Key industries need
to improve security posture as information technology and operational technology
converge
Dubai, United
Arab Emirates, July 24, 2017 – The Cisco® (NASDAQ: CISCO) 2017 Midyear Cybersecurity Report (MCR) uncovers
the rapid evolution of threats and the increasing magnitude of attacks, and
forecasts potential “destruction of service” (DeOS) attacks. These could
eliminate organizations’ backups and safety nets, required to restore systems
and data after an attack. Also, with the advent of the Internet of Things (IoT),
key industries are bringing more operations online, increasing attack surfaces
and the potential scale and impact of these threats.
Recent cyber incidents
such as WannaCry and Nyetya show the rapid spread and wide impact of attacks that look
like traditional ransomware, but are much more destructive. These events
foreshadow what Cisco is calling destruction of service attacks, which can be far
more damaging, leaving businesses with no way to recover.
The Internet of
Things continues to offer new opportunities for cybercriminals, and its
security weaknesses, ripe for exploitation, will play a central role in
enabling these campaigns with escalating impact. Recent IoT botnet activity
already suggests that some attackers may be laying the foundation for a
wide-reaching, high-impact cyber-threat event that could potentially disrupt
the Internet itself.
“As recent incidents like WannaCry and Netya
illustrate, our adversaries are becoming more and more creative in how they
architect their attacks. While the majority of organizations took steps to
improve security following a breach, businesses across industries are in a
constant race against the attackers. Security effectiveness starts with closing
the obvious gaps and making security a business priority,”said Steve Martino, Vice President and Chief
Information Security Officer, Cisco.
Measuring
effectiveness of security practices in the face of these attacks is critical.
Cisco tracks progress in reducing “time to detection” (TTD), the window of time
between a compromise and the detection of a threat. Faster time to detection is
critical to constrain attackers’ operational space and minimize damage from
intrusions. Since November 2015, Cisco decreased its median time-to-detection
(TTD) from just over 39 hours to about 3.5 hours for the period from
November 2016 to May 2017. This figure is based on opt-in telemetry gathered
from Cisco security products deployed worldwide.
“Complexity continues
to hinder many organziations’ security efforts. It’s obvious that the years of
investing in point products that can’t integrate is creating huge opportunities
for attackers who can easily identify overlooked vulnerabilities or gaps in
security efforts. To effectively reduce Time to Detection and limit the impact
of an attack, the industry must move to a more integrated, architectural
approach that increases visibility and manageability, empowering security teams
to close gaps,” said Scott Manson, Cyber Security Leader for Middle East and
Turkey, Cisco.
Threat
Landscape: What’s Hot and What’s Not
Cisco security
researchers watched the evolution of malware during the first half of 2017 and
identified shifts in how adversaries are tailoring their delivery, obfuscation
and evasion techniques. Specifically, Cisco saw they increasingly require victims
to activate threats by clicking on links or opening files. They are developing fileless
malware that lives in memory and is harder to detect or investigate as it is
wiped out when a device restarts. Finally adversaries are relying on anonymized
and decentralized infrastructure, such as a Tor proxy service, to obscure command
and control activities.
While Cisco has seen a striking
decline in exploit kits, other traditional attacks are seeing a resurgence:
- Spam
volumes are significantly increasing, as adversaries turn to other
tried-and-true methods, like email, to distribute malware and generate
revenue. Cisco threat researchers anticipate that the volume of spam with
malicious attachments will continue to rise while the exploit kit
landscape remains in flux.
- Spyware
and adware, often dismissed by security professionals as more nuisance
than harm, are forms of malware that persist and bring risks to the
enterprise. Cisco research sampled 300 companies over a four-month period
and found that three prevalent spyware families infected 20 percent of the
sample. In a corporate environment, spyware can steal user and company
information, weaken the security posture of devices and increase malware
infections.
·
Evolutions in ransomware, such as the growth of
Ransomware-as-a-Service, make it easier for criminals, regardless of skill set,
to carry out these attacks. Ransomware has been grabbing headlines and
reportedly brought in more than $1 billion in 2016, but this may be
misdirecting some organizations, who face an even greater, underreported
threat. Business email compromise (BEC), a social engineering attack in which
an email is designed to trick organizations into transferring money to attackers,
is becoming highly lucrative. Between October 2013 and December 2016, $5.3
billion was stolen via BEC, according to the Internet Crime Complaint Center.
