供商都认为安全流程和步骤在他们的企业中是明确的，而是理解清楚。

Public sector公共部门

Key industry concerns主要的行业考虑

因为不同的限制，公共组织对安全威胁的反应不是很积极。有限的预算，很难吸引人才，缺乏对威胁的可见性都影响着公共组织应对网络攻击的能力。但是，公共部门由于规则的限制，比私有单元更加关注安全威胁管理。比如，美国联邦机构必须遵从FISMA（Federal Information Security Management Act）来保护重要信息系统的机密性和完整性。在州和本地也有同样的安全要求。公共部门组织也在努力管理云迁徙的过程，这也是规定所要求的。在联邦级，Federal Risk and Authorization Management Program (FedRAMP)提供了使用云产品和服务的标准，州政府和本地争睹也需要存储政府数据的云提供商有相关认证。

管理云上数据
对公共部门组织来说，迁徙到云的过程有很多的好处也有很多的挑战，都需要持续的防护。1/3的公共部门组织说目标攻击、APT攻击、内部渗露是高级的安全威胁。除了这些，对攻击防御来说，公有云存储和云基础设施也是比较有挑战的。云存储提供一系列不同的工具来保护数据，这迫使安全团队重新思考如何配置工具和过程来确保数据的安全。

预算、人才缺乏影响威胁分析

预算、人才和监管的限制影响公共部门达到安全目标的方式。比如，组织在采用某些特定工具时会比较慢，因为需要有相关知识的员工来实施和分析结果。只有30%的公共部门安全专家称所在组织使用渗透测试和终端、网络取证工具。这些工具是深度安全防护策略的重要支撑，如果不使用这些工具，那么组织可能会重复性地遭遇网络破坏事件。由于缺乏安全专家，公共部门组织威胁调查方面的实力也一般，约40%的公共部门组织报告说每天有成千上万的告警信息，却只能调查65%左右。其中这些详细调查的威胁中，32%被识别为威胁，但是被识别出的威胁最终只有47%被修复了。未进行调查的威胁数量说明了对共享告警信息和提供分析的工具的需求。工具可以增加对告警信息的理解，然后员工决定哪些需要马上注意。除此之外，自动化可以帮助解析一些威胁，减少安全团队的负担。

为了检查大量的告警信息，Cisco的安全研究专家说道公共部门组织可能需要大量的安全员工，但是却没有相应的人员编制。55%的公共部门组织的安全员工数量小于30人，27%的公共部门组织相信他们缺乏有经验的员工，而且这是不能使用高级安全流程和技术的主要原因。这也说明自动化工具对于建立每天能够处理大量告警信息的安全防护系统是必要的。

破坏推动安全改善

公共部门中缺乏人力和安全工具对攻击破坏有一定的影响。53%的公共部门组织说过去他们处理过由于数据泄露引起的公共监督。我们应当假设攻击和破坏会发生在每个企业和组织身上。相关的问题是安全方向是由对攻击的反应推动的，而不是基于威胁的安全整体方法。因此，在响应即将面临的威胁上需要做的工作很多，而又没有足够的资源用于长期规划。

公共部门组织表示当破坏发生时，安全团队会从这些经验中学习：46%的受访者说破坏推动安全在一定范围内有了改善。然而，组织需要在技术上进行投资来走在安全破坏的前面，所以最好最小化风险、更有效地管理安全系统。

外购可以增加价值，但是不会增加企业实力

外购是公共部门获得更多的资源的一个重要策略。超过40%的受访者说他们在全部或部分外购像监控、审计这样的服务。在这些外购服务的组织中，大约一半引用洞察力、性价比、及时应急响应作为外购主要动因（图62）。

渗透和其他审计服务应该有外部组织来完成，但是有全部依赖外包服务的趋势，也就是说随着时间的推移，公共服务组织将不依赖自己的专家。公司内部的知识对于复杂攻击的防护是很重要的。自动化的解决方案的性价比和及时性比较好，但是应该在外部服务和专家之间有一个平衡来获取必要的洞察力和分析。

