洞察當今安全形勢全面防控潛在風險

黑客的最新攻擊趨勢

對于攻擊者來說，慣于使用病毒等惡意程序對系統和網絡進行攻擊。隨著技術的發展，攻擊者明顯提高了惡意軟件的復雜性。例如曾經引起全球巨大安全問題的某勒索軟件，采用加密蠕蟲技術技術可以更加輕松地進行大范圍攻擊操作，其特點不僅僅是勒索錢財，而是刪除系統和數據，給用戶造成很大的損失。

例如WannaCrypt勒索軟件會通過釣魚網站或垃圾郵件，利用社會工程學技術將惡意的URL/PDF/HTA的數據發送給用戶，用戶點擊該URL或打開附件后，就會下載并釋放該蠕蟲。當WannaCrypt運行后，即開始執行后續攻擊行為，其特點是釋放加密模塊，對本地文件進行加密并進行勒索。之后該蠕蟲會掃描局域網中的IP地址，利用SMB等系統漏洞，通過自我復制來攻擊其他主機。此外，其還會生成隨機的互聯網IP地址，對Internet上隨機主機進行攻擊。可以看出該惡意軟件將釣魚、垃圾郵件、加密勒索和蠕蟲等特點結合在了一起，使其擁有更加危險的功能。

識破黑客逃避伎倆

攻擊者會通過各種方法讓惡意程序避開用戶追蹤。例如有些木馬會利用各種沙盒逃避技術（例如只有在文件關閉時才會觸發等），讓沙盒檢測軟件對其視而不見。此外大量的使用加密技術，可以讓黑客更好的隱藏命令和控制指令。攻擊者還會采用合法的Internet服務的C2渠道來加密惡意流量。例如對于新型木馬來說，會自動定時到GitHub端下載更新程序來強化該木馬的功能，同時將盜取的數據發送到GitHub云端中。

因為GitHub、Dropbox等均是合法的Internet服務，并提供了加密傳輸功能，所以黑客可以借此混跡其中來逃避追捕。當然，黑客也可能使用MITM插入技術，在正常訪問因特網服務流量中插入非法指令來避開防火墻等設備的監控。

因 此， 將 合 法 的Internet服務變成發起惡意攻擊工具，是黑客技術發展的一大趨勢。對于很多企業來說，會依賴和使用云服務、物聯網和公共網絡。這些網絡網絡存在很多漏洞，很容易遭到黑客的攻擊。例如，黑客利用黑客可以籍此建立僵尸網絡，來發起更大范圍的DDoS攻擊。

強化安全防御手段

對于上述攻擊行為來說，必須采取對應的手段加以防御。例如，通過實施可擴展的一線防御工具來保護網絡安全。因為很多企業都使用基于云的網絡技術，所以可以利用云安全平臺，針對云端操作進行管控和認證，限制內部用戶對企業公有云上的資源的訪問。通過防火墻等設備對網絡進行分段來降低安全風險，針對應用程序，系統和網絡設備進行漏洞的修復，防止惡意入侵。

傳統的基于靜態或動態特征碼技術已經無法防御新一代的病毒攻擊，所以采用下一代終端進程管控工具，可以通過對特征和行為進行多重分析，包括使用人工智能機器學習等手段來發現和識別可疑程序。對于很多安全廠商來說，在不斷提高安全產品性能的同時，也在不斷深入了解最新的黑客技術，針對新型的入侵方式，利用AI和機器學習等方法對其進行深入分析，掌握最新的安全動態，來精準的獲取威脅情況信息。

因此，對于安全人員來說，及時訪問和了解這些威脅情報數據，熟悉其運作流程，就可以更加有效的監控相關的安全事件。

對出現的安全問題及時加以審核并有效加以解決，對重要的數據進行備份可以有效應對勒索病毒的侵襲，對安全技術實施第三方的測試審查來降低供應鏈攻擊風險，對微服務/云服務/應用管理系統進行掃描，對安全系統進行不間斷審核。因為惡意軟件可能將數據封裝在加密流量中，企業內部不法員工會使用云端來竊取機密信息，因此安全人員需要使用相關工具來及時檢測這些利用加密技術進行的破壞活動。