Unique
Industries Face Common Challenges
As criminals continue to increase the
sophistication and intensity of attacks, businesses across industries are
challenged to keep up with even foundational cybersecurity requirements. As
Information Technology and Operational Technology converge in the Internet of
Things, organizations struggle with visibility and complexity. As part of its
Security Capabilities Benchmark Study, Cisco surveyed close to 3,000 security leaders
across 13 countries and found that across industries, security teams are
increasingly overwhelmed by the volume of attacks. This leads many to become
more reactive in their protection efforts.
·
No more than two-thirds of organizations are investigating security
alerts. In certain industries (such as healthcare and transportation), this number
is closer to 50 percent.
·
Even in the most responsive industries (such as finance and
healthcare), businesses are mitigating less than 50 percent of attacks they
know are legitimate.
·
Breaches are a wake-up call. Across most industries, breaches
drove at least modest security improvements in at least 90 percent of
organizations. Some industries (such as transportation) are less responsive,
falling just above 80 percent.
Important findings per industry
include:
- Public Sector – Of threats investigated, 32
percent are identified as legitimate threats, but only 47 percent of those
legitimate threats are eventually remediated.
- Retail – Thirty-two percent said they’d
lost revenue due to attacks in the past year with about one-fourth losing
customers or business opportunities.
- Manufacturing – Forty percent of the
manufacturing security professionals said they do not have a formal
security strategy, nor do they follow standardized information security
policy practices such as ISO 27001 or NIST 800-53.
- Utilities – Security professionals said
targeted attacks (42 percent) and advanced persistent threats, or APTs (40
percent), were the most critical security risks to their organizations.
- Healthcare – Thirty-seven percent of the
healthcare organizations said that targeted attacks are high-security
risks to their organizations.
Cisco’s Advice for Organizations
To combat today’s increasingly sophisticated attackers, organizations must
take a proactive stance in their protection efforts. Cisco Security advises:
- Keeping infrastructure and applications up to
date, so that attackers can’t exploit publicly known weaknesses.
- Battle complexity through an integrated
defense. Limit siloed investments.
- Engage executive leadership early to ensure
complete understanding of risks, rewards and budgetary constraints.
- Establish clear metrics. Use them to validate
and improve security practices.
- Examine employee security training with role-based
training versus one-size-fits-all.
- Balance defense with an active response. Don’t “set
and forget” security controls or processes.
For the 2017 MCR, a diverse group of
10 security technology partners were invited to share data from which to jointly
draw threat landscape conclusions. Partners that contributed to the report
include Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, SAINT
Corporation, ThreatConnect and TrapX. Cisco’s security technology partner
ecosystem is a key component of the company’s vision to bring security that is
simple, open and automated to customers.
About the Report
The Cisco
2017 Midyear Cybersecurity Report examines the latest threat intelligence
gathered by Cisco Collective Security Intelligence. The report provides data-driven
industry insights and cybersecurity trends from the first half of the year,
along with actionable recommendations to improve security posture. It is based
on data from a vast footprint, amounting to a daily ingest of over 40 billion points of telemetry. Cisco
researchers translate intelligence into real-time protections for our products
and service offerings that are immediately delivered globally to Cisco
customers.
Supporting Resources
تقرير سيسكو نصف السنوي للأمن الإلكتروني 2017 يتوقع هجمات جديدة "لتدمير الخدمة" بالتزامن مع نمو حجم وأثر التهديدات
حاجة القطاعات الرئيسية
إلى تحسين الوضع الأمني في ظل التقارب بين تقنية المعلومات وتقنية العمليات
دبي،
الإمارات العربية المتحدة، 24 يوليو 2017 - يكشف تقرير سيسكو® نصف السنوي للأمن الإلكتروني
2017 (MCR) عن التطور السريع للتهديدات
والتزايد الملموس في نطاق الهجمات وأثرها، حيث يتوقع هجمات محتملة لتدمير الخدمة DeOS. يمكن لتلك الهجمات تقويض
النسخ الاحتياطية وشبكات الأمان لدى المؤسسات، وهي العناصر اللازمة لاسترجاع النظم
والبيانات في أعقاب التعرض للهجمات. كما أن انتشار إستخدام إنترنت الأشياء دفع العديد من القطاعات
الرئيسية إلى جلب مزيد من عملياتها إلى شبكة الإنترنت، مما زاد من المساحات
المتاحة للهجوم وعزّز قدرة المهاجمين على زيادة حجم وأثر تلك التهديدات.