Retail零售业

主要的行业考虑

当零售业遇上安全破环，这个消息会变得备受瞩目。因为对零售业的攻击会暴露客户经济数据和其他个人信息，攻击收到了媒体的注意并且需要扩大对客户的服务范围。不像医疗和其他行业，针对零售业的攻击和数据泄露会影响品牌的声誉。客户可以选择不同的零售商，如果他们认为一个零售商不注重安全，他们可能就会选择其他的零售商。比较著名的针对主要零售商的攻击让安全专家变得慌乱起来，在这些攻击中恶意软件会窃取用户信用卡数据。但是，不清楚零售商是否在意这些消息。零售商巨头可能会认为如果把信用卡数据保存在防火墙之内，那么这些信息就是安全的。但是如果传递给银行和其他合作商的数据是未加密的，那么零售商网络内的保护就不那么重要的。

对安全的看法可能是过度自信的标志

零售商一定程度上会认为他们的安全保护比较充分，认为与媒体每天报道的数据泄露数量不符。比如，61%的零售商安全专家完全同意他们保持了全部的PCI规范，63%的零售商安全专家完全同意机密客户信息在企业内部的生命循环中是安全的。为了保护数据，零售商在客户用信用卡和借记卡支付时，应该全部采用芯片和PIN技术，尤其是在美国，因为美国这样技术的使用比较少。现在银行和信用卡提供商在确保购买芯片和PIN系统的交易的诈骗的补偿，零售商可能需要跟上支付技术的应用。

有目标的攻击和内部泄露是最大的忧虑

持续关注收入减少和品牌声誉破坏的问题，零售商的安全专家说有目标的攻击（38%）和内部泄露（32%）对组织来说是最主要的安全威胁（图64）。来源于内部的攻击逐渐受到关注，也就是说基于检查IOCs的安全是不够的。企业需要动机来检查攻击的标志。为了检查复杂的目标攻击，像APT和钓鱼攻击，零售商需要区分正常和异常的流量模式，这这种流量模式每天、每周、每月可能都不相同。

解决员工缺少的问题

零售商在建立自己的安全资源时，在人力和工具方面会觉得手头拮据。24%的零售商安全专家说缺乏有经验的安全人员是应用高级安全过程和技术的主要障碍。由于缺乏安全人员，零售商也只能解决一部分的安全告警信息，45%的零售商每天会收到上千条告警消息，而零售商只能对其中的53%进行调查。其中27%的告警消息不是误报，而只能修复45%的合理告警消息。

当人员成为问题时，自动化的安全解决方案就变得更重要了。自动化可以帮助弥补人员缺乏所带来的问题，比如安全解决方案考虑了根据隔离的位置对受感染的设备自动分类。这样的话，感染不能传播，设备也不再能访问机密信息。自动化还可以帮助解决分布式环境的问题，这是零售业独有的挑战，比如减少工作人员需要解决的安全告警的数量。

物理位置和数据在地理分布上是分散的，所以安全团队必须假设这些位置都遵守了安全最佳实践。没有与远程位置进行持续通信，商店运行的安全方案可能没有打补丁并且过期很多年了。零售商可能使用外购来弥补人员缺少的差距。大约一半的零售安全专家说他们至少外购一部分的咨询和建议服务，45%的零售安全专家说他们一定程度上外购审计服务。在有外购的零售企业中，有一半个把性价比、洞察力、及时的应急响应作为选择的主要理由。

