序：某些方面而言，網(wǎng)絡(luò)安全是一個(gè)很有趣的領(lǐng)域。特別是在這個(gè)新互聯(lián)網(wǎng)時(shí)代，在IT變革時(shí)期中，不僅惡意攻擊者總是在人們意想不到的地方實(shí)施入侵，防御者們備受挑戰(zhàn)的安全思維也在發(fā)生變化，于“異想天開(kāi)”中打造全新的安全防護(hù)體系。

聲明I：本文所述非為夸大惡意攻擊之殘酷歹毒，意在幫助防御者共同探尋新的安全思想。

聲明II：文中部分?jǐn)?shù)據(jù)及資料取材于賽門(mén)鐵克第二十期《互聯(lián)網(wǎng)安全威脅報(bào)告》（ISTR）。

　　惡意威脅從未停止、減弱，攻擊與防御永在不停變化、不停進(jìn)化

小米800萬(wàn)用戶(hù)信息泄露、索尼影業(yè)遭最大規(guī)模黑客攻擊(可憐的索尼貌似都遭遇好幾次攻擊了)、摩根大通銀行被黑8300萬(wàn)客戶(hù)信息、OpenSSL“心臟出血” 漏洞、Shellshock“破殼”漏洞、Adobe Flash零日漏洞、ATM機(jī)漏洞……2014年網(wǎng)絡(luò)安全世界里大事件、大漏洞層出不窮，同時(shí)大情報(bào)也被頻頻爆出：金融木馬更加強(qiáng)悍，間諜工具regin被曝光，從Cyber Resilience——網(wǎng)絡(luò)韌性(快速、精準(zhǔn)發(fā)現(xiàn)安全威脅)到Security Intelligence——安全智能……當(dāng)形成利益集團(tuán)的駭客們發(fā)起愈加兇狠的攻擊時(shí)，辛勞的安全防御者也在頻頻出手，擒獲惡意攻擊者的幫兇，破解網(wǎng)絡(luò)攻擊的核心秘密，并不斷研發(fā)出更具針對(duì)性、更為有效的安全防護(hù)技術(shù)。

玩“蛙跳”的網(wǎng)絡(luò)攻擊者

如今的網(wǎng)絡(luò)犯罪分子正在不斷使用新型欺騙手法入侵公司網(wǎng)絡(luò)，比如玩玩“蛙跳”：惡意攻擊者采用跳躍方式躲避企業(yè)防御，使得企業(yè)無(wú)法進(jìn)行有效偵察、預(yù)測(cè)。而這一切要從黑客組織Dragonfly(蜻蜓)說(shuō)起……

2014年賽門(mén)鐵克發(fā)現(xiàn)并報(bào)告了Dragonfly犯罪集團(tuán)攻擊歐洲和美國(guó)能源行業(yè)的事件，Dragonfly采用了多種針對(duì)性攻擊手段，包括魚(yú)叉式網(wǎng)絡(luò)攻擊、水坑攻擊、軟件更新植入木馬等典型攻擊方法。

向目標(biāo)人群發(fā)送電子郵件，投出攻擊“魚(yú)叉”是網(wǎng)絡(luò)攻擊者最常用的手段，能源行業(yè)是魚(yú)叉式網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。而“守株待兔”在黑色產(chǎn)業(yè)鏈圈子里已經(jīng)不是一個(gè)貶義詞，新型的“水坑攻擊”借助釣魚(yú)網(wǎng)站讓用戶(hù)在不知不覺(jué)中自投羅網(wǎng)。最“炫”的是，企業(yè)業(yè)務(wù)中的各類(lèi)應(yīng)用軟件也被充分利用，軟件更新已經(jīng)不僅僅能夠提升應(yīng)用性能，更可能帶來(lái)已被先期植入的木馬。惡意攻擊者在不同時(shí)期充分利用這幾類(lèi)攻擊手段，交叉組合，用戶(hù)防不勝防。雖然數(shù)據(jù)上顯示魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊數(shù)量在下降，但攻擊活動(dòng)卻并未減少，這意味著攻擊方式正在逐漸成熟。