فقد
أظهرت الهجمات الأمنية الأخيرة مثل WannaCry و Nyetya مدى سرعة انتشار الهجمات
وفداحة آثارها رغم أنها تبدو كهجمات الفدية التقليديه، إلا أنها أكثر تدميراً بكثير. وتمثل تلك الحوادث إنذاراً بما تسميه سيسكو
بهجمات تدمير الخدمة، والتي بوسعها التسبب بأضرار أوسع نطاقاً لتترك الشركات عاجزة
تماماً عن التعافي.
تواصل
تقنيات إنترنت الأشياء توفير مزيد من الفرص الجديدة للمجرمين الإلكترونيين، وستلعب
نقاط الضعف الأمني المتاحة للاستغلال من جانب المهاجمين دوراً محورياً في تمكين
تلك الحملات وتصعيد أثرها. كما تشير الأنشطة الأخيرة التي قامت بها أنظمة
الروبوتات عبر إنترنت الأشياء إلى أن بعض المهاجمين قد يكونون بصدد إرساء الأسس
لإطلاق تهديدات إلكترونية بعيدة المدى والتأثيرات، قد تسبب تعطيلاً في شبكة الإنترنت ذاتها.
في تعليقه على هذا الجانب قال ستيف مارتينو، نائب الرئيس والمدير الأول لأمن المعلومات لدى سيسكو: "كما تبين الهجمات الأخيرة مثل WannaCry و Netya، فإن خصومنا يصبحون أكثر إبداعاً وابتكاراً في كيفية تصميم هجماتهم مع مرور الوقت. وفيما تتخذ معظم المؤسسات خطوات لتحسين الأمن بعد التعرض لخرق أمني، فإن الشركات من مختلف
القطاعات تعيش سباقاً مستمراً ضد المهاجمين، حيث يصبح الأمن فعالاً فقط بعد سد كافة الثغرات الواضحة وجعله أولوية للشركة."
يشار إلى أن قياس فعالية الممارسات الأمنية في وجه تلك الهجمات
أمر بالغ الأهمية، وفي هذا الصدد، تعمل سيسكو على متابعة التقدم المحرز في تخفيض
الوقت اللازم للكشف TTD – أي الفترة الزمنية بين التعرض للهجمة
والكشف عن التهديد المترتب عليها. وتعدّ سرعة الكشف عن التهديدات عنصراً حيوياً في
احتواء مساحة نشاط المهاجمين وتقليل الأضرار المترتبة على الاختراقات. تمكنت سيسكو منذ نوفمبر 2015 من
تقليل متوسط الزمن اللازم للكشف عن الهجمات من 39 ساعة إلى حوالي
3 ساعات ونصف في الفترة بين نوفمبر 2016 و مايو 2017. ويرتكز هذا الرقم على بيانات
القياس عن بعد، والتي تم الحصول عليها بطريقة
إختيارية من مختلف منتجات سيسكو الأمنية المستخدمة حول العالم.
من جانبه قال سكوت مانسون، مدير الأمن الإلكتروني لدى سيسكو في الشرق الأوسط وتركيا: "لا يزال التعقيد من العوامل التي تعيق الجهود الأمنية للعديد من المؤسسات. فمن الجليّ أن سنوات من الاستثمار في المنتجات المتخصصة التي لا يمكنها التكامل معاً يتيح فرصاً هائلة للمهاجمين الذين يستطيعون بسهولة التعرّف إلى نقاط الضعف والثغرات في الجهود الأمنية. ولتقليل الوقت اللازم للكشف عن التهديدات والحدّ من الآثار المترتبة عليها، ينبغي على القطاع الانتقال إلى مقاربة أكثر تكاملاً وهيكلية لتعزيز إمكانات الرؤية والإدارة وتمكين فرق الأمن من سدّ الثغرات."
مشهد التهديدات: أساليب رائجة وأخرى تراجعت
راقب الباحثون الأمنيون لدى سيسكو
تطوّر البرمجيات الضارة خلال النصف الأول من العام 2017 وتعرّفوا إلى التغيرات
الحاصلة في أسلوب المهاجمين في تنفيذ الهجمات والتشويش والمراوغة وتجنّب الكشف. كما لاحظت
سيسكو بشكل خاص أن المهاجمين يطلبون من الضحايا بشكل
متزايد تفعيل
التهديدات عبر النقر على الروابط أو فتح الملفات، حيث أنهم يطورون برمجيات ضارة
خالية من الملفات، تبقى في ذاكرة الجهاز ويكون من الأصعب الكشف
عنها أو التحقق منها نظراً لأنها تُمسح عند إعادة تشغيل الجهاز. وأخيراً، يعتمد
المهاجمون على بنية تحتية لا مركزية بلا هوية معروفة، ومنها خدمات Tor الوسيطة التي تمكنهم من السيطرة بشكل
مخفي على
الأوامر والأنشطة دون التعرف إلى هويتهم.
