洞察當今安全形勢全面防控潛在風險

黑客的最新攻擊趨勢

對于攻擊者來說，慣于使用病毒等惡意程序對系統(tǒng)和網(wǎng)絡進行攻擊。隨著技術的發(fā)展，攻擊者明顯提高了惡意軟件的復雜性。例如曾經(jīng)引起全球巨大安全問題的某勒索軟件，采用加密蠕蟲技術技術可以更加輕松地進行大范圍攻擊操作，其特點不僅僅是勒索錢財，而是刪除系統(tǒng)和數(shù)據(jù)，給用戶造成很大的損失。

例如WannaCrypt勒索軟件會通過釣魚網(wǎng)站或垃圾郵件，利用社會工程學技術將惡意的URL/PDF/HTA的數(shù)據(jù)發(fā)送給用戶，用戶點擊該URL或打開附件后，就會下載并釋放該蠕蟲。當WannaCrypt運行后，即開始執(zhí)行后續(xù)攻擊行為，其特點是釋放加密模塊，對本地文件進行加密并進行勒索。之后該蠕蟲會掃描局域網(wǎng)中的IP地址，利用SMB等系統(tǒng)漏洞，通過自我復制來攻擊其他主機。此外，其還會生成隨機的互聯(lián)網(wǎng)IP地址，對Internet上隨機主機進行攻擊?？梢钥闯鲈搻阂廛浖⑨烎~、垃圾郵件、加密勒索和蠕蟲等特點結合在了一起，使其擁有更加危險的功能。

識破黑客逃避伎倆

攻擊者會通過各種方法讓惡意程序避開用戶追蹤。例如有些木馬會利用各種沙盒逃避技術（例如只有在文件關閉時才會觸發(fā)等），讓沙盒檢測軟件對其視而不見。此外大量的使用加密技術，可以讓黑客更好的隱藏命令和控制指令。攻擊者還會采用合法的Internet服務的C2渠道來加密惡意流量。例如對于新型木馬來說，會自動定時到GitHub端下載更新程序來強化該木馬的功能，同時將盜取的數(shù)據(jù)發(fā)送到GitHub云端中。

因為GitHub、Dropbox等均是合法的Internet服務，并提供了加密傳輸功能，所以黑客可以借此混跡其中來逃避追捕。當然，黑客也可能使用MITM插入技術，在正常訪問因特網(wǎng)服務流量中插入非法指令來避開防火墻等設備的監(jiān)控。

因 此， 將 合 法 的Internet服務變成發(fā)起惡意攻擊工具，是黑客技術發(fā)展的一大趨勢。對于很多企業(yè)來說，會依賴和使用云服務、物聯(lián)網(wǎng)和公共網(wǎng)絡。這些網(wǎng)絡網(wǎng)絡存在很多漏洞，很容易遭到黑客的攻擊。例如，黑客利用黑客可以籍此建立僵尸網(wǎng)絡，來發(fā)起更大范圍的DDoS攻擊。

強化安全防御手段

對于上述攻擊行為來說，必須采取對應的手段加以防御。例如，通過實施可擴展的一線防御工具來保護網(wǎng)絡安全。因為很多企業(yè)都使用基于云的網(wǎng)絡技術，所以可以利用云安全平臺，針對云端操作進行管控和認證，限制內部用戶對企業(yè)公有云上的資源的訪問。通過防火墻等設備對網(wǎng)絡進行分段來降低安全風險，針對應用程序，系統(tǒng)和網(wǎng)絡設備進行漏洞的修復，防止惡意入侵。

傳統(tǒng)的基于靜態(tài)或動態(tài)特征碼技術已經(jīng)無法防御新一代的病毒攻擊，所以采用下一代終端進程管控工具，可以通過對特征和行為進行多重分析，包括使用人工智能機器學習等手段來發(fā)現(xiàn)和識別可疑程序。對于很多安全廠商來說，在不斷提高安全產(chǎn)品性能的同時，也在不斷深入了解最新的黑客技術，針對新型的入侵方式，利用AI和機器學習等方法對其進行深入分析，掌握最新的安全動態(tài)，來精準的獲取威脅情況信息。

因此，對于安全人員來說，及時訪問和了解這些威脅情報數(shù)據(jù)，熟悉其運作流程，就可以更加有效的監(jiān)控相關的安全事件。

對出現(xiàn)的安全問題及時加以審核并有效加以解決，對重要的數(shù)據(jù)進行備份可以有效應對勒索病毒的侵襲，對安全技術實施第三方的測試審查來降低供應鏈攻擊風險，對微服務/云服務/應用管理系統(tǒng)進行掃描，對安全系統(tǒng)進行不間斷審核。因為惡意軟件可能將數(shù)據(jù)封裝在加密流量中，企業(yè)內部不法員工會使用云端來竊取機密信息，因此安全人員需要使用相關工具來及時檢測這些利用加密技術進行的破壞活動。

