IT業(yè)界面臨的九大最嚴峻安全威脅

申請免費試用、咨詢電話：400-8352-114

就在幾年前，典型的黑客攻擊活動還只是屬于少數人的專利。這些惡意人士常常夜挑孤燈、紅牛為伴，苦苦搜尋面向公眾的IP地址。而一旦得手，他們就會列舉各類廣告服務（Web server、SQL server等等）、利用各種漏洞實施入侵并最終揪出隱藏在最深處的企業(yè)敏感信息。雖然他們的行為本身并不具備犯罪故意而更像是一種試探，但違法活動所帶來的刺激感與成就感很可能在關鍵性的時刻把黑客推向犯罪的深淵。

但如今一切都不同了，遙想當年，那倔強而純真的突破欲望如夢似幻。

時至今日，我們在描述典型黑客攻擊活動時，惡意工具及黑客本人都已經不重要了，真正危險的是潛藏在暗處的幕后黑手。當下，黑客活動已經不再是過去那種“介于合法與違法之間的灰色地帶”，而已經變成了徹頭徹尾的犯罪。這是一個完整的市場，買家出價購買惡意軟件、攻擊達人、租用僵尸網絡甚至能夠組織起破壞力巨大的網絡戰(zhàn)——時代不同了，現在我們所面對的是強大而組織嚴密的“敵人”。

下面我們就一起看看，如今設備管理系統(tǒng)業(yè)界正面臨著的九大最嚴峻安全威脅。

安全威脅第一位: 網絡犯罪集團的興起

雖然單打獨斗型犯罪策劃者依然存在，但如今最具威脅、攻擊力最強的惡意活動無疑源自有組織的團體，其中大部分成員都具有很高的專業(yè)水準。在時代發(fā)展的大勢之下，傳統(tǒng)犯罪團伙紛紛選擇與時俱進，在保持以往的販毒、博彩、敲詐及勒索等盈利項目不動搖的基礎上，大舉進軍網絡犯罪這一新興領域。但他們也承認，這個行業(yè)競爭同樣激烈。不只是黑手黨，多家規(guī)模極其龐大的專業(yè)犯罪組織也已經參與進來，并意圖成為整個網絡犯罪領域的帶頭大哥。

大多數組織最嚴謹、實施最成功的網絡犯罪活動都是由某些業(yè)界知名的頂級跨國集團一手促成，其中不少都擁有相當龐大的正規(guī)市場傳播渠道。事實上，如今的網絡犯罪分子很可能從屬于雅芳或者玫琳凱等知名企業(yè)，這是我們過去想都不敢想的狀況。

雖然人數較少、規(guī)模有限的小團體同樣會帶來不少安全威脅，但設備管理系統(tǒng)安全專家們已經逐漸將關注重心轉移到來自大型企業(yè)集團的惡意活動身上。這聽起來有些聳人聽聞，但卻絕對是鐵打的事實——包括全職員工、人力資源管理、項目管理團隊以及領導者在內的所有對象都是犯罪分子，這實在是太可怕了。以往那些好笑的提示信息以及小小惡作劇已經不復存在，如今的惡意活動目標直指我們口袋里的現金與設備中的信息。與此同時，大多數黑客組織已經開始在光天化日之下采取行動，像俄羅斯商業(yè)網絡這樣的機構甚至擁有自己的企業(yè)維基百科——這個世界到底怎么了？

專業(yè)化與流程分工是這些企業(yè)機構的核心。雖然規(guī)模龐大，但真正的策劃者或者內部核心團隊只有一個。管理者與具體執(zhí)行者在不同領域負責各項針對性工作，有些將全部精力用于創(chuàng)建惡意軟件、有些負責市場推廣工作、有些專門建立并維護分銷渠道，還有些則專注于打造僵尸網絡并將產品出租給其他有需求的壞家伙們。

大家可能抱有疑問：為什么當前種種主流設備管理系統(tǒng)安全方案無法壓制新形勢下的惡意軟件？事實上我們不僅沒能對抗網絡犯罪，反而使其一步步發(fā)展壯大，并最終擁有了復雜而多層次的組織架構、成為一種以服務為導向的正規(guī)產業(yè)，甚至以贏利為目的利用惡意工具掏空來自企業(yè)與個人受害者的資金、知識產權及敏感信息。