公共破坏后零售业的收入和品牌声誉受到影响

零售业意识到安全破坏对商业有实际的影响。去年，零售安全专家说运营、财务和品牌剩余是安全破坏带来负面影响最大的几个领域。54%说他们处理过数据泄露带来的公共监督。32%的说去年他们因为攻击收入减少（图65）。大约1/4的说因为攻击，他们失去了客户和经营机会。破坏可能是对零售企业的安全态度带来改变的主要点。只有29%的安全专家说公共破坏很大程度上改善了他们的安全状况，将近90%的零售业安全专家说一定程度上改善了安全状况。

制造业Manufacturing

主要的行业考虑
80%的美国工厂办厂时间超过20年了，他们会逐渐增加对是否有升级的防护措施的考虑。随着制造商向过期的机器添加了联网的设备，安全专家认为攻击者可能会找到利用漏洞的机会。自动化专家的另一个安全担忧是，有漏洞的系统能导致工厂停工。制造商想要尽一切可能避免意外的停工，以及被黑的设备运转不正常呆滞的产品质量问题。制造商安全专家所面临的挑战有升级老旧系统来预防攻击者的入侵行为。好消息是制造商可以采取一些简单的步骤来改善安全，但是这个过程是一个缓慢的过程，不能一下子解决所有的安全威胁。在实践最佳安全实践方面，还有一定的空间。

对简化的系统的需求

在升级和结合制造系统时，制造商需要把安全方案分解复杂的小问题。46%的制造商安全专家说他们有6个以上的安全服务厂商，20%说有超过10个的安全服务厂商。当问到产品时，63%的安全专家说他们使用6种以上的安全产品，有30%的安全专家说他们使用超过10种安全产品。

大量的产品和厂商的制造设置给安全专家一个很困惑的画面。其中的复杂性说明需要IT和OT团队一起来缩小对安全威胁的集中范围，比如使用那些可以解决最急迫安全威胁的产品。制造商朝着实施包括对物理资产进行保护的深度防御策略，比如关闭未管理交换机的端口或者在网络中使用管理的交换机。

整合IT和IT团队的专家意见

安全团队的组合可能在保护制造业的资产上存在阻碍。随着有专门制造系统知识的专家的退休，这些专门的制造系统并不会被取代，这会造成具有专业知识的人才流失。将近60%的制造业企业说他们专职从事安全的人员数量小于30人。25%的制造业企业称缺乏有经验的员工是使用高级安全过程好技术的主要障碍。除了增加内部的安全人才培养外，制造商还需要IT和OT部门共享知识。一般来说，IT的参与会在工厂边缘结束，之后OT部门会接管。而IT和OT之间的冲突是常见的，比如IT打补丁的过程可能会让运行在专门网络上的设备停机。制造商正在努力整合IT和OT部门来更好地理解安全威胁，并建立管理更多新技术的最佳实践。

避免破坏可以改善竞争的状态
对于企业中使用的老旧系统，制造商意识到出于安全原因和提高自己的竞争优势，需要改善和升级系统。根据Global Center for Digital Business Transformation的报告，40%的制造商在未来5年内受到市场破坏的影响，一部分原因是他们没有赶上高级竞争者的步伐。安全在竞争优势上占主要地位，因为安全可以帮助维持品牌声誉，避免收入减少和客户流失。

根据Cisco的调查报告，公共安全破坏会对制造业品牌带来负面影响，40%的制造业企业说过去发生过数据泄露引起的公共监督，28%说去年他们由于攻击遭受过损失。然而这些破坏可能会对改善安全带来动机，95%的制造业安全专家说他们公共破坏事假一定程度上推动安全情况的改善。