惡意軟件的新特點

惡意軟件變得更加復雜，其類型和數(shù)量不斷膨脹，面對處于混亂狀態(tài)的安全形勢，對于安全防御提出了新的挑戰(zhàn)。對于將惡意程序和蠕蟲技術集成于一身的勒索病毒來說，可以讓黑客發(fā)起新型的自傳播式的攻擊行為。傳統(tǒng)的惡意軟件一般是通過常規(guī)下載，垃圾郵件或U盤介質等方法進行傳輸，用戶防御起來也比較簡單。

但是現(xiàn)在的攻擊者采用的傳播手段更加復雜，例如黑客可以在某些軟件的更新包中內嵌惡意代碼，讓用戶在進行正常升級過程中中招。黑客甚至可以直接修改某些系統(tǒng)的更新源文件，將其指向黑客精心設置的惡意更新源。對于Linux來說，在安裝軟件時用戶經(jīng)常會使用“Yum”或“Apt-get”等指令，在實際操作時可能會出現(xiàn)打錯字符的情況，黑客會總結用戶經(jīng)常手誤的指令名稱，在更新源上設置對應的下載包，利用用戶誤操作來自動下載惡意程序。

沙盒技術可以有效識別惡意軟件,但越來越多的惡意軟件通過使用文檔關閉觸發(fā)技術來規(guī)避沙盒的檢測。此外，黑客還會通過偽裝存在惡意負載的文件來避開沙盒的檢測。例如攻擊者會將存問題的Word文件內嵌到PDF文檔中，沙盒雖然可以對PDF進行檢測，但是對于內嵌的Word文件卻不能進行有效分析。因此，使用包含內容感知功能的沙盒軟件，可以讓利用這些惡意策略的不法文件漏出馬腳。

對于正規(guī)廠商的商業(yè)軟件來說，出現(xiàn)安全問題，會及時發(fā)布補丁包進行修復。但對于開源軟件來說，即使出現(xiàn)安全漏洞，安全更新發(fā)布的也會很緩慢。而且開源軟件經(jīng)常大量使用第三方的控件，這大大增加了安全風險的發(fā)生率。對于黑客來說，可以在其中任何一個環(huán)節(jié)（例如更新源、補丁包、第三方控件等）進行惡意破壞，就會讓惡意程序大行其道。對于修改更新源，篡改更新包等基于供應鏈的攻擊方式，其危害性很大，但是卻經(jīng)常被用戶所忽視。

對于安全人員來說，應保證使用的軟件和硬件來自安全可靠的組織和企業(yè)。用戶在使用更新源和更新包之前需要對其進行檢測，來發(fā)現(xiàn)其中是否存在惡意代碼，否則這種基于供應鏈的攻擊形式會讓用戶防不勝防。對于勒索軟件來說，其目標不僅僅是普通用戶，還包括開發(fā)及運行平臺，因為現(xiàn)在的開發(fā)者往往基于云端操作，大量的數(shù)據(jù)（包括郵件、網(wǎng)站、財務系統(tǒng)、辦公系統(tǒng)、數(shù)據(jù)庫等）保存在云中，很多開發(fā)及運行平臺在為外界服務，黑客可以針對這些云端數(shù)據(jù)進行攻擊加密和勒索。所以需要采取諸如及時修復和更新開發(fā)運行技術，積極掃描漏洞，實現(xiàn)更加嚴格的安全部署方案，對公共基礎設備加以關注等。

警惕加密流量中“濁流”

據(jù)統(tǒng)計，現(xiàn)在網(wǎng)上50%的流量均處于加密狀態(tài)，這給黑客進行隱藏命令與控制行為帶了極大的便利。據(jù)分析，現(xiàn)在的惡意軟件大約70%都經(jīng)過了加密處理，這樣就可以逃避安全監(jiān)測。

更危險的是，如果相關安全公司的私鑰和證書被黑客竊取的話，其危害性將更大。面對這種復雜的安全局勢，比較好的應對策略是使用人工智能和機器學習來識別海量加密流量中惡意攻擊活動的異常模式。

使用之前的靜態(tài)簽名和動態(tài)簽名技術，只能實現(xiàn)手工定義，沒有泛化或者泛化能力有限，無法可靠阻止大多數(shù)網(wǎng)絡攻擊。利用機器學習，可以執(zhí)行行為簽名處理，即分析軟件的異常行為，能夠基于惡意軟件的的相似性進行泛化。通過對大量正常流量的學習來檢測惡意流量的特征，并基于常見可疑行為進行泛化來捕獲可疑流量的通用特征。對可疑軟件的異常行為進行分析和泛化，可有效發(fā)現(xiàn)各種危險漏洞。