在ISTR報(bào)告中顯示，每6家大型企業(yè)中，就會(huì)有5家成為攻擊目標(biāo)。攻擊者通過(guò)劫持大型企業(yè)IT基礎(chǔ)架構(gòu)如影隨形、如毒附骨，輕松躲避安全監(jiān)測(cè)，隨心所欲的實(shí)施攻擊。

身手愈加敏捷的網(wǎng)絡(luò)犯罪分子

你知道么？2014年最為著名的Heartbleed(心臟出血)漏洞在被公布出來(lái)之前就已經(jīng)被惡意攻擊者充分利用。有數(shù)據(jù)顯示，在漏洞被公布之前駭客們已經(jīng)利用它發(fā)起攻擊將近4個(gè)小時(shí)。零日漏洞如此好使，那些漏洞挖掘工們更加勤快了。“采蘑菇地小姑娘~”，哦，錯(cuò)了，應(yīng)該是：

“挖漏洞地小駭客

帶著一臺(tái)筆記本

黑夜光著倆肩膀

走遍系統(tǒng)服務(wù)器

他挖的漏洞最多

多得像那星星數(shù)不清

他曝的漏洞最大

賺得成堆金幣裝滿(mǎn)包

噻籮籮哩噻籮籮哩噻……”

(嘿，莫扔磚頭、莫扔爛菜葉——這個(gè)西紅柿還不錯(cuò)，不唱了，吃它！)

網(wǎng)絡(luò)犯罪分子利用零日漏洞的速度完勝?gòu)S商推出補(bǔ)丁的速度——2014年，在廠商推出補(bǔ)丁之前，攻擊者利用排名前5大“零日漏洞”并主動(dòng)實(shí)施攻擊的時(shí)間總共長(zhǎng)達(dá)295天。

你又知道么，現(xiàn)在含有惡意軟件的合法網(wǎng)站開(kāi)始大幅度減少，這是“邪不勝正”的緣故？抱歉，這并非是由于網(wǎng)站的網(wǎng)絡(luò)安全性得以提高，而是攻擊手段已經(jīng)成熟起來(lái)的緣故，攻擊者開(kāi)始使用工具包和SaaS從他們的網(wǎng)站實(shí)施攻擊，也就是說(shuō)合法網(wǎng)站上所含的惡意軟件數(shù)量雖然減少，但是駭客們會(huì)將受害者重定向到受到攻擊者控制的網(wǎng)站上。如今的網(wǎng)絡(luò)攻擊在變得更加準(zhǔn)確、快速、隱蔽，攻擊數(shù)量是減少了，而攻擊所造成的損失并沒(méi)有下降，網(wǎng)絡(luò)犯罪分子在攻擊速度和精準(zhǔn)度上獲勝！

其所帶來(lái)最直接的后果就是，2014年數(shù)據(jù)泄露總量增加了將近四分之一。其中零售行業(yè)和醫(yī)療行業(yè)在數(shù)據(jù)泄漏方面十分嚴(yán)重，網(wǎng)絡(luò)攻擊導(dǎo)致零售行業(yè)大量用戶(hù)資料被竊取(泄露事件占比11% ，但卻造成59%身份信息的泄露)，而醫(yī)療行業(yè)雖然主要數(shù)據(jù)泄漏途徑還是意外、設(shè)備丟失被盜等，但如今醫(yī)療行業(yè)所泄漏的數(shù)據(jù)在成上升趨勢(shì)。

