網(wǎng)絡(luò)安全通常被作為企業(yè)必須處理的問題來看待，但這一問題的內(nèi)容卻并非永遠(yuǎn)恒定。相較于這種將網(wǎng)絡(luò)安全作為問題的思路，如今企業(yè)開始逐漸將其作為一種游戲，而網(wǎng)絡(luò)層面的對手則屬于游戲內(nèi)的挑戰(zhàn)者。為什么要進(jìn)行視角轉(zhuǎn)換?這是因?yàn)樽鳛閱栴}，我們自然需要為其尋找答案。為什么安全邊界存在過多網(wǎng)絡(luò)流量負(fù)載?這就是個(gè)問題，而答案則是——安裝防火墻。在另一方面，游戲則永遠(yuǎn)不存在“解決”一說，它是動(dòng)態(tài)的且要求玩家根據(jù)各種實(shí)際情況做出反應(yīng)。

如 今的安全挑戰(zhàn)涉及極為廣泛的范疇，從黑客行動(dòng)主義者到有組織犯罪再到民族國家支持下的惡意活動(dòng)——這一切共同構(gòu)成了安全游戲中的“對手”。它們都屬于安全 這一復(fù)雜方程式中的變量，因此我們也需要更多具備自適應(yīng)能力的解決方案，從而在快速發(fā)展的同時(shí)解決來自對手的“不斷變化的攻擊侵?jǐn)_”——無論其如何具體變 化。

攻擊轉(zhuǎn)向數(shù)字化通道

從 傳統(tǒng)角度講，安全團(tuán)隊(duì)只需要關(guān)注企業(yè)防火墻保護(hù)之內(nèi)的一切資產(chǎn)即可。但與任何現(xiàn)代游戲一樣，網(wǎng)絡(luò)安全戰(zhàn)役的最新戰(zhàn)場已經(jīng)延伸到了數(shù)字化通道以及防火墻之外 的區(qū)域，而且受攻擊面也變得越來越大。目前發(fā)展最迅速的攻擊活動(dòng)都出現(xiàn)在我們主要數(shù)字通道當(dāng)中——包括網(wǎng)絡(luò)、移動(dòng)與社交媒體——這就給我們帶來了新的挑 戰(zhàn)，即如何在防火墻、主機(jī)代理以及網(wǎng)絡(luò)傳感器等傳統(tǒng)保護(hù)手段無法奏效的情況下，了解對手在外部網(wǎng)絡(luò)中組織起怎樣的攻擊規(guī)劃。

釣魚攻擊的演變明顯就遵循此理。根據(jù)Verizon DBIR報(bào)告的說法，過去幾年來“企業(yè)遭遇的超過三分之二安全事故源自釣魚攻擊。”而約有50%的目標(biāo)在收到郵件的一小時(shí)內(nèi)“將其打開并點(diǎn)擊了其中的釣魚鏈接”——這樣的作法令60%的企業(yè)“在幾分鐘內(nèi)”遭受入侵。

檢 測釣魚攻擊已經(jīng)不再是人為分析所能完成的任務(wù)，而靜態(tài)檢測規(guī)則在這一領(lǐng)域也幾乎無技可施，這意味著安全游戲玩家必須想到新的辦法。對手開始利用復(fù)雜度更高 的軟件開發(fā)技術(shù)快速定制并修改釣魚攻擊手段，并將其散播到全部數(shù)字化通道當(dāng)中。檢測這些威脅并跟上變化節(jié)奏要求甚至說迫使大家使用先進(jìn)的自動(dòng)化機(jī)制與機(jī)器 學(xué)習(xí)技術(shù)。

客戶、員工以及營收都需要通過數(shù)字化通道實(shí)現(xiàn)，這就讓如今的信息安全游戲迎來了新的戰(zhàn)場，而我們面對的則是武裝到牙齒的對手。

作為結(jié)果，我們看到網(wǎng)絡(luò)安全游戲中出現(xiàn)了兩種規(guī)模最可觀且發(fā)展速度最快的新型外部威脅：

1)通過社交媒體實(shí)現(xiàn)的釣魚攻擊。

2)對手開始將攻擊資源散布到大型威脅基礎(chǔ)設(shè)施當(dāng)中以混淆視聽。

流氓社交媒體攻擊

過去幾年以來，攻擊者們已經(jīng)將釣魚環(huán)境由傳統(tǒng)電子郵件及Web層面轉(zhuǎn)向移動(dòng)應(yīng)用。最近一段時(shí)間，他們更是開始使用Twitter等社交媒體平臺(tái)作為攻擊立足 點(diǎn)。犯罪分子們能夠輕松使用熱門議題、群組成員或者偽造的品牌人性關(guān)系幫助自身獲得信任，進(jìn)而將矛頭指向特定群體并利用這種信任實(shí)現(xiàn)惡意活動(dòng)。

