目錄 總摘要 ...................................................................................... 03

主要發現 ................................................................................... 05

簡介 .......................................................................................... 07

攻擊者行為 ............................................................................... 09

弱點攻擊套件：有望減少，但無法全面淘汰 ............................09

防禦者的行為如何轉移攻擊者的焦點 .................................... 11

網路攻擊方式證明了網際網路的成熟 .....................................12

遍佈全球的網路封鎖活動 .......................................................13

間諜軟體惡名昭彰 .................................................................14

弱點攻擊套件活動影響全球垃圾郵件的可能性呈下降趨勢 .......18

惡意電子郵件：深入探討惡意軟體作者的檔案類型策略 ...........19

對勒索軟體充滿擔憂？業務電子郵件入侵可能是更嚴重的威脅 ...22

惡意軟體演進：6 個月的觀察結果 ..........................................23

Talos 威脅情報：追蹤攻擊與漏洞 ..........................................24

偵測用時：攻擊者和防禦者之間的拉鋸戰況加劇 .....................26

演進時間趨勢：Nemucod、Ramnit、Kryptik 與 Fareit ...........28

DGA 網域延長的存留期限與重複情形 ....................................33

分析基礎架構加深了對攻擊者工具的瞭解 ...............................34

供應鏈攻擊：只要一個向量遭到入侵，就可能對許多組織 造成影響 .............................................................................36

物聯網正要興起，但是物聯網殭屍網路早已成熟就緒 ..............39

在網路空間敲詐勒索：勒索式拒絕服務 (RDoS) ................... 41

不斷改變的惡意駭客經濟 ..................................................... 42

被勒索的醫療裝置：現在進行式 .............................................42

漏洞 .......................................................................................... 46

地緣更新：WannaCry 攻擊凸顯出積存有關可惡意探索 弱點知識的風險 ...................................................................46

弱點更新：揭露關鍵資訊後攻擊增加 .....................................47

別讓 DevOps 技術導致企業暴露在風險中 ...............................50

組織應變速度不夠快，無法修補已知的 Memcached 伺服器漏洞 ..........................................................................54

惡意駭客繞道雲端，縮短抵達頂層目標的路徑 ........................56

未受管理的基礎架構和端點使組織暴露在危險之中 .................59

防禦者的安全性挑戰和機會 ....................................................... 61

資安能力基準研究：聚焦垂直市場 .........................................61

公司規模大小會影響安全性策略 .............................................62

運用服務彌補知識及人才落差 ...............................................63

不同國家/地區的委外服務和威脅警示資料 ............................ 64

物聯網 (IoT) 資安風險：為未來及現在作好準備 ......................65

資安能力基準研究：聚焦特定垂直市場 ..................................66

服務供應商 ......................................................................... 66

公共部門 ............................................................................. 68

零售 .................................................................................... 70

製造業 ................................................................................ 72

公用程式 ............................................................................. 74

醫療保健 ............................................................................. 76

運輸 .................................................................................... 78

金融 .................................................................................... 80

結論 .......................................................................................... 83

資安主管：在「高層會議桌」上爭取一席之地正是時候 ...........84

關於思科 ................................................................................... 86

思科 2017 年中網路安全報告貢獻者 .....................................86

思科 2017 年中網路安全報告技術合作夥伴 ...........................88

思科 2017 年中網路安全報告

3 總摘要

總摘要近十年來，思科發布了數份全面性的網路安全報告，旨在讓支援的資安團隊與企業瞭解

網路威脅與弱點，並說明其可採取的步驟，以利提升安全性與網路復原力。在這些報告

中，我們致力於提醒防禦者，惡意人士使用的威脅手段與技術日益複雜，不斷危害使用

者、竊取資訊，並造成作業中斷。

根據此份報告的研究結果，威脅手段持續進化，我們必須進一步提

高警戒意識。全球的網路威脅環境正在急遽變化，惡意攻擊的手段

愈發複雜，我們的資安專家也投注更多心力，奮力打擊惡意活動。

與此同時，防禦者也不斷精進偵測威脅和抵禦攻擊的能力，並協助

使用者和組織更快地避免遭受攻擊，或者從中復原。然而，我們看

到下列兩項動態因素破壞了這得來不易的成功，阻礙了進一步的發

展，進而讓網路推進至全新網路風險與威脅的新時代：

資安威脅入侵的影響持續攀升

對於大部分的威脅者而言，其主要目標仍在於賺取收入。不過， 有些惡意人士現在有能力鎖定系統並摧毀資料，做為其攻擊過程 的一部分，且此行為的發生頻率日益增高。如思科 2017 年中網 路安全報告第 7 頁中所述，我們的研究人員認為這種更加惡意

的活動可能是種預兆，表示不久後將出現深具破壞力的全新攻擊 類型：摧毀服務 (DeOS)。

在過去一年內，我們也觀察到惡意人士在 DDoS 攻擊中採用物聯網 (IoT) 裝置。物聯網空間中的殭屍網路活動，表示某些操作者可能

正在部署影響範圍廣、攻擊力強的基礎作業，意圖中斷網際網路。

技術的發展速度與擴充能力

我們的威脅研究人員多年來不斷監控行動能力、雲端運算和其他技

術的進化與趨勢，觀察其將如何延伸並演變為入侵資安防線的技

術，成為企業必須加以抵禦的資安大敵。不過，時至今日，對於惡

意人士利用不斷擴張的攻擊面進行入侵的方式，研究人員也掌握得

更加清楚。最近勒索軟體攻擊的廣度和深度，證明了惡意人士如何

利用裝置與網路之間的資安漏洞與弱點，造成最大的打擊與影響。

對動態 IT 環境缺乏可視性、「影子 IT」可能導致的風險、猛烈襲

來的資安警告，以及 IT 資安環境的複雜度，均為導致現今網路威

脅難以捉摸、日益壯大之原因。資源緊縮的資安團隊雖然力圖在

這樣艱難的處境中擊退網路威脅，卻成效不彰。

本報告的涵蓋內容

思科 2017 年中網路安全報告透過下列討論來探索上述動態因素：

惡意人士的威脅策略

審視惡意威脅者採取的手段，深入瞭解其危害使用者和入侵系統

的方式。防禦者必須瞭解惡意人士的策略變化，這一點相當重

要，因為他們可以藉此調整其資安作法，並教育使用者。本報告

涵蓋的主題包含惡意軟體的最新發展、網路攻擊方法和垃圾郵件

的趨勢、潛在垃圾應用程式 (PUA)（如間諜軟體）的風險、商務

電子郵件入侵 (BEC)、惡意入侵攻擊所帶來的經濟變化，以及醫

療設備入侵攻擊。我們的威脅研究人員也針對部分惡意人士快速

發展其工具和技術的方法加以分析，並向思科提出更出色的更新

做法，有效縮短威脅偵測用時 (TTD)。

思科 2017 年中網路安全報告

4 總摘要

感謝

感謝思科威脅研究人員團隊和各領域專家，還有我們的技術合作夥伴，他們對於思科 2017 年中網路安全報告均

做出許多貢獻。其研究與觀點均至關重要，讓思科能夠向資安社群、企業及使用者深入介紹現今全球網路威脅形

勢之複雜性和廣泛性，並提供最佳實作方法與專業知識，有效助其提升防禦能力。

我們的技術合作夥伴也扮演相當重要的角色，他們協助思科開發操作簡便、開放且自動化的資安功能，讓企業對

整合所需解決方案，有效保護其環境安全無虞。

如需瞭解思科 2017 年中網路安全報告的貢獻者（包括我們的技術合作夥伴）完整請單，請參閱第 86 頁。

弱點

在本報告中，我們也會介紹易讓使用者和組織遭受入侵或攻擊之

弱點或暴露處之概觀。針對無法快速移動以修補已知弱點、對於

雲端系統沒有限制存取權限，以及讓基礎架構和端點處於未受管

理的狀況等等疲弱的資安措施，本報告皆會對此予以探討。這裡

也另外關注此些焦點：擴充物聯網和整合 IT 與營運技術 (OT) 為何會對企業及其使用者帶來更大的風險，以及防禦者目前應該採

取何種方法，才能及時處理這些風險，以免未來落得無法管理的

處境。

防禦者的商機

思科 2017 年中網路安全報告中，內含思科最新資安能力基準研

究之其他發現。我們為如下八大產業領域的重要資安議題提供深

入分析：電信服務供應商、公共部門、零售業、製造業、公用事

業、醫療照護業、運輸業及金融業。思科的業界專家為這些企業

提供提升資安部署的建議，包括運用服務來縮小認知差距和人才

斷層、降低 IT 環境複雜性，以及接納自動化功能。

在結論部分，我們主動呼籲資安領導人把握機會，與管理高層和

董事會一同探討安全性風險和預算的相關事務，思科也提供幾項

實用建議，有效協助各位喚醒公司對安全事務的意識。

思科 2017 年中網路安全報告

5 主要發現

主要發現

• 商業電子郵件入侵 (BEC) 已成為可讓攻擊者獲取豐厚利潤的

威脅媒介。根據網際網路犯罪申訴中心 (IC3) 表示，在 2013 年 10 月到 2016 年 12 月之間發生的 BEC 詐騙事件中，就

有 53 億美元遭竊。相較之下，勒索軟體入侵程式在 2016 年賺取了 10 億美元。

• 偽裝成潛在垃圾應用程式 (PUA) 的間諜軟體是一種惡意軟

體，也是許多組織完全低估或忽視的風險。然而，間諜軟體

可能會竊取使用者和公司資訊，削弱裝置的安全態勢，以及

增加惡意軟體的感染。間諜軟體的感染也十分猖獗。思科威

脅研究人員針對三個特定間諜軟體系列進行研究，發現在參

與研究的 300 間樣本公司中，就有 20% 的公司已受此些間

諜軟體的威脅。

• 在不同企業的協同合作與創新發展中，物聯網 (IoT) 的前景非

常可期。但隨著物聯網不斷成長，資安風險也逐漸提升。缺

乏可視性是一大問題：對於連接到其網路的物聯網裝置，防

禦者根本無法察覺。他們需要迅速採取行動來解決此問題，

並克服物聯網中的其他安全性障礙。威脅者早就利用此些安

全性弱點，作為惡意入侵物聯網裝置的手段。這些裝置可做

為惡意人士的據點，讓他們可以輕而易舉地悄悄在不同網路

間四處移動。

• 思科從 2015 年 11 月起，就開始追蹤平均威脅偵測用時 (TTD)。自那時起，總體趨勢不斷下降，從 2016 年 11 月研

究初期的 39 小時以上，一直減少到 2017 年 5 月期間的 3.5 小時。

• 自 2016 年中起，思科便開始持續觀察垃圾郵件的整體增加

量，這似乎與同時期的弱點攻擊套件活動大幅下降情形不謀而

合。惡意人士曾經非常依賴利用弱點攻擊套件來散播勒索軟

體，現在他們轉而採用含有巨集之惡意文件等等的垃圾郵件手

段來進行入侵，這樣的手法需要使用者與之互動，才能感染系

統並傳送酬載，因此能夠抵禦眾多的沙箱技術。

• 供應鏈攻擊讓惡意人士可透過單一入侵網站，將惡意軟體散

佈到許多組織。在思科合作夥伴 RSA 研究的一起攻擊事件

中，軟體供應商的下載網頁遭到入侵，讓感染散佈到從該供

應商下載軟體的所有組織。

• 思科合作夥伴 Radware 表示，過去一年來網路攻擊的頻率、

複雜度和規模已經大幅增加，入侵攻擊的經濟模式已轉為截

然不同的新局面。Radware 指出，如今許多資源的成本低廉

又實用，且存取快速簡便，讓駭客社群從中受益。

• 在企業資安方面，雲端往往是受到忽視的領域：享特權的單一

使用者帳戶之開放式授權 (OAuth) 風險和管理不周，可能導致

產生資安漏洞，讓遭惡意人士有機可乘。思科威脅研究人員表

示，惡意駭客的攻擊目標已經轉移至雲端，並且不斷試圖入侵

公司的雲端環境。

• 在攻擊套件的環境中，隨著 Angler 和其他領頭企業的消失或

者變更其商業模式，攻擊活動也大幅減少，也久未聽聞創新

作法。根據這個市場過去的發展模式，現在的情況可能只是

暫時的。不過，由於針對利用 Adobe Flash 技術建立之檔案

進行攻擊的困難度提升等其他因素，也可能減緩入侵技術的

發展速度。

• 根據思科合作夥伴 Rapid7 的研究指出，若 DevOps 服務經不

當部署，或刻意保持開放以便合法使用者進行存取，將對組織

構成重大風險。事實上，許多公司均因此情況遭到勒索，進而

支付贖金。

• 針對與網路間諜團體「Fancy Bear」相連結、經惡意人士採

用的共置網域所進行的 ThreatConnect 分析，顯示研究惡意

份子的 IP 基礎架構策略之珍貴價值。藉由研究此基礎架構，

防禦者可獲得更多的網域、IP 地址和電子郵件地址清單，以

供進行主動防禦。

• 2016 年底，思科威脅研究人員發現並回報 Memcached 伺服

器中有三個遠端程式碼執行漏洞。幾個月後，一份網際網路

觀察報告指出，在先前所識別出近 110,000 個已遭受攻擊的 Memcached 伺服器中，有 79% 的伺服器因三個弱點尚未修

補的關係，仍受遭惡意入侵的風險所苦。

簡介

思科 2017 年中網路安全報告

7 簡介

簡介威脅形勢不斷變化。思科威脅研究人員與技術合作夥伴近期研究發現，威脅的演變速度

逐漸加快，影響範圍也日益擴大，令人深感不安。整個資安社群風聲鶴唳，認為影子經

濟中的攻擊人士可能正在為攻擊活動鋪墊基礎，造成的衝擊將影響深遠，也難以復原。

新策略：摧毀服務 (DeOS)

組織會在惡意軟體入侵、勒索軟體活動，或發生任何其他嚴重破

壞其營運的網路攻擊之後，透過「安全網」方式設法復原其系統

和資料，而現在惡意人士正試圖消滅組織所依賴的這張「安全

網」。DeOS 攻擊發揮作用的方式以及偽裝而成的外觀，將視威

脅者的主要目的、創意與能力極限而定。

我們可以確定的是，新興的物聯網 (IoT) 及其為數眾多、具有資安

弱點的裝置與系統，不僅讓惡意人士有機可乘進而惡意探索，也

正是使攻擊事件的影響程度不斷加劇之主因。對於攻擊者和防禦

者來說，物聯網是資安的嶄新領域，雙方在此激烈交鋒，展開軍

備競賽。

與此同時，在熟悉的競爭領域中，惡意人士展開攻擊的時間逐漸

縮點，空間也日益限縮。他們必須不斷變換策略來規避偵測。他

們必須快速創新，以提高其威脅的有效性，運用比特幣 (Bitcoin) 和匿名網路 (Tor) 等方式，使勒索軟體達到更好的效果。他們也發

現，當攻擊時必備的生財工具（如弱點攻擊套件）之效力已遭防

禦者削弱，或因缺乏創新而遭市場冷落，他們就會回過頭來，訴

諸惡意電子郵件和社交工程等傳統手段。

關鍵：減少分散式安全性工具箱

防禦者當然有望在惡意攻擊的戰事中旗開得勝，但他們必須時時確

保其威脅抵禦方法能持續有效抵禦攻擊者。為了減緩攻擊者的速

度，並限制其操作時間與空間，防禦者已經擁有大部分所需的解決

方案，問題在於他們將如何運用。各產業的資安專業人員均表示，

他們從各家廠商部署了眾多工具，這樣確保資安的方法太過複雜—

真正完善的資安方法，其功能應彼此兼容，且一應俱全。

分散式和多產品的資安方法，對組織管理威脅的能力造成阻礙。

除此之外，這樣一來更讓資安觸發程式的數量大幅飆升，資安團

隊在資源緊縮的條件下仍必須加以審查，加重其工作負擔。若資

安團隊能夠整合所使用的供應商數量，並採用開放、整合、及簡

化的方法來確保安全性，即可減少曝露在威脅中的風險。他們也

可以讓組織做出更全面的準備，因應隨著物聯網世界快速興起而

出現的資安挑戰，並滿足將於 2018 年 5 月強制執行的《一般資

料保護規則》(GDPR) 的資料保護要求。

攻擊者行為

思科 2017 年中網路安全報告

9 攻擊者行為

0

5799 Angler 與 Nuclear

停止營運

4071 3650

攻擊者行為本節將概述惡意人士進行網頁型和電子郵件型攻擊時，所採取的威脅方式之變革與創

新趨勢。思科威脅研究人員與技術合作夥伴提供其研究成果、觀察觀點與深入見解，

幫助企業領導者及其資安團隊瞭解惡意人士在未來數個月內可能對組織採取的攻擊策

略，以及隨著物聯網發展對資安挑戰的因應之道。我們也提供改善資安的實用建議，

有效降低讓使用者與企業曝露在資安風險之下的可能性。

弱點攻擊套件：有望減少，但無法全面淘汰

2016 年，Angler、Nuclear 和 Neutrino 這三個主流弱點攻擊套

件突然從威脅形勢中消失。1 Angler 和 Nuclear 仍尚未回歸。

Neutrino 的消失只是暫時的：弱點攻擊套件仍處於活動狀態，但

浮出檯面的時間相當短暫。其作者租用該套件，以透過專門安排

選取操作者。這種方法有助於抑制 Neutrino 的活躍度，使其不會

趨於普遍，規避遭到偵測的風險。

在思科 2017 年度網路安全報告中，說明了弱點攻擊套件形勢中

這些戲劇化的變化，為小型惡意攻擊者及新入行的攻擊者提供

絕佳機會，能夠藉此打響名號。但截至 2017 年中為止，似乎

沒有人抓住此機會。只有少數的弱點攻擊套件處於活動狀態。

RIG 在弱點攻擊套件領域中久居領導地位，名氣響亮，主要以入

侵 Adobe Flash、Microsoft Silverlight，以及 Microsoft Internet Explorer 的漏洞為目的而眾所皆知。

整體而言，弱點攻擊套件活動次數自 2016 年 1 月以來已大幅降

低（如圖 1 所示）。

此趨勢也呼應了以下事件：製作出一款常見 Blackhole 弱點攻擊

套件的作者和散發者，在俄羅斯遭到逮捕。2 Blackhole 停止運

作後，對弱點攻擊套件市場的影響甚鉅，市場中的領導者尚未出

現，仍需一段時間醞釀。這場比賽的最大贏家是 Angler，它將弱

點攻擊套件與網頁掛馬攻擊的複雜度提昇到全新水準。3

圖 1 弱點攻擊套件活動

封鎖次數

6K

5K

4K

3K

2K

1K

1月 3 月 5 月2016 年

資料來源：思科資安研究

7 月 9 月 11 月 1月 3 月 5 月

月

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

1 思科 2016 年中網路安全報告：cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html。2 ＜認識 Paunch：Blackhole 弱點攻擊套件的被告作者＞(Meet Paunch: The Accused Author of the Blackhole Exploit Kit)，作者 Brian Krebs，KrebsonSecurity 部落格，

2013 年 12 月 6 日：krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/。3 ＜全面掌握情勢，揭示犯罪軟體市場動盪趨勢＞(Connecting the Dots Reveals Crimeware Shake-Up)，作者 Nick Biasini，Talos 部落格，2016 年 7 月 7 日：

blog.talosintelligence.com/2016/07/lurk-crimeware-connections.html。

2017 年

思科 2017 年中網路安全報告

10 攻擊者行為

Angler 將許多媒介做為目標。其作者群相當創新，而且他們的發

展速度比起市面上其他人還要快，經常能迅速將新資安弱點納入弱

點攻擊套件中。在許多方面，他們提升此領域其他攻擊者的水準，

並推動其他套件提升資料和技術竊取的能力，以確保其保持競爭

力。而現在 Angler 已經不見蹤影，弱點攻擊套件之間的創新速度

似乎也大幅下跌。

Angler 退出市場，只是其他攻擊者技術能力停滯不前的其中一項

原因。另一個原因是，要對 Flash 技術發動攻擊，已經變得愈發

困難。Flash 弱點多年來一直助長著弱點攻擊套件市場的成長。不

過，隨著人們對資安弱點的保護意識不斷提升，加上防禦者的修補

速度更快，造成惡意軟體更難以進行入侵。現今的惡意人士，經常

必須針對多處弱點發動攻擊，才能入侵系統。

現代的作業系統與網頁瀏覽器中的自動安全性更新功能，也有助於

保護使用者躲避弱點攻擊套件的入侵。另一項趨勢：為因應弱點攻

擊套件市場的變遷，網路罪犯可能會轉向（或回頭）使用電子郵件

來提供發動勒索軟體和其他惡意軟體。他們也利用越來越創新的方

式來規避偵測。例如，思科威脅研究人員觀察到內含大量巨集的惡

意文件之垃圾郵件有所增長，其中包含 Word 文件、Excel 檔案和 PDF，這些檔案都要求使用者主動互動，才能感染系統並傳送酬

載，因此能夠抵禦眾多的沙箱技術。4

默默進行的演變？

有鑑於犯罪軟體的產業價值高達數十億，毫無疑問地，我們看見

了弱點攻擊套件市場的復甦。當易於利用而且影響使用者甚鉅的

新攻擊媒介出現後，熱門的弱點攻擊套件將東山再起，競爭力和

創新能力也會一併提升。

因此，防禦者必須保持警戒。許多弱點攻擊套件仍在運行中，並

且在危害使用者和發送惡意軟體至終端系統方面仍然有效。這些

威脅可能會在任何環境中隨時發生。只要任何系統出現一個漏

洞，就可能受到入侵攻擊。對於勤於快速修補弱點（尤其是網頁

瀏覽器和相關瀏覽器外掛程式中的弱點）並深入實踐防禦做法的

組織，則可減輕威脅風險。確保使用者部署安全的瀏覽器，禁用

和移除不必要的網路外掛程式也可以大幅降低曝露在弱點攻擊套

件威脅下的風險。

4 ＜威脅聚焦：強大的 Morphin 惡意軟體供應商：Locky 勒索軟體藉由 Necurs 殭屍網路再次回歸＞(Threat Spotlight: Mighty Morphin Malware Purveyors: Locky Returns via Necurs)，作者 Nick Biasini，Talos 部落格，2017 年 4 月：blogs.cisco.com/security/talos/locky-returns-necurs。

思科 2017 年中網路安全報告

11 攻擊者行為

防禦者的行為如何轉移攻擊者的焦點

防禦者對於 Flash 軟體中已知漏洞進行更加及時的修補，是幫助

減緩漏動攻擊套件市場成長和創新的一項要素。如先前的思科網

路安全報告所述，Flash 軟體對於想要攻擊和入侵系統的惡意人士

而言，一直是很有吸引力的網路攻擊媒介。然而，由於修補措施

日益完善，要對 Flash 的弱點進行有效攻擊也變得愈發困難。

根據思科合作夥伴、網路安全和弱點管理公司 Qualys 的研究顯

示，防禦者大幅降低了修補組織中 80% 已知 Flash 弱點的時間，

從 2014 年的平均 308 天到 2015 年的 144 天，到 2016 年已縮

短為 62 天（請參閱圖 2）。該研究是根據 Qualys 每年對其全球

分公司進行超過 30 億次弱點分析之資料歸納而成。

292

來源：Qualys

219

365

2014 年

2015 年

2016 年

0

146

62天數

由於防禦者更快地修補 Flash 軟體中的新弱點，某些弱點攻擊套件

的作者可能會將其重點轉移到攻擊可能遭受忽視的舊弱點。因此，

資安團隊應該開始評估是否已妥善處理所有已知的 Flash 漏洞，並

優先考慮修補讓組織處於風險中的重大漏洞。

此外，依靠弱點攻擊套件以鎖定 Flash 軟體來提供其勒索軟體和

其他惡意軟體的一些惡意人士，可能會多加使用其他技術，或者

至少在短期內提高使用其他技術的頻率，以便持續達成收入目

標。

例如，思科威脅研究人員觀察到包含惡意巨集之良性附件的垃圾

郵件已增長（請參閱「惡意軟體演進：6 個月的觀察」 第 23 頁）。這種趨勢似乎與最近弱點攻擊套件活動率下降不謀而合（如

需本主題的更多詳細資訊，請參閱第 9 頁的「弱點攻擊套件：有

望減少，但無法全面淘汰」。

天數

圖 2 修補 80% Flash 漏洞所需的天數

73

思科 2017 年中網路安全報告

12 攻擊者行為

網路攻擊方式證明了網際網路的成熟

Proxy 在網頁的萌芽之初就已經存在，其功能隨著網際網路不斷發

展而日趨成熟。今時今日，防禦者在內容掃描中運用 Proxy 來偵測

潛在威脅，找出易受攻擊的網際網路基礎架構或網路弱點，阻斷惡

意人士存取使用者電腦、滲透組織，進而展開攻擊活動的機會。這

些威脅包括：

• 潛在垃圾應用程式 (PUA)，例如惡意瀏覽器擴充程式

• 木馬程式（植入程式與下載程式）

• 網頁垃圾郵件和詐騙廣告的連結

• 瀏覽器特定漏洞，例如 JavaScript 和繪圖成像引擎

• 用於將使用者導向惡意網頁內容的瀏覽器重新導向、點擊劫

持，以及其他方式

圖 3 顯示從 2016 年 11 月到 2017 年 5 月，惡意人士最常用的惡

意軟體類型。若要建立圖表，思科威脅研究人員已使用公司的管理

網路安全日誌。圖 3 中的清單有一系列最可靠且實惠的方法，可用

於入侵大量使用者和感染電腦和系統。包括：

• 「第一階段的酬載」，例如木馬程式和公用程式，便於初期感

染使用者的電腦。（惡意 Word 文件中的巨集病毒便是此類工

具的例子。）

• PUA，包含惡意瀏覽器擴充套件。

• 可疑的 Windows 二進位檔，傳送如廣告軟體和間諜軟體等

威脅。5

• Facebook 詐騙，包括虛假產品、媒體內容和調查詐騙。

• 惡意軟體（例如勒索軟體和按鍵竊取代理程式），可將酬載傳

送至遭受入侵的主機。

圖 3 2016 年 11 月到 2017 年 5 月之間最常見的惡意軟體（最主要的惡意封鎖程式）

樣本計數

32,737

23,979

23,272

19,922

17,635

15,148

12,510

9070

8428

4784

4274

3394

3016

2676

2216

2188

威脅類型

木馬植入程式

惡意軟體

瀏覽器重新導向木馬

瀏覽器重新導向木馬下載程式

木馬下載程式

啟發式木馬下載

PUA 和可疑的二進位檔案

木馬

瀏覽器重新導向

Facebook 惡意軟體

網路釣魚惡意軟體

iFrame濫用木馬程式

封包

病毒

啟發法

iFrame 濫用惡意軟體

資料來源：思科資安研究部門

5 注意：在思科 2017 年度網路安全報告（網址為：b2me.cisco.com/en-us-annual-cybersecurity-report-2017?keycode1=001464153）中，思科威脅研究人員警告，包括廣告注入器、瀏覽器設定駭客、公用程式和下載程式等惡意廣告軟體，是日益嚴重的問題。在此報告的第 14 頁，我們會對使用者和組織檢查潛在垃圾應用程式（例如間諜軟體）的風險。

;