開(kāi)始玩“斗地主”的貪吃鬼們

再看個(gè)數(shù)據(jù)，2014年每天出現(xiàn)約100萬(wàn)種新型威脅，而且將近三分之一的惡意軟件能夠感知虛擬機(jī)甚至搜索虛擬鏡像，這意味著沙盒、沙箱類(lèi)安全防御被惡意攻擊識(shí)破的可能性在變得更高。防御者希望借助虛擬機(jī)讓惡意軟件漏出馬腳，而惡意軟件一旦識(shí)破則會(huì)或停止運(yùn)行潛伏下來(lái)，或發(fā)送虛假數(shù)據(jù)實(shí)施迷惑，甚至?xí)扇∫?guī)避動(dòng)作、延遲執(zhí)行、等待用戶(hù)操作等等，駭客們正在斗智斗勇“斗地主”！而大幅上升的惡意軟件還分散了本應(yīng)部署于高級(jí)安全問(wèn)題的IT資源，這些惡意軟件好一幅“貪吃鬼”惡相了得。

“貪吃鬼”們除了喜歡玩“斗地主”，其“綁票”副業(yè)也玩的更溜兒了。2014年勒索軟件攻擊上升了113%，設(shè)備被綁架人數(shù)上升了45倍，對(duì)企業(yè)和消費(fèi)者構(gòu)成持續(xù)威脅。當(dāng)我們收到某些“執(zhí)法機(jī)構(gòu)的警告信”時(shí)，要先考慮下其真實(shí)性了，那可能是一個(gè)勒索陷阱。當(dāng)“熟人”所發(fā)電子郵件里出現(xiàn)“軟勒索”類(lèi)信息時(shí)，上當(dāng)否？

而可惡的密碼勒索軟件依然在急劇增長(zhǎng)，其加密長(zhǎng)度也越來(lái)越長(zhǎng)，還養(yǎng)成了收了“贖金”也“撕票”——用戶(hù)無(wú)法順利解鎖——的壞習(xí)慣。未來(lái)，密碼勒索軟件將繼續(xù)攻擊Office和PDF文件、個(gè)人文件與照片，專(zhuān)業(yè)存儲(chǔ)設(shè)備、云端、移動(dòng)設(shè)備、智能手機(jī)等也將無(wú)法幸免。

玩社交？被“社交”“玩”？

盡量關(guān)掉自己IT設(shè)備上的攝像頭吧，它會(huì)“幫助”惡意攻擊者竊取用戶(hù)信息，透過(guò)社交網(wǎng)絡(luò)使得用戶(hù)的朋友們?cè)馐芷垓_。社交網(wǎng)絡(luò)里，那些需要先在朋友圈“分享”的精彩內(nèi)容，背后很可能是駭客正要發(fā)起的攻擊?，F(xiàn)在，網(wǎng)絡(luò)犯罪分子開(kāi)始利用消費(fèi)者對(duì)朋友所分享內(nèi)容的信任實(shí)施社交網(wǎng)絡(luò)和移動(dòng)欺詐。所以，學(xué)會(huì)習(xí)慣用懷疑的眼光去看每一條收到的社交信息鏈接吧。

如果你總是用同一套賬號(hào)密碼登錄各類(lèi)網(wǎng)站、應(yīng)用，那么就要做好遭遇數(shù)據(jù)被竊、資金丟失等損失的心理準(zhǔn)備。另外，對(duì)于那些可能泄露隱私的免費(fèi)應(yīng)用，還是慎重考慮是否安裝吧。

物聯(lián)網(wǎng)安全？嘿，哥們，它已不遠(yuǎn)

物聯(lián)網(wǎng)安全貌似很遠(yuǎn)，其實(shí)當(dāng)您在ATM機(jī)器前做取錢(qián)操作時(shí)，您就已經(jīng)在開(kāi)始面臨網(wǎng)絡(luò)犯罪分子攻擊的風(fēng)險(xiǎn)。ATM、視頻監(jiān)控設(shè)備的安全隱患已經(jīng)被暴露，物聯(lián)網(wǎng)的安全問(wèn)題正在持續(xù)發(fā)酵。