安全威脅第二位：錢騾與洗錢組織支持下的小型技術團隊

并不是所有的網絡犯罪集團都來自大型機構或企業(yè)，不少惡意團隊頭頂小公司的名號干著爭錢逐利的惡意勾當。

這些小團體為了經濟利益不惜以身犯險，肆意竊取他人的身份信息及密碼，甚至故意以重新定向的方式實現自己的罪惡目的。歸根到底，賺錢才是他們的終極目標。這些團隊會嘗試利用信用卡或銀行交易欺詐獲取不義之財，并將資金通過錢騾（指專業(yè)的違規(guī)財產轉移人士）、電子現金分派、網上銀行或者其它一些洗錢手段兌換為本地貨幣。

專搞洗錢的家伙甚至到處都有，這一行甚至形成了規(guī)?；袌雠c激烈的競爭態(tài)勢，我們完全可以從幾十甚至上百家從業(yè)機構中選擇條件最優(yōu)厚、成本最低的流程執(zhí)行者。而且大家很可能會驚訝地發(fā)現，所謂行有行規(guī)在技術犯罪領域同樣說得通。專門提供互聯網犯罪類服務的組織之間由于競爭而形成了頗為公正的操作準則，他們嚴格遵循“職業(yè)操守”，本著“不向客戶問問題”、“油鹽不進”的死硬態(tài)度與法律機構頑抗到底。無論是司法機關的傳票還是國家機器的監(jiān)查都不能從根本上扼殺這些家伙。與此同時，他們還提供規(guī)范化的公告發(fā)布欄、軟件精品推介、全天候電話咨詢支持、招投標論壇、客戶服務參考表、反惡意軟件規(guī)避技能等等各類項目，并借此打造更加“優(yōu)異”的犯罪活動表現。據悉該行業(yè)中的某些團隊每年的收入甚至高達數千萬美元。

在過去幾年中，這類犯罪團體中不少從業(yè)人員的身份已經被曝光（還有些則遭到通緝和逮捕）。我們發(fā)現他們樂于在社交媒體中炫耀自己的幸福生活——包括豪車大屋以及環(huán)球旅行等等。他們似乎對自己的技術以及給家人帶來的幸福生活頗為自豪，而且完全不會因為自己給他人造成的損失而心生內疚。

試想一下，如果某天我們在參與鄰家組織的燒烤聚餐時，無意中聽說他們是搞“網絡營銷生意”的，大家最好馬上引起警惕。而且只要證據確鑿，請務必協助司法機構將其緝拿歸案，畢竟這幫看似友善的家伙不僅明目張膽地盜竊財產，還把無數從事技術工作的設備管理系統(tǒng)安全人士折磨得夜不能寐——別猶豫，打擊他們就是保護成千上萬無辜的普通民眾。

安全威脅第三位：黑客行動主義者

早期的黑客行動往往比較高調，攻擊者喜歡像超級英雄一樣當著管理人員的面肆虐一番后再揚長而去。但如今的網絡犯罪活動則沒那么浪費，一切要以成功及不被察覺為優(yōu)先——當然，黑客行動主義者不管這一套，他們喜歡把攻擊當成“政治訴求的現實體現”。

既然已經上升到“主義”的高度，這群黑客們當然是希望在政治層面上搞點動靜。如今越來越多的設備管理系統(tǒng)安全專家發(fā)現很多黑客領域的散兵游勇開始將注意力集中在政治活動當中，其中最具代表性的要數臭名昭著的Anonymous匿名小組。從黑客這一角色誕生之日起，參與其中的人們就開始將政治作為自己的展示平臺之一。但多年來形勢發(fā)生了巨大改變，目前很多黑客開始在光天化日之下通過攻擊活動來表達自己的立場，而且人們甚至整個社會也逐漸將此視為政治行為的某種可以接受的表達方式。