2017 年封鎖比例

2016 年封鎖比例

資料來源：思科資安研究部門

思科 2017 年中網路安全報告

13 攻擊者行為

上述所有項目經常出現在我們常見的惡意軟體清單中。此系列一致

表明，網際網路已發展至一定階段，惡意人士對自己的作案手法具

備一定信心，他們熟知哪些網路攻擊方法的效果最佳，可以輕鬆入

加拿大6.8 / 2.1

英國

德國

3.5 / 0.8

美國

百慕達群島

2.5 / 3.9

英屬維京群島

0.8 / 1.4

0.8 / 0.8

1.1 / 0.8

0.5 / 0.7巴西

委內瑞拉0.6 / 1.1

智利

阿根廷

0.5 / 0.8

0.5 / 0.7

遍佈全球的網路封鎖活動

思科追蹤國家或地區發起的惡意軟體型封鎖活動。惡意人士經常

轉變活動基礎，並搜尋可發動活動的脆弱基礎架構。思科威脅研

究人員可透過檢視整個網際網路流量及封鎖活動，提供有關惡意

軟體來源的見解。

瑞典俄羅斯

烏克蘭

希臘伊朗

印度

哈薩克

中國

0.7 / 0.5泰國

日本

香港

馬來西亞

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

我們是根據網際網路流量多寡，挑選作為研究對象的國家/地區。

若「封鎖率」值為 1.0，表示封鎖數量與網路規模相稱。封鎖活

動高於預期值的國家/地區，可能是因為其內部擁有太多網路伺服

器和主機，且網路上存有未修補的弱點。以上圖表顯示遍佈全球

的網路封鎖活動。

侵大規模使用者。使用安全瀏覽器，以及停用或移除不必要的

瀏覽器外掛程式，仍是使用者減少曝露於常見網頁型威脅的兩

種最重要的方式。

圖 4 2016 年 11 月到 2017 年 5 月之間的全球的網路封鎖率

0.7 / 1.2

0.4 / 0.7墨西哥

巴拿馬

0.7 / 0.5

0.8 / 0.5

1.4 / 0.6

1.3 / 3.5

0.8 / 0.5

2.3 / 0.7

1.8 / 1.3

0.8 / 0.90.8 / 0.7

1.0 / 1.5

1.0 / 0.7

思科 2017 年中網路安全報告

14 攻擊者行為

間諜軟體惡名昭彰

今日稱為潛在垃圾應用程式 (PUA) 的許多線上廣告軟體，都是間

諜軟體。間諜軟體供應商以合法工具的手段來推廣他們的軟體，

提供有用的服務，並遵守使用者授權合約。但無論他們如何編造

不同形象，也無法改變間諜軟體是惡意軟體的事實。

偽裝成 PUA 的間諜軟體，會透過隱蔽的方式收集和傳送使用者電

腦活動的相關資訊。它通常會在使用者不知情的狀況下安裝在電

腦上。在本次討論中，我們將間諜軟體分為三大類：廣告軟體、

系統監視器，以及特洛伊木馬程式。

在公司環境中，間諜軟體會帶來一系列潛在的資安風險。可能造

成的風險如下：

• 竊取使用者和公司資訊，包括個人可識別資訊 (PII) 及其他敏

感或機密資訊。

• 藉由修改裝置組態與設定、安裝其他軟體，以及允許第三方

存取，進一步削弱裝置的安全狀態。間諜軟體也可以在裝置

上啟用遠端程式碼執行，讓攻擊者可完全控制裝置。

• 增加惡意軟體的感染。一旦使用者遭受如間諜軟體或廣告軟

體等 PUA 的感染，便容易受到更多的惡意軟體感染。

為了深入瞭解間諜軟體感染，思科研究人員從 2016 年 11 月到 2017 年 3 月間研究了約 300 家公司的網路流量，以確定組織中

存在著哪些類型的間諜軟體系列，以及其影響範圍。

透過研究發現，這段期間觀察到的以下三個間諜軟體系列，影響

了樣本中 20% 以上的公司：Hola、RelevantKnowledge，以及 DNSChanger/DNS Unlocker。在研究期間，我們每個月都在 25% 以上的樣本組織中偵測到感染現象（請參閱圖 5）。

現今有數以百計的間諜軟體系列，不過我們聚焦於這三個特定系

列—雖然它們並非新興威脅，卻是我們觀察到在企業環境中最常見

的「品牌」。以下是關於這三個間諜軟體系列的詳細資料。

圖 5 2016 年 11 月到 2017 年 3 月之間，受到所選取間諜軟體系列影響的公司百分比

根據調查，每個月有 25% 的組織遭受 Hola、

RelevantKnowledge 或 DNSChanger/DNS Unlocker 感染

資料來源：思科資安研究部門

思科 2017 年中網路安全報告

15 攻擊者行為

Hola VPN

Hola（間諜軟體和廣告軟體）是一種免費增值型的網路和行動應

用程式，透過對等網路為使用者提供 VPN 形式。它也使用點對點

快取技術，讓使用者「儲存」由其他使用者下載的內容。Hola 是以用戶端瀏覽器型應用程式的形式散布。軟體可作為瀏覽器擴充

套件或獨立應用程式。

圖 6 中 Hola 網站的螢幕擷取畫面顯示間諜軟體的操作者如何透

過免費的有用服務，對間諜軟體進行行銷，讓使用者可「存取任

何網站」。他們也聲稱「Hola 在全球有逾 1.21 位使用者」。

圖 6 Hola VPN 首頁的螢幕擷取畫面

為什麼視之為間諜軟體：Hola 的功能包括透過名為 Luminati 的服

務銷售使用者頻寬、在使用者系統上安裝自己的程式碼簽署憑證、

下載任何可選擇的檔案以避開防毒檢查，以及遠端執行程式碼。

RelevantKnowledge

RelevantKnowledge（間諜軟體和系統監視器）會收集有關

網際網路瀏覽行為、人口統計、系統和組態的大量資訊。

RelevantKnowledge 可直接安裝或透過軟體套件組合安裝，有時

會未經使用者同意便逕行安裝。

像 Hola 一樣，其首頁（請參閱圖 7）提供的訊息傳遞功能，刻意

讓使用者對於登入服務感到愉快。例如，間諜軟體操作者聲稱他

們會為「知識樹」捐款，以感謝每位成員的貢獻。

為什麼視之為間諜軟體：如先前所述，RelevantKnowledge 可以

在未經使用者同意的情況下進行安裝。此外，它會收集資訊，以

建立要匿名出售（單獨出售或作為彙總資料一部分出售）的使用

者設定檔，供第三方進行「研究」用途。

圖 7 RelevantKnowledge 首頁的螢幕擷取畫面

思科 2017 年中網路安全報告

16 攻擊者行為

使用者百分比

100

80

60

40

20

0

DNS Changer 與 DNS Unlocker

DNS Changer 與 DNS Unlocker 是相同惡意軟體的兩種版本。前

者是木馬程式，可在受感染的主機上更改或「劫持」DNS 設定。6

DNS Unlocker 是提供解除安裝選項的廣告軟體服務。

間諜軟體可使用自己的名稱服務器取代名稱服務器，以將 HTTP 和其他要求從主機導向至一套可攔截、檢查和修改主機流量，且

受攻擊者控制的伺服器。它會感染端點，而非瀏覽器。透過使用 PowerShell（其適用於 Microsoft Windows 的物件導向程式設計

語言和交互式指令行 Shell），可以在受感染的主機上執行命令。

這無異於敞開大門，歡迎攻擊者進行遠端存取。

DNS Unlocker 操作者透過服務的方式推銷間諜軟體，讓使用者

可存取地區限定的內容，例如串流視訊。

圖 8 DNS Unlocker 首頁的螢幕擷取畫面

為什麼視之為間諜軟體：除了上述列出的功能和其他功能之外，

DNS Unlocker 會竊取 PII、重新導向使用者流量，並透過注入特

定服務的內容（例如線上廣告）來即時修改使用者內容。

研究顯示，DNS Unlocker 最為普遍 研究聚焦的三個系列中，DNS Unlocker 最為普遍。在參與研究的

樣本公司中，有 40% 的公司均受此間諜軟體感染。

11 月2016 年

12 月 2 月 3 月

DNS Changer/Unlocker

資料來源：思科資安研究部門

1 月 2017 年

6 ＜DNSChanger 連結至廣告軟體的安裝用戶量爆發＞(DNSChanger Outbreak Linked to Adware Install Base)，作者 Veronica Valeros、Ross Gibb、Eric Hulse 和 Martin Rehak，思科安全性部落格，2016 年 2 月 10 日：blogs.cisco.com/security/dnschanger-outbreak-linked-to-adware-install-base。

Hola RelevantKnowledge

圖 9 比較每個間諜軟體系列的受影響使用者

思科 2017 年中網路安全報告

17 攻擊者行為

Hola

11 月 2016 年

12 月

1 月2017 年

2 月

3 月

圖 10 間諜軟體分佈

日期

0 10 20 30 40 50 60 70

RelevantKnowledge

資料來源：思科資安研究部門

務必正視間諜軟體的感染

間諜軟體感染在許多組織中十分猖獗，但通常不會被視為重大的

安全性風險。我們在最近進行的另一份研究7 中發現，參與調查的

公司中有四分之三都受到廣告軟體的感染，而間諜軟體感染就像

廣告軟體感染一樣，可能讓使用者和組織面臨惡意活動的風險。

雖然操作者可能會透過用來保護或以其他方式幫助使用者的服務

來推銷間諜軟體，但惡意軟體的真正目的，是在通常未經使用者

的直接同意，或在使用者不知情的狀況下，追蹤和收集有使用者

及其組織的相關資訊。間諜軟體公司最為人所知的，是銷售其所

收集的資料或提供存取權，讓第三方能夠以相對匿名的方式收集

資訊。該資訊可用於識別重要資產、在組織中對應內部基礎架

構，並協調目標式攻擊。

瀏覽器和端點上的間諜軟體感染必須盡快修復。資安團隊必須積

極保持對間諜軟體功能的瞭解，並確定何種類型的資訊正處於

風險之中。他們也應該花時間開發教戰守則，以利修復間諜軟

體、廣告軟體和風險軟體8 所造成的感染，並教導使用者認識關

於 PUA 的風險。在接受任何 PUA 的使用者授權協議之前，使用

者應該至少花點時間瀏覽章節，瞭解他們的資訊將經何種方式收

集、儲存和分享。

間諜軟體是惡意軟體的一種形式，會偽裝成 PUA 的樣子，若沒有

認知到這一點，就可能導致受到更多感染和安全性風險的威脅。

由於操作者將更多的惡意功能納入其軟體，並持續利用組織內缺

乏補救措施的情形，間諜軟體問題的勢頭漸旺。

7 若要查看以前關於本主題的報告，請下載《思科 2017 年度網路安全報告》，網址為： cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html。

8 風險軟體是可以被惡意攻擊者修改並用於惡意用途的合法軟體。

分佈百分比

DNS Changer/Unlocker

在參與研究的樣本公司中，我們發現 Hola 的分佈最為廣泛，每個

月都有超過 60% 的組織受到影響（請參閱圖 10）。僅管分佈速度

緩慢，但此間諜軟體系列隨著時間也變得更加分散。

與此同時，DNS Unlocker 影響的使用者數量更多，不過影響的組

織則較少（請參閱圖 10）。據我們的研究人員指出，在一月份，

與此間諜軟體相關的感染數量從 11 月的比例來看已顯著上升，但

之後卻開始持續下跌。

思科 2017 年中網路安全報告

18 攻擊者行為

提交的垃圾郵件數量 傳送的報告數量

5000 萬

0

執行個體數量

140

120

100

80

60

40

20

0

Necurs 殭屍網路在 上午 3:00 到 5:00 間傳送了

138 個垃圾郵件執行個體

圖 11 各國的 IP 封鎖次數

IP 封

鎖次數

2 億

1 億 5000 萬

1 億

1 月 2 月 3 月 4 月 5 月

美國

據威脅研究人員發現，2016 年 8 月以來9 的整體垃圾郵件量上升

趨勢，似乎與約在同時開始的弱點攻擊套件活動大幅減少情形不

謀而合。惡意人士改採其他行之有效的方法（如電子郵件）來 散佈勒索軟體和惡意軟體並藉此盈利（請參閱第 9 頁的「弱

點攻擊套件：有望減少，但無法全面淘汰」）。

根據思科威脅研究人員預測，含有惡意附件的垃圾郵件量將持續

攀升，同時弱點攻擊套件讀情勢環境會持續變動。電子郵件有可

能直接抵達端點，惡意人士也可能藉著由毫無戒心的使用者提供

的「協助」，將攻擊活動範圍延伸到收件匣之外，透過狡詐的社

交工程手法（網路釣魚或更多針對性魚叉式網路釣魚）輕鬆誘騙

使用者，最終入侵整個組織。

某些惡意人士也會依賴含有大量巨集之惡意文件的垃圾郵件，來

傳送勒索軟體。由於這些威脅需要由使用者主動進行互動（例如

按一下對話方塊中的「確定」）才會感染系統並傳送酬載，因此

可躲過各種沙箱技術（請參閱第 23 頁的「惡意軟體演進：6 個月的觀察結果」）。

傳送垃圾郵件的殭屍網路也蓬勃發展（尤其是巨型殭屍網路 Necurs），此為全球整體垃圾郵件量攀升的部分原因。今年初 Necurs 所傳送的低股價「炒作股票」垃圾郵件效果顯著，因而

分散了其注意力，未火力全開散佈含有勒索軟體等複雜威脅的垃

圾郵件。10 圖 12 為思科 SpamCop 服務產生的內部圖表，說明

此類型 Necurs 活動的範例。殭屍網路的擁有者非常仰賴這類低

品質垃圾郵件的攻擊活動，表示如此一來無需動用太多資源，也

能用簡單的手法成功獲得營收。

圖 12 Necurs「炒作股票」垃圾郵件活動（24 小時之間）

00:00AM

資料來源：SpamCop

12:00PM

時間

00:00AM

12:00PM

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

不久前，Necurs 殭屍網路透過多個大規模惡意垃圾郵件攻擊活

動，傳送勒索軟體新變體 Jaff，這類電子郵件中含有一個 PDF 附件，而該附件中內嵌的 Microsoft Word 文件係作為 Jaff 勒索軟

體的初始下載程式。11

9 若要查看先前探討過本主題的報告，請下載思科 2017 年度網路安全報告，網址為： cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html。

10 ＜Necurs 使其投資組合多樣化＞(Necurs Diversifies Its Portfolio)，作者：Sean Baird、Edmund Brumaghin 與 Earl Carter，貢獻者：Jaeson Schultz，Talos 部落格，2017 年 3 月 20 日：blog.talosintelligence.com/2017/03/necurs-diversifies.html。

11 ＜Jaff 勒索軟體：2 號玩家加入戰局＞(Jaff Ransomware: Player 2 Has Entered the Game)，作者：Nick Biasini、Edmund Brumaghin 和 Warren Mercer， 貢獻者：Colin Grady，Talos 部落格，2017 年 5 月 17 日：blog.talosintelligence.com/2017/05/jaff-ransomware.html。

弱點攻擊套件活動影響全球垃圾郵件的可能性呈下降趨勢

據思科威脅研究人員觀察，在 2017 年 1 月至 5 月期間，來自

中國 IP 空間的 IP 連線封鎖次數增加，2016 年底垃圾郵件量達

到高峰後，今年上半年的整體垃圾郵件量下降並逐漸趨緩。

資料來源：思科資安研究部門

月

DEIN FR MX VNCN

思科 2017 年中網路安全報告

19 攻擊者行為

Adwind20K

10K

0

10.8K

1 月 個月 4 月

20K

10K

0個月

15.2K

4 月1 月

20K

10K

01 月

8.5K

個月 4 月

20K

10K

0

8.8K

1 月 個月 4 月

20K

10K

01 月 個月

8.2K

4 月

20K

10K

0

9.5K

1 月 個月 4 月

20K

10K

0 2.4K

1 月 個月

20K

10K

4 月0

1 月

7.4K

個月 4 月

20K

10K

0

3.4K

20K

10K

1 月 個月 4 月0

4.3K

1 月 個月

20K

10K

0

10.4K20K

10K

01 月 個月 4 月

18.6K

1 月 個月

隨著越來越多網路犯罪分子改為採用（或說重新採用）電子郵件

作為主要媒介，用來散播勒索軟體和其他惡意軟體，思科威脅研

究人員開始積極追蹤首要惡意軟體系列所使用的檔案類型。瞭解

這項資訊，有助於縮短我們對已知威脅的偵測用時 (TTD)，也可

協助我們追蹤惡意軟體操作員讓威脅不斷演進的各種方式，其中

包含變更檔案副檔名類型（請參閱第 26 頁以深入瞭解 TTD；也可參閱第 28 頁的「演進時間趨勢：Nemucod、Ramnit、Kryptik 與 Fareit」。

Adwind54,831

Nemucod41,960

MyWebSearch40,023

Fareit32,394

Dono24,469

Doc 23,154

Valyria19,954

Ag18,610

Limitail15,420

Docdl12,189

Qjwmonkey9340

Macro9093

資料來源：思科資安研究部門

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

圖 14 2017 年主要惡意軟體系列之模式

我們分析了 2017 年 1 月至 4 月的惡意軟體偵測，找出這段期間

惡意電子郵件酬載中最常出現的 20 個惡意軟體系列（按次數排

列）（請參閱圖 13）。

圖 14 顯示各系列的偵測次數，其中包含 .zip 或 .exe 等惡意酬載

檔案的副檔名。請注意，4 月時巨集相關惡意軟體的活動情形顯

著上升，這是因為 4 月份是美國和加拿大等多個國家的傳統報稅

季（若要深入瞭解含有巨集負載惡意文件的垃圾郵件，請參閱第 23 頁的「惡意軟體演進：6 個月的觀察結果」）。

執行個體數量

Dono

Macro

Fareit

MyWebSearch

Qjwmonkey

Limitail

Nemucod

資料來源：思科資安研究部門

Docdl

Ag

圖 13 最常偵測到的惡意軟體系列（按次數排列）

Doc

4 月

4 月

Valyria

惡意電子郵件：深入探討惡意軟體作者的檔案類型策略

思科 2017 年中網路安全報告

20 攻擊者行為

12K

6K

0

3.5K

12K

6K

0

6.1K

12K

6K

0

10.7K 12K

6K

0

6.2K

12K

6K

0

1.7K

.doc 20K

10K

01 月

18.1K

個月 4 月

12K

6K

0346

12K

6K

0

1.9K

12K

6K

01.2K

我們也觀察了酬載附件的數量，製作出電子郵件文件中最常見的惡

意檔案副檔名清單（請參閱圖 15）。惡意 .zip 檔案數量居冠，其

次是 Microsoft Word 的 .doc 副檔名。

接著我們研究了這些副檔名的常見程度，瞭解其是否隨時間推移而

有所改變（請參閱圖 16）。

圖 15 最常偵測到的惡意檔案副檔名（按次數排列）

.zip

192,097

.doc

72,254

.jar

55,193

.gz

25,646

.xls

16,155

.rar

12,328

.pdf

10,478

.html

8485

.7z

7425

.arj

7023

資料來源：思科資安研究部門

圖 16 2017 年首要惡意檔案副檔名的模式

執行個體數量

.pdf .html

1 月 4 月 月份 月份 4 月 1 月

.jar .gz

1 月

.7z

1 月

個月

個月

4 月

4 月

1 月

.ace

1 月

.exe

個月 4 月

4 月 1 月 個月

資料來源：思科資安研究部門

4 月 1 月 個月

4 月個月

.arj

思科 2017 年中網路安全報告

21 攻擊者行為

38,198 Nemucod

9755 Limitail7944 Fareit4347 Msil

.zip 5081 Donoff 4242 Dldr

7984 Macro18,610 Ag

49,350 Adwind845 Jrat418 Maljava79 Uverat

.jar

66 Msil267 Jacksbot

727 Kryptik3327 Grat

21,899 Doc

8934 Valyria2356 Fraud1794 Nemucod

.doc 2312 Rtf6973 Docl1714 Vba

14,980 Donoff

1758 Fareit480 Kryptik382 Vbinject273 Omaneat

.arj 402 Golroted309 Ponik

266 Tepfer717 Limitail

與首要惡意軟體系列同時觀察到的「最常見」檔案類型

綜觀研究樣本中的前五大惡意軟體系列，可以發現每個惡意軟體系

列使用的檔案類型策略，及經常使用的某些副檔名都有所不同。舉

例來說：

• Adwind（遠端存取特洛伊木馬 (RAT)）經常使用 .jar 檔案

（Java 封存副檔名）。

• Nemucod（已知會散佈勒索軟體的木馬下載程式）使用 .zip 作為其導向檔案副檔名。

• MyWebSearch（惡意廣告軟體）非常挑剔：它只使用 .exe 檔案副檔名，有時每個月只會使用一種類型。

• Fareit（也是 RAT）會使用多種檔案類型，但似乎偏好 .zip 和 .gz 檔案副檔名。（後者為封存檔案副檔名。）

• Donoff 惡意軟體（惡意巨集放置勒索軟體）大多使用 Microsoft Office 文件檔案類型，尤其是 .doc 和. xls。

圖 17 以另一種角度檢視惡意電子郵件模式：特定檔案副檔名和不

同惡意軟體系列之間的關係。我們的分析顯示，多個首要惡意軟

體系列（包括 Nemucod 和 Fareit）經常利用商務環境中廣泛使用

的檔案類型，例如 .zip 和 .doc。

不過我們也發現，有許多惡意軟體系列會使用較不知名且較為陳

舊的檔案副檔名類型，像是 .jar 和 .arj。（後者為壓縮檔類型。）

圖 17 檔案副檔名（.arj、.doc、.jar、.zip）和惡意軟體系列間的關係

資料來源：思科資安研究部門

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

思科 2017 年中網路安全報告

22 攻擊者行為

53 億 美元

近來勒索軟體在資安領域引起極大的關注，但是還有另一個威脅—

雖然受矚目的程度雖遠不及勒索軟體，卻為其建立者帶來勒索軟體

望塵莫及的大筆進帳：業務電子郵件入侵，簡稱 BEC。思科合作

夥伴中的風險情報供應商 Flashpoint 針對 BEC 問題進行研究，判

定其為目前最有利可圖的方法，能向企業榨取高額金錢。這是個相

當容易使人上當的攻擊媒介，憑藉社交工程觸發竊取攻擊。

從最基本的層面來看，BEC 攻擊活動所用的手法，是傳送電子郵

件給財務部門員工（有時會假冒郵件是同事所傳），而這些員工可

以透過電匯來匯款。惡意人士通常對公司階層和員工已有所研究，

例如使用社交網路個人檔案拼湊出可能的管理指揮鏈。電子郵件看

起來可能是執行長或其他高層主管所傳送，要求收件者電匯一筆款

項給假定的業務夥伴，或付款給廠商。訊息措辭可能相當急切，逼

迫收件者盡速匯款，而通常最終款項都會流入網路犯罪分子所擁有

的國外或國內銀行帳戶中。

BEC 詐騙鎖定大型目標，縱然這些組織都設有周密的威脅防禦機

制和防詐欺措施，卻仍紛紛成為其受害者，Facebook 和 Google 都曾是 BEC 和電匯詐騙的受害者。12 由於 BEC 訊息並沒有包含

惡意軟體或可疑連結，因此通常可以躲過所有極度縝密的威脅防

禦工具。

BEC 問題有多嚴重？由聯邦調查局、美國司法部和國家白領犯

罪中心共同組成的網際網路犯罪分子申訴中心 (IC3) 報告指出，

2013 年 10 月至 2016 年 12 月期間，因 BEC 詐騙損失的金額

高達 53 億美元，平均一年 17 億美元13（請參閱圖 18）。相較之

下，勒索軟體攻擊在 2016 年榨取了10 億美元左右。14

2013 年 10 月至 2016 年 12 月期間，美國的 BEC 詐騙受害者總

人數約為 22,300 人。

圖 18 因 BEC 損失的金額

2013 年 10 月

來源：網際網路犯罪分子申訴中心

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

12 ＜獨家：Facebook 和 Google 是 1 億美元詐騙案的受害者＞(Exclusive: Facebook and Google Were Victims of $100M Payment Scam)，作者：Jeff John Roberts，Fortune.com，2017 年 4 月 27 日：fortune.com/2017/04/27/facebook-google-rimasauskas/。

13 ＜業務電子郵件入侵、電子郵件帳戶入侵：50 億美元詐騙案＞(Business E-mail Compromise, E-Mail Account Compromise: The 5 Billion Dollar Scam)，網際網路犯罪分子申訴中心 (IC3) 和聯邦調查局 (FBI)，2017 年 5 月 4 日：ic3.gov/media/2017/170504.aspx。

14 ＜2016 年勒索軟體成功榨取 10 億美元：改進的防禦措施可能不足以抵擋侵襲浪潮＞(Ransomware Took In $1 Billion in 2016—Improved Defenses May Not Be Enough to Stem the Tide)，作者：Maria Korolov，CSOonline.com，2017 年 1 月 5 日： csoonline.com/article/3154714/security/ransomware-took-in-1-billion-in-2016-improved-defenses-may-not-be-enough-to-stem-the-tide.html。

2016 年 12 月

對勒索軟體充滿擔憂？業務電子郵件入侵可能是更嚴重的威脅

思科 2017 年中網路安全報告

23 攻擊者行為

若要迎擊 BEC 詐騙，通常需要改善業務程序，而非一味加強威

脅防禦工具。Flashpoint 建議推行使用者教育：例如訓練員工

識別異常匯款要求，像是要求只在國內營運的公司進行跨國匯

款。組織也可要求員工透過電話等方式向另一名員工確認電匯

要求，藉此避開詐騙電子郵件。

惡意軟體演進：6 個月的觀察結果

2017 年上半年間，思科安全研究人員持續觀察惡意軟體的演進

過程，發現了多項趨勢，有助於瞭解惡意軟體作者在開發策略

（也就是傳送、混淆與規避）時的想法。

趨勢 1：惡意人士所使用的惡意軟體散佈系統，需要使用者採取

某種正面動作才可啟動威脅。

我們觀察到，可躲過自動化惡意軟體偵測系統的惡意電子郵件附

件有所增加，置於沙箱環境中時，這類附件未顯示出任何惡意跡

象，所以系統便將其轉送給使用者，接著使用者可能收到：

• 受密碼保護的惡意文件（密碼就在電子郵件本文中，使用者

可輕易取得）

• 一份惡意文件，會顯示要求使用者允許執行某種動作的對話

方塊（例如「按一下確定」）

• Word 文件中的惡意 OLE 物件

• PDF 中內嵌的惡意 Word 文件15

至於威脅工具，寄件者原則框架 (SPF) 防禦機制可協助封鎖含有

詐騙地址的電子郵件，但是組織對於開啟這項功能可能會有所遲

疑，因為除非有 IT 人員妥善管理，否則 SPF 也可能封鎖合法的電

子郵件（例如行銷郵件或電子報）。

總而言之，只要是擁有線上可視性的組織，從 Facebook 和 Google 等超大規模組織，到僅有數十名員工的企業，都有可能成

為 BEC 詐騙的目標，對犯罪分子來說這是一種低成本、高收益的

作法，這就表示此作法可能會發展為威脅媒介。

趨勢 2：惡意人士使用對自己有利的勒索軟體程式碼基底

惡意人士利用 Hidden Tear 和 EDA2（基於「教育」目的公佈的

勒索軟體程式碼）等開放原始碼程式碼基底，以快速、簡單且具

成本效益的方式建立惡意軟體。惡意人士會調整程式碼，使其看

起來和原來的程式碼不同，然後部署惡意軟體。近幾個月來思科

威脅研究人員觀察到的許多「新」勒索軟體系列，都是以教育性

質程式碼基底的開放原始碼程式碼為基礎。

趨勢 3：勒索軟體即服務 (RaaS) 平台迅速發展

RaaS 平台（例如 Satan）是懶惰惡意人士的理想手段，他們希

望能在無需進行任何程式碼編寫或程式設計，或是投入資源開發

創新戰術的前提下，就能進入勒索軟體市場，並成功發動攻擊活

動。這類平台的操作員可從攻擊者的收益中分一杯羹，且人數正

不斷增加，有些人甚至會部署勒索軟體和提供其他服務，例如追

蹤客戶攻擊活動的進度。

15 ＜威脅焦點：強大的 Morphin 惡意軟體承辦商：Locky 透過 Necurs 捲土重來＞(Threat Spotlight: Mighty Morphin Malware Purveyors: Locky Returns via Necurs)， 作者：Nick Biasini，Talos 部落格，2017 年 4 月 21 日：blogs.cisco.com/security/talos/locky-returns-necurs。