惡意軟件的新特點

惡意軟件變得更加復雜，其類型和數量不斷膨脹，面對處于混亂狀態的安全形勢，對于安全防御提出了新的挑戰。對于將惡意程序和蠕蟲技術集成于一身的勒索病毒來說，可以讓黑客發起新型的自傳播式的攻擊行為。傳統的惡意軟件一般是通過常規下載，垃圾郵件或U盤介質等方法進行傳輸，用戶防御起來也比較簡單。

但是現在的攻擊者采用的傳播手段更加復雜，例如黑客可以在某些軟件的更新包中內嵌惡意代碼，讓用戶在進行正常升級過程中中招。黑客甚至可以直接修改某些系統的更新源文件，將其指向黑客精心設置的惡意更新源。對于Linux來說，在安裝軟件時用戶經常會使用“Yum”或“Apt-get”等指令，在實際操作時可能會出現打錯字符的情況，黑客會總結用戶經常手誤的指令名稱，在更新源上設置對應的下載包，利用用戶誤操作來自動下載惡意程序。

沙盒技術可以有效識別惡意軟件,但越來越多的惡意軟件通過使用文檔關閉觸發技術來規避沙盒的檢測。此外，黑客還會通過偽裝存在惡意負載的文件來避開沙盒的檢測。例如攻擊者會將存問題的Word文件內嵌到PDF文檔中，沙盒雖然可以對PDF進行檢測，但是對于內嵌的Word文件卻不能進行有效分析。因此，使用包含內容感知功能的沙盒軟件，可以讓利用這些惡意策略的不法文件漏出馬腳。

對于正規廠商的商業軟件來說，出現安全問題，會及時發布補丁包進行修復。但對于開源軟件來說，即使出現安全漏洞，安全更新發布的也會很緩慢。而且開源軟件經常大量使用第三方的控件，這大大增加了安全風險的發生率。對于黑客來說，可以在其中任何一個環節（例如更新源、補丁包、第三方控件等）進行惡意破壞，就會讓惡意程序大行其道。對于修改更新源，篡改更新包等基于供應鏈的攻擊方式，其危害性很大，但是卻經常被用戶所忽視。

對于安全人員來說，應保證使用的軟件和硬件來自安全可靠的組織和企業。用戶在使用更新源和更新包之前需要對其進行檢測，來發現其中是否存在惡意代碼，否則這種基于供應鏈的攻擊形式會讓用戶防不勝防。對于勒索軟件來說，其目標不僅僅是普通用戶，還包括開發及運行平臺，因為現在的開發者往往基于云端操作，大量的數據（包括郵件、網站、財務系統、辦公系統、數據庫等）保存在云中，很多開發及運行平臺在為外界服務，黑客可以針對這些云端數據進行攻擊加密和勒索。所以需要采取諸如及時修復和更新開發運行技術，積極掃描漏洞，實現更加嚴格的安全部署方案，對公共基礎設備加以關注等。

警惕加密流量中“濁流”

據統計，現在網上50%的流量均處于加密狀態，這給黑客進行隱藏命令與控制行為帶了極大的便利。據分析，現在的惡意軟件大約70%都經過了加密處理，這樣就可以逃避安全監測。

更危險的是，如果相關安全公司的私鑰和證書被黑客竊取的話，其危害性將更大。面對這種復雜的安全局勢，比較好的應對策略是使用人工智能和機器學習來識別海量加密流量中惡意攻擊活動的異常模式。

使用之前的靜態簽名和動態簽名技術，只能實現手工定義，沒有泛化或者泛化能力有限，無法可靠阻止大多數網絡攻擊。利用機器學習，可以執行行為簽名處理，即分析軟件的異常行為，能夠基于惡意軟件的的相似性進行泛化。通過對大量正常流量的學習來檢測惡意流量的特征，并基于常見可疑行為進行泛化來捕獲可疑流量的通用特征。對可疑軟件的異常行為進行分析和泛化，可有效發現各種危險漏洞。