在政治上有所訴求的黑客組織之間會時常溝通，而且無論匿名與否，他們在動手之前都會在論壇上公開宣布自己的攻擊目標以及行動時間。他們廣召人才、擴充隊伍，希望能讓自己對政府的怨氣通過社交媒體獲得人民大眾的支持與理解。另外，黑客行動主義者在骨子里往往還擁有一股浪漫情懷，他們從不會把自己看作犯罪分子，而且會對自己被通緝甚至逮捕的情況表示驚訝。他們的行動宗旨是盡可能給攻擊目標惹麻煩、制造負面社會輿論。為了實現這一目的，他們不惜攻擊用戶信息、實施DDoS（即分布式拒絕服務）攻擊或是給對方的機構造成嚴重沖突。

通常來說，政治型黑客希望通過財務損失的方式改變受害者的運轉方向或者態(tài)度立場。但無論他們將自己標榜得多么高尚，整個沖突過程仍然會給很多無辜的人造成損害，而且利用威脅與破壞來改變他人的政治訴求本身毫無正義可言——這是徹頭徹尾的犯罪活動，毫無疑問。

安全威脅第四位：知識產權盜竊與商業(yè)間諜活動

雖然遭遇黑客行動主義者的概率并不高，但大多數設備管理系統(tǒng)安全專家仍然需要時刻保持警惕，因為接下來要介紹的才是企業(yè)最大的敵人——擁有大集團作堅強后盾的惡意黑客。這幫家伙的存在純粹是為了竊取其它公司的知識產權，或者侵入到自己東家的競爭對手內部開展商務間諜活動。

他們的具體執(zhí)行方法是：找個機會潛伏在受害企業(yè)的設備管理系統(tǒng)基礎設施當中，把密碼一股腦挖掘出來，然后隨著時間的推移不斷竊取對方的各類機密信息——無論是專利、新產品創(chuàng)意、軍事機密、財務信息還是商業(yè)計劃通通逃不掉。這群黑客與政治型攻擊者相比更沒節(jié)操，他們完全是為了經濟利益而發(fā)掘有價值的信息，并將數據轉交給愿意出錢的客戶。一旦被他們給盯上，我們的企業(yè)命脈就不再由自己掌握：無數潛伏在公司內部的眼線會令我們在市場競爭中一敗涂地。

這幫混蛋為了邀功討賞，會想盡辦法竊取受害者的重要電子郵件、RAID數據庫等等。由于可能存在價值的資源過多，他們甚至開發(fā)出一套頗具諷刺意味的惡意搜索引擎及查詢工具，借以提高自己的“工作效率”以及盜竊知識產權的速度。

這種類型的攻擊往往被稱為APT（即高級持續(xù)性威脅）或者DHA（即故意人工性威脅）。事實上，世界上絕大多數的企業(yè)巨頭都曾被這類攻擊所成功擊潰。

安全威脅第五位：惡意軟件傭兵

無論網絡犯罪活動背后到處隱藏著什么樣的大型企業(yè)或者政治意圖，惡意軟件都是實現攻擊行為的必要工具。在過去，僅僅一位程序員就足以開發(fā)出足以挑戰(zhàn)世界的惡意軟件，并通過出售獲取巨額利潤。但在如今，專門編寫惡意軟件的技術團隊與公司已經紛紛出現，他們擁有強大的技能力量與堅實的經濟基礎，能夠根據客戶需求打造出能夠繞過特定安全防御機制、攻擊指定客戶、完成特定目標的高級攻擊工具。而且他們再也不必躲躲藏藏，轉而在競標論壇上公開兜售自己的惡意軟件產品。

通常情況下，惡意軟件都是由多種組件及面向目標共同構成的。它會首先在受害者的計算機上種植一個體積小巧的存根程序，并且以安全穩(wěn)妥的方式保存下來。這樣用戶在重新啟動計算機時，它就會正確執(zhí)行并與Web服務器端進行交互，開展進一步的攻擊計劃。在通常情況下，這款存根小程序會向攻擊者設定的服務器發(fā)送DNS查詢指令，當然我們不能指望可以順藤摸瓜找出惡意人士——他們往往會讓其它受害者扮演服務器端的角色。這些被發(fā)往DNS服務器的DNS查詢指令是完全無害的，因此被害者的設備不可能會對此產生懷疑。而且隨著感染對象的增加，DNS服務器會從一臺計算機轉移至另一臺，這樣一來安全專家將很難揪出策劃這一切的幕后黑手。