思科 2017 年中網路安全報告

24 攻擊者行為

趨勢 4：無檔案或「常駐記憶體」惡意軟體日益普遍

我們發現，全球各地都曾發生這類惡意軟體感染系統的情形。其

仰賴 PowerShell 或 WMI 完全在記憶體中執行惡意軟體，除非攻

擊者想設置持續性機制，否則不需要寫入任何成品至檔案系統或

登錄檔中16，這使得惡意軟體更加難以偵測，也導致鑑識調查和

事件回應更加棘手。

趨勢 5：攻擊者更加依賴匿名和分散的基礎架構來混淆命令和

控制

思科威脅研究人員發現，使用「橋接服務」的情形有所增加，用

來提供惡意軟體及 Tor 網路中託管命令和控制服務的存取管道。

其中一個例子為 Tor2web，這是一種 Proxy 服務，允許網際網路

上的系統存取 Tor 中託管的內容，不需要安裝本機 Tor 用戶端應

用程式。17

基本上，Tor2web 讓惡意人士可更輕易使用 Tor，不需要變更其

惡意軟體程式碼，也不需要在其惡意軟體酬載中加入 Tor 用戶

端。由於攻擊者可選擇在任何網域上設定 Tor2web Proxy 伺服

器，因此更難封鎖這些已部署的伺服器。

Talos 威脅情報：追蹤攻擊與漏洞

思科 Talos 網站 (blog.talosintelligence.com) 致力成為漏洞研究

和威脅環境趨勢的資訊來源，漏洞研究尤其重要，因為可凸顯攻

擊者和防禦者之間長期以來的搏鬥過程。

攻擊者經常被視為占有優勢，因為他們的時間相當充裕，反觀防

禦者則因為時間有限而位居劣勢。防禦者受到時間限制，需要盡

快遏止惡意人士造成的損害。弱點研究讓防禦者能在攻擊者攻擊

弱點前搶先採取行動，藉由識別零時差弱點，並與軟體廠商通力

合作確保修補程式的開發和發佈，研究人員可協助消弭雙方時間

資源的落差。

資安產業越來越擅長對付勒索軟體，弱點攻擊套件活動出現次數

減少，讓 Talos 研究人員有餘裕研究其他威脅。簡而言之，資訊

安全產業越來越瞭解勒索軟體的運作方式，且能更有效識別出新

的勒索軟體變體。

Talos 部落格探討的另一個關鍵趨勢，就是惡意人士逐漸捨棄弱點

攻擊套件的同時，正將攻擊火力轉移到電子郵件型威脅上。自從

一度造成大規模影響的 Angler 弱點攻擊套件在 2016 年銷聲匿跡

後，威脅研究人員持續觀察，注意市場上是否出現其他成為明顯

領先者的威脅，或環境中是否浮現重大趨勢（請參閱第 9 頁的 「弱點攻擊套件：有望減少，但無法全面淘汰」）。研究人員觀

察到與 Flash 或 Java 軟體有關的威脅減少；因為瀏覽器開發人員

封鎖了相關的外掛程式，導致惡意人士較不可能使用這些外掛程

式作為攻擊媒介。

16 如需深入瞭解本主題，請參閱＜隱蔽的管道與不當的決策：DNSMessenger 的故事＞(Covert Channels and Poor Decisions: The Tale of DNSMessenger)，作者：Edmund Brumaghin 和 Colin Grady，Talos 部落格，2017 年 3 月 2 日：blogs.cisco.com/security/talos/covert-channels-and-poor-decisions-the-tale-of-dnsmessenger。

17 如需深入瞭解本主題，請參閱＜進擊的 RAT！AthenaGo 將矛頭指向葡萄牙 TorWords＞(Go RAT, Go! AthenaGo Points ｀TorWords´ Portugal)，作者：Edmund Brumaghin， 貢獻者：Angel Villegas，Talos 部落格，2017 年 2 月 8 日：blog.talosintelligence.com/2017/02/athena-go.html。

思科 2017 年中網路安全報告

25 攻擊者行為

下列近期 Talos 部落格文章指出有關特定威脅的重點研究，並提

供洞察分析，說明攻擊者如何被迫以創新方式領先防禦者：

3 號玩家加入戰局：迎擊 WannaCry：本文介紹引起廣大注意

的 WannaCry 勒索軟體變體，並提供保護網路抵禦該威脅的建

議方式。

MBRFilter：固若金湯！：本文中 Talos 研究人員發表了 MBRFilter 功能，這個磁碟過濾器可防止惡意軟體將 0 磁區寫入所有與系統

連接的磁碟裝置上。這是 Petya 等勒索軟體變體使用的戰術：惡

意軟體會嘗試覆寫受感染主機的主開機記錄 (MBR)，並以惡意開

機載入器取代原來的開機載入器。

Sundown EK：不容小覷：本文將介紹 Sundown 弱點攻擊套

件。其相關攻擊活動是從少數幾個 IP 地址發動，但是 Talos 研究

人員發現有超過 80,000 個惡意子網域，與 500 個以上使用不同

註冊者帳戶的網域相關聯。這個作法表示惡意探索可避開傳統的

黑名單解決方案。

沒有了 Necurs，Locky 陷入困境：Talos 研究人員指出，由於 Necurs 殭屍網路暫時退場，Locky 勒索軟體變體的活動減少。研

究人員密切觀察了 Necurs 殭屍網路：當它上線運作時，有可能

會散佈數量驚人的垃圾郵件，而這些垃圾郵件中挾帶著 Locky 以及 Dridex 銀行惡意軟體。

進擊的 RAT！AthenaGo 將矛頭指向葡萄牙 TorWords：本文中 Talos 研究人員指出發現了 AthenaGo，這是透過惡意 Word 文件散佈，且鎖定葡萄牙受害者的惡意軟體攻擊活動。研究人員說

明，這個攻擊活動的獨特之處，在於 AthenaGo 利用遠端存取木

馬 (RAT)，可在受感染系統上下載並執行其他二進位檔。這個惡意

軟體是以 Go 程式設計語言寫成，而這並非常見的戰術。此外，

該惡意軟體所使用的命令和控制通訊，是依賴惡意軟體作者用來

規避偵測的 Tor2web Proxy。

隱蔽的管道與不當的決策：DNSMessenger 的故事：Talos 研究

人員說明惡意軟體樣本分析，過程使用 DNS TXT 記錄查詢和回

應，建立了雙向命令和控制管道，這是攻擊者所用的罕見規避戰

術，目的是在目標環境中運作的同時躲避偵測。

Necurs 使其投資組合多樣化：本文中研究人員探討了來自巨型 Necurs 殭屍網路的新活動，也就是使其垃圾郵件傳送方式多樣

化，加入炒作股票低股價訊息。

威脅焦點：強大的 Morphin 惡意軟體承辦商：Necurs 殭屍網路

在暫時中止運作後捲土重來的同時，研究人員發現 Locky 的活動

出現新的暴增情形：大規模垃圾郵件攻擊活動。

思科 2017 年中網路安全報告

26 攻擊者行為

思科將「偵測用時」(TTD) 定義為：入侵發生以及偵

測到威脅之間經過的時間。我們用來決定這段時間範

圍所使用可選擇安全性遙測資料，是蒐集自思科部署

在全球的資安產品。使用我們的全域可視性與持續分

析模型，在遭遇所有未分類的惡意代碼時，我們將能

測量惡意代碼開始在端點上執行，以及判定該代碼為

威脅之間經過的時間。

思科從 2015 年 11 月起，就開始追蹤偵測用時 (TTD) 中位數。

自那時起，總體趨勢不斷下降，從 2016 年 11 月研究初期的 39 小時以上，一直減少到 2017 年 5 月期間的 3.5 小時（請參

閱圖 19）。

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

TTD 中位數提升代表惡意人士引入新威脅的時間點；降低則表示

防禦者能夠快速識別已知威脅的期間。自 2016 年夏季起，攻擊

者和防禦者之間持續不斷的拉鋸戰況趨緩，防禦者每次在惡意人

士意圖攻擊後都能迅速復原受影響的範圍，因而能夠獲得優勢，

維持領先地位。

偵測用時：攻擊者和防禦者之間的拉鋸戰況加劇

圖 19 每月的 TTD 中位數

小時

40

35

30

25

20

15

10

5

0

39.2

6.9

18.2

8.5 8.1

2.6

6.7

11 月 1 月 3 月 5 月 5月7 月 9 月 11 月 1 月 3月2016 年 2017 年

資料來源：思科資安研究部門

個月

思科 2017 年中網路安全報告

27 攻擊者行為

35%

30%

25%

20%

15%

10%

5%

0 0

Nemucod

Docdl

Bayrob

Fareit

InsightDonoffLockyMydoom

AdnelDridexRamnit

KryptikMabezatNymaimMsilAdwind

Packer

Browsefox

Dealply Hckpk

20 40 60 80 100 120 140 160 180

整體 TTD 中位數 = 3.5 個小時 中位數 TTD 小時

隨著威脅環境持續發展，在過去六個月來的發展尤其蓬勃，而網

路犯罪分子面臨的壓力也不斷加劇。為了規避偵測，也必須演進

其威脅，並開發新技術。

圖 20 顯示我們的研究人員在 2016 年 11 月至 2017 年 4 月間，所觀察到前 20 名惡意軟體系列的 TTD 中位數（依偵測比例

排序）。思科產品在我們的 TTD 中位數 3.5 小時以內偵測到的

多個系列，都是行動迅速且廣泛散佈的產業化威脅，陳舊及普遍

威脅的偵測用時通常也在平均數以下。

偵測比例

資料來源：思科資安研究部門

雖然許多惡意軟體系列已為安全社群所熟知，但防禦者仍需耗費

長時間才能識別出來，這是因為這些威脅背後的惡意人士，使用

各種混淆技巧來讓其惡意軟體持續活動並獲得收益。在下一節

中，我們將探討四個惡意軟體系列如何使用特定策略，搶先防禦

者採取行動，這四個系列分別為：Fareit（遠端存取木馬程式，或

簡稱「RAT」）、Kryptik（RAT 的一種）、Nemucod（下載型木

馬程式）和 Ramnit（銀行木馬程式）。

它們採取的方法都很有效：如圖 20 顯示，這幾個系列都落在我們

的 TTD 中位數範圍 3.5 小時之外，Kryptik 尤其明顯。即使是分

析顯示首要系列中最常偵測到的 Nemucod，因為它的演進速度相

當快，因此需耗費更長的時間才能識別出來。

圖 20 前 20 名惡意軟體系列的 TTD 中位數

思科 2017 年中網路安全報告

28 攻擊者行為

0

35

30

25

20

15

10

5

29

思科密切監視著惡意軟體作者如何演化其酬載交付類型、產生新檔

案（以戰勝僅限雜湊偵測方法）的速度，以及他們是否和如何利用

網域產生演算法 (DGA)，讓惡意軟體不斷以嶄新且有效的方式入

侵使用者與系統。部分惡意軟體系列會產生大量 DGA 網域（這類

網域都是和指定網域名稱有細微差異的變體），用這個方式隱匿其

流量和規避偵測（如需深入瞭解 DGA 網域，請參閱第 33 頁的

「DGA 網域延長的存留期限與重複情形」）。

我們分析了來自不同思科來源的網路攻擊資料，包括網路 Proxy 資料、雲端和端點進階惡意軟體產品，以及複合式防惡意軟體引擎。

我們所分析的這些資料，讓我們可測量「演進時間」(TTE)：惡意

人士改變特定惡意軟體傳送方式所需的時間，以及每次戰術改變間

相隔的時間長度。

洞察各惡意軟體系列的獨特演進模式，並瞭解它們如何利用新舊

工具和戰術，嘗試搶先防禦者採取行動，可協助我們精進安全

實務與技術，讓我們能不斷縮短偵測用時 (TTD)（如需深入瞭解 TTD，請參閱第 26 頁的「偵測用時：攻擊者和防禦者之間的

拉鋸戰況加劇」）。

2016 年 11 月至 2017 年 5 月期間，我們集中整理了針對四個著

名惡意軟體系列的分析：Nemucod、Ramnit、Kryptik 和 Fareit。我們找出由使用者系統定義，且可傳送惡意軟體和檔案內容（或 MIME）類型的檔案副檔名變動情形。我們已針對每個系列檢視網

路和電子郵件傳送方法的模式。

圖 21 顯示觀察期間四個惡意軟體系列針對網路攻擊各自使用的唯

一向量數。

唯一向量數

40

11 月2016 年

38

12 月 5 月3 月2 月1 月2017 年

4 月

Kryptik Nemucod Fareit

資料來源：思科資安研究部門

演進時間趨勢：Nemucod、Ramnit、Kryptik 與 Fareit

圖 21 各月份網路事件中出現的唯一向量數

Ramnit

思科 2017 年中網路安全報告

29 攻擊者行為

0

5

40

35

30

25

20

15

33

分佈百分比

100%

75%

50%

25%

0%

2520151050

11

15.3

12

20.1

1 26.8

3 5

圖 22 顯示觀察期間各系列針對電子郵件攻擊使用的唯一向量數。

請注意，Ramnit 惡意軟體系列排除在分析之外，因為研究人員只

找到少數幾個與 Ramnit 相關檔案有關聯的事件（封鎖事件）。

TTE 分析包含觀察封鎖當下惡意軟體系列所用雜湊的存留時間

（逐月），這有助於判斷惡意軟體需要演進以規避雜湊型偵測的

頻率與速度。

以下為我們所研究的四個惡意軟體系列各自的研究重點概覽。

唯一向量數

10

11 1

43

12 2 532017 年2016 年

4

Kryptik Nemucod Fareit

資料來源：思科資安研究部門

TTE 分析：Kryptik

Kryptik 惡意軟體（亦稱為 GozNym）是進階銀行木馬程式（使

用公開發佈的原始碼）與下載程式合併後的產物。18我們在 TTE 研究過程觀察到的 Kryptik 惡意軟體系列網路事件中，約有三分

之一 (35%) 與 JavaScript 有關，另外 26% 則使用 .php 檔案副

檔名。我們發現的 MIME 類型包含 MS Word、八位元資料流或 HTML，而大部分 Kryptik RAT 電子郵件事件都和 .zip、.js 或可

執行檔有關。

我們也發現，觀察期間 Kryptik 惡意軟體系列使用了存留時間相異

的雜湊（請參閱圖 23）。

Kryptik 的 TTD 趨勢以圖 23 呈現，可看出雖然思科產品在最近幾

個月識別該威脅的速度已加快，但是這個惡意軟體仍相當難以偵

測，至 2017 年 4 月底為止，我們的 Kryptik RAT TTD 中位數是

整體 TTD 中位數 3.5 小時的兩倍（如需深入瞭解我們計算 TTD 的方式，請參閱第 26 頁），但是這個數字仍遠低於 2016 年 11 月針對 Kryptik 測量出的 TTD 21.5 個小時。

小時

11 12 12017 年2016 年

存留 0 天

11-30 天

資料來源：思科資安研究部門

18 ＜以視覺方式呈現 2016 年首要威脅＞(Visualizing 2016’s Top Threats)，作者：Austin McBride 和 Brad Antoniewicz，思科 Umbrella 部落格， 2017 年 2 月 8 日：umbrella.cisco.com/blog/blog/2017/02/08/visualizing-2016s-top-threats/。

2

個月

1-2 天

31-90 天

3 4 5

3-10 天

90 天以上

圖 22 各月份在電子郵件事件中出現的唯一向量數

圖 23 Kryptik 惡意軟體系列每月的 TTD 和雜湊存留時間

4

思科 2017 年中網路安全報告

30 攻擊者行為

75%

50%

25%

0% 12 1 2 3 4

25201510

50

11 12

6.9

1

3.7

2

16.3

3 4 5

TTE 分析：Nemucod

Nemucod 在 2017 年間持續名列最常見惡意軟體系列排行榜

中，這個下載程式惡意軟體是用來散佈勒索軟體和其他威脅，例

如會引發憑證竊取或點擊詐騙的木馬後門程式。某些變體也可作

為傳送 Nemucod 惡意軟體酬載的機制。

Nemucod 發展的方式可能與它不斷獲得成功有極大的關聯。

圖 24 顯示 Nemucod 一貫使用 15 種以上的多種檔案副檔名與

檔案內容類型的組合。舉例來說，我們所發現的 Nemucod 網路事件中，有 70% 與 JavaScript 有關，其餘事件則使用 .php (16%) 或 .zip 檔案副檔名 (9%)。此外，與電子郵件封鎖相關聯的 Nemucod 事件主要使用 .zip、.wsf（Windows 指令碼檔）或 .js 檔案。

從圖 24 可看出，Nemucod 主要依賴存留一天以下的雜湊來搶先

防禦者採取行動。

在最近幾個月中，惡意軟體使用存留時間較長的雜湊次數有所增

加，這可能表示安全社群偵測新 Nemucod 執行個體的有效性提

高，導致惡意軟體作者重新使用行之有效的舊雜湊。無論如何，

圖 24 顯示 Nemucod 的 TTD 在 3 月和 4 月期間提高，進一步展

現出攻擊者和防禦者之間的拉鋸戰況，無論是與攻擊者循環使用

雜湊的方式、傳送方法還是其他混淆方法有關，顯然 Nemucod 作者都開發出一套難以偵測的傳送機制。

圖 24 Nemucod 惡意軟體系列每個月的 TTD 和雜湊存留時間

小時

分佈百分比

100%

11 52016 年

存留 0 天

11-30 天

資料來源：思科資安研究部門

個月

1-2 天

31-90 天

3-10 天

90 天以上

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

2017年

思科 2017 年中網路安全報告

31 攻擊者行為

2520151050

11

5.89

12

16.9

1

5.81

2

21.3

3 4 5

75%

50%

25%

0% 12 1

2017 年2 3 4

TTE 分析：Ramnit

Ramnit 最初於 2010 年以自我複製蠕蟲形式出現，其開發人員後

來使用惡名昭彰的宙斯木馬公開原始碼，加入了資料竊取功能和其

他增強功能，如今，Ramnit 是目前已知最頑強的銀行木馬程式。

在我們最新的 TTE 研究中，發現幾乎所有與 Ramnit 惡意軟體相

關的網路事件 (99%)，都使用文字或 HTML MIME 類型，檔案副

檔名各不相同，不過主要是 HTML (41%)。

我們的研究也顯示，Ramnit 大多使用存留 90 天或以上的雜湊，

成功規避了防禦者（請參閱圖 25）。

然而圖 25 也顯示，截至四月為止，Ramnit 的操作員主要使用新

雜湊，其中半數以上的存留時間都少於一天，這可能是因為防禦

者偵測使用舊雜湊的 Ramnit 執行個體成功率有所提高。實際上，

我們的 Ramnit TTD 中位數在三月時為 21 個小時以上，五月初已

下降到 5 個小時左右。

圖 25 Ramnit 惡意軟體系列每個月的 TTD 和雜湊存留時間

小時

分佈百分比

100%

11 52016 年

存留 0 天

11-30 天

資料來源：思科資安研究部門

1-2 天

31-90 天

3-10 天

90 天以上

個月

思科 2017 年中網路安全報告

32 攻擊者行為

網域活動：Nemucod 和 Ramnit

在我們最新的 TTE 研究中，思科威脅研究人員分析

了與兩個惡意軟體系列有關的網域活動：Nemucod 和 Ramnit。進行這次分析的目的，是要深入瞭解這

兩個惡意軟體系列如何使用網域傳送其惡意軟體。

這段觀察期間內（2016 年 11 月至 2017 年 3 月），我們發現 Nemucod 使用了各種遭入侵的網

站，且數量比 Ramnit 還多；

與此同時，Ramnit 似乎使用了數百個網域產生演算

法 (DGA) 網域（如需深入瞭解 DGA 網域以及惡意

軟體開發人員加以利用的原因，請參閱第 33 頁的「DGA 網域延長的存留期限與重複情形」）。

25201510

50

11 12 4.8

18.3

2

7.9

5

分佈百分比

100%

75%

50%

25%

0%

TTD 分析：Fareit

Fareit 也是知名且傳播普遍的惡意軟體系列，Fareit RAT 會竊取

憑證和散佈多種惡意軟體。根據我們的研究，幾乎所有 (95%) 與 Fareit 惡意軟體變體相關的網路攻擊，都使用了 .dll 檔案副檔

名；其中有 84% 使用了 msdos 程式或 msdownload MIME 類型。電子郵件中的 Fareit 檔案副檔名大多與 Word 文件相關聯，

或是和 ACE（壓縮封存）、可執行檔或 .zip 檔案有關。

Fareit 和 Kryptik 惡意軟體一樣，會經常變更雜湊以躲避偵測

（請參閱圖 26）。Fareit 的 TTD 中位數在二月和三月大幅飆

升，這段期間，該惡意軟體使用新雜湊的次數稍微增加，同時也

引入一些存留了相當久的雜湊（90 天或以上）並混合使用。

圖 26 Fareit 惡意軟體系列每月的 TTD 和雜湊存留時間

小時

11 12 12017 年

存留 0 天

11-30 天

資料來源：思科資安研究部門

2

個月

1-2 天

31-90 天

3 4

3-10 天

90 天以上

52016 年

1 3 4

思科 2017 年中網路安全報告

33 攻擊者行為

5%

4%

3%

2%

1%

0%

平均存留期限已延長， 某些情況下可達 40 天

許多主要惡意軟體系列都依靠網域產生演算法 (DGA)，快速產生

虛擬隨機網域名稱以規避偵測。DGA 網域的存留時間通常很短，

但有時可存留數個月，導致對防禦者而言進行試探式封鎖變得更加

棘手。

思科合作夥伴中的威脅情報供應商 Anomali，追蹤了與各種不同惡

意軟體系列相關聯的可疑 DGA 網域之存留期限。根據 Anomali 威

網域比例

脅研究人員表示，約 5 年前觀察到的大部分 DGA 網域，存留期

限為 3 天或更短，自那時起，DGA 網域的平均存留期限大幅延

長，某些情況下可達 40 天左右（請參閱圖 27），部分網域的存

留期限甚至遠超過 40 天指標。

備註：樣本包含約 45 個不同惡意軟體系列。

0 10 20 30 40 50 60 70 80 90 100

來源：Anomali

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

DGA 網域延長的存留期限與重複情形

圖 27 DGA 存留期限

不同 DGA 網域的存留期限（單位：天）

思科 2017 年中網路安全報告

34 攻擊者行為

這股趨勢背後的可能原因，是惡意人士正承受著以更快速度改善威

脅的壓力，如此一來才能避免遭到封鎖，並確保威脅能在已遭入

侵的組織，保持更長時間的隱藏狀態（如需深入瞭解本主題，請參

閱第 28 頁的「演進時間趨勢：Nemucod、Ramnit、Kryptik 與 Fareit」）。惡意軟體作者的應變速度必須夠快，才能避免被列入

黑名單當中，但同時速度又不能太快，反遭防禦者搶先封鎖所有新

網域。

多數情況下，建立網域時，惡意軟體背後產生 DGA 網域的演算法

只有兩個元素會有不同：網域名稱長度和可使用的可能頂層網域。

（附註：幾乎所有演算法都以不同作法隨機化挑選第二層網域字

母的方式。）

這些限制加上不斷產生新 DGA 網域的需求，導致惡意軟體系列經

常重複產生和註冊 DGA 網域，舉例來說，它們可能會在相當飽和

的組合（如 8 至 10 字元的 .com 網域）內相互衝突，在如此飽和

的空間中，某 DGA 網域可能會被列入封鎖清單，因為競爭對手使

用了防禦者已識別出的類似 DGA 網域。

分析基礎架構加深了對攻擊者工具的瞭解

正如以各產業為研究對象的資安能力基準研究中所探討（請參閱

第 77 頁），許多安全團隊奮力瞭解每天收到的數以千計安全警

示。利用惡意人士的註冊和託管戰術，尤其是惡意人士所使用的

基礎架構，可讓安全專家將威脅來源歸零並加以封鎖。

在一份針對 Fancy Bear 網路間諜集團所使用基礎架構的分析

中，思科合作夥伴中，業界唯一可延伸情報導向安全平台供應商

的 ThreatConnect 公司，其研究團隊找出了可能的惡意網域、IP 地址和別名，協助防禦者在惡意人士得以入侵網路前搶先採取行

動。19 這套作法不僅採取主動出擊方式，也可能具有預測性，讓

廠商可收集與惡意人士有關的預先情報。

所分析的網域和 IP 地址與對 Bellingcat（遭 Fancy Bear 高級持

續威脅 (APT) 鎖定的公民記者組織）發動的魚叉式網路釣魚攻擊

有關。根據 ThreatConnect 推論，這是因為某些威脅惡意人士可

存取的 IP 基礎架構有限，所以他們會在其控制的基礎架構上託管

多個網域。藉由研究這些共置網域，安全專家可識別可能受惡意

人士控制的其他基礎架構（例如網域和 IP 地址），並搶先予以封

鎖，或將之納入防禦策略中。

19 如需詳細資訊，請參閱＜ThreatConnect 研究團隊如何使用平台調查事件、識別情報和針對 Fancy Bear 進行分析＞：threatconnect.com/blog/how-to-investigate-incidents-in-threatconnect/。

思科 2017 年中網路安全報告

35 攻擊者行為

必要輸入

網域或子網域

網域共置容限 (n)

共置網域

註冊者網域

WHOIS

被動 DNS

1

2

3

4

5

6

2017 年 5 月 17 日

192.168.22

192.168.22

ipdf.com

找出輸入網域的建立 日期和註冊者

找出建立日以及託管的

時間範圍後，立即找出

託管網域的 IP 地址

找出與輸入網域相同

的時間範圍內，託管

了 (n) 個或更少網域

的 IP 地址

指出其中哪些 IP 地址

不是 Sinkhole 或非專

用基礎架構

找出在與指定網域相

同的時間範圍內，託

管於這些 IP 的其他

網域

找出輸入網域的和

共置網域的註冊者

ThreatConnect 分析中說明其過程是按照下列步驟進行：

• Bellingcat 提供魚叉式網路釣魚訊息的電子郵件標頭，該標頭

據信來源為受俄羅斯政府贊助的駭客。接著，ThreatConnect 運用先前對 Fancy Bear 活動所瞭解的資訊進行評估，發現 Fancy Bear 的攻擊目標最有可能是針對 Bellingcat。

• ThreatConnect 使用 WHOIS 註冊資訊，找出魚叉式網路釣魚

訊息的網域是何時註冊，以及註冊了該網域的電子郵件地址

為何，提供一段可用於調查的時間範圍。

• 使用被動 DNS，找出網域最初註冊後託管該網域的 IP 地址，

如此一來便可找到可能與惡意人士連接的 IP 地址。

• 研究人員再次使用被動 DNS，找出託管少於指定任意網域數

量的 IP 地址，藉此排除可能為多個客戶託管多個網域的 IP。

• ThreatConnect 使用 WHOIS 和被動 DNS，找出可能為惡意

人士專用 IP 地址的子集，將可能用於 APT 的 IP 地址清單範

圍縮小。

• 接著 ThreatConnect 使用被動 DNS，從該 IP 地址子集中找

出與初始網域同時託管於相同 IP 地址的其他網域。（若網域

與初始網域共置在相同 IP 地址，就能找出可能受相同 APT 控制的網域。）

• ThreatConnect 也根據用來註冊原始網域的電子郵件地址，

找出了使用同一個地址註冊的其他網域。若某個電子郵件地

址曾用來註冊與 APT 活動相關的網域，則使用該電子郵件地

址註冊的其他網域也可能屬於 APT 活動的一部分。

• ThreatConnect 使用新找到的網域（與原始網域共置和使用

相同電子郵件地址註冊的網域）來進行後續的反覆分析。

• 接著，ThreatConnect 會使用被動 DNS 找出已識別網域的所

有已知子網域，這些資訊有助於識別郵件伺服器，或是與已

識別網域託管在相同 IP 上的子網域，為進一步研究提供更多

切入途徑。

圖 28 共置方法

來源：ThreatConnect

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

思科 2017 年中網路安全報告

36 攻擊者行為

圖 28 所描述的這類分析方法，可協助找出以指數方式成長的電子

郵件地址、IP 地址和網域群組，且該網域群組可能和遭遇的活動相

關聯，並被系統視為可疑群組。上述調查的起點，是從 Bellingcat 提供的電子郵件標頭中找出的六個網域、五個 IP 地址和三個電子

郵件註冊者。

按照上述調查程序，最終發現有 32 個電子郵件地址和別名、180 個以上的網域與 50 個以上的 IP 地址，可能與 Fancy Bear APT 活動有關聯。圖 29 顯示網域、電子郵件地址和 IP 地址之間的關

聯子集，以及如何往回推論其與 Bellingcat 魚叉式網路釣魚事件

的關聯。

進行了類似分析的組織可以主動封鎖可能為攻擊來源的網域、IP 地址和電子郵件地址。研究和識別基礎架構能讓組織找出下列資訊：

可在持續不斷的事件回應工作中使用的戰略情報、惡意人士針對組

織使用前所用的基礎架構，以及基礎架構和攻擊者之間的歷史內容

或關聯。

圖 29 APT 集團所使用基礎架構間的連結

供應鏈攻擊：只要一個向量遭到入侵，就可能對許多組織造成影響

所有企業都想方設法節省時間與金錢，攻擊者也一樣，致力尋

找讓攻擊活動更有效率的方法。思科合作夥伴 RSA 發現，從

犯罪分子的角度來看，供應鏈攻擊能以最小程度的努力，造成

最大影響。在 RSA 觀察到的案例中，惡意人士將木馬程式插入

合法軟體中，而企業系統管理員通常會使用該軟體來協助分析 Windows 系統事件日誌。20

遭入侵的軟體可於廠商網站連同更新一起下載，結果會造成當一

個向量遭入侵（廠商網站）時，惡意人士只需要廠商提供軟體和

自動更新，就可以將威脅散播至更多企業網站。

RSA 將此名為「Kingslayer」的惡意集團納入研究，在觀察到

以某個 URL 為目標的不明信標後，RSA 會追蹤遭入侵的軟體。

該 URL 解析後為 IP 地址，而該 IP 地址可再解析為已知惡意網

域。追蹤在該網域找到的惡意軟體（PGV_PVID 的變體）來源過

程中，RSA 團隊發現有一個組織似乎已經遭到感染，且判定該惡

意軟體來自系統管理員軟體。

RSA 發現這個軟體的下載頁面和軟體廠商的更新頁面已遭入侵

（請參閱下頁圖 30），這表示之前下載了未遭入侵版本軟體的公

司，如果註冊了自動更新服務，就仍有可能處於險境，因為後續

的更新也會傳送惡意軟體。

20 如需有關此調查的詳細資料，請參閱 RSA 報告《Kingslayer：供應鏈攻擊》: rsa.com/en-us/resources/kingslayer-a-supply-chain-attack。

思科 2017 年中網路安全報告

37 攻擊者行為

1.在網路中實作遭入

侵的廠商產品

含有遭入侵產品

的網路

2A.系統管理員按下廠

商網站上的連結，

或是……

2B.（自動）分析器應

用程式經自動更新

系統管理員

3.連線至應用程式

網站

事件日誌分析器 應用程式網站

4.惡意

.htaccess 重新導向

惡意重新

導向

5A.下載遭破壞的 MSI 和/或……

5B.（自動）後門更新下載作業

遭惡意人士控制

的網站 94.242.xx.xxx

6.