公用事业Utilities

主要的行业忧虑
2016年俄罗斯黑客攻击乌克兰电厂事件强调了公用事业在保护重要基础设施所面临的挑战。公用事业不在闭环监控和数据采集网络中运行，同样的远程监控和控制发电厂、传输和分发设备的控制中心工作站同时连接到商业网络和IT系统。由于已知的空间安全弱点和攻击带来的物理伤害，这些监控和控制物理过程的OT系统正在变成攻击的目标。2017年6月，研究者发现这种攻击用新的复杂等级的工具发起攻击。攻击者也用了直接使用控制协议的专门模块。在之前的攻击中，控制工具的远程操作是手动进行的。有了这些扩展，攻击可以定时和自动进行。IT和OT系统的普遍连接性和复杂性以及OT固件和软件的安全弱点，增加了需要保护的攻击面。随着公用事业在数字化他们的业务，他们正在增加应用新的软件技术，包括没有人工干预的感知、监控、推动物理过程。物理设备中的软件和嵌入式系统的融合，信息物理融合，增加了安全专家所面临的挑战。

关于信息物理融合的安全考虑已经扩展到了供应链。Federal Energy Regulatory Commission (FERC)最近指导North American Energy Reliability Corporation (NERC)开发了重要基础设施保护的新标准，尤其是公共事业供应链方面。这些标准是为了解决工业控制系统中与主要电子系统操作相关的工业控制系统软件、硬件、计算和网络服务。

目标攻击和APT是主要忧虑
目标攻击是公用事业和能源安全专家的主要忧虑。安全专家说目标攻击（42%）和APT攻击（40%）是他们企业组织所面临的最主要的安全威胁。手机服务、用户行为习惯、公共云存储和客户数据是他们防御策略的主要挑战。APT攻击有可能在重要网络设施中长期检测不到，这增加了攻击者可以带来的危害。因为数据网络在融合，连接的设备不断增多，所以潜在的危害比以前更大。因为公共事业的高知名度，他们的安全团队明显地意识到市场上的威胁技术，但是为了有效地应对APT和目标攻击，他们需要将这些技术结合的合适的方法的指导。他们理解安全的原因（why）。他们需要从安全厂商哪里知道的是how，即如何将分层的方法应用到价值链安全中，价值链安全包含物理安全和网络安全标准在内的元素。

他们网络的复杂性等于说公用事业和能源企业组织必须评定这些威胁告警消息的影响，并决定哪些值得修复。将近一般的公用事业和能源安全专家说，每天会有上千个告警消息，而他们智能对其中63%的告警进行调查处理。在进行调查的告警消息中，41%是威胁消息，而只修复了其中威胁的63%。这看起来只对一部分的威胁进行了调查，公共事业和能源行业在所有参与调研的行业中的告警修复率最高。而且，告警不等于威胁。安全专家可能把资源用在修复那些对网络安全有严重影响的威胁上。

严格的预算控制会影响对外购的影响
因为监管严格，公用事业和能源企业组织不能增加在安全方面的预算。增加资金需要各方的同意，这个过程耗时巨大。根据报告，这可能可以解释对外购安全的依赖。超过60%的公用事业安全专家说他们一定程度上外购服务建议和咨询建议。将近一半的公用事业专家说他们外购监控和威胁确保服务。在这些外购安全服务的公用事业组织中，超过一般的安全专家说性价比和洞察力是他们外购的主要原因。为了满足严格的监管控制的需求，公用事业可能要遵守一些安全策略和标准化步骤。大约2/3的公用事业安全专家说他们有正规的安全策略并遵循了诸如ISO 27001和NIST 800-53的标准化信息安全策略实践。

公共破坏会推动安全改善
当公共事业遭遇公共破坏，公众会认识到公用事业是重要基础设施的一部分，这种破坏和泄露会让重要服务处于威胁中。61%的公用事业组织报告说因为数据泄露，他们解决过工作监督的问题。好的方面是这种破坏会触发安全的改变，91%的安全专家说破坏会一定程度上推动安全改善。这就像把柠檬变成柠檬水，破坏（泄露）可以提供关于攻击者如何攻入网络的有用的洞察，向安全专家显示切入链，提供在那里安置安全控制的路线图。攻击能够影响公用事业的收入和客户的忠诚度。29%的安全专家说他们所在的公用事业单位去年因为攻击收入有损失，21%的说他们因为因为攻击失去了客户。因为许多顾客不会比较公用事业服务的购买，因为他们的区域可能只有一个供应商，客户的流失和收入的减少与其他竞争推动的行业相比并不明显。