وفيما لاحظت سيسكو انخفاضاً حاداً في برمجيات استغلال
الثغرات، تعود الهجمات التقليدية إلى الواجهة بشكل واضح:
·
فقد ارتفع حجم البريد الإغراقي
ارتفاعاً كبيراً فيما يتجه المهاجمون إلى الأساليب المجرّبة التي أثبتت نجاحها - كالبريد
الإلكتروني – لنشر البرمجيات الضارة وتحقيق الإيرادات. ويتوقع باحثو التهديدات لدى
سيسكو أن حجم رسائل البريد الإغراقي مع المرفقات الضارة سيواصل الارتفاع بينما تستمر أحوال برمجيات استغلال الثغرات في التغيير.
·
تعتبر برمجيات التجسس وبرمجيات
الإعلانات، والتي غالباً ما يتجاهلها العاملون في مجال الأمن على اعتبارها مصدر
إزعاج أكثر منها مصدر تهديد، أشكالاً من البرمجيات الضارة التي تبقى لفترات طويلة
وتسبب مخاطر للمؤسسات. وقد أجرت سيسكو أبحاثها على عينة من 300 شركة على مدى أربعة
أشهر، لتجد أن ثلاث عائلات من برامج التجسس السائدة أصابت 20 بالمائة من العيّنة.
أما في البيئة المؤسسية فيمكن لبرمجيات التجسس سرقة معلومات المستخدم والشركة
وإضعاف الموقف الأمني للأجهزة بالإضافة إلى زيادة احتمالات التعرض
للبرمجيات الضارة.
·
كما أن التطورات التي تشهدها
برمجيات طلب الفدية، ومنها نمو برمجيات الفدية كخدمة، تسهّل
على
المجرمين تنفيذ تلك الهجمات مهما كان مستوى مهاراتهم. ومن الجدير بالذكر أن
برمجيات طلب الفدية تصدرت عناوين الأخبار وأدت إلى خسائر تفوق مليار دولار أمريكي
عام 2016، إلا أن هذا الرقم قد يكون مضللاً لبعض المؤسسات التي ربما تواجه مخاطر
أكبر لم يتم الإبلاغ عنها بعد. وفي الوقت ذاته تزدهر هجمة سرقة
بريد الأعمال BEC، وهي هجمة تعتمد
على الهندسة الاجتماعية تصمم فيها رسائل البريد الإلكتروني بشكل يغري
المؤسسات لتحويل الأموال إلى المهاجمين، إذ أثمرت تلك الهجمات المربحة عن سرقة 5.3
مليار دولار في الفترة ما بين أكتوبر 2013 وديسمبر 2016، بحسب مركز شكاوى الجرائم
الإلكترونية.
القطاعات المختلفة تواجه تحديات
مشتركة
فيما يواصل المجرمون تعزيز
مستويات تعقيد وتكثيف هجماتهم، تواجه الشركات في جميع القطاعات تحديات لمواكبة حتى
المتطلبات الأساسية للأمن الإلكتروني. ففي الوقت الذي تتقارب فيه تقنية المعلومات
وتقنية العمليات من خلال إنترنت الأشياء، تجد المؤسسات صعوبة جمة في إمكانات
الرؤية وتقليل التعقيد. استطلعت سيسكو آراء ما يقارب 3000 خبير أمني في 13 دولة
ضمن دراستها التي تحمل عنوان "دراسة قياس الاداء للقدرات الأمنية" لتجد أن
فرق الأمن تجد صعوبة بالغة في مواجهة الحجم الهائل من الهجمات في مختلف القطاعات،
مما أدى إلى أن تقتصر جهود الحماية لدى الكثير منها على رد الفعل وحسب.
·
وحتى في أكثر القطاعات
استجابة (كالقطاع المالي والرعاية
الصحية)، تعمل الشركات على تخفيف أثر أقل من 50 بالمائة من الهجمات التي يعرفون
أنها صحيحة.
·
تشكل إنتهاكات الأمن تنبيهاً حقيقياً ودعوة للاستيقاظ. ففي معظم
القطاعات، يؤدي الخرق الأمني إلى تحسين طفيف على الأقل في 90 بالمائة من المؤسسات،
بينما تشهد بعض القطاعات (كالنقل) مستوى أقل من الاستجابة يتجاوز 80 بالمائة
بقليل.