安裝含有後門程式 的應用程式

下載含有木馬 程式的已簽署 事件日誌分析器

應用程式

7.

獲得二次酬載

「K2」

二次酬載「K2」

8.企業內部系統 C2

使用「K2」 二次酬載

企業網路

入侵期間僅持續兩週左右，但是因為廠商直到數個月過後才通知

遭入侵軟體的使用者，惡意軟體可能一直停留在原處，直到經組

織自行偵測，或是收到廠商的通知時才展開修復工作。

圖 30 Kingslayer 入侵感染鏈

來源：RSA

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

雖然 RSA 分析師不知道有多少組織在 RSA 通知廠商該惡意軟體

問題前，就已安裝遭入侵的應用程式，不過廠商的客戶已列於其

網站上，且訂閱了廠商的事件日誌資訊入口網站服務，這份客戶

清單（因此可能是遭入侵的組織）中至少包含：

• 4 大電信供應商

• 10 個以上的軍事組織

• 24 間以上的《財富》500 強公司

• 5 大國防承包商

• 24 間以上的銀行和金融機構

• 45 間以上高等教育機構

雖然 RSA 調查人員不確定 Kingslayer 惡意人士的最終目標為何，

但是該廠商的客戶規模與成熟度，使其成為非常有利可圖的目

標，惡意人士可能已從金融服務組織取得客戶登入資訊，或可能

已著手進行國家級破壞行動。

供應鏈攻擊策略值得防禦者多加留意的原因如下：攻擊者只需要

提供單一遭入侵向量，即可感染許多目標；此外，這類攻擊的特

質為悄無聲息，為攻擊者爭取寶貴的時間，可在未經偵測的狀態

下發動攻勢。還有，如果遭入侵軟體的主要使用者為系統、網路

或安全管理員，如此一來可能為攻擊者提供了理想的預備環境，

讓其以系統的方式惡意探索大型企業成功機率有所提高。

對於致力封鎖供應鏈威脅的企業而言，偵測作業是一大挑戰。

端點安全可能是最佳防禦機制，因為可以警示安全團隊某個軟

體正與其他對象通訊；即時監視也有助於偵測可疑活動。

思科 2017 年中網路安全報告

38 攻擊者行為

基礎架構鎖定學術網路為攻擊主力

在 Kingslayer 案例中，惡意人士的基礎架構收集作法為隱藏在合

法硬體中，讓軟體使用者在將產品放入網路前產生其未受感染的

錯覺。在 Schoolbell 殭屍網路的案例中21，由於網路資源的不良

信譽極少，或完全沒有不良信譽，且具備看似有利的位置，因此

惡意人士將基礎架構作為發射台使用。在這兩個案例中，惡意人

士都利用了廠商的良好信譽及位置。

如上文所述，端點安全和即時監視可協助組織預防供應鏈攻擊，

同時還有助於偵測 RSA 所稱的「基礎架構收集」攻擊，在這類攻

擊中，惡意人士會嘗試控制組織的基礎架構，目的是用來進行大

規模惡意探索。

Schoolbell 殭屍網路的名稱由來，是它專門鎖定學術基礎架構，

而此殭屍網路便是這類攻擊策略的一個例子，在其活動巔峰時

期，RSA 在 Schoolbell 殭屍網路基礎架構中找出將近 2,000 各不

相同的獨特感染方式（請參閱圖 31）。

受這類惡意軟體系列影響

的學術基礎架構數量

CustomTCP PGV_PVID

來源：RSA

對於因為不具備任何有利可圖的資料，而確信自己並非網路攻擊

目標的組織而言，Schoolbell 殭屍網路和基礎架構收集作法無疑

敲響了警告的鐘聲。相較於其他產業（例如金融服務業）規模相

似的組織，學術組織對網路安全的守備可能較為鬆散，因此對於

想輕鬆入侵，且想在不受偵測的狀態下，有餘裕地悄悄發動攻勢

的攻擊者來說，學術網路是相當具吸引力的目標。對於想尋找更

多基礎架構資源的惡意人士而言，學術界是理想的目標。

21 如需深入瞭解 Schoolbell 殭屍網路和基礎架構收集攻擊，請參閱＜Schoolbell：上課時間到＞(Schoolbell: Class Is in Session)， 作者：Kent Backman 和 Kevin Stear，RSA，2017 年 2 月 13 日：blogs.rsa.com/schoolbell-class-is-in-session/。

圖 31 全球 Schoolbell 惡意軟體感染情形

Rekaf Derusib RAT

思科 2017 年中網路安全報告

39 攻擊者行為

常見物聯網殭屍網路特性

• 設定過程快速且簡便，事實上可在一小時內完成。

• 可快速分佈。反覆感染機制導致殭屍網路大小呈指

數成長，實際上，作案者可在 24 小內建構出含有

超過 100,000 部受感染裝置的殭屍網路。

• 惡意軟體的偵測率低。由於惡意程式碼存在於裝置

記憶體中，而且只要裝置重新啟動便會消除，因此

擷取樣本就非常困難。

帶來長期恐懼的 DDoS 威脅在 2016 年已臻成熟：從多個連網裝

置發動的網路攻擊，轉變為殭屍網路。九月份發生了針對資安部

落客 Brian Krebs 發動的 665 Gbps 攻擊22；在那之後不久，惡

意人士針對法國託管公司 OVH 發動了 1 TBps 的攻擊23；十月時 DynDNS 遭受攻擊，造成數以百計的熱門網站中斷，這是上述三

次物聯網 (IoT) DDoS 攻擊中規模最大的一次。24

這些攻擊將我們推入了 1 TBps DDoS 紀元，它們震撼了傳統的 DDoS 防護模式，並證明物聯網 DDoS 殭屍網路威脅真實存在，

而組織必須做好迎戰準備。

思科合作夥伴 Radware 近來對三大物聯網殭屍網路 Mirai、BrickerBot 和 Hajime 的活動進行研究，並得出下列分析結果。

Mirai

與 DynDNS 攻擊密切相關的 Mirai 殭屍網路已感染了成千上萬的

物聯網裝置，將這些裝置變成「殭屍軍團」，可發動強大且大量

的 DDoS 攻擊。安全研究人員估計，數百萬易受攻擊的物聯網

裝置與這類協調攻擊有密切關係。Mirai 惡意軟體的原始碼已於 2016 年下半年公開發佈。25

運作方式

1. Mirai 會利用超過 60 個 BusyBox 軟體原廠預設憑證，針

對 Telnet 伺服器發動暴力密碼破解攻擊，進而連線至受害

者機器。

2. 每部受感染的裝置會自行鎖定，讓其他殭屍程式無法存取。

3. Mirai 會將受害者的 IP 和憑證傳送給集中式 ScanListen 服務。26

4. 接著新的受害者會協助收集新的殭屍裝置，產生一套自我複

製模式。

深入瞭解 Mirai

除了產生 1 TBps 以上的流量，Mirai 還具有 10 種可選的預先定義

攻擊媒介（請參閱圖 32），其中部分向量已證實可有效讓服務供

應商的基礎架構癱瘓，且可藉由攻擊其防護機制徹底刪除資料。

圖 32 Mirai 的攻擊向量功能表

來源：Radware

22 ＜KrebsOnSecurity 遭受記錄 DDoS 攻擊＞(KrebsOnSecurity Hit with Record DDoS)，作者：Brian Kreb，KrebsOnSecurity 部落格，2016 年 9 月 21 日： krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/。

23 ＜150,000 部物聯網裝置遭濫用來對 OVH 發動大規模 DDoS 攻擊＞(150,000 IoT Devices Abused for Massive DDoS Attacks on OVH)，作者：Eduard Kovacs，SecurityWeek， 2016 年 9 月 27 日：securityweek.com/150000-iot-devices-abused-massive-ddos-attacks-ovh。

24 ＜Dyn 上發生的 DDoS 攻擊來自 100,000 部受感染裝置＞(DDoS Attack on Dyn Came from 100,000 Infected Devices)，作者：Michael Kan，IDG 新聞社發佈於 ComputerWorld， 2016 年 10 月 26 日：computerworld.com/article/3135434/security/ddos-attack-on-dyn-came-from-100000-infected-devices.html。

25 ＜物聯網殭屍網路 Mirai 的原始碼已發佈＞(Source Code for IoT Botnet ‘Mirai’ Released)，作者：Brian Krebs，KrebsOnSecurity 部落格，2016 年 10 月 1 日： krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/。

26 ＜BusyBox 殭屍網路 Mirai：我們等待已久的一記警鐘？＞(BusyBox Botnet Mirai—the Warning We’ve All Been Waiting For?)，作者：Pascal Geenens，Radware， 2016 年 10 月 11 日：blog.radware.com/security/2016/10/busybox-botnet-mirai/。

物聯網正要興起，但是物聯網殭屍網路早已成熟就緒

這 10 個向量為非常複雜的攻擊媒介，例如 GRE 洪水、TCP STOMP 和水刑 (Water Torture) 攻擊。Mirai DDoS 攻擊凸顯

了組織在 GRE 流量或遞迴 DNS 查詢合法性可視性方面所面臨

的挑戰。

思科 2017 年中網路安全報告

40 攻擊者行為

來源：Radware

來源：Radware

BrickerBot

永久性拒絕服務 (PDoS) 攻擊是行動迅速的殭屍裝置攻擊，專門

設計用來阻止裝置硬體運作，這種網路攻擊形式越來越常見。27

某些社群將 PDoS 攻擊稱為「phlashing」，這類攻擊會對系統造

成嚴重損害，導致必須重新安裝或更換硬體。PDoS 攻擊可藉由

惡意探索安全瑕疵或錯誤設定，摧毀韌體和基本系統功能。

BrickerBot 可：

• 入侵裝置：BrickerBot 的 PDoS 攻擊利用 Telnet 暴力密碼破

解攻擊來入侵使用者的裝置，與 Mirai 所用的惡意探索向量

相同。

• 損毀裝置：一旦 BrickerBot 成功存取裝置，就會執行一連串

最終會導致儲存空間損毀的 Linux 命令，接著，會發出損毀

網際網路連線和裝置效能的命令，並抹除裝置上所有檔案。

圖 33 顯示 BrickerBot 所執行的確切命令序列。

Hajime

Hajime 相當耐人尋味，威脅情報研究人員正非常密切地監視其活

動，這是因為它尚未利用目前已感染的成千上萬裝置採取任何行

動，這個殭屍網路的規模非常大，因此是極大的隱憂。Hajime 的操作員自稱為白帽駭客（請參閱圖 34）。

圖 34 來自 Hajime 作者的訊息

運作方式

Hajime 是一個複雜、具彈性、設計縝密且永不過時的物聯網殭屍

網路，可以自行更新，還能以有效且快速的方式，將更豐富的功

能延伸至其成員殭屍裝置。Hajime 就跟許多其他物聯網殭屍網路

一樣，會掃描網際網路來尋找和感染新受害者，以及找尋開放通

訊埠 TCP 23 (Telnet) 和 TCP 5358 (WSDAPI)，並利用暴力方式

密碼破解方式，來登入和控制裝置。

有趣的是，Hajime 可以為欲感染的裝置清除惡意軟體，然後藉由

控制其 Telnet 通訊提供保護，避免未來遭到汙染。如此一來，該

裝置再度成為未感染的中性狀態，不過 Hajime 的作者仍可加以

存取。

安全研究人員觀察到 Hajime 可為感染了 Mirai 的裝置清除惡意軟

體。28（同時 BrickerBot 會摧毀受 Mirai 或 Hajime 感染的裝置。）

27 如需深入瞭解本主題，請參閱＜BrickerBot PDoS 攻擊：捲土重來復仇雪恥＞(BrickerBot PDoS Attack: Back With A Vengeance)，Radware，2017 年 4 月 21 日： security.radware.com/ddos-threats-attacks/brickerbot-pdos-back-with-vengeance/。

28 如需深入瞭解本主題，請參閱＜Hajime：複雜、具彈性、設計縝密且永不過時＞(Hajime – Sophisticated, Flexible, Thoughtfully Designed and Future-Proof)， 作者：Pascal Geenens，Radware，2017 年 4 月 26 日：blog.radware.com/security/2017/04/hajime-futureproof-botnet/。

圖 33 BrickerBot.1 命令序列

思科 2017 年中網路安全報告

41 攻擊者行為

在網路空間敲詐勒索：勒索式拒絕服務 (RDoS)

2016 年，將近一半的公司 (49%) 都至少遭遇過一次網路勒索事

件，無論是勒索軟體攻擊 (39%) 或勒索式拒絕服務 (RDoS) 攻擊 (17%)。29 圖 35 顯示 2016 年世界各地區遭遇網路勒索事件的公

司比例。30

圖 35 2016 年各國家/地區的網路勒索攻擊分布

35% 北美洲

來源：Radware

39% 亞太地區

49% 歐洲

Radware 指出，最近大部分 RDoS 攻擊，都是名為 Armada Collective 的網路犯罪集團所為，他們要求的贖金通常是 10 到 200 比特幣（依目前匯率換算約為 3,600 至 70,000 美元）。通

常勒索訊息會隨著簡短的「示範」或「預告」攻擊而來，而一旦

過了支付贖金期限時，攻擊者會利用通常超過 100 Gbps 的流量

癱瘓目標的資料中心。

模仿者現在會假冒 Armada Collective 之名進行勒索。在一件嘗

試向三間希臘銀行詐取約 720 萬美元贖金31的敲詐事件中，作案

者就曾採用早期的敲詐策略，由他們發出偽造的勒索信，希望以

最低程度的努力，快速賺取利潤。以下是有助於偵測假冒勒索信

的實用秘訣：

1. 評估要求。Armada Collective 通常只會索取 20 比特幣，其他

攻擊活動要求的贖金曾高於和低於這個金額。實際上，低額比

特幣勒索信最有可能來自假冒的集團，他們希望將金額壓得夠

低，讓受害者願意支付贖金。

2. 檢查網路。真正的駭客會在傳送勒索訊息的同時發動小型攻擊，

如果網路活動有所改變，那麼勒索信和威脅就可能是真的。

3. 觀察結構。真正的駭客行動井然有序；反觀冒牌的駭客，他們

並不會與網站連結，也沒有官方帳戶。

4. 注意其他目標。真正的駭客集團會鎖定單一產業的多間公司為

目標。請向其他同業團體確認，瞭解其他組織是否也收到恐嚇

訊息。

29 第三方研究公司為 Radware 進行的全球調查中，有約 600 名受訪對象。

30 Ibid。31 ＜希臘銀行遭遇 DDoS 勒索＞(Greek Banks Face DDoS Shakedown)，作者：Mathew J. Schwartz，BankInfoSecurity.com，2015 年 12 月 2 日：

bankinfosecurity.com/greek-banks-face-ddos-shakedown-a-8714。

思科 2017 年中網路安全報告

42 攻擊者行為

不斷改變的惡意駭客經濟

過去幾年來，網路攻擊頻率、複雜性和規模遽增，意味

著駭客經濟已進入新局面。Radware 指出，現代駭客社

群受益於以下幾點：

• 可快速而輕鬆地取得各種實用且低成本的資源（請參

閱圖 36）

來源：Radware

• 高價值、易受攻擊程度持續提升的目標的數量急遽增

加，且他們將越來越多的重要資訊都置於線上

• 影子經濟的成熟程度與網際網路，為惡意人士提供了效

率、安全性與匿名性

備註：圖 36 中出現的部分資源已不再活躍。

被勒索的醫療裝置：現在進行式

若要在當今互連程度越來越高的世界有效運營，許多產業都必須

整合其 IT 和運營技術 (OT)，包含醫療保健產業在內。但是隨著

運營程序越來越錯綜複雜，裝置和系統中先前「各自獨立」的已

知安全漏洞，現在對組織造成更大的風險。舉例來說，惡意人士

可使用網路釣魚電子郵件等證實有效的戰術來入侵使用者，進而

滲透網路，在使用過時作業系統的裝置中建立立足點，並以此為

出發點，在網路中橫向移動以竊取資訊、為勒索軟體攻擊活動奠

定基礎和從事更多活動。

最近的 WannaCry 勒索軟體攻擊，說明了醫療保健系統互連程度

提高，加上安全實務作法的疲弱簡陋，如何導致組織和患者陷入

風險。這並非第一個以醫療保健產業為目標的勒索軟體攻擊，但

本次攻擊活動之所以受到矚目，是因為它影響了美國兩間醫院中

使用 Windows 系統的放射裝置。32

思科合作夥伴中，專門開發詐騙型網路安全防禦機制的 TrapX 威脅研究人員警告，使用勒索軟體和其他惡意軟體鎖定醫療裝置為

目標的活動，只會日益擴大，並將此攻擊媒介稱為「醫療裝置劫

持」(MEDJACK)。

由於常見的中小型醫院通常擁有五或六個營運單位，平均具備約 12,000 至 15,000 部裝置，在此前提下便能瞭解此攻擊事件可能

造成的嚴重影響。TrapX 指出，這些裝置中，約有 10% 到 12% 與 IP 連接。

32 ＜#WannaCry 在美國攻擊了醫療裝置＞(#WannaCry Hits Medical Devices in US)，作者：Tara Seals，InfoSecurity Magazine，2017 年 5 月 18 日： infosecurity-magazine.com/news/wannacry-hits-medical-devices-in-us/。

圖 36 網路攻擊工具與面板範例

思科 2017 年中網路安全報告

43 攻擊者行為

攻擊者

網際網路

防火牆 交換器

陷阱

陷阱

交換器

放射腫瘤科

系統

呼吸位置 調控系統

螢光透視放射科

系統

後門

後門

後門

醫療裝置和現今許多其他物聯網裝置一樣，無論是過去還是現在，

在設計或建置的過程中都並未考量安全性。這些裝置通常使用陳舊

且未經修補的系統，且醫院 IT 人員很少監控這些裝置。即使安全

團隊意識到弱點的存在，卻未必有能力採取因應措施，因為只有廠

商可以存取這些產品。在其他情況下，安全團隊必須擱置修補作

業，企業根本無法讓重要儀器處於離線狀態，即便時間再短也不

行，亦無法承受可能使設備有效性造成損害的風險；而且，有時候

必須由廠商和政府機構等其他方核准，才能對這些裝置進行任何修

改，而這個過程可能需耗時數年；支援醫療裝置的成本也可能非常

高昂。

圖 37 腫瘤科系統惡意探索

來源：TrapX

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

TrapX 最近調查的另一起 MEDJACK 事件為入侵 MRI 系統的活

動。此事件也是 Windows XP 中的弱點遭到惡意探索，攻擊者在

系統上找到病患資料，很快就發現可以趁機進行橫向移動，取得

TrapX 研究人員指出，許多網路犯罪分子想入侵醫療裝置，這已成

為攻擊者在醫院網路中橫向移動的關鍵樞軸點。惡意人士也深知，

向拯救生命的醫療裝置發動勒索軟體活動以索取贖金，就可能從中

獲得巨大利益。狠毒的惡意人士可能還可以控制包括可移植裝置在

內的裝置，進而對病患造成傷害。

TrapX 研究人員最近調查了針對一個腫瘤科系統（具有已知 Windows XP 漏洞）發動的惡意探索活動。惡意人士感染了三部

機器（其中一部是用來控制強力雷射器），並將一部變為在醫院

網路中散播惡意軟體（Conficker 的變體）的主殭屍網路（請參閱

圖 37）。

醫院 PACS 系統的控制權。（這些系統是用來集中和封存病患

記錄與其他重要資訊。）此攻擊的鑑識研究顯示，惡意人士已

在醫院網路中進行攻擊活動超過 10 個月。

交換器

思科 2017 年中網路安全報告

44 攻擊者行為

PACS 伺服器

陷阱

PACS 伺服器

Dicom

列印伺服器

攻擊者

網際網路

防火牆

交換器

PACS PACS PACS PACS

遠端用戶端

PACS PACS PACS PACS

超音波儀

內部用戶端

核磁共振造影儀 電腦斷層掃描儀

思思 2017 思思思思思思思思

圖 38 MRI 系統惡意探索

來源：TrapX

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

Windows XP 是醫療保健、能源業、製造業和其他產業運營技術

的主要基礎系統，惡意人士熟知這個作業系統是個致命弱點，因

為 Microsoft 已不再主動支援 XP，而且對於企業來說，要更新搭

載 XP 的任務關鍵裝置，是項極為艱難且所費不貲的任務。正因

如此，在使用勒索軟體的攻擊者眼中，這些裝置是極為誘人的目

標：他們知道企業寧可支付贖金，也不願面臨機器離線，或甚至

承受更糟糕的完全癱瘓風險。

對挑戰正面迎擊

TrapX 研究人員建議組織採取以下步驟，因應以醫療裝置和其他

重要 OT 技術為目標的勒索軟體攻擊，降低這類攻擊發生的可能

性及影響程度：

• 瞭解環境中與 IP 相連的醫療資產種類與數量

• 向供應商重新確認合約內容，確保供應商遵守合約中條列的

承諾，確實更新或更換軟體、裝置和系統

• 在高級管理階層和董事會層級間討論此問題，引起關注並爭

取妥善處理的承諾

• 部署技術工具，提供網路能見度並自動化威脅偵測和修復 程序

C-Arm X 光機

漏洞

思科 2017 年中網路安全報告

46 漏洞

漏洞本節概述可導致組織和使用者容易遭入侵或攻擊的漏洞和其他弱點；針對應變速度不夠

快而無法修補已知弱點、未限制無權限的雲端系統存取，以及讓基礎架構和端點處於未

受管理的狀況等等疲弱的安全措施，在此予以探討，並審視地緣環境趨勢，將如何對技

術廠商和企業同時帶來挑戰與商機。

地緣更新：WannaCry 攻擊凸顯出積存有關可惡意探索弱點知識的風險

在五月中旬出現大規模的 WannaCry 勒索軟體攻擊之前，全球

對於網路安全的討論就已急遽增加，且採取了更嚴肅的態度。

WannaCry 僅凸顯出全球社群還須付出多少努力，才能降低網路

犯罪分子和國家級惡意人士發動的未來惡意攻擊，所造成的威脅

與影響。

思科從最近這波全球攻擊中觀察到三個關鍵重點：

1. 政府應及時向廠商報告軟體瑕疵，並就這些瑕疵的惡意探索情

形來編纂決策，以利獨立監督與審查。

只有透過更清晰的透明度，才能有效讓可惡意探索的弱點無所遁

形，進而有望將這些弱點的出現機會和全球影響程度降到最低。政

府也應持續採取架構完善的程序，針對向技術開發人員與大眾公開

惡意探索弱點相關資訊的時機與處理方法，做出風險導向之決策。

2. 技術開發人員應擁有公開的風險導向機制，用來接收、處理和揭

露有關已知弱點、修補程式、防護措施和因應措施的相關資訊。

除了在產品原有的生命週期內提供安全性，技術開發人員也應向大

眾傳達處理弱點的方式、對象、原因及時機，且應致力針對共同開

發程序提供更清晰的透明度。此外，還應確保使用者確實瞭解欲報

告弱點時的聯絡對象，以便公布和修正漏洞。

3. 企業領導者必須將網路安全列為首要當務之急。

思科一直以來不斷鼓勵組織的 IT 領導者把握機會教育高級管理階

層與董事會，讓他們瞭解惡意攻擊對企業、員工和客戶以及品牌信

譽帶來的風險。現在是時候共享、聽取訊息並採取行動：企業領導

者應制定網路安全的管理基調，並強調網路安全對於整個組織的重

要性，也應確保組織的 IT 基礎架構處於最新狀態並定期更新，以

及對這些活動投入充足的預算（如需深入瞭解本主題，請參閱第 84 頁的「安全領導者：是時候將資安列為當務之急」）。

對於政府如何與世界共享漏洞資訊存在著合理爭議，但是如同我

們在 WannaCry、Shadow Brokers 和維基解密 Vault 7 與 Year Zero 案例中所看到，政府積存可惡意探索弱點會產生資訊洩漏的

可能性，這反而為國家級惡意人士和網路犯罪分子創造了巨大的

機會。

2017 年 5 月 24 日 Samba 不安全的程式庫載入 CVE-2017-7494 2017 年 3 月 6 日 Apache Struts2 遠端程式碼執行漏洞 CVE-2017-5638

2017 年 4 月 11 日 Microsoft Office CVE-2017-0199（Dridex 惡意探索） 2017 年 2 月 6 日 OpenSSl 弱點 CVE-2017-3733

2017 年 4 月 8 日 Shadow Brokers 集團揭露 Equation Group 惡意探索 2017 年 1 月 26 日 OpenSSl 漏洞