一旦連接建立，DNS與惡意服務器端就會將存根程序重新定向至其它DNS及惡意服務器。通過這種方式，存根客戶端的指向路徑得以一再變更（一般都會達到十幾次），而且每次指向的都是新的被感染計算機。這樣的步驟不斷重復，直到存根程序接收到定向結束指令并開始著手安裝惡意程序。

總而言之，惡意軟件開發(fā)者絕對是深諳“與時俱進”之道，他們以順應時代的技術與設置方式令設備管理系統(tǒng)安全專家很難追蹤或者抵御這類攻擊型工具。

安全威脅第六位：僵尸網絡即服務

僵尸網絡不再只服務于始作俑者，事實上那些擁有技術能力開發(fā)僵尸網絡的開發(fā)人員不僅利用成品服務自身，也常常把它按小時或其它收費標準租賃給有需要的客戶。

這種做法大家一定耳熟能詳。惡意程序的每個版本都盡力感染成千上萬臺計算機，以此為基礎建立起單獨的僵尸網絡體系，然后將其整體作為產品進行租賃招標。僵尸網絡中的每臺組成設備都會與其C&C（指令與控制）服務器相連接，借以及時獲得創(chuàng)建者的操作與更新。僵尸網絡之規(guī)模已經十分龐大，目前已發(fā)現的僵尸網絡所涉及的受感染計算機常常達到數十萬臺之多。

不過盡管如今活躍僵尸網絡如此之多（從表面上看每天出現的受感染計算機都高達上千萬臺），其租賃收費倒是非常低廉，這意味著設備管理系統(tǒng)安全專家必須時刻做好準備迎接可能出現的新威脅。

始終與惡意軟件斗爭不已的安全專家們始終在努力摧毀C&C服務器或者接管其控制權，這樣他們才能管理所有接入的僵尸設備并最終將整套惡意托管體系徹底粉碎。

安全威脅第七位：多合一型惡意軟件

如今的惡意軟件在功能性方面可謂成熟穩(wěn)定，小到窺探、大到竊取的一系列效果可謂應有盡有。這些程序不僅積極感染終端用戶，還會侵入網站、修改頁面內容并借此感染更多前來瀏覽的無辜受害者。這些多合一型惡意軟件還常常配備管理控制臺，這樣開發(fā)者及設計人員就能夠追蹤僵尸網絡的運作狀態(tài)、正在感染哪些用戶以及哪些攻擊活動已經成功得手。

目前大多數惡意程序都以木馬的形式存在，當年叱咤風云的病毒及蠕蟲等方案早已退出了最流行惡意軟件的歷史舞臺。在大多數情況下，終端用戶都是在不知情或者受誤導的狀態(tài)下運行了木馬程序——例如提示用戶進行必要反病毒掃描的廣告、磁盤碎片整理工具或者其它一些看似常用或無害的工具。我并不是說如今的用戶仍然缺乏基本的自我保護意識，但大家在訪問那些每天都要上去看看的受信任站點時戒備心會大大降低，而這就給惡意軟件提供了機會。惡意人士利用主機追蹤及JavaScript信息插入等方式從底層篡改了目標網站，這樣用戶的瀏覽器在打開網站時就會被重新定向至木馬程序，進而導致計算機受到感染。

安全威脅第八位：Web被破壞之勢與日俱增

從最基本的層面來看，網站的結構與一臺普通計算機差不多，我們幾乎可以把它理解成一臺普通終端用戶使用的工作站；反過來，管理者與大多數訪問者一樣也算是終端用戶。正是由于結構過于簡單，因此大量合法網站被惡意JavaScript重新定向鏈接所侵擾并感染的狀況也就不那么令人意外了。

但Web服務器的安全問題并不完全源自網站管理者的設備受到惡意人士的入侵。事實上，大多數情況下攻擊者都會發(fā)現網站中固有的弱點或者漏洞，他們能夠以此為跳板繞過管理員認證并將自己編寫的惡意腳本插入到站點當中。

