信息化觀察網(wǎng)

風(fēng)險(xiǎn)軟件平均停留時(shí)間可長達(dá) 869 天。

根據(jù) Infocyte 今天發(fā)布的一份報(bào)告指出，威脅的停留時(shí)間——即威脅被企業(yè)組織發(fā)現(xiàn)并成功刪除前在網(wǎng)絡(luò)中所花費(fèi)的時(shí)間——已經(jīng)成為中小型企業(yè) (SMB) 面臨的一個(gè)重要安全問題。

該報(bào)告分析了超過 339,000 個(gè)有關(guān)惡意活動(dòng)的帳戶和行為日志，調(diào)查對(duì)象則主要聚焦于擁有 99 至 5,000 名員工且年收入高達(dá) 10 億美元的公司。

調(diào)查結(jié)果顯示，勒索軟件攻擊的停留時(shí)間平均為 43 天。另一方面，所有其他持續(xù)性威脅（非勒索軟件）的平均停留時(shí)間則為 798 天，而風(fēng)險(xiǎn)軟件（包括不需要的應(yīng)用程序、網(wǎng)絡(luò)跟蹤器和廣告軟件）的平均停留時(shí)間更是高達(dá) 869 天。

根據(jù) Infocyte 公司聯(lián)合創(chuàng)始人兼首席產(chǎn)品官 Chris Gerritz 的說法，72% 的中小型企業(yè)網(wǎng)絡(luò)中存在風(fēng)險(xiǎn)軟件和不需要的應(yīng)用程序，而這些東西需要超過 90 天才能移除完畢。雖然它們通常只是一些風(fēng)險(xiǎn)較低的問題，但由此引發(fā)的更大的問題是，未能控制風(fēng)險(xiǎn)軟件的網(wǎng)絡(luò)通常無法在發(fā)現(xiàn)高優(yōu)先級(jí)威脅時(shí)做出及時(shí)地響應(yīng)。

調(diào)查發(fā)現(xiàn)，60% 的惡意軟件是由防病毒供應(yīng)商使用一般簽名機(jī)制識(shí)別的，而這些一般簽名機(jī)制根本無法說明問題所在，所以這也就解釋了為什么中小型企業(yè)始終無法了解高優(yōu)先級(jí)和低優(yōu)先級(jí)風(fēng)險(xiǎn)之間的差異。

Infocyte 的報(bào)告還解釋了為什么一些持續(xù)性威脅 (APT) 和風(fēng)險(xiǎn)軟件的停留時(shí)間可以高達(dá) 2 年之久。例如，存在于被檢查系統(tǒng)上的一些活動(dòng)性感染被配置為sinkholed的域名并且不構(gòu)成直接威脅。

也就是說，研究人員發(fā)現(xiàn)的一個(gè)感染家族可以追溯到十年前。雖然之后幾年，隨著一系列僵尸網(wǎng)絡(luò)運(yùn)營商被逮捕，這些感染家族并沒有構(gòu)成什么威脅，但是多年以后，當(dāng)研究人員發(fā)現(xiàn)這些惡意軟件仍然活躍在看似受保護(hù)的端點(diǎn)上還是不免令人心驚。

如果無法或沒有能力進(jìn)行持續(xù)性的監(jiān)控，Gerritz 建議中小型企業(yè)可以以每年至少一次的頻率引入第三方進(jìn)行 “侵害評(píng)估”，同時(shí)進(jìn)行漏洞評(píng)估和滲透測試。

Gerritz 表示，如果公司無法負(fù)擔(dān)得起持續(xù)性的威脅分析，他們至少應(yīng)該每年進(jìn)行一次這些測試，如此一來，安全專業(yè)人員就可以檢查那些長時(shí)間停留的活躍惡意軟件，這些惡意軟件很可能已在網(wǎng)絡(luò)中活躍了很多年。

451 Research 的高級(jí)分析師 Aaron Sherrill 表示，Infocyte 的研究揭示了大多數(shù)小公司缺乏標(biāo)準(zhǔn)安全控制的情況。

Sherrill 表示，他們可能沒有更新技術(shù)和簽名，而且還會(huì)經(jīng)常忽略警報(bào)和事件通知，或者說他們可能根本就沒有足夠的寬帶來完成所有的工作。在公司能夠負(fù)擔(dān)得起的情況下，侵害評(píng)估應(yīng)該是一年多次的事情。

很多時(shí)候，公司會(huì)把這些評(píng)估視為 “對(duì)框打勾” 的項(xiàng)目，而且經(jīng)常會(huì)忽視甚至忘記它們。但是要知道，這些威脅中的大多數(shù)都是十分復(fù)雜的，且設(shè)計(jì)得不易被安全人員和防病毒軟件覺察到。所以說，公司每天都無異于在冒險(xiǎn)。而他們真正需要做的就是持續(xù)地監(jiān)控他們的網(wǎng)絡(luò)。