攻击模拟和演习是常见的事

公用事业安全专家表明他们进行常规的模拟和演习来检测安全基础设施中的弱点。92%的安全专家说他们进行半年或年度的模拟来检测应急响应方案。在执行演习时，84%的组织说他们的安全伙伴也会参与。78%组织会至少每季度进行一次攻击模拟。45%安全专家说攻击模拟在很大程度上帮助改善安全状况。大量执行攻击模拟的组织的安全专家更多的使用自动化工具，自动化工具花费的时间和人力都更少。虽然公用事业面临一些最复杂的网络安全挑战，考虑到网络安全方法、实践和技术安全控制的应用，公用事业也是最成熟的。随着威胁的发展，重要基础设施提供商必须发展来找出、保护、检测、响应和从安全事件中恢复。

医疗行业Healthcare

主要的行业考虑

在医疗行业，关于安全的大多数决策是病人的安全推动的，而不是监管的需求和公司资产的保护。医疗组织的领导害怕针对记录关键任务的设备和危害病人生命安全的攻击。他们也担心设计用来监控在线流量和检测威胁的安全措施会减缓重要系统的数据流，破坏医疗专家诊断和治疗病人的能力。除了这些，医疗组织也认识到他们必须关注保护病人数据的安全系统。医疗组织把更多的设备互联，安全专家增加了对融合网络的安全考虑。过去，像图像归档收集系统、输液泵和监护设备这样的复杂医疗设备有厂商管理的数据网络，所以设备是与其他网络物理隔离的。现在，带宽增大了，医疗组织相信在一个网络里简化流数据是可行的，并且使用逻辑分片来分离不同的网络流量类型，比如医疗设备、管理和访客无线网络。但是如果分片不合理，攻击者访问重要数据和设备的风险就增大了。

目标攻击是医疗安全团队的担忧

勒索攻击已经对医疗组织带来了伤害。因为网络犯罪分子指导医疗服务提供者需要保护尽一切可能保护病人的安全，医疗行业成为越多网络犯罪的目标。在Cisco的研究中，37%的医疗组织说目标攻击是他们组织的高级安全威胁（图70）。目标网络攻击比诸如硬件丢失更加让人担忧，需要更加精准的方法来检测和解决威胁。

然而威胁总是比员工能够解决的要多，在很多行业都是如此。超过40%的医疗组织说他们每天会遇到上千个安全告警消息，然而只能调查其中的50%（图71）。在医疗安全团队调查的告警消息中，31%确实是威胁，但是只修复了48%。

根据Cisco安全专家的说法，被调查的告警消息远小于医疗安全团队负责人设想的，比如事实上只将威胁拦截在网络之外，leader会认为威胁已经解决了。这些组织只能够解决为数不多的告警消息，调查大量的告警消息会让安全和IT活动变慢，并影响其他商业功能。

管理的挑战：缺乏有经验的员工和安全解决方案的复杂性
许多医疗组织用一系列复杂的安全方案来应对安全挑战。60%的医疗组织说他们从6个以上的厂商的解决方案，29%的说使用10个以上厂商的解决方案。2/3的安全专家说他们使用6种以上的安全产品，41%的安全专家说他们使用超过10种安全产品。医疗安全专家使用的大量的厂商和产品可能会造成困惑、缺乏可见性以及到底什么设备在哪里的问题。

首席信息安全官（CISOs）和安全运维经理在安全工具上会有不同的看法。没有在安全管理的一线工作可能对网络中使用的工具没有很深入的理解。在管理安全方案的复杂网时对每天的威胁进行处理对医疗行业来说是个更大的挑战，因为缺乏有经验的人员。大约1/2的安全专家说他们的专职安全人员少于30个，21%的说他们认为缺乏有经验的人员是应用高级安全过程和技术的主要障碍。