常見的網站漏洞數不勝數，其中威脅最大的包括密碼內容過于簡單、跨站點腳本漏洞、SQL注入式漏洞、軟件安全缺陷以及高危權限機制等等。有興趣的朋友不妨訪問《開放式Web應用程序安全項目十大排行》一文，相信通過閱讀大家會理解Web服務器為何面臨如此嚴峻的安全形勢。（網址：Open Web Application Security Project Top 10 list）

有時候Web服務器或者應用程序本身并沒有受到篡改，真正被感染的其實是某些鏈接或者廣告。常常訪問門戶網站的朋友肯定對或懸停、或飄動、或漸入、或淡出的廣告板塊非常熟悉，這是大多數廣告公司最有力的宣傳陣地，但同時也是惡意人士搞破壞的好載體。最夸張的是，很多時候這幫攻擊者直接從Web服務器處購買了廣告位并放置惡意鏈接——還有王法嗎？還有法律嗎？

由于許多背地里作惡的家伙都擁有合法的企業(yè)外殼、光鮮亮麗的公司總部、名頭唬人的名片以及看似正常的付費賬戶，因此廣告廠商往往很難通過表面現象判斷這位跑來積極要求開展業(yè)務合作的人究竟是真的想宣傳合法產品、還是打算在自己的廣告位里埋下可能感染千萬用戶的惡意炸彈。歷史上最夸張的這類事件要數某一次針對漫畫的惡意攻擊，犯罪分子將木馬植入報紙上的漫畫專欄中，這樣所有轉載該漫畫的站點都在無意中淪為散播惡意軟件的幫兇。這實在是防不勝防——連上網看圖都不安全了。

慘遭侵入的網站還會帶來另一大問題，那就是某家網站的主機往往也在同時托管其它站點，特殊情況下甚至會在同一臺設備上存在成百上千個網站。在這種情況下，一次黑客攻擊將迅速影響大量站點。

無論網站到底如何被攻陷，無辜的用戶都在扮演受害者的角色。他們可能多年來一直訪問某些特定站點，而突然有天網站跳出對話框，提示他們安裝某款小程序。雖然這種狀態(tài)確實很突兀，但大多數訪問者都會對自己了解及信任的網站充滿信心，進而選擇運行。在那之后，一切就都完了。又一臺終端用戶的計算機（或者移動設備）加入進來，成為龐大僵尸網絡體系中的新組成部分。

安全威脅第九位：網絡戰(zhàn)

某些極度排外的民族主義國家會把網絡戰(zhàn)作為捍衛(wèi)自身主權的一種手段，這種級別的技術對抗就不是大多數設備管理系統(tǒng)安全專家所熟悉或者能夠應付得來的了。這些秘密工作擁有復雜的架構、清晰而專業(yè)的網絡斗爭意圖，并以此為基礎準確監(jiān)測并把握對手的行動。聽起來似乎與日常或民用級惡意活動差不多，但Stuxnet及Duqu事件告訴我們，這類行為的后果之嚴重絕對超出我們的預期。

沒能受到應有懲罰的罪行

某些受害者永遠無法從攻擊者帶來的創(chuàng)傷中走出來。他們的信用記錄被黑客蓋上欺詐交易的烙印并因而一生與惡劣的名聲相伴、某些受害者則被惡意人士冒名頂替騙取了朋友及家人的財物與信任，更有很多知識產權慘遭盜竊的受害者不得不付出數百萬美元以恢復并預防此類活動。

但以上情況還不是最糟糕的?，F實告訴我們，幾乎沒有哪一位攻擊者由于這些罪名而被成功起訴。職業(yè)罪犯之所以喜歡選擇互聯網作為活動區(qū)域，是因為目前司法機構在處理與網絡相關的犯罪活動時仍顯得軟弱無力。在默認情況下，惡意人士的身份完全未知，整個攻擊活動以毫秒為單位且很難準確追蹤。現在，我們正生活在“與淘金熱時的西部一樣狂野”的互聯網時代。當然，相信隨著技術的日漸成熟，將互聯網作為犯罪分子避風港的想法將逐漸被擊垮。不過在此之前，我們仍然要把命運牢牢把握在自己手中，而設備管理系統(tǒng)安全專家也必須肩負起這份重要的歷史使命。