ومن النتائج المهمة حسب
القطاع:
·
القطاع العام – من بين
التهديدات التي خضعت للتحقيق، تم التعرف على 32 تهديداً فعلياً ولكن في النهاية تم تصويب 47
بالمائة فقط من تلك التهديدات الفعلية.
·
التجزئة – قال اثنان
وثلاثون بالمائة أنهم خسروا إيرادات بسبب الهجمات خلال العام الماضي، بينما خسر
الرُبع عملاء او فرص أعمال.
·
التصنيع – قال أربعون
بالمائة من خبراء الأمن في قطاع التصنيع أنهم لا يمتلكون استراتيجية منهجية للأمن، ولا
يتبعون ممارسات قياسية قائمة على سياسة لأمن المعلومات مثل ISO 27001 أو NIST 800-53.
·
قطاع المرافق والخدمات – قال خبراء
الأمن أن الهجمات المركّزة (42 بالمائة) والتهديدات المتطورة المستمرة (40
بالمائة) كانت أكثر المخاطر الأمنية أثراً على مؤسساتهم.
·
الرعاية الصحية – قالت سبعة
وثلاثون بالمائة من مؤسسات الرعاية الصحية أن الهجمات المركزة شكلت خطراً أمنياً
كبيراً على مؤسساتهم.
نصيحة سيسكو للمؤسسات
لمواجهة المهاجمين المعاصرين
وإمكاناتهم المتطورة باستمرار، فإن على المؤسسات اتخاذ موقف استباقي في جهودها
للحماية ضد التهديدات، وتقدم سيسكو للأمن النصائح التالية في هذا السياق:
·
التحديث المستمر للبنية التحتية والتطبيقات بحيث لا
يستطيع المهاجمون استغلال نقاط الضعف المعروفة للعموم.
·
مواجهة التعقيد بالدفاعات المتكاملة، وتقليل
الاستثمارات في النظم والأجهزة المنعزلة.
·
إشراك القيادة التنفيذية في مرحلة مبكرة لضمان الفهم
الكامل للمخاطر ومردود الحماية والقيود المرتبطة بالميزانية.
·
وضع مقاييس واضحة واستخدامها
للتحقق من جدوى الممارسات الأمنية وتحسينها.
·
تعزيز فائدة التدريب الأمني
للموظفين من خلال التدريبات المصممة وفقاً لدور كل منهم بدلاً من التدريب الموحد
للجميع.
·
موازنة الدفاع مع الاستجابة
الفعالة، بحيث لا يتم إعداد الضوابط أو الإجراءات الأمنية دون استخدامها والرجوع إليها فعلياً.
من الجدير بالذكر أنه تمت دعوة مجموعة متنوعة من 10 شركاء لتقنيات الأمن من أجل تقرير سيسكو نصف السنوي
للأمن الإلكتروني 2017، وذلك لمشاركة البيانات التي تستمد منها استنتاجات تتعلق
بمشهد التهديدات. ومن بين الشركاء الذين ساهموا في التقرير أنومالي، فلاش بوينت،
لوميتا، كواليز، رادوير، رابيد7، آر إس إيه، وساينت كوربوريشن، ثريت كونكت
وتراب-اكس. وتعدّ منظومة سيسكو لشركاء تقنيات الأمن مكوّناً أساسياً لرؤية الشركة
الرامية إلى توفير الأمن للعملاء بأسلوب يتسم بالبساطة والانفتاح والأتمتة.
عن التقرير
يدرس
تقرير سيسكو نصف السنوي للأمن الإلكتروني 2017 أحدث البيانات الاستقصائية
للتهديدات، والتي تم جمعها من خلال دراسة سيسكو لاستقصاء الأمن الجمعي. يوفر
التقرير تصورات قائمة على البيانات ويستعرض توجهات الأمن الإلكتروني من النصف
الأول من العام، إلى جانب التوصيات القابلة للتطبيق والرامية إلى تحسين الوضع
الأمني. يقوم التقرير على بيانات تم الحصول عليها من نطاق ضخم، تصل إلى معدل يومي
يفوق 40 مليار نقطة من القياسات عن بعد، حيث يقوم باحثو سيسكو بترجمة تلك البيانات
الاستقصائية إلى جهود فعلية للحماية من خلال منتجاتنا وخدماتنا التي تتوفر على
الفور لعملاء سيسكو حول العالم.
مصادر إضافية