流量分片的意义The value of segmenting traffic
允许特定的系统和设备使用不同的安全协议是医疗行业中额外的需求，这些需求也是关于病人安全的考虑。医疗设备是很贵的，而且会保存很多年，所以他们的软件和操作系统并不经常更新，因此要求设备可靠地运行也是额外的要求。安全专家说对医疗组织来说，隔离和对网络和重要设备之间的流量进行分离是更好的一个方法。另一种办法是组织应该改善他们的安全基础设施和网络分片来更好地处理需要补偿控制的例外。医疗组织平均有34个重要的安全管理例外，47%的例外有补偿控制。理想的情况是，医疗组织需要补偿控制的例外越少越好，因为这些例外在安全防御上会产生弱点。

运输业Transportation

重要的行业考虑

传统的运输业技术基础设施是基于封闭的专有系统。而运输业正在转向连接的网络，但是安全专家担心这个过渡的过程中会遭受攻击。但是因为增长的维护费用和现有系统的复杂性，转到连接IP的系统是一定会发生的。客户也需要新的安全和移动服务，这是现有的通信基础设施满足不了的。运输企业组织也想使用互联系统的便捷性，随着千禧一代加入他们的企业组织，这种需求会不断增长。

APT和互联设备是主要威胁
随着运输组织建立了复杂和互联的基础设施，并且看到增长的网络面带来的影响，不同的威胁就出来了。超过1/3的运输安全专家说APT威胁和BYOD、智能设备的使用是组织面临的主要安全威胁。59%的安全专家说云基础设施和运动设备是最具挑战的安全威胁（图72）。

为了满足信息访问的需求，运输业安全团队认为数据必须放在网络的边界，而且应该可以实时访问。控制对数据的访问和确保只对需要的人开放是安全实践者的关键考虑。他们也认为这个问题会立马变得棘手，他们必须要管理更多的更复杂的威胁。35%的运输业安全专家说他们每天会遇到上千个安全告警信息，只能调查其中的44%。而调查的告警信息中，只有19%是真实威胁，而只修复了大概33%的真实威胁。

缺乏安全人才可能会导致外购
有经验的安全人员可以帮助运输业应对安全挑战，但是这些组织是否能够吸引合适的人才是一个问题。超过一般的运输业安全从业人员说他们的专职安全人员小于30人。他们认识到缺乏安全知识的影响：29%的人认为缺乏有经验的人员是他们应用高级安全过程和技术的主要障碍。

随着安全运营能力变得更加复杂和有针对性，运输业组织吸引人才的可能性降低了。运输业当局需要能够招募、弥补和保留保护重要国家和本地基础设施所需要的高质量人才。没有足够的内部专家，许多运输业企业组织只能向外寻求帮助。大约一半的组织说他们外购一些甚至全部安全任务。外购的组织中，性价比（52%）和洞察力（44%）是主要原因。

标准化的信息安全实践，比如ISO 27001和NIST 800-53，可以帮助运输业组织遵循已经建立的安全基准。54%的运输业安全专家采用标准化的信息安全策略实践，2/3有正规的书面的安全策略（图73）。运输业组织已经意识到在组织中嵌入安全的价值，而不是简单的购买一个点的解决方案。75%的运输业组织拥有安全运营中心，14%的运输业组织说他们计划建立安全运营中心。90%的安全专家说他们的组织加入安全标准机构或行业组织，如PT-ISAC。