對Web攻擊的識別和防護

Web攻擊是黑客最常用的活動方式之一。Web攻擊主要針對服務器和客戶進行，對于服務器端來說，因為很多協(xié)議實際上沒有標準化，加之為了實現(xiàn)各種功能，會在服務軟件中添加各種模塊，就會出現(xiàn)許多潛在的漏洞?？蛻舳送狈Ρ匾陌踩庾R，易遭黑客攻擊。

對于Web攻擊來說，主要針對的是微軟IE瀏覽器。不管威脅形式如何變化，惡意和垃圾郵件堪稱黑客發(fā)布惡意程序的主要工具。

社會工程學是黑客常用的手法之一，其威脅是不可忽視的。很多黑客技術會隨著時代發(fā)展而消失，但社會工程學只能越來越得到黑客的重視。和傳統(tǒng)的釣魚模式不同，現(xiàn)在黑客組織經(jīng)常使用魚叉式釣魚模式，即對目標對象進行精準的分析，了解其特點和愛好，通過精心設計的情節(jié)，對目標進行釣魚操作，其成功率往往很高。

網(wǎng)絡釣魚顯著特點是使用的域名數(shù)量較少，但是使用的網(wǎng)址數(shù)量卻很龐大。即通過隱私服務注冊域名來隱藏域名注冊信息，這對實際的追蹤帶來了不便。黑客可能使用短網(wǎng)址技術來偽裝非法的網(wǎng)址，讓用戶難以識別。對于安全防御來說，重點關注的應該是對移動設備的保護，對公共云中數(shù)據(jù)的保護，以及對用戶行為的保護等。

對云服務進行安全保護

現(xiàn)在很多應用和數(shù)據(jù)都遷移到了云端，讓傳統(tǒng)安全技術難以對不斷擴展的云服務和物聯(lián)網(wǎng)環(huán)境進行安全管控。因為這些云服務是合法的，不可能被全部阻止，和云服務相關的數(shù)據(jù)均進行了加密處理，造成難以檢測的情況。這些云服務的歸屬變得復雜化，攻擊者無需注冊域名。

為了應對這些威脅，比較有效的方法是對威脅信息進行情報分析，了解相關惡意流量的特點，熟悉其滲透的方式，之后有針對性的進行APT的防御措施，包括事件關聯(lián)、沙箱檢測、終端和網(wǎng)關威脅防御等。通過對惡意軟件的行為和控制的安全檢測，來抵御潛在的風險。

攻擊者可能會申請很多域名，但是IP地址資源卻比較有限，因此黑客可以大量重復的使用不同域名，但是其只能重復使用少量的IP地址，而IP地址可以供多個域名使用的。因此只要對這些IP地址進行封堵，就可以有效防御其攻擊。

例如在云端可以針對該特點進行收集情報，進行大數(shù)據(jù)分析之類的工作。黑客除了使用公共云服務來傳播木馬等惡意軟件外，企業(yè)內部人員往往會將各種數(shù)據(jù)存放在云端，雖然這方便了用戶的使用，不過也帶來了不可忽視的安全問題。

例如，云服務提供商無法完全保證數(shù)據(jù)的安全性，無法實現(xiàn)諸如基于活動目錄之類的認證機制，這就會造成企業(yè)的敏感數(shù)據(jù)存在被竊取、毀壞或泄露的情況。隨著越來越多的基礎設施遷移到云中，使用云訪問訪問安全代理安全代理技術可以為云環(huán)境增加更好的安全性。這樣，企業(yè)內部用戶必須借助于該代理進行認證及權限控制和記錄等操作，之后通過該代理才可以訪問云端數(shù)據(jù)。如果數(shù)據(jù)丟失的話，還可以進行恢復。

警惕黑客侵襲物聯(lián)網(wǎng)

對于物聯(lián)網(wǎng)來說，其中的很多設備（例如網(wǎng)絡攝像頭、打印機、智能音箱等）處于不間斷運行狀態(tài)，基本上不會進行升級，因此存在在很多的漏洞和弱密碼。黑客利用這些物聯(lián)網(wǎng)設備可以構建起僵尸網(wǎng)絡，發(fā)起DDoS攻擊。DDoS攻擊分為基于應用和網(wǎng)絡的攻擊，前者為主要攻擊形式。現(xiàn)在的DDoS攻擊具有短期突發(fā)，攻擊頻繁且復雜等特點。