2017 年 4 月 6 日 Operation Cloud Hopper 持續發動全球攻擊活動 2017 年 1 月 18 日 Oracle CPU Oracle OLT 弱點 (Talos)

2017 年 3 月 29 日 Microsoft 網際網路資訊服務 (IIS) WebDav CVE-2017-7269

2017 年 1 月 3 日 PHPMailer 任意命令插入 CVE-2016-10033 CVE-2016-10045

2017 年 3 月 21 日 網路時間協定 2016 年 11 月 22 日 網路時間協定

2017 年 3 月 14 日 Microsoft Windows Graphics CVE-2017-0108 2016 年 11 月 10 日 BlackNurse - ICMP DOS

2017 年 3 月 7 日 維基解密 Vault 7 發佈 2016 年 11 月 4 日 Mobile OAuth 2.0 實作問題

思科 2017 年中網路安全報告

47 漏洞

我們已觀察到惡意人士以快速的步伐，已在新興的物聯網 (IoT) 領域取得一席之地，而物聯網中四處蔓延的已知和未知漏洞。政

府有明確的機會可協助技術開發人員打造更安全的物聯網世界，

但是他們需要開始改變其實務作法，並以更清晰的透明度為目標

前進。

與此同時，技術開發人員應積極建立報告機制，確認政府支持收

集惡意探索活動，也鼓勵及時報告和共享資訊。

使用者也肩負重要責任：必須主動持續修補和更新軟體，並升級

不再受支援的產品。

弱點更新：揭露關鍵資訊後攻擊增加

上一份思科安全報告中所討論較受矚目的漏洞（如 OpenSSL 弱點.）資訊揭露33，近幾個月維持穩定狀態（請參閱圖 39）。但

是思科研究部門發現了與重大資訊揭露有關的活躍弱點活動：

Shadow Brokers 集團發佈了影響 Microsoft Windows 的弱點惡

意探索活動34；Operation Cloud Hopper 攻擊活動對託管服務供

應商發動網路釣魚攻擊35；以及維基解密 Vault 7 發佈了美國情報

文件，聲稱可解釋入侵熱門軟體解決方案與作業系統的方法。36

請務必瞭解，弱點的存在與惡意探索活動，可以在大眾未察覺的

情況下發生。舉例來說，Shadow Brokers 揭露的弱點多年來持

續遭到利用。洩漏弱點可讓更多人加以惡意探索，但是也會讓防

禦者得以採取因應防禦措施。

日期

資料來源：思科資安研究部門

33 思科 2015 年度安全報告：cisco.com/web/offer/gist_ty2_asset/Cisco_2015_ASR.pdf。34 ＜思科說明 Shadow Brokers 於 2017 年 4 月 14 日發佈的資訊＞(Cisco Coverage for Shadow Brokers 2017-04-14 Information Release)，思科 Talos 部落格，

2017 年 4 月 15 日：blog.talosintelligence.com/2017/04/shadow-brokers.html。35 ＜Operation Cloud Hopper：以中國為據點的駭客鎖定代管服務供應商＞(Operation Cloud Hopper: China-Based Hackers Target Managed Service Providers)，

作者：Kevin Townsend，SecurityWeek.com，2017 年 4 月 6 日：securityweek.com/operation-cloud-hopper-china-based-hackers-target-managed-service-providers。36 ＜維基解密 Vault 7 揭密：迄今我們掌握的資訊＞(The WikiLeaks Vault 7 Leak – What We Know So Far)，作者：Omar Santos，思科安全部落格，2017 年 3 月 7 日：

blogs.cisco.com/security/the-wikileaks-vault-7-leak-what-we-know-so-far。

圖 39 重要公告，2016 年 11 月至 2017 年 5 月

活動 日期 活動

思科 2017 年中網路安全報告

48 漏洞

4K

3.5K

3K

2.5K

2K

1.5K

1K

0.5K

0

正朝每年 36% 的增加量發展

正朝每年 35% 的增加量發展

正朝每年 46% 的增加量發展

審視維基解密揭露的弱點過程中，防禦者發現一個令人擔憂的問

題，那就是他們無從得知政府單位展開的惡意探索活動，因此也

不知道有哪些相關弱點。對於還存在哪些其他尚未揭露的弱點，

防禦者的疑慮是正確的。

另外也請注意圖 39 中的清單：針對 Microsoft Office 揭露的弱點

迅速遭到 Dridex 殭屍網路惡意探索37，如思科所報告，Microsoft 弱點的惡意探索活動是在含有惡意附件的電子郵件型攻擊中發

現。此外，Apache Struts2 弱點也迅速遭惡意探索。38

用戶端與伺服器弱點增加

正如思科 2016 年中網路安全報告中所探討，伺服器端弱點數量

不斷增加：惡意人士熟知藉由惡意探索伺服器軟體中的弱點，

可以更有效存取企業網路。39在 2017 年初幾個月間，依照伺服

器端弱點數量的增加趨勢看來，似乎會比 2016 年的弱點數多出 36%；而用戶端弱點數量可能會比 2016 年多出 35%（請參閱 圖 40）。

伺服器端弱點增加的其中一個原因，就是第三方軟體弱點需

要以手動方式修補，若未及時進行手動修補，伺服器端弱點

的惡意探索時間範圍會相當長。此外，雖然用戶端弱點數量

也呈上升趨勢，但是可以透過自動更新加以修補，有助於在

短時間內圍堵惡意探索的時間範圍。

圖 40 用戶端與伺服器弱點

弱點數量

伺服器 弱點

用戶端 弱點

網路 弱點

2015 年 2016 年 2017 年

資料來源：思科資安研究部門

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

37 ＜思科說明 CVE-2017-0199＞(Cisco Coverage for CVE-2017-0199)，思科 Talos 部落格，2017 年 4 月 14 日：blog.talosintelligence.com/2017/04/cve-2017-0199.html。38 ＜Content-Type：惡意—新推出的 Apache Struts2 遭受零時差攻擊＞(Content-Type: Malicious - New Apache Struts2 0-Day Under Attack)，作者：Nick Biasini，思科 Talos 部落格，

2017 年 3 月 8 日：blog.talosintelligence.com/2017/03/apache-0-day-exploited.html。39 ＜惡意人士發現伺服器型攻擊活動有利可圖＞(Adversaries See Value in Server-Based Campaigns)，思科 2016 年中網路安全報告：

cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html。

思科 2017 年中網路安全報告

49 漏洞

53

468

11

125

605

24

129

621

34

145

635

37

232

1027

弱點攻擊套件活動數量大幅下降

與弱點有關的弱點攻擊套件活動數量明顯下降，與惡意人士使

用弱點攻擊套件的整體次數下滑情形不謀而合（請參閱第 9 頁）。由於軟體廠商（尤其是網頁瀏覽器）封鎖了常見威脅媒介

的使用管道，例如以 Adobe Flash 和 Java 建立的內容等，越來

越多惡意人士改採較簡單的戰術，像是勒索軟體、DDoS 和業務

電子郵件入侵 (BEC) 等（請參閱第 22 頁）。

圖 41 2016 年 11 月至 2017 年 5 月首要威脅類別

CWE-339： 資源管理錯誤

CWE-94：代碼注入

資料來源：思科資安研究部門

CWE-79： 跨網站指令碼攻擊 (XSS)

CWE-352： 跨網站請求偽造 (CSRF)

CWE-310： 密碼編譯問題

漏洞類別：緩衝區錯誤仍位居第一

綜觀共通弱點條目 (CWE) 威脅類別，緩衝區錯誤仍是犯罪分子惡

意探索的程式碼編寫錯誤中最常見的類別（請參閱圖 41），這是

軟體開發人員會重複發生的程式碼編寫錯誤，若要防止這個錯誤

出現，開發人員應確實限制緩衝區，以防遭到惡意探索。

CWE-264： 權限、特權和存取控制

CWE-89：SQL 資料隱碼 CWE-22：路徑遍訪

CWE-78： 作業系統指令注入

CWE-200：資訊洩露/揭露

CWE-59：連結追蹤

CWE-20：輸入驗證

CWE-287：認證問題

0

CWE-16：組態設定

CWE-119：緩衝錯誤

思科 2017 年中網路安全報告

50 漏洞

可能已遭勒索

10K

5K

0

100

75

50

25

0%

發現新的 CouchDB 伺服器

2017 年 1 月攻擊者開始加密公用 MongoDB 執行個體，並以

加密金鑰和軟體作為威脅進行勒索。自那之後，攻擊者將針對

伺服器的勒索軟體目標擴展到其他資料庫，例如 CouchDB 和 Elasticsearch。40 因為這些 DevOps 服務因未受妥善部署，或是

刻意維持開啟狀態以便供合法使用者使用，所以經常對外暴露。

思科合作夥伴中的分析解決方案供應商 Rapid7 將發生在 MongoDB、CouchDB 和 Elasticsearch 上的攻擊稱為「DevOps 勒索軟體攻擊」，這間公司把 Docker、MySQL 和 MariaDB 和其

他熱門 DevOps 元件包含在其定義之中。

自 2017 年 1 月開始，Rapid7 持續針對這些技術執行定期網際網

路清理作業，並對開放執行個體和遭勒索的執行個體編成目錄。

從暴露在網際網路中的資料表名稱判斷，其中部分 DevOps 服務

可能包含個人識別資訊 (PII)。

以下為從 Rapid7 的清理程序中發現的重點結果概覽。

CouchDB

約 75% 的 CouchDB 伺服器可歸類為完全開放（暴露在網際網

路中且無需驗證），僅不到四分之一需要驗證（至少有某些憑

證），約 2% 至 3% 可能已遭勒索，聽起來也許不多，但還需考

慮 Rapid7 發現約 2% 的 CouchDB 伺服器似乎包含 PII，這些 PII 包括臨床藥物試驗資訊、信用卡號和個人聯絡資訊。

圖 42 CouchDB 狀態分布

比例分布

每次掃描發現的數量

1 2 3

需要 驗證

4

完全開放的 CouchDB

來源：Rapid7

40 ＜MongoDB 之後，勒索軟體集團攻擊對外暴露的 Elasticsearch 叢集＞(After MongoDB, Ransomware Groups Hit Exposed Elasticsearch Clusters)，作者：Lucian Constantin， IDG 新聞社，2017 年 1 月 13 日：pcworld.com/article/3157417/security/after-mongodb-ransomware-groups-hit-exposed-elasticsearch-clusters.html。

Elasticsearch

跟 CouchDB 一樣，超過 75% 的 Elasticsearch 伺服器可歸類為

完全開放，約 20% 可能已遭勒索。好消息是根據 Rapid7 的分

析，這類伺服器含中有 PII 的比例非常低。

別讓 DevOps 技術導致企業暴露在風險中

思科 2017 年中網路安全報告

51 漏洞

每次掃描發現的執行個體數

20K

10K

0

每次掃描發現的執行個體數

60K

30K

0

100

75

50

25

0%

情況出乎意料地有所改善

100

75

50

25

0%

圖 43 Elasticsearch 狀態分布

比例分布

1 2 3

has_pii open_es ransomed

4

MongoDB

儘管一月的勒索軟體攻擊鎖定數千個 MongoDB 伺服器為目標，

使用這些伺服器的使用者和組織仍需改善其安全實務。Rapid7 在清理期間遇到的伺服器中，將近百分之百都可歸類為完全開放，

好消息是這些伺服器中似乎只有極少數包含敏感資訊。

圖 44 MongoDB 狀態分布

比例分布

1

來源：Rapid7 來源：Rapid7

2 3

is_pii is_pwnd open_mon

4

Rapid7 也發現，許多可能已被勒索軟體入侵的 MongoDB 伺服

器，都處於使用壽命結束階段，但是極大部分是較新且仍受支援

的版本，只是最近尚未（或從未）進行更新或修補（請參閱下頁

圖 45）。

思科 2017 年中網路安全報告

52 漏洞

發行年份

2016 年

2014 年

2012 年

2010 年

1337 (63.8%) 4 (80%)

90 (76.9%)

3.53.43.3

3.23.1

3.02.8

1 (20%) 759 (36.2%)

27 (23.1%)

7899 (80.3%) 1942 (19.7%)

仍受支援

使用壽命結束

4463 (82.1%)

5585 (85.2%)

6554 (92.4%)

35 (94.6%)

3 (100%) 17 (81%)

4 (80%)

606 (88.1%)

1101 (91.8%) 8 (80%)

148 (91.4%)

78 (94%)1 (100%)

2.7

2.62.5

2.42.3

2.2

2.12.01.8

1.6

1.5

2 (5.4%) 971 (17.9%)

4 (19%) 972 (14.8%)

1 (20%)541 (7.6%)

1 (100%)

82 (11.9%)

2 (20%)99 (8.2%)

14 (8.6%)5 (6%)

系統數

1000

500

0

極可能是專為 實驗設置的系統

未知系統 實際執行系統

圖 45 MongoDB 版本

來源：Rapid7

圖 46 顯示 Rapid7 在研究中發現 MongoDB 伺服器上對外暴

露的資料表數量。大多數伺服器的資料表數量少於 10 個，這

些極有可能是專為實驗設置的伺服器；但是有部分伺服器擁有

已遭入侵/勒索 未遭入侵/勒索

20 個或 20 個以上的的資料表，意味著這些為實際執行系統。一個

暴露在網際網路中的伺服器擁有超過 2200 個資料表。

圖 46 2017 年 1 月至 4 月 MongoDB 資料庫大小分布，按對外暴露的資料表數量排列

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 17 18 19 20 21 22 24 26 28 29 30 34 39 45 47 49 57 58 59

來源：Rapid7

對外暴露的資料表數量

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

72 148 2253

思科 2017 年中網路安全報告

53 漏洞

中國

法國

荷蘭

德國

日本

新加坡

英國

俄羅斯

加拿大

愛爾蘭

大韓民國

香港

以色列

義大利

台灣

波蘭

澳洲

白俄羅斯

巴西

匈牙利

斯洛維尼亞

瑞典

越南

阿根廷

比利時

保加利亞

希臘

100 200 300

Docker

Rapid7 也針對 Docker 進行了研究，這個協調框架的操作員從

一開始就相當重視安全性，但是即使他們付出這麼多努力，根據 Rapid7 分析，仍有超過 1000 個 Docker 執行個體處於完全開放

狀態，大部分 Docker 執行個體都是在美國或中國發現（請參閱

圖 47）。

許多開放 Docker 執行個體可能是遭遺棄或遺忘的測試系統，但

是 1000 個開放執行個體中，有 245 個擁有至少 4 GB 的配置記

憶體，且可能為使用中的實際執行系統（請參閱下頁圖 48）。

圖 47 2017 年 1 月至 4 月各國 Docker 執行個體分布

美國

來源：Rapid7

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

思科 2017 年中網路安全報告

54 漏洞

可能為測試/遭遺忘/非實際執行系統

50

40

30

20

10

0

4

245 個執行個體使用 4 GB 或以上 的配置記憶體，且可能為實際執行系統

50 100 150 200 250

總記憶體量 (GB)

執行個體數量

30

20

10

0

199 個執行個體擁有超過 3 個作用中容器，且可能為實際執行系統

20 40 60 80 100 120 140 180

3 容器數量

160 200

圖 48 2017 年 1 月至 4 月針對 Docker 使用的配置總記憶體量分布

執行個體數量

來源：Rapid7

圖 49 2017 年 1 月至 4 月各執行個體的總執行中容器數分布

可能為測試/遭遺忘/非實際執行系統

來源：Rapid7

組織應變速度不夠快，無法修補已知的 Memcached 伺服器漏洞

惡意人士正積極尋找暴露在網際網路中的不安全資料庫，想方設

法加以入侵、從中竊取資料或挾持以進行勒索，而自從一月以來

發動的勒索軟體攻擊影響了數千個 MongoDB 資料庫以來，勒索

作法迅速普及。41

MongoDB 等服務本來就不是為了暴露在不受信任的環境中使用所

設計，且缺少強式（或根本沒有）驗證。思科威脅研究人員研究

了類似服務中的弱點，舉例來說，2016 年底我們執行了一次程式

碼稽核，目的是評估 Memcached 快取伺服器的安全性，組織會

使用 Memcached 來提升網路服務與應用程式的速度和效能。

41 ＜惡意人士劫持 MongoDB 資料庫進行勒索＞(MongoDB Databases Actively Hijacked for Extortion)，作者：Ionut Arghire，SecurityWeek，2017 年 1 月 4 日： securityweek.com/mongodb-databases-actively-hijacked-extortion。

此外 Rapid7 還發現，199 個完全開放的 Docker 執行個體至少

擁有 3 個有效的執行中容器，某些甚至擁有高達 160 個（請參

閱圖 49）。使用這些不安全實際執行系統的組織正面臨巨大風

險，惡意人士可能會建立 shell 連線，從網際網路連線至各個系

統並加以控制。

組織若使用上述和其他 DevOps 技術的公用網際網路執行個體，則

必須立即採取行動，確保自己未處於風險之中。安全團隊必須：

• 開發嚴實的 DevOps 技術安全部署標準

• 持續積極瞭解公司擁有的公用基礎架構

• 持續更新和修補 DevOps 技術

• 執行漏洞掃描

美國 29,660 36,937

中國 16,917 18,878

英國 4713 5452

德國 3047 3698

法國 3209 5314

日本 3003 3607

荷蘭 2556 3287

印度 2460 3464

俄羅斯 2266 3901

香港 1820 1939

思科 2017 年中網路安全報告

55 漏洞

總數中 79% 的伺服器 易受攻擊

具備有效回應的伺服器總數：107,786

其中

99% 仍然易受攻擊

我們在調查中發現了遠端程式碼執行弱點42，這是伺服器驗證機制

中的其中一種弱點，表示即使伺服器已啟用驗證功能，仍有可能

遭惡意探索。思科威脅研究人員向廠商報告了這些弱點，而廠商

很快就發佈了修補程式。

報告這些弱點的幾個月後，我們針對整個網際網路執行了掃描，

檢查修補程式部署的狀態。雖然廠商的修補速度很快，Linux 發行

版本也迅速發佈了更新，我們還是發現將近 110,000 部對外暴露

的 Memcached 伺服器中，有 79% 仍然容易受到我們所報告的

遠端程式碼執行弱點影響（請參閱圖 50）。

此外，只有 22% 的伺服器啟用了驗證功能。實際上，可以說所

有需要驗證的伺服器（23,907 中的 23,707 個）都仍然易受攻擊

（請參閱圖 50）。我們研究中涵蓋的伺服器遍布全球各地，但是

大部分都位於美國和中國，截至我們在三月份進行的最後一次調

查為止，大部分容易受攻擊的伺服器也位於這兩個國家（請參閱

圖 51）。

總而言之，雖然思科威脅研究人員並未發現有任何伺服器因為這

三個弱點而遭入侵，不過遲早會發生。漏洞相關資訊以及用來修

正弱點的修補程式，數個月前就已公開。

圖 50 弱點：Memcached

具有 Memcached 弱點的 伺服器總數

隨著攻擊暴露在網際網路中的資料庫和其他基礎架構的這項影子

經濟趨勢開始萌芽，修補已知弱點的需求變得更為迫切，即使設

有驗證機制，DevOps 服務仍處於險境，正因如此，應將這類服

務與受信任環境隔離（如需深入瞭解箇中風險，請參閱「別讓 DevOps 技術導致企業暴露在風險中」第 50 頁）。

圖 51 2017 年 2 月至 3 月各國 Memcached 伺服器數量

國家/地區

資料來源：思科資安研究部門

99% 需要驗證的的伺服器 仍然易受攻擊

只有 22%

的伺服器 需要驗證

42 如需詳細資訊，請參閱下列 2016 年 Talos 漏洞報告：＜Memcached 伺服器 Append/Prepend 遠端程式碼執行弱點＞(Memcached Server Append/Prepend Remote Code Execution Vulnerability)talosintelligence.com/vulnerability_reports/TALOS-2016-0219；＜Memcached 伺服器更新遠端程式碼執行弱點＞(Memcached Server Update Remote Code Execution Vulnerability)talosintelligence.com/vulnerability_reports/TALOS-2016-0220；以及＜Memcached 伺服器 SASL 驗證遠端程式碼執行漏洞＞(Memcached Server SASL Authentication Remote Code Execution Vulnerability) talosintelligence.com/vulnerability_reports/TALOS-2016-0221。

資料來源：思科資安研究部門

易受攻擊的伺服器數量 伺服器總數

思科 2017 年中網路安全報告

56 漏洞

0 2014 2015 2016 2017

雲端對駭客來說是嶄新邊界，且他們正認真探索雲端作為攻擊向

量的可能性。駭客深知雲端系統是任務的關鍵要素，對現在的許

多組織而言都扮演重要角色，也發現他們可藉由入侵雲端系統，

以更快的速度滲透連線的系統。

自 2016 年底以來，思科觀察到以雲端系統為目標的駭客活動數

量有所增加，且攻擊範圍相當複雜。

2017 年 1 月，我們的研究人員發現了嘗試尋找有效遭入侵企業識

別身分的駭客，這些駭客可能是利用網路上已知的遭入侵帳戶清

單，透過暴力密碼破解攻擊，建立了一個經驗證企業使用者憑證

庫（使用者名稱與密碼），並且使用 20 個高度可疑 IP 上的伺服

器，嘗試登入多個企業雲端部署。

2016 年 12 月到 2017 年 2 月中期間，研究人員運用行為分析和

其他工具，分析了數千名客戶的企業雲端環境。我們找出了可疑

登入企圖活動之間的類似模式，這些活動是以我們研究中 17% 的組織為目標，駭客透過 20 個 IP 隨機回收以規避偵測。

我們已向客戶警示這個問題，並將可疑 IP 列入封鎖清單中。駭客

使用經驗證企業使用者憑證庫的目的為何尚無從得知，可能是打

算發動魚叉式網路釣魚，或為社交工程攻擊活動做準備。惡意人

士也可能想販賣有效的使用者名稱和密碼組合，或是親自使用憑

證來登入使用者的帳戶，試圖洩漏敏感資料或入侵其他合作者。

已知的情況為，駭客嘗試用來存取企業雲端系統的大部分憑證，

都與已在先前的漏洞攻擊中遭入侵的企業帳戶有關。

OAuth（開放授權）可促進雲端功能，卻也可能帶來風險

在《思科 2017 年度網路安全報告》中，我們檢查了由員工引入

企業的連線第三方雲端應用程式風險。一旦使用者透過開放授權 (OAuth) 授與存取權，這些應用程式便會觸及公司基礎架構，且

可在公司雲端和軟體即服務 (SaaS) 平台之間自由通訊。

如圖 52 所示，根據我們的研究，自 2014 年起，每組織的唯一

連線雲端應用程式數量已大幅增加。現今一般企業的環境中擁有

超過 1,000 個唯一應用程式，且這些應用程式的不同安裝次數超

過 20,000 次。

圖 52 每個組織的唯一連線雲端應用程式數量

唯一應用程式的平均數量

1000

1050

800

600

400

200

資料來源：思科資安研究部門

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

年份

惡意駭客繞道雲端，縮短抵達頂層目標的路徑

思科 2017 年中網路安全報告

57 漏洞

88%的管理任務是 由前 2 位特權 使用者執行

最近鎖定 Gmail 使用者及試圖濫用 OAuth 基礎架構的網路釣魚

活動，已顯現出 Oauth 正面臨資安風險的跡象。43 攻擊者試圖

控制使用者的電子郵件帳戶，並向其聯絡人散播網路釣魚蠕蟲。

Google 報告指出，其 10 億使用者中約有 0.1% 的使用者受到這

些活動的影響。44 思科威脅研究人員保守估計受到蠕蟲感染的公

司超過 30 萬間。45

雲端是受忽略的區域：單一特權雲端使用者會造成巨大風險

目前，最大的漏洞有些是因為單一特權使用者帳戶遭洩漏或不當

使用所引起。若駭客取得特權帳戶存取權，就像是將虛擬的「通

往王國之鑰匙」拱手讓出，且可讓駭客大肆竊取資料，進而造成

嚴重損害。不過，大多數組織對此風險卻未給予足夠的關注。

為了更有效評估此安全性問題的影響範圍，思科威脅研究人員對 495 個組織的 4,410 個特權使用者帳戶進行檢查，發現每個雲端

平台上每 100 位使用者中，就有六位使用者擁有特權使用者帳戶

（請參閱圖 53）。然而，在大多數組織中，平均只有兩位特權使

用者會執行大部分的管理任務 (88%)。我們也確定，組織從管理

帳戶中移除 75% 的「超級管理員」特權，對於業務的影響微乎

其微。

圖 53 特權使用者帳戶數量虛高

6/100 每個雲端平台上每 100 位使用者中有 6 位使用者具有特權使用者帳戶

75% 的特權可從管理帳戶中移除， 對於業務的影響微乎其微

資料來源：思科資安研究部門

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

43 ＜Google Docs 網路釣魚攻擊顯現出 OAuth 的安全性風險＞(Google Docs Phishing Attack Underscores OAuth Security Risks)，作者：Michael Kan，IDG News Service，2017 年 5 月 5 日： pcworld.com/article/3194816/security/google-docs-phishing-attack-underscores-oauth-security-risks.html。

44 ＜大量 Google Docs 網路釣魚攻擊 100 萬個 Gmail 帳戶（更新內容）＞(A Massive Google Docs Phish Hits 1 Million Gmail Accounts—UPDATED)，作者：Thomas Fox-Brewster，富比士， 2017 年 5 月 3 日：forbes.com/sites/thomasbrewster/2017/05/03/massive-google-gmail-phish-many-victims/#219602e142a1。

45 思科的預估數字是根據付費購買 Google 雲端生產力工具的企業數量（請參閱＜超過 300 萬個企業付費購買 Google 的 G Suite＞(More than 3M businesses now pay for Google´s G Suite)， 作者：Frederic Lardinois，TechCrunch，2017 年 1 月 26 日：techcrunch.com/2017/01/26/more-than-3m-businesses-now-pay-for-googles-g-suite/），以及使用思科雲端存取安全中介 (CASB) 解決方案，並受到鎖定 Gmail 使用者之網路釣魚活動影響的客戶數量（約 10%）。

思科 2017 年中網路安全報告

58 漏洞

網路存取

82% 1 或 2 個 IP

根據我們的研究，約 82% 的特權使用者每個月僅從一個或兩個 IP 地址登入（請參閱圖 54）。超出這些正常模式範圍的活動都應接

受調查。

我們也發現，60% 的特權使用者從不會登出作用中的階段作業，

而使未經授權的使用者更容易取得存取權，且不會受到偵測（請參

閱圖 55）。使用者應每日登入執行管理動作，並且在工作完成後

登出。

圖 54 特權使用者活動（從 IP 地址的每月登入活動）

資料來源：思科資安研究部門

接受雲端安全性的責任分擔

如果公司希望擴大雲端的使用量，則必須瞭解自己在保障雲端安

全時所扮演的角色。雲端服務供應商會負責保護其所販售的技術

在實體、法律、運作及基礎架構方面之安全性。而基礎雲端服務

的使用安全則由企業自行負責。運用雲端服務供應商在確保內部

部署環境安全性時，所採用的同一套最佳實務作法，可有效遏止

雲端系統遭到未經授權的存取。

圖 55 60% 的特權使用者從不會登出作用中的階段作業

資料來源：思科資安研究部門

思科 2017 年中網路安全報告

59 漏洞

現今的動態網路引發新的安全性風險及落差，並降低能見度，進而

導致攻擊層面擴大。雲端是造成此問題的主要因素；而惡意及所謂

影子 IT 裝置和應用程式，也是背後原因之一。不在網路及資產管

理解決方案範圍內的網路和端點，也可能導致未知和未受管理的安

全性落差。

許多公司均低估了在企業網路、端點和雲端基礎架構盲點的風險

（與盲點數量）。根據思科合作夥伴 Lumeta 的研究，缺乏可視性

會導致平均 20% 到 40% 的網路及端點基礎架構淪為未知或不受

組織管理。Lumeta 是一間提供網路情境感知技術的公司。此問題

會對垂直市場類型的公司造成影響，包括：政府、醫療保健、金融

服務和科技業。

未受管理的網路基礎架構和端點將輕易遭到攻擊者入侵，這些攻擊

者試圖取得立足點，以便在組織內橫向移動，進而破壞特定目標。

此外，也可能會遭攻擊者用來洩漏資料或傳送未經授權的 ToR 流量，或者可能成為殭屍網路的一部分。即使是簡易路由器、網路防

火牆或分段設定錯誤，都可能讓攻擊者有機可趁，藉機滲透基礎架

構，並取得敏感資料的存取權。

若要取得可視性，組織必須要能夠存取即時的內容式安全性情

報。如果沒有支援即時監控和洩漏路徑偵測功能的解決方案，攻

擊者便可順利地在網路內移動，且不會受到檢查和偵測。此外，

組織應檢閱其分段原則，並利用可測試有效性的完整工具。

組織也必須清查連線至網路的裝置和系統。如果資安團隊手中只

有快照檢視圖或舊的託管裝置清單可以參照，則可能會遺漏至少 20% 實際硬體接線至網路的裝置。由於企業網路、端點和雲端基

礎架構會持續變更，且安全性人員無法單獨有效進行監控，因此

應定期且自動執行這些清查作業。

未受管理的基礎架構和端點使組織暴露在危險之中

防禦者的安全性挑戰和機會

思科 2017 年中網路安全報告

61 防禦者的安全性挑戰和機會

若要瞭解更多有關 IT 及 OT 整合的資訊，請參閱 思科白皮書《IT/OT 整合：促進數位製造發展》 (IT/OT Convergence: Moving Digital Manufacturing Forward)。