家庭路由器、機(jī)頂盒、監(jiān)控設(shè)備……其中都存在尚未被封堵的漏洞，惡意攻擊者可以十分輕松的將其利用。而車(chē)聯(lián)網(wǎng)、醫(yī)聯(lián)網(wǎng)里更是存在風(fēng)險(xiǎn)度極高的安全隱患。一個(gè)小小的智能手環(huán)，在數(shù)據(jù)搜集、傳輸、交互過(guò)程中，脆弱網(wǎng)絡(luò)協(xié)議里的漏洞隨時(shí)可能被惡意攻擊者發(fā)現(xiàn)。

撥開(kāi)安全迷霧 給安全思維“破個(gè)洞”

突然想起在《紅警》、《星際爭(zhēng)霸》這些游戲里，由于“戰(zhàn)爭(zhēng)迷霧”一類(lèi)設(shè)定的存在，打開(kāi)主基地后，玩家要做的第一件事情就是派出自己1路或者n路小兵去探路，找尋資源，更要找尋敵人所在方位、進(jìn)攻路線。而在偵察路徑的設(shè)定上或者選擇圓周方式、或者放射性出擊、或者對(duì)角線穿透……無(wú)論哪種——只要米有使用秘笈、作弊器“驅(qū)逐戰(zhàn)爭(zhēng)迷霧”——都需要耗費(fèi)一定時(shí)間才能找尋到敵人的基地。不過(guò)，系統(tǒng)控制的敵軍則無(wú)需探路，他們會(huì)直接目標(biāo)清晰的發(fā)起攻擊。原因無(wú)他，系統(tǒng)設(shè)定里敵軍對(duì)我方的基地方位為已知。

如今，駭客們也擁有類(lèi)似的優(yōu)勢(shì)！

聰明的駭客們已經(jīng)摸透了當(dāng)前的IT系統(tǒng)架構(gòu)——數(shù)據(jù)如何生成、獲取，怎樣傳輸，存儲(chǔ)在哪里，門(mén)兒清！——這使其在攻擊上具有先天優(yōu)勢(shì)。聰明的駭客們?cè)谑褂脤映霾桓F的新攻擊手段不斷發(fā)起輪番攻擊，而落后一步的防御者卻依然在延續(xù)傳統(tǒng)安全慣性徒勞的希望抓到攻擊者的影子。

面對(duì)快速變化、愈加精準(zhǔn)的惡意威脅，防御者為何不以空間換時(shí)間，誘導(dǎo)惡意攻擊步入防御體系節(jié)奏，編織出覆蓋更多維度的安全防御“蜘蛛網(wǎng)”，在“網(wǎng)”中遲滯惡意攻擊，感知惡意攻擊，轉(zhuǎn)換攻防節(jié)奏，讓入侵者變?yōu)楂C物。

或者打造一個(gè)“系統(tǒng)迷宮”，給我們的IT系統(tǒng)架構(gòu)披上一件隱蔽服，讓惡意攻擊者去面對(duì)一個(gè)“陌生”的系統(tǒng)，使其完全不知從何下手。

安全防護(hù)正在從點(diǎn)轉(zhuǎn)向面，在這個(gè)轉(zhuǎn)變的過(guò)程，安全智能以及安全情報(bào)的分享能夠幫助用戶(hù)盡快實(shí)現(xiàn)“面”的防御。

沒(méi)有受到攻擊并非就意味著安全，對(duì)安全的認(rèn)識(shí)與思考需要從新的維度進(jìn)行。安全架構(gòu)、安全響應(yīng)、安全定義等等都需要打個(gè)“洞”——重新思考。腦洞大開(kāi)之間，智慧的碰撞下，新的安全防護(hù)架構(gòu)將被重新搭建起了。例如，賽門(mén)鐵克就正在與友商結(jié)成聯(lián)盟，甚至深度合作，通過(guò)大數(shù)據(jù)分析進(jìn)一步揭開(kāi)安全迷霧。