因為有些網(wǎng)站（包括云服務提供商）對于可用性和延時性非常敏感，對于上述DDoS攻擊無法應對。此外，黑客利用反射放大攻擊（包括DNS放大反射、NTP反射和SSDP反射等），可以有效的隱藏攻擊者。此類攻擊往往依靠UDP協(xié)議進行，只要是UDP服務，幾乎都可能被用來實現(xiàn)DDoS攻擊。該類攻擊必須依靠地址欺騙技術，有些網(wǎng)絡（例如教育網(wǎng)）對地址欺騙防護比較差，這給黑客造成很大的便利。

在攻擊者的眼中，除了常規(guī)的攻擊目標外，一些基礎設施單位（例如發(fā)電廠等），因為工控系統(tǒng)漏洞等問題，使其也處于黑客的攻擊范圍內。在這些工控網(wǎng)絡中同樣存在嚴重的安全問題，其內部很多設備極易遭到攻擊。為提高安全性，必須將這些網(wǎng)絡隔離開來，并實行嚴格管控，包括及時更新系統(tǒng)和應用補丁更新，控制移動存儲設備的使用，禁止使用弱密碼，及時備份重要數(shù)據(jù)等。

防范泄露路徑問題

在很多企業(yè)內部可能存在泄露路徑的問題。所謂泄露路徑，指的是在企業(yè)內存在某些未知的設備，并且由此發(fā)生了一些不正常的在允許策略之外的通訊，出現(xiàn)了管理員并不知道的網(wǎng)絡流量。

當然，如果路由器或交換機配置不當，也會產(chǎn)生泄露路徑問題。如果這些流量被發(fā)送到Internet上，就很可能被黑客竊取。

為了修復泄露路徑，管理員必須充分知曉企業(yè)中存在哪些設備，洞悉網(wǎng)絡流量的走向。將位置的設備以及不正常的流量找出來，這樣就可以封堵這些泄露路徑。

如今一些下一代防火墻就提供了安全可視化技術，讓管理員可以深入了解全網(wǎng)情況，以便于其快速發(fā)現(xiàn)泄露路徑。

隨著網(wǎng)絡安全的發(fā)展，諸如移動安全性、加密和隱私保護、防火墻管理、終端保護、多因素身份驗證、終端設備調查分析、云訪問安全代理、Web應用防火墻、入侵防御等安全管控技術在對抗黑客入侵方面也正在發(fā)揮著越來越大的作用。

修復安全漏洞 封堵入侵通道

黑客之所以可以猖狂的發(fā)起攻擊，在很大程度上依靠的是各種安全漏洞。因此，及時有效的修復漏洞是極為必要的。

例如對于WannaCry勒索病毒來說，從漏洞的披露到大面積爆發(fā)，存在很長的時間，但是因為修復不及時，依然讓其造成了大面積的破壞。對于某些漏洞（例如請求TCP時間戳請求、弱HTTPS緩存策略等）來說，其嚴重性較低，但風險較高，不容易引起用戶的重視，往往長期不對其進行修復。

當然，對于有些漏洞來說，想在30天之內進行修復其實是比較困難的。例如對于Apache Struts緩沖區(qū)溢出漏洞，是普遍存在的安全漏洞，這很容易導致用戶數(shù)據(jù)被竊取。對于Java Web框架來說，幾乎每年都會出現(xiàn)漏洞等。此外，對于緩沖區(qū)錯誤、輸入驗證、權限和訪問控制、信息泄露、密碼問題、OS命令注入、連接跟隨等方面，往往存在容易被黑客利用的漏洞。尤其對于一些開源軟件來說，漏洞不僅存在而且難以及時修補。即使存在相應補丁包，也很難在不影響業(yè)務的情況下快速修復漏洞。在發(fā)現(xiàn)漏洞和修補完成之間存在巨大的時間差，黑客完全可以利用從容的對目標發(fā)起攻擊。

最新研究證實，除了常見的系統(tǒng)和程序漏洞外，在物聯(lián)網(wǎng)和第三方軟件庫中存在數(shù)量眾多的安全漏洞。因此，加強對于第三方軟件庫的安全管控，及時打上補丁，確認第三方軟件的安全性，對于網(wǎng)絡安全意義重大。

在執(zhí)行更新過程中，要盡可能通過加密通道進行，而且需要確保軟件經(jīng)過了數(shù)字簽名處理。值得警惕的是，在處理器硬件層面也存在某些安全漏洞例，例如Meltdown（熔毀）和Spectre（幽靈）等漏洞，讓攻擊者甚至可以讀取處理器內部的數(shù)據(jù)。當然，這需要在特定的情況下使用特定的攻擊工具，黑客才可以得手。但是，重視和關注此類漏洞，對于網(wǎng)絡安全是不可忽視的。例如，安全人員應及時清查各種控制設備，記錄其使用配置信息等。