模拟攻击可以带来安全改善
与其他严格监管的行业类似，运输业是重要的基础设施，所以安全性至关重要。有80%的组织至少每季度进行一次模拟攻击。几乎一半的组织说模拟攻击的结果可以推动安全策略、步骤和技术的明显改进。公众数据泄露也可以带来改善。48%的运输安全专家说他们遇到过数据泄露引起的公共监督。虽然只有34%的受访者说泄露破坏在很大程度上改善了安全状况，但有83%说破坏一定程度上改善了他们的安全状况。破坏对行业持续性的影响。31%的安全专家说他们的组织去年因为攻击收入减少，平均收入损失9%。22%的安全专家说他们的组织因为攻击失去客户，27%的说他们因为攻击失去了一些商业机会。

金融业Finance

主要的行业考虑
金融业服务组织是网络犯罪的目标之一。客户金融数据和对账户用户名、密码的访问的价值，吸引网络犯罪分子对金融服务商业发起一系列的攻击。事实上，一些恶意软件作者设计了针对金融服务网络的特定攻击，比如窃取用户证书的恶意软件Dridex和Zeus木马。在这种环境下，金融服务业安全专家意识到他们的威胁防御应该能够有效防御来自复杂恶意软件发起的攻击。然而他们也知道他们被众多的安全厂商和产品所阻碍了，这些安全厂商和产品混淆了威胁而不是提供安全见解。

安全团队也面临把现有应用和新技术融合的艰巨任务，同时要确保没有安全问题出现。金融科技公司是金融服务企业组织的合作商，他们发现供给面在扩大，而且变得更加复杂。这些合作商如何对客户数据提供足够的保护呢？金融科技公司和外部企业面临什么样的严格监管需求？这些问题影响着该行业在未来几年中如何解决他们所面临的安全威胁。

金融业服务组织必须确保他们是符合监管要求和安全的。在许多严格监管的行业中，有一个趋势是任务满足监管要求就解决了所有安全问题。像网络分片这样的合规需求确实可以帮助保护数据，但是这只是阻止安全破坏和提供威胁分析的方案的一部分。

多厂商的环境增加了迷惑、不确定
金融业服务组织在多厂商环境下是正常的。57%的金融业服务组织说他们使用6个以上厂商的产品，29%的金融业服务组织说他们使用超过10个厂商的产品（图74）。2/3的金融业服务组织说他们使用6种以上的安全产品，33%使用超过10种安全产品。

Cisco的安全专家说在金融业，一个组织使用30个厂商的产品也是很常见的。为了快速和有效地响应新出现的威胁，这些组织应该关注与简化他们的安全架构：即用更少的工具，更多的集成。多种产品在同一环境下运行，从单个产品来说可能很有效，但是没有集成分析和关联安全信息，安全团队会忙于处理冲突的告警和报告。产品的增多也会影响安全专家调查威胁的方式。46%的金融业服务组织说他们每天会遇到上千个告警消息，只能对其中55%进行调查。调查的威胁中只有28%是真实的告警消息，而且只能修复其中的43%的真实告警。

太多的告警消息回归到来自多个厂商的产品没有集成的问题。应急相应团队可能不知道哪些告警是重复的，也不知道哪些告警的优先级低。产品不集成会限制安全团队关联和分析威胁的能力。

数字业务可能推动改善
随着金融服务组织持续与金融科技公司合作，他们会开发新的战略来改善安全状况，比如对数据安全提出责任划分。近一半的金融服务组织说数字业务在很大程度上影响安全，40%说金融科技、DevOps和双模式IT（bimodal IT）都很大程度上影响安全（图75）。

标准的应用应该加速
如果金融服务组织在数字世界中安全地满足了客户需求，他们需要加速新策略和过程的应用。到目前为止，63%的金融组织有书面的正规安全战略。48%的组织应用了像ISO 270001和NIST 8000-53这样的标准化的信息安全策略实践。金融业服务属于保守行业，安全和IT leader在考虑新标准和与目前安全战略的适配型上往往很慢。另一个金融业服务组织可以改善的方面是：要求厂商坚持建立的商业最佳实践。比如，37%的组织说他们与有ISO 27001认证的厂商合作。