防禦者的安全性挑戰和機會在本節中，我們將利用思科最新的資安能力基準研究，透過一系列簡短的個案研究探討

特定垂直市場的發現。我們也會提供實用資料，建議組織可以藉由減少合作的安全性廠

商數量，以提升安全性，並且討論公司的規模大小如何對安全性造成影響。最後，我們

會運用資安領導企業擁有的機會，邀請企業高層主管一同對網路安全性加以討論，力圖

讓網路安全性成為企業中的優先事項。

資安能力基準研究：聚焦垂直市場

我們利用 2017 年的研究資料檢視了數個垂直市場。46 研究結果

與與對於關鍵產業挑戰的洞察見解不謀而合，這些見解包括：保

護客戶資料、處理規範限制，以及將較新連線系統與舊版軟體相

互整合。

儘管每個產業面臨的安全性挑戰各不相同，且資安成熟度也依產

業而有所差異，但仍有共同關注的問題。每個產業的資安專業人

員都注意到威脅的複雜度不斷演變，也深知搶先敵人採取行動的

必要性。許多組織都曾有過公共資安漏洞的經驗，因此減輕損害

（例如客戶流失）及預防類似漏洞都是注意清單上的首要任務。

在許多垂直市場中，整合資訊科技 (IT) 及運營技術 (OT) 的需

求是關鍵所在，並且必須確保整合系統受到妥善保護。最近的 WannaCry 勒索軟體攻擊造成汽車產業中雷諾-日產品牌的位於歐

洲的車廠暫時關閉，此即為連線系統受到攻擊影響的案例之一。

只要連線未受到安全保護，且是以協調方式執行，則即使是非鎖

定式的勒索軟體也會影響 OT 系統。47

過去，這些技術及其個別團隊都是獨立運作：OT 人員負責管理

機器和廠房，而 IT 人員則管理企業商務應用程式。現在，使用

者可從企業端存取許多 OT 感應器和系統。例如，製造執行系統 (MES) 現在可從這些感應器尋找遙測串流，進而更有效地最佳化

和預測運作。

隨著連線系統進入 OT 環境，IT 及 OT 人員不再彼此隔絕。他們

可以透過共用資料進行分析，促進改善安全及產品品質，並藉此

而受益；也可以攜手合作，一同管理網路安全威脅。若要達到此

目標，雙方必須開發深度防禦能力，因為未連線的孤島式系統將

無法提供完整的 IT 及 OT 檢視。

46 《思科 2017 年度網路安全報告》，第 49 頁：b2me.cisco.com/en-us-annual-cybersecurity-report-2017?keycode1=001464153。47 ＜全球網路攻擊造成雷諾-日產 5 間車廠停工，如今即將恢復運作＞(Renault-Nissan Is Resuming Production After a Global Cyberattack Caused Stoppages at 5 Plants)，

作者：Laurence Frost 和 Naomi Tajitsu，BusinessInsider.com，2017 年 5 月 15 日：businessinsider.com/renault-nissan-production-halt-wannacry-ransomeware-attack-2017-5。

數據遺失防護 (DLP)

DDoS 防禦

電子郵件/訊息安全

加密/隱私權/資料保護

修補與設定

網路安全

受到安全防護的無線網路

自攜裝置 (BYOD) 和智慧型裝置數量的大幅增加 29 28 29 25

災害復原和企業永續經營的可行性 28 25 26 21

法規遵循限制 30 25 24 20

進階持續性威脅 34 33 34 30

勒索軟體 29 25 25 21

資料來源：思科 2017 年資安能力基準研究

37 39 44 45

32 35 40 42

思科 2017 年中網路安全報告

62 防禦者的安全性挑戰和機會

公司規模大小會影響安全性策略

攻擊者破壞網路及竊取資訊時，中小型企業 (SMB) 在處理影響

的復原能力比不上大型組織。遇到品牌聲譽因公共資安漏洞而受

損，導致客戶換選其他競爭對手的情況時，大型企業比小型企業

更能安然度過所遭受的影響。由於業務中斷的風險提高，中小型

企業可藉由確保部署安全性處理程序及工具，將威脅和漏洞影響

降至最低，以鞏固期安全性情勢。

我們在檢視《2017 年資安能力基準研究》的資料後發現，相較於

大型組織，中小型企業（定義為員工人數介於 250 到 499 人之

間的組織）的防禦作業明顯不足。而中小型企業用以保護組織安

全的資源當然會比較少，且專業技術亦有限，因此較容易將某些

威脅或功能視為高風險。被問及對於組織具有高風險的領域時，

29% 的中小型企業表示是勒索軟體，員工人數超過 1 萬人、且同

樣認為是勒索軟體為高風險領域的組織則有 21%；30% 的中小型

企業將法規遵循限制視為高風險領域，而大型公司中只有 20% 持相同看法（請參閱圖 56）。

圖 56 所認為的威脅風險（依組織大小區分）

風險：您認為下列哪一項會對貴公司造成高資安風險（若有）？

百分比 組織大小

500 - 999 人

1000 - 9999 人

由於預算和專業技術較少，中小型企業也較不可能就地部署關鍵安全性防禦。例如，僅 34% 的中小型企業表示其使用電子郵件安全性功能，大型組織則有 45% 加以採用（請參閱圖 57）；而相較於大型組織有 52% 均採用數據遺失防護防禦，中小型企業則僅 40% 加以採用。

圖 57 使用關鍵威脅防禦的可能性（依組織大小區分）

複雜度：如果貴組織目前已採用安全威脅防禦措施，請問該措施屬於下列何種類型？

端點保護/防毒、 防惡意軟體

250 - 499 人

百分比 組織大小

500 - 999 人

1000 - 9999 人

10,000 人 以上

資料來源：思科 2017 年資安能力基準研究

36 37 45 45

26 28 32 35

39 38 49 52

40 43 47 52

33 35 42 39

34 41 45 45

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

與中小型企業相比，大型組織更有可能明文規定正式策略 — 有 66% 的大型組織會明文規定正式策略，而僅 59% 的中小型企

業會採取相同作法 — 且 36% 的大型企業會要求廠商通過 ISO 27018 認證，相比之下僅 30% 的中小型企業會這麼做。

期望改善安全性態勢的中小型企業，可著重於改善安全性原則及

程序，並擴大採用常見的威脅防禦作法，以降低攻擊造成不利影

響的風險。與外部資安服務合作，可提供實施有效的正式安全性

策略之所需專業技術，進一步制定最佳實務作法，同時加強人員

對於監控作業及事件回應的專業技能。

若要採用符合企業需求及預算的安全性基礎架構，資安團隊應與廠

商共同合作，提供整合式的解決方案，將安全性環境簡化為可加以

管理，又能維持有效運作的層級。同樣地，日益成長的組織可以遵

循 NIST 網路安全框架 (NIST Cybersecurity Framework) 等標準來

建置安全性環境。對於不同規模的企業，資安策略必須更加完善，

才能提供更有效的防務成果，進而抵禦不斷變化的威脅。

250 - 499 人

10,000 人 以上

思科 2017 年中網路安全報告

63 防禦者的安全性挑戰和機會

在安全性部門內，關於要採用同級最佳解決方案，還是整合式架構

防禦策略，兩方人馬持續拉鋸，至今仍未有定論。而資安團隊卻面

臨另一個會影響所有安全性策略的挑戰：團隊內部缺乏專業的安全

性知識。隨著威脅持續演變、技術選擇大幅增長，組織應加重仰賴

安全服務技術，以彌補人才缺口。

對於資安團隊而言，他們雖不斷力圖求招募並延攬合格人才，但仍成

效不彰；《資安能力基準研究》發現，缺乏經過訓練的專業人員，是

阻礙許多產業採用進階安全性程序和技術的主要障礙。確實，人才短

缺是全球問題。再次強調，外部服務可以彌補人才缺口。

思科資安服務專家指出，許多組織在建立防禦框架時，往往會遺漏

安全性環境專業知識這項元素。長期耕耘資安領域的專業人員，其

所具備的專業技術往往能提供出色分析，即便是最優異的自動化解

決方案，或許也未能企及。

「警示疲勞」一直是內部資安團隊持續面臨的問題。誠如《2017 年資安能力基準研究》中許多垂直市場主題的文章所述，許多安全

性人員每日收到的警示數量，遠比他們所能夠調查的數量還要來得

多，這可能導致嚴重的威脅未能受到即時修復。系統其實可以自動

化處理所產生許多低層級警示，但許多組織卻未能善用此良機，當

然箇中原因可能與資源不足或缺乏技術有關。若能盡可能自動化處

理低層級的警示，組織便可專注處理可能對組織中其他環境造成更

大影響的優先問題。

造成警示疲勞的原因眾多。孤島式系統可能會建立重複的警示，

或者團隊不知道該如何區別警示或誤判的優先順序。他們可能缺

乏工具，例如可判斷潛在威脅來源的稽核功能。外部服務可以跳

脫框架思考，克服「警示疲勞」的問題，並針對需要回應的威脅

提供詳細且周延的建議。

缺乏產品知識也可能對資安團隊造成阻礙，使其無法讓購買的技

術發揮最大價值。許多情況下，都是由產品專家來執行產品，而

非安全專家。資安團隊可能無法瞭解如何整合產品，以提供有關

威脅的完整觀點，也就是透過「單一介面」提供有意義的安全有

效性檢視。經驗豐富的資安管理團隊也能協助資安專業人員管理

雲端解決方案，並掌握資料是否受到保護及其作法。雲端供應商

可能沒有使用雙因素認證等安全性保護；專家可以協助組織研究 SLA 及合約，判斷雲端供應商所採用的防禦功能。

運用服務彌補知識及人才落差

思科 2017 年中網路安全報告

64 防禦者的安全性挑戰和機會

不同國家/地區的委外服務和威脅警示資料

我們檢視了各國家/地區使用委外服務的情況，發現某些國家/地區的中小型企業比起企業級組織，使用委外服務的可能性更高。

例如在奧地利，有 65% 的中小型企業採用委外事件回應服務，

而企業的採用比例為 41%。日本則有 54 % 的中小型企業使用委

外監控服務，企業的採用比例為 41% （請參閱圖 58）。

我們根據區域及公司大小，檢視了警示經調查與修復的情形，發現

印度、巴西及美國的中小型企業顯示的百分比最高。關於警示的修

復情形，中國、俄羅斯及英國的中小型企業，其修復警示的百分比

最高（請參閱圖 59）。

圖 58 各國家/地區的中小型企業和企業委外服務百分比

在安全性方面，是否有下列任何類型 的服務完全或部分委外給第三方執行？

建議與諮詢

稽核

事件回應

監視

修復

威脅情報

以上皆未委外

建議與諮詢

稽核

事件回應

監視

修復

威脅情報

以上皆未委外

圖 59 各國家/地區的平均警示情況

平均而言，會接受調查的警示數目佔總數的多少百分比？

在接受調查的警示中，歸於合理事件的百分比有多少？

在這些合理事件中，經過修復的事件佔多少百 分比？

平均而言，會接受調查的警示數目佔總數的多少百分比？

在接受調查的警示中，歸於合理事件的百分比有多少？

在這些合理事件中，經過修復的事件佔多少百 分比？

49

51

43

54

34

43

14

47

48

46

44

34

40

15

56

43

53

62

50

55

59.7

30.6

40.9

62.8

25.7

45.3

37.1

45.8

組織規模

39.7

48.3

40

48

43

44

26

33

7

44

56

32

38

21

37

13

60

35

69

59

25

55

61

27.1

35.4

65.5

26.2

46.3

25.4

44.3

33.8

38.4

41

45

45

38

45

38

6

47

49

41

41

42

40

15

58

57

39

63

64

41

44.4

20.2

43.7

52

28.2

50.4

27.8

43.8

20.5

48.6

45

40

61

50

32

44

2

44

44

42

39

23

36

10

46

37

37

50

43

35

45.8

22.8

34.8

61.3

15.2

40.9

23.4

47.3

33.2

60.5

43

49

45

46

30

29

11

51

48

40

41

34

42

20

52

44

54

51

56

42

47.4

26.3

47.3

44.2

23

45.6

21.8

41.6

25.5

52.4

63

39

65

47

38

54

5

52

30

41

36

28

34

14

IN JP MX RU FR 加州

48

44

49

50

50

45

42 51 54 41 44 46 34 44 51 57 49 50

44 43 40 28 12 24 31 50 34 35 36 45

50 60 41 31 36 38 39 39 43 45 45 42

6 5 1 6 5 5 6 7 2 5 10 11

55.6

27.2

40.6

60.8

28.6

46.2

IN JP MX RU FR 加州

22.2

35.8

中小型（299 - 500 名員工） 企業（超過 1000 名員工）

資料來源：思科 2017 年資安能力基準研究

60.5 65.1 50.6 58.1 59.1 60.6 59.3 65.9 49.1 51.3 49.3 48.8

23.8

37.6

美國 BR DE IT GB AU CN

50 28

32

33

46

28

20

57

44

42

35

47

42

12

美國 BR DE IT GB AU CN

44.8

30.6

53.5

42.5

44.5

67.9

思科 2017 年中網路安全報告

65 防禦者的安全性挑戰和機會

根據思科的定義，物聯網 (IoT) 是指實體裝置、車輛、建築物及

其他物品的網際網路作業 (inter-networking)，內嵌電子、軟體、

感應器、傳動器，以及可讓這些物體收集和交換資料的網路連線

功能；亦稱為「連網裝置」及「智慧裝置」。思科認為 IoT 是由以下三大領域的技術所構成：資訊技術 (IT)、運營技術 (OT) 及消費者技術 (CT)。

另外，工業物聯網 (IIoT) 則是專指工業控制網路中的連網裝置，

這是相對於公司的 IT 網路或資料中心而論。

IoT 在企業協同合作及創新領域的前景看好。然而，隨著 IoT 技術

的發展，其對組織及使用者造成的資安風險也跟著提高。

缺乏可視性是其中一個問題。大部分的防禦者都不知道有哪些 IoT 裝置會連線到他們的網路。一般在建置 IoT 裝置（包括相機、恆

溫器、智慧電錶等各式裝置）時都不會考量安全性功能。其中有

許多裝置的安全性功能遠不及於桌上型電腦的安全功能，而且還

有漏洞問題，需要數月甚至數年才能解決。此外，他們通常：

• 甚少有或沒有任何 CVE 報告或更新

• 在特殊化架構上執行

• 使用未經修補，或過時且有弱點的應用程式， 如：Windows XP

• 鮮少進行修修補

此外，IoT 裝置的直接所有者根本無法輕易存取這些裝置，因此，

系統遭到入侵時，將會難以進行修復。簡言之，敵人可以將這些

裝置做為據點（請參閱第 42 頁的〈遭到勒索的醫療裝置：正

在現實生活中上演〉一節，瞭解此情況案例）。

IoT 裝置使得安全性問題更加複雜，防禦者可能會難以推斷來自這

些裝置的警示性質。此外，組織內處理 IoT 入侵問題的責任歸屬

也未劃分清楚。負責實作這些技術的團隊，通常會留給組織接手

完成專案的後續作業。

防禦者需要開始注重潛在的 IoT 弱點，因為敵人會鎖定 IoT 發動

勒索軟體攻擊、竊取敏感資訊，並在網路中橫向移動。IoT 裝置屬

於有漏洞而「可輕易攻擊」的類型，可讓威脅執行者快速進行惡

意探索。

長遠來看，一旦這些裝置遭到大舉入侵，就有可能嚴重中斷企業

及政府業務，以及網際網路的運作。現在已經發生涉及 IoT 裝置

的 DDoS 攻擊，加上 IoT 殭屍網路興起（請參閱第 39 頁），

都顯示了威脅執行者正在為發動規模前所未見的破壞性活動而積

極奠定基礎。

由於攻擊層面快速擴張，且越來越難以監控和管理，若要因應 IoT 的安全性挑戰，防禦者將必須：

• 確保較舊簽章保持作用中

• 針對 IoT 裝置採取周全的 IPS 防禦

• 密切監控網路流量（這對於 IIoT 環境尤為重要，因為此環境

中的網路流量模式非常容易預測）

• 追蹤 IoT 裝置觸及網路及和其他裝置互動的方式（例如，如

果 IoT 裝置掃描其他裝置，很有可能是代表惡意活動的紅色

旗標）

• 及時實作修補

• 與具有產品安全性基準及問題安全性諮詢的廠商合作

在 IoT 環境中，主動式的動態安全性方法，以及層級化防禦策略

即是保護 IoT 裝置不受感染和攻擊的關鍵，或者至少可以在部分

裝置必然遭到敵人入侵時，盡量降低影響。

物聯網 (IoT) 資安風險：為未來及現在作好準備

思科 2017 年中網路安全報告

66 防禦者的安全性挑戰和機會

廠商

66%

6 個 以上

10 個 以上

服務供應商

38%

產品

70%

6 個 以上

10 個以上

服務供應商

50%

服務供應商

關鍵產業的考量

思科的調查顯示，服務供應商市場跨足各種產業，包括電信、雲

端及網路規模基礎架構和託管、媒體公司等企業，以及依軟體即

服務 (SaaS) 模式提供的應用程式。此外，服務供應商也經常銷

售託管安全服務：接受調查的服務供應商中有 71% 表示其為最

終客戶提供託管安全服務。

服務供應商面臨許多挑戰，例如：保護 IT 和生產基礎架構及客戶

資料的安全。59% 的服務供應商資安專業人員表示，他們的首要

任務是確保自己的資料中心或核心生產網路安全無虞。

這些挑戰隨著服務供應商的業務規模成長而加劇。資安專業人員

擔心，組織的規模和威脅層面的擴大會提高攻擊者中斷核心業務

的機率，而使其無法向客戶提供服務。在客戶流失率高的產業

中，公共安全漏洞可能會影響企業盈虧：34% 的服務供應商表

示，他們過去一年曾因遭受攻擊而導致營收損失。

圖 60 使用 6 間以上廠商所提供的解決方案及產品的服務供應商百分比

許多服務供應商所面臨的挑戰主要是瞭解如何整合安全性工具和

處理程序，以發揮最大效益，並且降低目前手邊不斷增加的服務

及工具數量。

對於服務供應商而言，在以經濟作為考量的現實面上，除非安全

性功能是以託管服務模式提供，否則安全性將會是成本中心，而

非利潤中心，因此需要保持精實；然而，競爭壓力和威脅態勢卻

又迫使供應商提高對於安全性的關注。

服務供應商規模擴大衍生挑戰

如同每個產業所面臨的，安全性廠商及工具的激增都是一大問

題，因為解決方案通常不會經過整合，且不會針對供應商所遇到

的威脅提供可行的觀點。在服務供應商領域中，此問題也會因市

場規模擴張而隨之擴大。三分之二的服務供應商資安專業人員表

示，他們共仰賴六間或以上的廠商；38% 表示其仰賴的廠商超過 10 間（請參閱圖 60）。

問及使用的產品時，70% 指出其使用至少 6 種安全性產品，另外

有一半的專業人員則使用超過 10 種產品。思科專家指出，在許多

情況下，此市場中的產品並未經過妥善整合，這表示每次增加安

全性功能時，其複雜度也會呈指數增加。

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

資料來源：思科 2017 年資安能力基準研究

70% 使用 6 個以上的產品， 另有一半使用超過 10 個

資安能力基準研究：聚焦特定垂直市場

三分之二的服務供應商使用6 間以上的廠商，38% 使用超過 10 間

思科 2017 年中網路安全報告

67 防禦者的安全性挑戰和機會

資安漏洞會提高客戶流失率

一半以上 (57%) 的服務供應商表示，他們曾因資料外洩問題而 遭受公眾檢視。在遭遇公共資安漏洞的供應商中，將近一半都表

示漏洞經驗促進他們大幅改善安全性，90% 的供應商指出漏洞

經驗促使他們適度改善安全性。根據此數據，服務供應商資安專

業人員似乎都能快速運用從安全漏洞經驗中所學到的教訓。

34% 的服務供應商指出，過去一年曾因遭受攻擊而導致營收損

失；約有 30% 的供應商表示，曾因遭受攻擊而導致客戶流失或

錯失商機（請參閱圖 61）。服務供應商表示，營運、品牌商譽

及客戶留駐率都是受公共資安漏洞影響甚鉅的業務職能。

在龐大而競爭激烈的市場中，服務供應商受到資安漏洞影響的範

圍相當廣泛。客戶的選擇眾多，一旦他們認為自己的資料或客戶

未受到妥善保護，隨時會立即換到其他供應商。

高標準採用率

在採用標準這方面，服務供應商似乎總是領先其他產業一步，這

可能是因為他們得以掌控業務範圍及規模。大約三分之二的供應

商表示，他們已有正式的資安策略明文規定，並且遵循資訊安全

原則實作。此外，接受調查的服務供應商中，幾乎所有供應商都

同意，其組織內皆已設立明確且眾所周知的安全性處理程序。

34% 的服務供應商表示過去一年 曾因遭受攻擊而導致營收損失

資料來源：思科 2017 年資安能力基準研究

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

~30% 表示曾因遭受攻擊而導致 客戶流失或錯失商機

圖 61 攻擊造成的營收損失

思科 2017 年中網路安全報告

68 防禦者的安全性挑戰和機會

只有

30%

進階持續性威脅

進階持續性威脅（簡稱 APT）是指目標為讓敵人有時

間可以進行操作的攻擊。這種威脅經過設計，攻擊者

長時間留在網路中也不會受到偵測，而其目的通常是

為了竊取資料。

公共部門

關鍵產業的考量

基於種種限制，公部門組織對於資安威脅傾向採取被動策略，而

非主動出擊。預算有限制、吸引不到人才、缺乏威脅可視性，這

些都會影響公部門網路抵禦攻擊的能力。

然而，相較於大部分的私人部門，公部門更有義務遵循法規，必

須密切關注網路風險管理。例如，美國聯邦機構必須符合《美國

聯邦資訊安全管理法案》(FISMA) 的規定，確保關鍵任務型資訊

系統的機密性及完整性。州/省及地方層級亦有類似要求：視提供

的服務而定，州/省及地方層級的公用事業組織皆受到眾多新舊規

定之規範。

公部門組織也正面臨轉移至雲端的棘手挑戰，而此程序亦受規定

影響。「聯邦政府風險與授權管理計劃 (FedRAMP)」則就聯邦層

級提供雲端產品及服務的使用標準；州/省及地方政府亦要求儲存

政府資料的雲端供應商通過認證。

在雲端環境中管理資料

轉移至雲端為需要維持持續威脅防護的公部門帶來許多優勢及挑

戰。三分之一的公部門組織表示，鎖定式攻擊、APT 及內部人員

洩漏都具有高度資安風險。此外，公部門資安專業人員指出，抵禦

攻擊時，公共雲存放區及雲端基礎架構都是最艱鉅的領域。

思科公部門資安專家表示，問題在於雲端存放區提供不同的資料以

保護工具組，導致資安團隊不得不重新思考工具及處理程序的設定

方式，才能確保資料安全無虞。例如，NetFlow 分析工具中的功能

與雲端服務中的分析工具並非百分百相同，因此處理程序及成果也

會有所差異。

預算、人才短缺影響威脅分析

預算、人才及法規限制也可能會阻礙公部門內的安全性目標。例

如，由於需要有具備專業知識的人員實作工具並分析結果，導致

組織可能無法及時採用特定工具。僅 30% 的公部門資安專業人

員表示其組織採用滲透測試，以及端點或網路鑑定工具（請參閱

圖 62）。這些工具都屬於深度防禦資安策略的關鍵要素，若未採

用，著實令人擔憂。安全性功能中未內建這些服務的組織可能會一

而再、再而三地發生網路資安漏洞問題。

圖 62 採用不同防禦措施的公部門組織百分比

大約只有 30% 的公部門採用 滲透測試及端點或網路鑑定

資料來源：思科 2017 年資安能力基準研究

思科 2017 年中網路安全報告

69 防禦者的安全性挑戰和機會

委外服務

40%

50%

由於沒有充足的資安專家可以部署，因此公部門組織所進行的威脅

調查可能有所不足。將近 40% 的公部門組織表示，他們每日收到

數千個警示，但安全人員只對其中的 65% 展開調查。在接受調查

的威脅中，識別為合理威脅的百分比為 32%，而在這些合理威脅

中最終只有 47% 會經過修復。

從未受調查的威脅數量就能看出，組織需要能共用警示相關資訊及

提供分析的工具。這些工具能在警示資訊中加入背景結構及說明

（如此警示將更具價值），人員將能判斷哪些事件需要立即處理。

此外，自動化可協助解決部分威脅，減少資安團隊的負擔。

思科資安專家指出，若要確實檢視數量龐大的每日警示，公部門

組織可能需要數十名資安人員，然而他們極少能有足夠的人力。

35% 的公部門組織表示專任資安防護的員工少於 30 名。此外，

27% 的組織則認為，缺乏訓練有素的人員是妨礙他們採取進階安

全性處理程序和技術的主要因素。這也是為什麼若要建置安全性

防禦系統處理每日產生的龐大威脅警示量，自動化工具將不可或

缺的另一個原因。

資安漏洞促進安全性改善

公部門的人員及測試安全性工具不足，可能會對資安漏洞造成影

響。53% 的公部門組織表示，他們曾因資料外洩而須因應公眾檢

視問題。應作好資安漏洞將會發生的心理準備，而非抱持組織可以

逃過一劫的僥倖心態。還有一個相關問題，安全性指引是隨著回應

攻擊而給予，而不是以根據風險安全性提出的完整策略做為依據來

進行。若要回應傳入的威脅，需要投入許多心血，以致於沒有剩餘

的資源可以用來準備長期規劃。

公部門組織確實指出，資安漏洞發生後，資安團隊都能從中記取教

訓：46% 的組織表示資安漏洞可促進大幅改善安全性。不過，組

織需要投資能在出資安漏洞時為他們解危的技術，如此才能更有效

地將風險降至最低，並以更有效率的方式管理安全系統。

委外服務能贈進價值，但無法提高內部專業知識

委外服務是能讓公部門組織尋求更多資源的重要策略之一。超過 40% 的組織表示，他們在監控和稽核等需求上，採取完全或部分

委外服務。在這些將安全服務委外的組織中，約有一半指出公正

的見解、成本效益、及時事件回應都是決定委外的主要原因（請

參閱圖 62）。

滲透及其他稽核服務應由外部組織執行，但是完全仰賴委外服務

也有其缺點：這表示公共服務組織長遠下來並未培養內部專業知

識。這些內部專業知識對於協助網路防禦複雜攻擊而言至關重

要。雖然自動化解決方案既符合成本效益，又能及時執行，但在

選擇委外及培養內部專家之間仍應取得平衡，才能獲取重要的洞

察見解及分析。

圖 63 委外服務能新增許多需要的服務

公正的見解、成本效益和 及時事件回應能力

資料來源：思科 2017 年資安能力基準研究

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

思科 2017 年中網路安全報告

70 防禦者的安全性挑戰和機會

零售

38% 鎖定式攻擊

零售

關鍵產業的考量

一旦零售業出現資安漏洞，消息很快就會引來大眾關注。因為若

是零售業者遭到攻擊，不外乎就是涉及客戶的財務資料或其他個

人資訊外洩，不僅會遭媒體關注，業者也需要主動處理消費者的

質疑。比起醫療保健或公用事業等其他產業，零售業所發生的攻

擊與資料外洩事件對於品牌商譽的打擊更有感。客戶有眾多零售

供應商可供選擇，一旦他們認為某間零售商不注重資安，大可隨

時更換其他業者。

這些立場明確的攻擊主要針對知名零售商，敵人在這些攻擊中通

常會利用惡意軟體竊取客戶的信用卡資料，而其他不希望自己的

組織也遭受相同命運的資安專業人員也將因此提心吊膽。不過，

大部分的零售商是否已將這些建議牢記於心，我們無從得知。零

售商負責人可能認為，只要能在自己的防火牆內保護信用卡資料

的安全，這些資訊就安全無虞。但如果他們是將資料以未加密的

形式傳輸給銀行及其他合作夥伴，那麼儘管已在零售商網路內提

供防護，發揮的效用也不大。

從對安全的觀點可看出過度自信的跡象

不知為何，零售商對於自己的安全性防護措施總是抱持樂觀看

法，且與媒體幾乎每天都在報導的漏洞數量不甚苟同。例如，

61% 的零售商資安專業人員非常同意他們完全符合 PCI 法規遵

循，且有 63% 非常同意機密的客戶資料安全在組織內的整個生命

週期完全受到保障。

若要著重於保護資料安全，零售組織應完全採用密碼晶片卡 (chip-and-PIN) 技術，支援使用信用卡及轉帳卡支付的客戶，特

別是在採用率遲遲未見上升的美國地區。現在銀行及信用卡供應

商保證卡片盜刷情況可退刷，但僅限透過密碼晶片卡系統進行的

購買金額，因此零售商應加速採用此付款技術，否則可能需要負

責吸收相關費用。48

鎖定式攻擊與內部人員洩漏是最大的考量

零售商資安專業人員表示，與營收損失及品牌商譽受損同樣令人

擔憂的是鎖定式攻擊 (38%) 和內部人員洩漏 (32%)，這兩項對組

織造成最大的安全性風險（請參閱圖 64）。他們的擔心確有其道

理：通常，攻擊都是源自組織內部。這表示建置用於檢查漏洞指標 (IOC) 的安全性功能不足。組織還需要能檢閱攻擊指標的工具。

若要偵測 APT 或網路釣魚攻擊等複雜的鎖定式攻擊，零售商必須

區別正常及異常流量模式，這些流量每天、每週或每個購物季都

可能不同。

圖 64 鎖定式攻擊與內部人員洩漏是最大的考量

資料來源：思科 2017 年資安能力基準研究

48 ＜新的信用卡晶片責任移轉給零售商＞(New Credit Card Chips Shift Liability to Retailers)，作者：Andrew Cohn，Insurance Journal，2015 年 12 月 7 日： insurancejournal.com/news/national/2015/12/07/391102.htm。