對Web攻擊的識別和防護

Web攻擊是黑客最常用的活動方式之一。Web攻擊主要針對服務器和客戶進行，對于服務器端來說，因為很多協議實際上沒有標準化，加之為了實現各種功能，會在服務軟件中添加各種模塊，就會出現許多潛在的漏洞。客戶端往往缺乏必要的安全意識，易遭黑客攻擊。

對于Web攻擊來說，主要針對的是微軟IE瀏覽器。不管威脅形式如何變化，惡意和垃圾郵件堪稱黑客發布惡意程序的主要工具。

社會工程學是黑客常用的手法之一，其威脅是不可忽視的。很多黑客技術會隨著時代發展而消失，但社會工程學只能越來越得到黑客的重視。和傳統的釣魚模式不同，現在黑客組織經常使用魚叉式釣魚模式，即對目標對象進行精準的分析，了解其特點和愛好，通過精心設計的情節，對目標進行釣魚操作，其成功率往往很高。

網絡釣魚顯著特點是使用的域名數量較少，但是使用的網址數量卻很龐大。即通過隱私服務注冊域名來隱藏域名注冊信息，這對實際的追蹤帶來了不便。黑客可能使用短網址技術來偽裝非法的網址，讓用戶難以識別。對于安全防御來說，重點關注的應該是對移動設備的保護，對公共云中數據的保護，以及對用戶行為的保護等。

對云服務進行安全保護

現在很多應用和數據都遷移到了云端，讓傳統安全技術難以對不斷擴展的云服務和物聯網環境進行安全管控。因為這些云服務是合法的，不可能被全部阻止，和云服務相關的數據均進行了加密處理，造成難以檢測的情況。這些云服務的歸屬變得復雜化，攻擊者無需注冊域名。

為了應對這些威脅，比較有效的方法是對威脅信息進行情報分析，了解相關惡意流量的特點，熟悉其滲透的方式，之后有針對性的進行APT的防御措施，包括事件關聯、沙箱檢測、終端和網關威脅防御等。通過對惡意軟件的行為和控制的安全檢測，來抵御潛在的風險。

攻擊者可能會申請很多域名，但是IP地址資源卻比較有限，因此黑客可以大量重復的使用不同域名，但是其只能重復使用少量的IP地址，而IP地址可以供多個域名使用的。因此只要對這些IP地址進行封堵，就可以有效防御其攻擊。

例如在云端可以針對該特點進行收集情報，進行大數據分析之類的工作。黑客除了使用公共云服務來傳播木馬等惡意軟件外，企業內部人員往往會將各種數據存放在云端，雖然這方便了用戶的使用，不過也帶來了不可忽視的安全問題。

例如，云服務提供商無法完全保證數據的安全性，無法實現諸如基于活動目錄之類的認證機制，這就會造成企業的敏感數據存在被竊取、毀壞或泄露的情況。隨著越來越多的基礎設施遷移到云中，使用云訪問訪問安全代理安全代理技術可以為云環境增加更好的安全性。這樣，企業內部用戶必須借助于該代理進行認證及權限控制和記錄等操作，之后通過該代理才可以訪問云端數據。如果數據丟失的話，還可以進行恢復。

警惕黑客侵襲物聯網

對于物聯網來說，其中的很多設備（例如網絡攝像頭、打印機、智能音箱等）處于不間斷運行狀態，基本上不會進行升級，因此存在在很多的漏洞和弱密碼。黑客利用這些物聯網設備可以構建起僵尸網絡，發起DDoS攻擊。DDoS攻擊分為基于應用和網絡的攻擊，前者為主要攻擊形式。現在的DDoS攻擊具有短期突發，攻擊頻繁且復雜等特點。