Cisco安全专家认为，一个组织的安全成熟度可能决定了对厂商要求的严格度：与小公司相比，大规模的金融业服务组织可能会更严格的审核供应商。

结论

Cisco发布年度安全报告和半年安全报告的目的是告知他们支持的安全团队和企业已知的和正在出现的威胁和漏洞，告知他们如何让组织更加安全。内容的多样性反映了目前威胁场景的复杂性。这个研究也告诉我们防护者不仅取得一定成绩，也对威胁创造者如何以及在哪里运作有更好的理解。我们希望随着IOT的发展，防护者也可以继续保持这种优势。更加危险和更具破坏性的新的攻击类型正在发展，攻击者设计出影响巨大的、组织精密的攻击来阻碍企业的正常运行。因为攻击者知道企业的应急方案不能从破坏中重建所有的IT和OT，所以攻击者把企业的这种弱点作为他的优势。
这也说明了组织把网络安全作为优先战略的重要性。他们必须在安全工具上大量投资，这些安全工具应该能够帮助安全团队管理告警消息、对动态网络进行管理和获取可见性、快速对威胁进行检测和响应。必须花时间和资源来确保随时了解他们的IT环境和IT环境内应用是否正确和安全、以及是否更新。同时，安全环境需要去扩展关于如何创建一个开放的生态系统的思考和对话。这个开放的生态系统允许客户实施对组织最优的和最大限度利用投资的安全方案。在生态系统中，所有的安全方案能够互相通信，互相协作来保护用户和企业。防护者需要做的就是应对潜在威胁的挑战，这些威胁可能会破坏IOT网络，对运作在其之上的组织带来毁灭性的影响。

安全主管：安全越来越重要了

Cisco的Security Capabilities Benchmark Study发现安全在许多组织内的优先级都比较高。安全专家也相信执行团队会把安全放在重要组织目标计划中。但是，2016年强烈同意行政领导考虑较高的安全的优先级的安全专家数量滑落到59%，2014年数量为63%，2015年数量为61%。这种信心的减少可能被误置了，然而首席信息安全官可能没有意识到高级管理团队和董事会不仅把网络安全作为一个高优先级，而且希望听到更多关于安全问题的消息。

根据National Association of Corporate Directors(NACD)的2016–2017 Public Company Governance Survey，1/4的董事会成员不满意管理团队关于网络安全的报告。报告中他们获取的信息没有考虑有效的基准，对问题不透明，很难理解。在同样的报告中，只有14%的被访者认为他们董事会关于网络安全威胁有比较高水平的理解。SAINT公司的安全专家说，首席信息安全官有机会帮助董事会成员弥补安全知识的差距，但是必须要：

• 坚持以一种对商业有意义和可操作的方式提供信息。关于组织的网络安全威胁和安全需求报告不应该太偏技术。尝试排列关于公司面临的传统威胁问题的讨论，并与商业优先级和期望的结果关联起来。强调网络安全如何能成为商业增长点和竞争力的标志。
• 在向管理层和董事会警告网络安全的重要性时，解释每个明确的安全条目对组织带来的影响，安全团队采取的调查威胁的措施，以及恢复正常操作需要的时间。
• 寻找企业组织中包括非技术部门主管在内的其他主管的加入。通过与组织内首席信息官、首席技术官、首席审计执行官、首席风险官等主管的协作，首席信息安全官可以直接与高级管理层和董事会接触，这将为讨论网络安全战略和帮助组织建立综合的安全项目提供机会。
• 首席信息安全官经常尝试为安全主动权提供安全资金。但是他们可能没有意识到现在可能是与管理层讨论预算问题的最理想的时间。Society for Information Management (SIM)的2017 IT趋势研究报告说，网络安全是组织投资的第三大领域，而在2013年，排名还是14。

SIM调查的调查参与者认为在IT领域内应该增加投资的排名中，网络安全排第二，而且是第一次出现在最令人担心的信息科技列表中。