32% 內部人員洩漏

思科 2017 年中網路安全報告

71 防禦者的安全性挑戰和機會

填補人員缺口

只要一提到建置自己的安全性資源，無論是人員或工具方面的資

源，零售商總是備感壓力。24% 的零售商資安專業人員表示，缺

乏訓練有素的人員是妨礙他們採取進階安全性處理程序和技術的

主要因素。除了人員不足，零售商還指出安全性警示持續出現，

而他們未能全部處理：45% 的零售商表示每日會收到數千個警

示，但安全人員只會對其中的 53% 展開調查。27% 的警示遭認

定為合理警示，且只有 45% 的合理警示會受到修復。

當人員部署成為問題，自動化安全性解決方案就更顯重要。自動

化有助於填補人力短缺造成的缺口，例如：採用可自動將受感染

裝置區隔到隔離位置的解決方案。如此一來，感染就不會擴散，

裝置也無法再存取機密資訊。

自動化也有助於克服分散式環境的問題，這是零售業中獨有的情

況，例如：減少必須由人員回應和緩解的安全性警示數量。零售

業的實體位置在地理上散佈各處（資料也是如此），因此資安主

管必須假設（或希望）這些位置都能遵循總部所實施的安全性最

佳實務作法。若未與遠端位置保持通訊，商店可能會執行仍未修

補或一次都過時數年的安全性解決方案。

零售商可能會利用委外服務來彌補人員不足缺口，至少不無小

補。將近一半的零售商資安專業人員表示，他們有部分會仰賴委

外的顧問及諮詢服務；45% 的專業人員則指出已將一定程度的稽

核作業委外處理。在委外服務的零售組織中，約半數表示成本效

益、公正的見解和及時事件回應是他們決定委外的主要原因。

出現公共資安漏洞後，營收及品牌商譽受損

零售商發現，資安漏洞對於業務會造成實際的影響。零售商資安

專業人員表示，過去一年內，營運、財務及品牌商譽都是受資安

漏洞負面影響最嚴重的領域。54% 表示，他們曾因資料外洩而須

因應公眾檢視問題。此外，32% 指出，他們過去一年曾因遭受攻

擊而導致營收損失（請參閱圖 65）。有大約四分之一表示，他們

曾因遭受攻擊而導致客戶流失或錯失商機。

若就為零售組織的安全態勢帶來轉變這點而言，出現資安漏洞也

許是重要的轉折點。只有 29% 表示，公共資安漏洞可促進安全性

「大幅」改善；近 90% 則指出資安漏洞能促使他們「適度」改善

安全性。

圖 65 處理資料外洩所造成之各種後果的組織百分比

54% 因資料外洩而須因應公眾檢視問題

資料來源：思科 2017 年資安能力基準研究

32% 過去一年因遭受攻擊而導致營收損失

25% 因遭受攻擊而導致 客戶流失或錯失商機

思科 2017 年中網路安全報告

72 防禦者的安全性挑戰和機會

廠商

6 個以上

10 個以上

製造業

46%

20%

製造業

關鍵產業的考量

80% 的美國工廠都已有超過 20 年的歷史49，這也衍生出工廠是

否都已配備最新防禦措施的疑慮。不同於辦公室系統，機械通常

都是隨著時間分階段引入，未知的漏洞可能會潛伏數年，直到近

期才開始活動。由於製造商又在這些過時的機械上新增連網裝

置，更是加深資安專業人員的擔憂，攻擊者可能會找到恰當的成

熟時機進行惡意探索。

有漏洞的系統可能導致工廠停機，這也是自動化專業人員的另一大

憂心之處。製造商希望不計一切代價避免非計畫中的停機情況，以

及因機器遭入侵而無法正確運作，所導致的產品品質問題。

製造商資安專業人員所面臨的挑戰是要升級陳舊的系統，防止攻

擊者輕易入侵，以及整合 IIoT 系統等技術。好消息是，製造商可

以採取簡單的步驟來改善安全性：整個程序應視為逐步改善的過

程，不用一次解決所有威脅。例如，安全性原則明文規定可以為

改善作業提供參考框架，然而根據思科調查，40% 的製造商資安

專業人員表示他們沒有正式的安全性策略，亦未遵循標準化資訊

安全性原則實務如 ISO 27001 或 NIST 800-53。只要遵循這些

最佳實務作法，還是有許多改善空間。

需要更簡化的系統

若要找到製造商系統更新及整合的部分，製造商必須先解決安全

性解決方案的複雜度問題。46% 的製造商資安專業人員表示，

他們使用了六間以上的安全性廠商服務；20% 指出其使用的廠

商超過 10 間（請參閱圖 66）。特別問及產品時，63% 的資安

專業人員表示他們使用的產品有六個以上，另外 30% 則使用 10 個以上的產品。

圖 66 使用 6 間以上廠商所提供的解決方案的製造商 百分比

資料來源：思科 2017 年資安能力基準研究

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

製造業領域中採用的產品和廠商眾多，導致他們沒有清楚的安全

專家概念。複雜度問題正好說明 IT 及 OT 團隊必須將關注焦點縮

小至安全威脅，例如：僅使用能解決當務之急的產品。製造商可

朝向採用涵蓋實體資產簡易防護的深度防禦原則，例如：封鎖未

受管交換器中連接埠的存取權，或者在工廠網路基礎架構中使用

託管交換器。

49 《美國老化的領域不只一個》(America Is Aging in More Ways Than One)，作者：Sho Chandra 與 Joran Yadoo，彭博， 2016 年 10 月 6 日：bloomberg.com/news/articles/2016-10-06/america-is-aging-in-more-ways-than-one。

思科 2017 年中網路安全報告

73 防禦者的安全性挑戰和機會

結合 IT 與 OT 團隊的專業

資安團隊的組成人員也可能會是保護製造工廠資產時所要跨越的

障礙。隨著擁有製造專利系統知識的專家退休，可能不會有人接

手取代他們的工作，造成專業人才流失。將近 60% 的製造業組

織表示專任資安防護的員工少於 30 名（請參閱圖 67），25% 指出缺乏訓練有素的人員是妨礙他們採取進階安全性處理程序和

技術的主要因素。

除了加強內部的資安人才，製造商也需要促進 IT 及 OT 部門共享

知識。習慣上，IT 的介入會止於工廠，接下來將由 OT 接手。而

衝突是司空見慣的情況。例如，IT 的修補程序可能會不慎將舊版

專利網路上執行的設備關閉，導致停機並造成 OT 人員的困擾。

有遠見的製造商會更積極結合 IT 與 OT 團隊，加深人員對於資安

威脅的瞭解，以及管理新技術（如 IoT 和連網裝置）的最佳實務

作法。

圖 67 製造業組織中受過訓練的安全人員數目

將近

60%的製造業組織表示， 專任資安防護的員工

少於 30 名

資料來源：思科 2017 年資安能力基準研究

避免漏洞可以提升競爭定位

產業中使用的系統年老陳舊，製造商意識到改善並升級這些系

統不只是為了安全理由，更是為了提升自身競爭優勢。根據

「數位企業轉型全球中心 (Global Center for Digital Business Transformation)」50 的研究，未來 5 年內，每 10 間製造商有四

間會遭受市場擾亂影響，部分原因是他們未能進行現代化，而無

法與技術更先進的競爭對手產品項目競爭。安全性在競爭優勢中

扮演相當關鍵的角色，因為安全性有助於維護品牌商譽，並且避

免營收損失及客戶流失。

思科調查結果指出，公共資安漏洞可能會對製造商品牌造成負面

影響。40% 的製造業組織表示曾因資料外洩而須因應公眾檢視問

題；此外，28% 則指出，過去一年曾因遭受攻擊而導致營收損

失。然而，這些漏洞可能剛好也是促使改善安全性的動機：95% 的製造商資安專業人員表示，公共資安漏洞能促使至少「適度」

地改善安全性。

50 ＜數位漩渦的生活：2017 年的數位顛覆狀態＞(Life in the Digital Vortex: The State of Digital Disruption in 2017)，數位企業轉型全球中心：imd.org/dbt/digital-business-transformation。

思科 2017 年中網路安全報告

74 防禦者的安全性挑戰和機會

40% 進階持續性威脅

公用程式

42% 鎖定式攻擊

公用程式

關鍵產業的考量

2016 年烏克蘭發生電力網遭俄羅斯駭客入侵損毀事件，突顯出

公用事業為了保護關鍵基礎建設不受攻擊所面臨的挑戰。51 公用

事業不再營運封閉式的監督控管及資料取得 (SCADA) 網路；同一

座用於遠端監控電力生產、傳輸及配送設備的控制中心工作站也

會同時連線到企業網路及 IT 系統。這些用來監控實體處理程序的 OT 系統具有已知的網路安全弱點，將成為攻擊目標，遭入侵後可

能會導致實體損毀。

2017 年 6 月，研究人員發現此攻擊採用複雜度晉升全新層級的

工具。攻擊者採用直接使用控制通訊協定的特殊化模組。在先前

的攻擊中，遠端操控控制工具要透過手動執行。有了這些新的延

伸模組，便可自發排程及發動攻擊。

現代化 IT 及 OT 系統普遍具有連線能力及複雜度，加上所部署的 OT 韌體及軟體中的安全性弱點，致使攻擊層面增加，讓需要保

護的範圍更大。由於公用事業希望將業務數位化，因此逐漸採用

較新的軟體技術感應、監控及啟動實體處理程序，並在無人為手

動干預的情況下完成。此一將軟體及內嵌系統整合到實體裝置的

虛實整合 (cyber-physical) 趨勢，將會增加資安專業人員面臨的

挑戰。

對於虛實整合的安全考量現已延伸至供應鏈。聯邦能源監管委

員會 (FERC) 最近指示北美能源可靠度公司（North American Energy Reliability Corporation，簡稱為 NERC）制訂一套適用於

關鍵基礎建設防護的標準，特別是針對公用事業的供應鏈。這套

標準預期能因應與大型電力系統營運有關的工業控制系統硬體、

軟體和運算及網路服務供應鏈風險管理。52

鎖定式攻擊和 APT 是主要的安全疑慮

公用事業及能源資安專業人員將鎖定式攻擊視為注意清單上的首

要項目。資安專業人員表示，鎖定式攻擊 (42%) 和又名為 APT 的進階持續性威脅 (40%) 是他們組織中最嚴重的安全性風險。此

外，他們表示行動裝置、使用者行為、公共雲存放區和客戶資料

是防禦策略中最艱鉅的挑戰。

APT 也需要關注，因為這種威脅在重要網路中可以潛伏更長時

間，且不會被偵測到，這會加深攻擊者造成的損害。由於資料網

路進行整合、連網裝置數量增加，因此造成傷害（如：公用事業

停機）的可能性更甚以往。

公用事業總是受到高度公眾關注，儘管資安團隊能敏銳地注意到

市場中的威脅技術，但是仍需要指引，讓他們能以適當的方式整

合這類技術，進而有效防禦 APT 及鎖定式攻擊。他們瞭解部署安

全性的「原因」；但他們需要安全性廠商指引「作法」，也就是

如何針對價值鏈安全性實作層級化策略，其中涵蓋實體安全及網

路安全標準等元素。

網路的複雜度意味著公用事業及能源組織也必須評估威脅警示的

影響，並判斷需要採用緩解資源的威脅。將近一半的公用事業及

能源資安專業人員表示，在每日收到的數千個警示中，安全人

員展開調查的只有其中 63% 的警示。在接受調查的警示中，有 41% 識別為合理威脅，其中 63% 會受到修復。

圖 68 鎖定式攻擊和 APT 是最重要的安全疑慮

資料來源：思科 2017 年資安能力基準研究

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

51 ＜烏克蘭電力網又遭駭客入侵—基礎建設攻擊的資安警訊＞(Ukraine’s Power Grid Gets Hacked Again, a Worrying Sign for Infrastructure Attacks)，作者：Jamie Condliffe，麻省理工科技評論 (MIT Technology Review)，2016 年 12 月 2 日：technologyreview.com/s/603262/ukraines-power-grid-gets-hacked-again-a-worrying-sign-for-infrastructure-attacks/。

52 《修訂關鍵基礎建設防護可靠度標準》(Revised Critical Infrastructure Protection Reliability Standards)，聯邦能源監管委員會 (FERC)：ferc.gov/whats-new/comm-meet/2016/072116/E-8.pdf。