而讓這些攻擊極具挑戰(zhàn)性的因素在于，我們很難對這種極為靈活且周期較短的惡意行為做出判斷。很多惡意活動(dòng)只存在五到八個(gè)小時(shí)，而其造成的危害往往在前幾個(gè)小時(shí)中就已經(jīng)顯現(xiàn)出來。

發(fā) 現(xiàn)并阻斷攻擊活動(dòng)則往往相對滯后，一般來講我們需要24個(gè)小時(shí)才能識別出流氓社交媒體賬戶并將其拒之門外。要切實(shí)應(yīng)對此類威脅，我們需要顯著提升對攻擊活 動(dòng)的檢測與響應(yīng)速度。具體來講，這要求我們的技術(shù)手段能夠檢測全部數(shù)字化通道中的釣魚行為，包括Web、移動(dòng)以及社交媒體。而目前惟一的答案就是機(jī)器學(xué) 習(xí)，它確實(shí)有能力揪出前所未見的新型/經(jīng)過修改的惡意活動(dòng)。

威脅基礎(chǔ)設(shè)施變?yōu)?ldquo;移動(dòng)靶”

為 了進(jìn)一步提升攻擊能力，惡意人士還會(huì)對自己的威脅基礎(chǔ)設(shè)施進(jìn)行快速移動(dòng)與規(guī)模擴(kuò)展，從而確保自己的攻擊向量能夠覆蓋各類新型通道。為了實(shí)現(xiàn)這項(xiàng)目標(biāo)，他們 會(huì)采取敏捷軟件開發(fā)與云服務(wù)以快速部署各類工具。攻擊者還會(huì)合法使用同樣的云服務(wù)及第三方托管方案，從而有效降低運(yùn)行自有基礎(chǔ)設(shè)施的成本并提升運(yùn)作效率。

他 們還利用此類基礎(chǔ)設(shè)施托管惡意負(fù)載與文件的多套副本，從而快速實(shí)現(xiàn)攻擊資源轉(zhuǎn)移。攻擊者使用的最為先進(jìn)的新技術(shù)之一正是負(fù)責(zé)混淆攻擊并回避安全分析，即建 立分層流量分發(fā)服務(wù)(簡稱TDS)。這類方案基本上會(huì)對流量進(jìn)行十幾次甚至幾十次重新定向，從而最終迷惑安全產(chǎn)品及分析手段。

這些先進(jìn)威脅基礎(chǔ)設(shè)施亦被用于組織釣魚攻擊、惡意廣告活動(dòng)以及傳統(tǒng)惡意軟件傳播，并幫助其立足于社交媒體實(shí)施惡意行為。不過，希望仍然存在。

戰(zhàn)勝游戲?qū)κ?/p>

有跡象表明，我們可以利用多項(xiàng)指標(biāo)將基礎(chǔ)設(shè)施作為統(tǒng)一整體看待，從而識別并分析“游戲?qū)κ?rdquo;。無論如何，基礎(chǔ)設(shè)施至少需要PDNS、Whois以及SSL證 書注冊信息才能發(fā)揮作用，而我們也能夠以自動(dòng)化方式將其與已知威脅活動(dòng)加以關(guān)聯(lián)。使用這些指標(biāo)，安全分析師們能夠更好地掌控這場網(wǎng)絡(luò)安全游戲，了解攻擊者的當(dāng)前行為并對其基礎(chǔ)設(shè)施進(jìn)行定位，最終將其屏蔽以及/或者反擊。這同樣能夠有效防范未來可能出現(xiàn)的潛在攻擊。

網(wǎng)絡(luò)安全游戲永遠(yuǎn)沒有終點(diǎn)，攻擊者們會(huì)不斷建立新的基礎(chǔ)設(shè)施并改變具體戰(zhàn)術(shù)。然而，只要使用正確的技術(shù)與自動(dòng)化方案，企業(yè)注能夠更好地檢測到其蛛絲馬跡，阻止其惡意行為并顯著提升犯罪分子們的攻擊成本——最終保護(hù)自身與用戶安全。