因為有些網站（包括云服務提供商）對于可用性和延時性非常敏感，對于上述DDoS攻擊無法應對。此外，黑客利用反射放大攻擊（包括DNS放大反射、NTP反射和SSDP反射等），可以有效的隱藏攻擊者。此類攻擊往往依靠UDP協議進行，只要是UDP服務，幾乎都可能被用來實現DDoS攻擊。該類攻擊必須依靠地址欺騙技術，有些網絡（例如教育網）對地址欺騙防護比較差，這給黑客造成很大的便利。

在攻擊者的眼中，除了常規的攻擊目標外，一些基礎設施單位（例如發電廠等），因為工控系統漏洞等問題，使其也處于黑客的攻擊范圍內。在這些工控網絡中同樣存在嚴重的安全問題，其內部很多設備極易遭到攻擊。為提高安全性，必須將這些網絡隔離開來，并實行嚴格管控，包括及時更新系統和應用補丁更新，控制移動存儲設備的使用，禁止使用弱密碼，及時備份重要數據等。

防范泄露路徑問題

在很多企業內部可能存在泄露路徑的問題。所謂泄露路徑，指的是在企業內存在某些未知的設備，并且由此發生了一些不正常的在允許策略之外的通訊，出現了管理員并不知道的網絡流量。

當然，如果路由器或交換機配置不當，也會產生泄露路徑問題。如果這些流量被發送到Internet上，就很可能被黑客竊取。

為了修復泄露路徑，管理員必須充分知曉企業中存在哪些設備，洞悉網絡流量的走向。將位置的設備以及不正常的流量找出來，這樣就可以封堵這些泄露路徑。

如今一些下一代防火墻就提供了安全可視化技術，讓管理員可以深入了解全網情況，以便于其快速發現泄露路徑。

隨著網絡安全的發展，諸如移動安全性、加密和隱私保護、防火墻管理、終端保護、多因素身份驗證、終端設備調查分析、云訪問安全代理、Web應用防火墻、入侵防御等安全管控技術在對抗黑客入侵方面也正在發揮著越來越大的作用。

修復安全漏洞 封堵入侵通道

黑客之所以可以猖狂的發起攻擊，在很大程度上依靠的是各種安全漏洞。因此，及時有效的修復漏洞是極為必要的。

例如對于WannaCry勒索病毒來說，從漏洞的披露到大面積爆發，存在很長的時間，但是因為修復不及時，依然讓其造成了大面積的破壞。對于某些漏洞（例如請求TCP時間戳請求、弱HTTPS緩存策略等）來說，其嚴重性較低，但風險較高，不容易引起用戶的重視，往往長期不對其進行修復。

當然，對于有些漏洞來說，想在30天之內進行修復其實是比較困難的。例如對于Apache Struts緩沖區溢出漏洞，是普遍存在的安全漏洞，這很容易導致用戶數據被竊取。對于Java Web框架來說，幾乎每年都會出現漏洞等。此外，對于緩沖區錯誤、輸入驗證、權限和訪問控制、信息泄露、密碼問題、OS命令注入、連接跟隨等方面，往往存在容易被黑客利用的漏洞。尤其對于一些開源軟件來說，漏洞不僅存在而且難以及時修補。即使存在相應補丁包，也很難在不影響業務的情況下快速修復漏洞。在發現漏洞和修補完成之間存在巨大的時間差，黑客完全可以利用從容的對目標發起攻擊。

最新研究證實，除了常見的系統和程序漏洞外，在物聯網和第三方軟件庫中存在數量眾多的安全漏洞。因此，加強對于第三方軟件庫的安全管控，及時打上補丁，確認第三方軟件的安全性，對于網絡安全意義重大。

在執行更新過程中，要盡可能通過加密通道進行，而且需要確保軟件經過了數字簽名處理。值得警惕的是，在處理器硬件層面也存在某些安全漏洞例，例如Meltdown（熔毀）和Spectre（幽靈）等漏洞，讓攻擊者甚至可以讀取處理器內部的數據。當然，這需要在特定的情況下使用特定的攻擊工具，黑客才可以得手。但是，重視和關注此類漏洞，對于網絡安全是不可忽視的。例如，安全人員應及時清查各種控制設備，記錄其使用配置信息等。