思科 2017 年中網路安全報告

75 防禦者的安全性挑戰和機會

45% 大幅

儘管從數字看來，只有一小部分的合理警示會進入調查程序，但

在所有接受研究調查的產業中，公用事業及能源產業的警示緩解

率最高。此外，警示不必然等於威脅。只有遇到可能會對網路安

全造成嚴重影響的威脅，資安專業人員才會將資源分配用於減緩

這些威脅。

嚴格的預算控制可能影響對委外服務的仰賴程度

公用事業及能源組織受到嚴密規範，而無法提高資安預算。若要增

加資金，將需要經歷大規模且耗時的核准程序。調查指出，這可能

就是仰賴委外資安服務的原因。超過 60% 的公用事業資安專業人

員表示，他們有一定程度地仰賴委外安全性顧問及諮詢服務。此

外，近一半的受訪者表示會採用監控及威脅情報委外服務。在這些

使用委外資安服務的公用事業中，超過一半的資安專業人員提到，

成本效益及公正的見解是決定委外的主要原因。

為確保符合嚴格監管控制規範的運作要求，公用事業可能要遵循正

式的安全性原則及標準化程序。將近三分之二的公用事業資安專

業人員表示，他們已有正式的安全性策略明文規定，並且遵循 ISO 27001 或 NIST 800-53 等標準化資訊安全性原則實務。

公共資安漏洞促進改善

公用事業出現公共資安漏洞時，也會提高組織對於這些事件的安全

意識。一般大眾認為公用事業屬於關鍵基礎建設的一部分，萬一發

生公共資安漏洞，關鍵服務就會暴露於風險中。61% 的公用事業表

示曾因資料外洩而須因應公眾檢視問題。

令人欣慰的是，這些資安漏洞可能會促進安全性改革：91% 的資安

專業人員指出，資安漏洞能促使至少「適度」地改善安全性（請參

閱圖 69）。這也可能是一個可以「化逆境為轉機」的大好良機：

資安漏洞能提供有用的洞察見解，讓組織瞭解攻擊者如何入侵網

路，資安專業人員也可掌握一連串的進入點，進而提供部署安全控

制的指引。

攻擊事件也會影響公用事業營收及客戶忠誠度。29% 的資安專業人

員表示，過去一年曾因遭受攻擊而導致公用事業營收損失；而另外 21% 則指出他們因此而流失客戶。由於一個區域可能只有一間公用

事業供應商，許多消費者無法在公用事業服務上貨比三家，因此流

失客戶（以及進一步的營收損失）這一點相較於其他業務決策會受

到競爭市場影響的產業較不明顯。

圖 69 表示資安漏洞會促進安全性改善的資安專業人員百分比

0% 完全沒有

0% 不是很多

9% 輕微

46% 顯著

資料來源：思科 2017 年資安能力基準研究

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

攻擊模擬和演練為普遍情況

公用事業資安專業人員指出，他們會經常進行演練和模擬，以偵

測安全基礎架構中的弱點。92% 的人員表示，他們每年進行一到

兩次的事件回應計劃測試演練或活動。執行這些演練時，84% 的組織會請資安合作夥伴加入。

此外，78% 的組織每季會對組織執行至少一次的模擬攻擊。在略

少於一半的組織 (45%) 中，資安專業人員表示，模擬攻擊可以大

幅促進安全性改善，例如：變更安全性原則、程序及技術。在執

行模擬攻擊的組織中，有多數指出，資安專業人員會採用更多自

動化工具，讓他們能用更少的時間和人力完成模擬活動。

儘管公用事業面臨數一數二複雜的網路安全挑戰，但就其網路安

全方法、實務作法及技術安全控制的採用狀況而言，公用事業仍

屬於較成熟的垂直產業。隨著威脅日益演變，關鍵基礎建設供應

商識別、保護、偵測、回應資安事件並從事件中復原的能力也必

須跟著成長。

思科 2017 年中網路安全報告

76 防禦者的安全性挑戰和機會

醫療保健

醫療保健

關鍵產業的考量

在醫療保健產業中，大部分的安全性相關決策是以病患安全、違

反監管要求及保護公司資產為考量基礎。醫療保健組織領導人擔

心攻擊會導致關鍵任務型設備故障，而危害到病患的生命安全。

他們也擔心用於監控線上流量和偵測威脅的安全性方法可能會使

關鍵系統中的資料流速度變慢，而影響到醫療專業人員診斷和治

療病患的能力。除了重大照護，醫療保健組織也確知其必須重視

保護病患私密資料的安全系統，例如：應遵循美國《健康保險可

攜性和可歸責性法》(HIPAA) 之規定。

醫療保健在設備及裝置上引入更多連線功能，也加深了資安主管

對於融合式網路安全的關注。過去，複雜的醫療裝置（如：影像

存檔與收集系統 (PACS)、注射幫浦及病患監控裝置）通常都是透

過廠商的託管資料網路傳送資料，因此裝置和其他網路實際上是

相互隔離的。現在已經有足夠的可用頻寬，醫療保健組織認為透

過一個網路傳送資料，在作法上較為實際，且可採用邏輯分段，

區隔不同的網路流量類型，例如：臨床裝置、行政管理及訪客無

線網路。但是，若未適當進行分段，攻擊者取得重要資料或裝置

存取權的風險就會提高。

鎖定式攻擊使醫療保健資安團隊感到憂心

勒索軟體攻擊已對醫療保健組織造成損害；他們通常會成為網路

罪犯感興趣的目標，因為罪犯知道醫療保健供應商會不計一切代

價保護病患安全。在思科的研究調查中，37% 的醫療保健組織表

示鎖定式攻擊對他們造成最大的資安風險（請參閱圖 70）。鎖定

式網路攻擊比資安漏洞更令人擔憂，其涉及硬體遺失或遭竊，需

要採用更精準的方式來偵測和減輕威脅。

圖 70 鎖定式攻擊是高資安風險

37% 的醫療保健組織表示鎖定式 攻擊對他們造成高資安風險

資料來源：思科 2017 年資安能力基準研究

遺憾的是，如同其他眾多產業，威脅的數目總是多過於組織可用

的調查時間及人力所能負荷的程度。超過 40% 的醫療保健組織表

示，他們每日會收到數千個安全警示，但資安人員展開調查的只

有其中的 50%（請參閱下一頁的圖 71）。在醫療保健資安團隊

所調查的警示中，31% 是合理威脅，但這些合理威脅中只有 48% 會受到修復。

思科資安專家指出，真正受到調查的警示數目可能遠比醫療保健

組織資安主管所認為的還要少，或者，有可能他們認為只要阻擋

威脅進入網路，這些威脅就已經受到修復。在標記為紅色旗標的

警示中，這些組織能解決的數目少之又少，這點應該不足為奇，

因為若要調查數量如此龐大的警示，將會導致資安及 IT 活動龜速

進行，並且影響到其他業務職能。

思科 2017 年中網路安全報告

77 防禦者的安全性挑戰和機會

醫療保健組織每日收到數千個安全警示

50% 的警示進入調查

31% 為合理威脅

48% 經過修復

圖 71 收到數千個警示，只有不到一半的警示會受到修復

管理挑戰：缺乏訓練有素的人員，以及解決方案的複雜度

許多醫療保健組織都是採用複雜的解決方案組合來回應安全挑

戰。將近 60% 的組織表示，他們使用來自超過六間廠商的解決

方案，而有 29% 使用來自超過 10 間廠商的解決方案。此外，

三分之二的資安專業人員表示他們使用的產品有六個以上，另外 41% 則使用超過 10 個產品。

醫療保健資安專業人員之所以採用這麼多的廠商及產品，可能是

因為混淆不清或缺乏可視性，而不知道目前確切部署了哪些工

具。如同《資安能力基準研究》的整體研究發現所示，資安長 (CISO) 及資安運作管理員對於安全工具經常持有不同的觀點。領

導層級較高的資安高級主管（而非負責日常安全管理運作的前線

人員）對於其網路上使用的所有工具不見得有深入的瞭解。

由於缺乏訓練有素的人員，因此對醫療保健組織而言，回應日常

威脅的同時又要管理複雜的解決方案組合的確會加倍艱鉅。大約

一半的資安專業人員表示專任資安防護的員工少於 30 名；21% 則指出缺乏訓練有素的人員是妨礙他們採取進階安全性處理程序

和技術的主要因素。

除了最大型的醫療組織，大規模資安團隊並不常見。思科醫療保

健產業專家指出，資安人員的定義可能因組織而異，而其定義也

會影響組織對於資安團隊大小的看法。例如，組織可能會將 IT 人員視為資安團隊的一份子，或者只是暫時加入資安團隊。

流量分段的價值

考量到病患健康與安全，醫療保健需要建立例外情況，讓特定系

統或裝置遵循不同的安全協定。醫療保健裝置費用高昂，且預計

會服役數年，因此裝置上的軟體和作業系統並不會經常更新。建

立例外情況是為了確保裝置能可靠運作。資安專家表示，對於醫

療保健組織而言，較好的方式是隔離網路與關鍵任務型裝置之間

的分段流量。另外，組織也應改善安全基礎架構和網路分段，以

更有效地處理需要使用替代控制項的例外情況。

醫療保健組織平均實作 34 個重要的資安管理例外情況；其中 47% 有替代控制項。理想上，醫療保健組織應盡可能地減少需要

使用到替代控制項的例外情況，因為這些都會在資安防禦上產生

弱點。

資料來源：思科 2017 年資安能力基準研究

思科 2017 年中網路安全報告

78 防禦者的安全性挑戰和機會

運輸

關鍵產業的考量

運輸業的技術基礎架構傳統上都是建置在封閉式的專利系統中。

此產業正朝現代化連網的轉型目標邁進，但是資安主管擔心在轉

移期間可能會遭到攻擊。然而，現在維護成本越來越高昂，加上

現有系統又如此複雜，因此變更至連網 IP 系統是必要之舉。

此外，消費者也有新的安全及行動服務需求，這些是現在的通訊

基礎架構所無法滿足的。例如，客戶希望可以與機場、航空公

司、乘客及貨運鐵路、公路或社交網路內的連網車隊及交通局互

動；使用行動裝置購買票券；或者在交通工具上使用行動應用程

式。運輸組織的員工也希望可以輕鬆使用連網系統，且隨著千禧

世代進入這些組織，此需求只會有增無減。

進階持續性威脅和連網裝置被點名為是最大的威脅

隨著運輸組織建置複雜的連網基礎架構，並且受到網路範圍不

斷擴張的影響，各種不同的威脅也表露無遺。超過三分之一的

運輸業資安專業人員表示，進階持續性威脅 (APT) 及自帶設備 (BYOD) 和智慧型裝置的激增都對他們的組織造成高安全性風

險。此外，59% 的資安專業人員指出，雲端基礎架構和行動裝

置對於防禦攻擊而言存在最大的風險。

圖 72 雲端基礎架構和行動裝置是最難防禦的部分

59% 的資安專業人員指出，雲端基礎架構和行動裝置對於防禦攻擊而言存在最大的挑戰

資料來源：思科 2017 年資安能力基準研究

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

運輸資安團隊瞭解，為了滿足資訊存取的需求，資料必須存放在

網路可及區，且應可即時提供存取。控制資料存取權，並且確保

有需要的使用者能取得資料，向來是資安從業人員的重要考量。

他們也明白，若是使用封閉式專利系統，這個問題只會不斷蔓

延，且他們也希望可以控管更多更複雜的威脅。35% 的運輸業資

安專業人員表示，他們每日會收到數千個警示，但安全人員只會

對其中的 44% 展開調查。在接受調查的警示中，有 19% 會經識

別為合理威脅，但只有其中 33% 會受到修復。

缺乏資安人才可能會導致組織採取委外服務

經驗豐富的資安人員可以協助運輸業者克服資安挑戰，但我們無

法保證這些組織是否真的能吸引到合適的人才。超過一半的運輸

業資安人員表示，專任資安防護的員工少於 30 名。他們瞭解缺

乏專業技術可能產生的影響：29% 的組織認為，缺乏訓練有素的

人員是妨礙他們採取進階安全性處理程序和技術的主要因素。

現在資安運作能力越來越來複雜且分類更專有，運輸組織想要吸

引到相關人才的可能性恐怕只會降低。交通運輸機關必須有能力

招募、酬償及延攬高水準人才，為他們保護重要的國家及地方基

礎建設。

若無適當的內部專業人員，許多運輸組織可能就要向外尋求協

助。將近一半的組織指出，他們會將部分或全部資安工作委外處

理。在這些使用委外服務的組織中，成本效益 (52%) 及公正的見

解 (44%) 是他們決定委外的主要原因。

遵循 ISO 27001 或 NIST 800-53 等標準化資訊安全性實務，有助

運輸組織符合已制訂的安全性基準。54% 的運輸業資安專業人員

表示其遵循標準化資訊安全性原則實務，另外，三分之二的人員則

指出他們會遵循正式的安全性策略明文規定（請參閱圖 73）。

思科 2017 年中網路安全報告

79 防禦者的安全性挑戰和機會

此外，亦有跡象顯示，運輸組織瞭解在組織內部內嵌安全性功能

的價值，而非只是購買單點解決方案。75% 的運輸組織設有資安

運作中心 (SOC)，而有 14% 表示他們預計設立 SOC。此外，將

近 90% 的資安專業人員表示，他們的組織是安全性標準單位或

產業組織（如 PT-ISAC 或 ST-ISAC）的成員。

圖 73 遵循標準化實務的運輸業資安專業人員百分比

54% 的運輸業資安專業人員 遵循標準化資訊安全

政策實務

資料來源：思科 2017 年資安能力基準研究

模擬攻擊促進改善

如同其他高度管制產業，運輸業也被視為是重要的基礎建設，這

點可能會影響有關安全性的決策。例如，將近 80% 的運輸業資安

專業人員每季會在組織內進行至少一次的模擬攻擊。此外，將近

一半的專業人員指出，模擬攻擊可以大幅促進資安政策、程序及

技術的改善。

公共資料漏洞也會促進安全性改革。48% 的運輸業資安專業人員

表示曾因資料外洩而須因應公眾檢視問題。雖然只有 34% 表示，

資安漏洞可促進安全性「大幅」改善；但有 83% 指出資安漏洞能

促使他們「適度」改善安全性。

除了為減輕威脅所作的努力，資安入侵對產業也有長遠的影響。

31% 的資安專業人員表示，過去一年曾因遭受攻擊而導致營收損

失（平均損失 9%）。此外，22% 的資安專業人員指出曾因遭受

攻擊而導致客戶流失，另有 27% 則表示他們因此而錯失商機。

2/3 的運輸業資安專業人員 遵循正式的安全性策略

明文規定

思科 2017 年中網路安全報告

80 防禦者的安全性挑戰和機會

廠商

6 個以上

10 個以上

金融服務組織

57%

29%

金融

關鍵產業的考量

金融服務組織對於網路罪犯而言是利潤最豐的攻擊目標。豐富的

客戶財務資料及帳戶使用者名稱和密碼存取權，都是吸引罪犯對

金融服務業發動一系列攻擊的誘因。事實上，有些惡意軟體作者

甚至會設計專門入侵金融服務網路的攻擊。例如：Dridex 憑證竊

取惡意軟體53 和 Zeus 木馬程式54。

在此環境中，金融服務資安專業人員認為，他們的威脅防禦措施

應該足以抵禦使用複雜惡意軟體的攻擊者。然而，他們也知道，

混合使用多個資安廠商和產品，不僅使得操作上更為複雜，也會

使威脅變得難以追蹤，而無法取得洞察見解。此外，為確保彌補

資安缺口，資安團隊也面臨了整合老舊應用程式與新興技術的艱

鉅任務。

當部分金融服務組織與金融科技 (fintech) 公司合作後，他們發現

攻擊層面可能變得更大且更複雜。這些合作夥伴關係，要如何確

保客戶資料受到適當的安全防護？金融服務組織合作夥伴若與外

部公司合作，要如何確保雙方的合作符合嚴格的法規要求？這些

問題都需要考量這個產業未來幾年面臨安全性挑戰時，將採取哪

些策略。

金融服務組織亦須確保他們本身「合規」且「安全無虞」。在許

多高度管制產業中，普遍都有認為只要符合法規要求即可解決安

全性問題的傾向。法規要求（如：網路分段）誠然有助於保護資

料，但這些也只是用以阻止資安漏洞並提供威脅分析的解決方案

的其中一部分。

多廠商環境徒增混淆，而非達到明朗態勢

多廠商環境一直是金融服務組織常見的現象。57% 的金融服務組

織表示，他們使用來自至少六間廠商的解決方案，而有 29% 使用

來自超過 10 間廠商的解決方案（請參閱圖 74）。三分之二的金

融服務組織指出，他們使用至少六種安全性產品；33% 使用超過 10 種產品。

圖 74 採用 6 間或 6 間以上廠商服務的金融服務組織百分比

資料來源：思科 2017 年資安能力基準研究

53 ＜Dridex 攻擊鎖定公司會計＞(Dridex Attacks Target Corporate Accounting)，作者：Martin Nystrom，思科資安部落格， 2015 年 3 月 4 日：blogs.cisco.com/security/dridex-attacks-target-corporate-accounting。

54 ＜Zeus 木馬程式分析＞(Zeus Trojan Analysis)，作者：Alex Kirk，思科 Talos 部落格：talosintelligence.com/zeus_trojan。

思科資安專家指出，在此產業中，一個組織中出現多達 30 間廠

商的產品是司空見慣的現象。若要快速且有效回應新興威脅，這

些組織應重視安全基礎架構的簡化：減少工具，促進整合。這麼

多種產品通常都是在孤島式環境中運作：其實，這些產品個別運

作時都有其效用，但由於未經過整合，無法共用和相互關聯安全

資訊，資安團隊就只能淪為管理相衝突的警示和報告。

產品數量激增也會阻礙資安專業人員調查威脅的程度。46% 的金融服務資安專業人員表示，他們每日會收到數千個警示，但資

安人員展開調查的只有其中的 55%。在進入調查的警示中，有 28% 視為合理威脅，但其中只有 43% 會受到修復。

警示數量會如此龐大，推測原因可能是未整合多個廠商的產品。

事件回應團隊可能不知道哪些警示是重複舉報，或者哪些警示屬

於低優先順序。若未經過整合，資安團隊相互關聯及分析威脅的

能力將會受限。

思科 2017 年中網路安全報告

81 防禦者的安全性挑戰和機會

數位業務可推動改善

隨著金融服務組織持續與金融科技公司合作，他們將可探索更多

改善安全性的全新策略，例如：正式劃分資料防護的責任歸屬。

將近一半的金融服務組織表示，數位業務會大幅影響安全性。此

外，約有 40% 的組織表示，金融科技、開發運營 (DevOps) 及雙

模態 IT 會大幅影響安全性（請參閱圖 75）。

例如，與金融科技合作夥伴合作的金融服務公司必須制訂客戶資料

防護作法，雲端環境尤為需要。合作夥伴也需要決定預防資安事件

的聯合處理程序；如果真的發生資安事件，雙方又要如何回應。

50% 數位業務會大幅 影響安全性

資料來源：思科 2017 年資安能力基準研究

應加快採用標準作法的速度

若金融服務組織想在數位環境中透過安全的作法滿足客戶需

求，就必須加快採用新原則和處理程序的速度。目前，63% 的金融服務組織有正式的安全性策略明文規定。只有 48% 的組織

遵循 ISO 27001 或 NIST 800-53 等標準化資訊安全性原則實

務。金融服務是保守的產業，在考量是否採用新標準或目前的

安全策略是否適合組織時，資安及 IT 主管總是緩慢而行。

另一個金融服務組織可改善的區域：要求廠商遵循既定的商

業行為。例如，只有 37% 表示，他們要求廠商必須採用 ISO 27001 才能展開合作關係。

思科資安專家表示，組織的資安成熟度可能會影響廠商要求的

嚴格程度：大型金融財務組織可能比小型企業更有完善的資

源，能夠進行此部分的廠商審查。

圖 75 數位業務對安全性的影響

40% 金融科技、開發運營

(DevOps) 及雙模態 IT 大幅影響安全性

2017 年圖表下載網址：cisco.com/go/mcr2017graphics

結論

思科 2017 年中網路安全報告

83 結論

結論思科每年度及年中發佈網路安全報告已持續將近十年之久。每一

份報告最主要的目標，都是為了讓資安團隊及其支援的企業掌握

已知與新興威脅和漏洞，並且瞭解自己可以採取哪些步驟讓組織

更安全，且更具網路復原能力。

從我們的威脅研究人員及技術合作夥伴在最新報告中所呈現的內

容多樣性，即可看出現代化威脅態勢的複雜程度。許多研究亦顯

示，防禦者在與敵人的攻防中不僅逐漸取得優勢，同時也更能掌

握威脅執行者操作攻擊的方式和位置。

然而，隨著 IoT 趨勢的成長，我們預期防禦者可能無法再輕鬆保

持優勢。誠如本報告的簡介所述，種種跡象顯示全新型態的攻擊

現正逐漸成形，且比以往的攻擊活動更邪惡、更具破壞力。敵人

將精心策劃出影響範圍更廣泛的攻擊，目的是要癱瘓所有組織，

無論其規模大小都無法倖免。他們知道所有企業都沒有一套擬訂

如何從頭重建 IT 或 OT 系統的應變計劃，因此確信可以將此弱點

當作自己發動攻擊的利基。

因此，將網路安全視為首要任務已是組織最重要的當務之急。他

們必須投資自動化工具，協助資安團隊掌握所有警示、取得能見

度並管理動態網路，以及快速偵測和回應真正的威脅。他們必須

投入時間和資源，確保能隨時精準掌握 IT 環境中的一切變化，以

及環境中的所有工具皆已透過適當且安全的方式進行部署並保持

最新狀態。

與此同時，資安社群也必須保持開放的思維和對話，討論如何營

造開放性生態系統，讓客戶實作最適合自己組織需求的資安解決

方案，並且使現有投資發揮最大效益。在此生態系統中，所有資

安解決方案都能互通有無，並且協力保護使用者及企業的安全。

防禦者必須致力於整合，才能克服潛在威脅所引發的挑戰，防止

威脅中斷 IoT 環境或對在其中運作的組織造成毀滅性的破壞。

思科 2017 年中網路安全報告

84 結論

資安主管：在「高層會議桌」上爭取一席之地正是時候

思科最新的《資安能力基準研究》發現，許多組織高層人士都將

資安列為優先要務。此外，資安專業人員也指出，領導階層將資

安列為組織的主要目標。然而，在 2016 年，非常同意領導階層

將資安視為優先要務的資安專業人員比例為 59%，而 2014 年和 2015 年分別為 63% 和 61%，呈現稍微下降的趨勢。

但此信心指數下滑也許是因不合時宜的想法所致。特別是資安長 (CISO) 可能並不知道資深管理階層及董事會不僅將網路安全視為

企業的優先要務，還期望能多瞭解此議題。事實上，他們甚至可能

想要深入瞭解更多相關資訊。

根據美國全國企業董事協會 (NACD) 《2016–2017 上市公司調查

研究》55，將近四分之一的董事會不滿意管理階層對於網路安全的

報告。他們指出，其獲得的資訊無法提供做為有效的參考基準，

問題資訊也不夠透明，而且難以解讀。在同一份研究報告中，只

有 14% 的受訪者認為其董事會對於網路風險具有高度瞭解。

思科的合作夥伴中的資安解決方案公司 SAINT Corporation 資安

專家認為，資安長有明確的機會可以協助彌補這個知識落差。然

而，他們必須：

• 致力於提供實際上有意義且企業可行的資訊。有關組織網路

風險或資安需求的報告內容不應過度技術導向。嘗試以公司

過去面臨的風險為基礎進行問題討論，並扣緊企業優先目標

和理想成果。

此外，請務必強調網路安全對於促進組織成長，以及在企業

競爭差異化中所扮演的角色。

• 向管理階層和董事會發出網路攻擊警示時，請以明確的字詞

說明該攻擊對於組織的影響（例如：受影響的員工或客戶人

數、有哪些高價值資訊遭入侵等等），資安團隊將採取什

麼方式遏制並調查威脅，以及需要多少時間才能恢復正常運

作。

• 力求組織其他主管參與，包括技術部門以外的其他部門。透

過與組織中各部門主管協同合作（包括資訊長、技術長、稽

核主管和風險長等等），資安長可直接與資深管理階層和董

事會成員聯繫互動。這也是讓主管在「高層會議桌」上佔得

一席之位的好機會，在這個會議中可以討論網路安全策略，

並協助制訂適用於組織的全方位資安計劃。

資安長經常為了籌措資安計劃的資金而焦頭爛額。不過再次強

調，他們可能並不瞭解現在正是與領導階層討論預算的最佳時

機。美國資訊管理協會 (SIM) 的《2017 年 IT 趨勢調查》指出網

路安全是現今組織的第三大投資領域56，而其於 2013 年時僅名列

第十四。SIM 調查的受訪者（IT 主管）在為 IT 領域中應獲得較多

投資的項目排名時，將網路安全列為第二名，並且認為網路安全

是他們在資訊科技中「個人最憂心」的項目。57

55 資料、資訊及內容直接取自美國全國企業董事協會《2016–2017 上市公司調查研究》(2016-2017 Public Company Governance Survey)，並經授權許可使用。 此研究報告可從 NACD 網站下載：nacdonline.org/Resources/publicsurvey.cfm?ItemNumber=36843。

56 美國資訊管理協會 IT 趨勢調查 (Society for Information Management IT Trends Study)，作者：Kappelman、L. A. 等人（2017 年）。此研究報告可從 SIM 網站下載： simnet.org/members/group_content_view.asp?group=140286&id=442564。

57 Ibid。

關於思科

思科 2017 年中網路安全報告

86 關於思科

若要瞭解更多有關以威脅為中心的思科安全方法， 請造訪 cisco.com/go/security。

思科為世界帶來智慧型網路安全防禦機制，提供業界最完整的進

階威脅防護產品組合解決方案，足以應付各式各樣的攻擊向量組

合。思科以威脅為中心的安全性操作方法可以有效降低複雜性和

分割程度，同時提供優異的可視性、持續控制效果，以及在攻擊

前、中、後期提供進階的威脅防護功能。

思科綜合資安情報 (CSI) 生態系統的威脅研究人員在單一團隊底

下，使用取自世界各地裝置及感應器的遙測資料、公私部門的資

訊，以及開放式來源社群內容，整合了業界頂尖的威脅情報。這

些情資包含每日擷取的數十億個網路要求，以及數百萬封電子郵

件、惡意軟體範例以及網路入侵事件。

我們精密的基礎架構與系統會吸收這些遙測資料，協助機器學習系

統和研究人員在各大網路、資料中心、終端、行動裝置、虛擬系

統、網頁、電子郵件以及雲端追蹤威脅所在位置，進而確定根本原

因及衡量爆發範圍。匯集的情資會轉換為我們產品及服務中的即時

保護機制，並且立即傳達給我們位於世界各地的思科客戶。

思科 2017 年中網路安全報告貢獻者

Cisco Cloudlock

思科 Cloudlock 提供思科雲端存取安全中介 (CASB) 解決方案，

可協助組織安全地使用雲端。CloudLock 可以跨使用者、資料和

應用程式，提供可視性並控制軟體即服務 (SaaS) 解決方案、平台

即服務 (PaaS) 和基礎架構即服務 (IaaS) 環境；其設有由資料專

家主持的 CyberLab，以及群眾集思廣益的安全分析，可以提供確

實可行的網路安全情報。

思科電腦安全性事件回應團隊 (CSIRT)

思科 CSIRT 屬於思科公司資安計劃辦公室調查分支的一部分，提

供思科量身打造的安全監控服務，保護思科不受網路攻擊及確保

公司智慧資產安全無虞，同時亦身兼思科內部網路調查及鑑定團

隊。CSIRT 的主要任務是透過對電腦安全事件執行完整的調查，

以協助確保公司、系統和資料的存留；並且藉由進行主動式威脅

評估、威脅減輕規劃、事件趨勢分析及安全架構檢視，防止此類

事件發生。

思科安全性事件回應服務 (CSIRS)

思科安全性事件回應服務 (CSIRS) 團隊的成員為世界級事件回

應人員，他們負責協助思科的客戶處理事件發生前、中、後期的

狀況。CSIRS 運用最頂級的人員、企業級的安全性解決方案、

尖端的回應技術，以及從多年對抗敵方的經驗中學到的最佳措

施，來確保我們的客戶在攻擊發生時，能積極地抵禦，並同時迅

速地回應和復原。

認知威脅分析

思科的認知威脅分析是一項雲端服務，能透過各種網路流量數據

分析的分法，有效地發現入侵、受保護架構內的惡意軟體，以及

其他資安威脅。透過使用行為分析及異常偵測，鑑別惡意軟體感

染或資料外洩的症狀，以解決邊界基礎的防禦落差。認知威脅分

析仰賴進階統計模型和機械學習，以便獨立辨識新的威脅，並從

中學習以及隨著時間而不斷調整。

關於思科

思科 2017 年中網路安全報告

87 關於思科

Commercial West Sales

Commercial West Sales 組織致力於促進與思科客戶的資安對

話、為客戶舉行 SAFE 工作坊，以及為客戶的資安領導階層提供

如何更有效地保護組織並降低整體風險的諮詢建議。

全球政府事務

思科與各個層級的政府部門都有互動關係，主要是協助訂定支援

技術部門的公共政策與法規，並協助政府達成目標。全球政府事

務團隊會協助開發並影響技術相關的公共政策和法規。該團隊與

產業利益關係人及相關合作夥伴協同合作，與政府領導者建立良

好關係，以影響與思科業務息息相關的政策制定，及整體 ICT 的採用，以期在全球、國家及當地等層級協助政策決策走向。政府

事務團隊是由前任選舉官員、國會議員、立法委員、資深美國政

府官員及政府事務專家所組成，共同協助思科推廣並保護世界各

地的技術使用。

全球產業行銷

思科全球產業行銷團隊的重心在於製造業、公用事業，以及天然

氣與鑽油產業。此團隊負責引導特定產業的全球思維領袖，透過

區分產業的價值主張訊息、解決方案及上市活動，協助客戶以數

位方式轉型企業。此團隊也會與客戶、同儕、客戶團隊、分析

師、媒體及其他外部和內部目標對象協同合作，並且運用即時分

析發展思科的特定產業策略、上市策略、計劃和目標訊息。

IPTG 連網汽車

IPTG 連網汽車團隊致力於協助汽車原始設備製造商 (OEM) 連線、整合、防護及數位化車內的 IP 網路。

IoT

Security Technology Group 組織開發可用於識別及減輕連網環境

威脅的工具、處理程序和內容。

產品組合解決方案行銷團隊

產品組合解決方案行銷團隊致力於建立及提供安全訊息和內容，

傳達並主張思科資安產品組合為一套整合式的端對端安全性解決

方案。

美國公部門組織

思科的美國公部門組織協助思科客戶轉型其保護、提供服務及教

育美國民眾的作法，主要對象為聯邦政府、州及地方政府，以及

教育市場。我們促進人民與科技的結合，並從客戶滿意度到營運

績優表現、任務成功達成等各方面工作均鼓勵創新。我們引導客

戶的方式是透過瞭解客戶的企業挑戰、根據客戶獨特的需求量身

打造解決方案、建立良好關係、簡化技術，以及對他們在美國及

全球的任務產生深遠影響。

資安事業群技術行銷

資安事業群的技術行銷團隊，能為所有思科安全產品管理決策，

就科技及產業主題提供相關的深入專業知識。作為由各方技術專

家組成的經驗豐富團隊，其支援思科在工程設計、行銷、銷售與

服務方面的團隊，可解決並說明最複雜的技術挑戰，進而協助確

保思科客戶的安全。這些團隊成員在業界都是炙手可熱的專家，

不僅在各式出版品上發表文章，也受邀參加演講活動。

安全性研究及操作 (SR&O)

安全性研究及操作 (SR&O) 負責所有思科產品和服務的威脅與

弱點管理，其中包括領先業界的產品安全突發事件響應團隊 (PSIRT)。SR&O 會透過不同的活動（例如思科Live 及 黑帽組

織），以及透過與思科上下及同業協同合作的方式，協助客戶瞭

解不斷變化的威脅環境。此外，SR&O 的創新服務包含思科的自

訂威脅情報 (CTI)，可以識別尚未被現有安全性基礎架構偵測或緩

解的漏洞指標。

思科 2017 年中網路安全報告

88 關於思科

資安與信任組織

思科的資安與信任組織強調思科的決心，亦即處理董事會及全球

領導者心中最重要的兩大議題。該組織的核心任務包括保護思科

公私部門客戶，實現並確保思科資安開發生命週期及信任系統可

套用至思科產品與服務組合，並保護思科企業免於不斷變化的威

脅。思科針對廣泛的資安與信任採取全面性的策略，包括人員、

政策、程序和技術。資安與信任組織致力提供卓越的營運能力，

並將重心放在 InfoSec、信任工程、資料保護與隱私權、雲端安

全性、透明化與認證，以及進階安全性研究與政府機構。如需更

多資訊，請造訪 trust.cisco.com。

Talos 資安情資暨研究小組

Talos 是思科的威脅情報組織，是由一群精英資安專家所組成，致

力於提供思科客戶、產品和服務最完善的防護功能。Talos 是由一

群頂尖的威脅研究人員所組成，他們會運用精密的系統，為思科

產品建立威脅情報，以便偵測、分析及防禦已知和新興的威脅。

Talos 負責維護 Snort.org、ClamAV 與 SpamCop 的官方規則組

合，同時也是思科 CSI 生態系統威脅情資的主要貢獻來源。

思科 2017 年中網路安全報告技術合作夥伴

Anomali 的威脅情報解決方案套件可讓組織偵測、調查和回應作

用中的網路安全威脅。獲獎項肯定的 ThreatStream 威脅情報平

台則可彙總及最佳化處理數百萬筆威脅指標，進而建立「網路

黑名單」(cyber no-fly list)。Anomali 可整合內部基礎架構以識

別新攻擊、以鑑定方式搜尋過去一年的紀錄並找出現有的資安

漏洞，並且支援資安團隊快速瞭解及遏制威脅。Anomali 還提

供 STAXX，這是一套免費工具，可用於收集和共用威脅情報，

並提供免費且觀念新穎的情報摘要「Anomali Limo」。若要深

入瞭解，請造訪 anomali.com，並關注我們的 Twitter 帳號：

@anomali.

Flashpoint 提供企業風險情報 (BRI)，協助組織內各業務部門 及職能單位制定明智的決策並減輕風險。公司獨有的 Deep & Dark Web 資料、專業知識及技術有助於客戶收集 情報，進而瞭解風險資訊並確保其營運能力。如需更多資訊， 請造訪 flashpoint-intel.com。

Lumeta 提供關鍵網路情境式感知技術，協助資安及網路團隊預

防資安入侵。Lumeta 提供無可匹敵的已知、未知、隱藏及惡意

網路基礎架構探索技術，並且可針對動態網路元素、端點、虛擬

機器和雲端基礎架構提供即時網路和端點監控及分段分析。如需

更多資訊，請造訪 lumeta.com。

Qualys, Inc. (NASDAQ: QLYS) 是雲端安全和合規解決方案的先驅

及領導供應商，擁有超過 9,300 位客戶，客戶遍佈超過 100 個國

家/地區，且多數是名列《富比士》全球百大及《財富》美國 100 強的企業。Qualys 雲端平台及整合式解決方案套件可協助組織透

過隨需提供關鍵安全情報、將 IT 系統及網路應用程式的各方面稽

核、合規與防護作業自動化，進而簡化安全性運作並減少法規遵

循成本。Qualys 成立於 1999 年，與全球各地的託管服務領導供

應商及顧問組織，均有穩固的策略合作關係。如需更多資訊，請

造訪 qualys.com。

Radware (NASDAQ: RDWR) 是全球領導品牌，專門提供應用程

式交付，以及適用於虛擬、雲端和軟體定義資料中心的網路安全

解決方案。其獲獎肯定的解決方案產品組合，為全球超過一萬間

企業和運輸業者提供服務層級保證。如需其他專家安全資源和資

訊，請造訪 Radware 線上安全性中心，其提供全方位的 DDoS 攻擊工具、趨勢和威脅分析：security.radware.com。

思科 2017 年中網路安全報告

89 關於思科

Rapid7 (NASDAQ: RPD) 廣獲全球 IT 與資安專業人員的信任，

致力於管理風險、簡化 IT 複雜度及促進創新。Rapid7 的分析技

術可將現今龐大的資安及 IT 資料轉換成有意義的解答，讓客戶

安全地開發並運作複雜的 IT 網路和應用程式。Rapid7 的研究、

技術和服務為遍佈超過 120 個國家/地區、超過 6,300 個組織，

提供漏洞管理、滲透測試、應用程式安全性、事件偵測及回應，

以及日誌管理等協助；39% 的客戶名列《財富》美國 1000 強企業。如需更多資訊，請造訪 rapid7.com。

RSA 的企業型安全性解決方案可協助客戶全方位並快速地將安

全事件與企業環境連結，以有效回應並保護最重要的內容。透

過適用於快速偵測及回應、身分識別及存取保護、消費者詐欺防

護和企業風險管理的獲獎解決方案，RSA 客戶在不確定且充滿

風險的市場環境中，依然可以蓬勃發展。如需更多資訊，請造訪 rsa.com。

SAINT Corporation 是整合式漏洞管理解方案的新世代領導品

牌，協助公司及公部門機構鎖定組織中所有層級的暴露風險。

SAINT 提供適當的作法，可為所有客戶兼顧存取權、安全性 及隱私權的需求。此外，SAINT 亦可協助客戶加強 InfoSec 防禦，並減少整體擁有成本。如需更多資訊，請造訪 saintcorporation.com。

ThreatConnect® 為組織提供功能強大的網路威脅防禦技術，以

及制定策略性業務決策的信心。ThreatConnect 以業界僅有的情

報導向可擴充式安全性平台為建置基礎，專為各種資安成熟度規

模的資安團隊，提供適合的威脅情報彙總、分析及自動化產品套

件。目前全球有超過 1,600 間公司和機構均部署 ThreatConnect 平台，將組織內部的資安技術、團隊和處理程序與可行的威脅情

報完整整合，進而縮短從偵測到回應的時間，加強資產保護。如

需更多資訊，請造訪 threatconnect.com。

TrapX Security 提供預防調適型詐欺及防禦的自動化安全網，可攔

截即時威脅並提供封鎖攻擊者的可行情報。TrapX DeceptionGrid™ 可讓企業偵測、擷取和分析全球最活躍的進階持續性威脅 (APT) 組織所使用的零時差惡意軟體。許多產業皆仰賴 TrapX 鞏固其 IT 生態系統，並降低發生高成本及具破壞力的入侵、資料外洩與違反法

規遵循等事件的風險。TrapX 防禦技術內嵌於網路及關鍵任務型基

礎架構核心，不需要代理程式或任何設定。單一平台支援先進的惡

意軟體偵測、威脅情報、鑑定分析與修復功能，有助於簡化複雜度

並降低成本。如需更多資訊，請造訪 trapx.com。

下載圖表

本報告的所有圖表都可在 cisco.com/go/mcr2017graphics 下載。

更新和修正

如需參閱本專案的更新和修正內容，請造訪 cisco.com/go/errata。

美洲總部Cisco Systems, Inc. 加州聖荷西

亞太總部Cisco Systems (USA) Pte. Ltd. 新加坡

歐洲總部Cisco Systems International BV 荷蘭阿姆斯特丹

思科在全球各地擁有超過 200 間分公司。各分公司地址、電話及傳真號碼皆列於思科網站上，網址為： www.cisco.com/go/offices。

2017 年 7 月出版

© 2017 思科和/或其附屬機構。保留所有權利。

思科和思科標誌是思科及/或其附屬機構在美國和其他國家/地區的商標或註冊商標。若要檢視思科商標清單，請前往：www.cisco.com/go/trademarks。 文中所提及之第三方商標均屬於其各自所有者。「合作夥伴」一詞不表示思科與其他任何公司之間具有合作夥伴關係。(1110R)

Adobe、Acrobat 和 Flash 是 Adobe Systems Incorporated 於美國和／或其他國家的註冊商標或商標。