賽門鐵克公司發(fā)布的第二十期《互聯(lián)網(wǎng)安全威脅報告》（ISTR）揭示，在當(dāng)今高度互聯(lián)的世界中，遭受網(wǎng)絡(luò)攻擊只是時間問題，網(wǎng)絡(luò)犯罪分子已經(jīng)開始轉(zhuǎn)變攻擊戰(zhàn)術(shù)，通過劫持大型企業(yè)的基礎(chǔ)架構(gòu)，侵入并躲過企業(yè)安全監(jiān)測，實現(xiàn)對企業(yè)的攻擊。

　　賽門鐵克公司亞太及日本地區(qū)大客戶和戰(zhàn)略副總裁梅正宇表示：“憑借密鑰，網(wǎng)絡(luò)攻擊者能夠輕易侵入公司網(wǎng)絡(luò)。我們發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪分子會利用常見程序的軟件更新植入木馬，耐心等待并誘騙公司自行下載更新，從而受到感染。這種手段讓網(wǎng)絡(luò)攻擊者可以隨心所欲地訪問企業(yè)網(wǎng)絡(luò)。”

　　網(wǎng)絡(luò)犯罪分子的“得勝”之道：快速、準(zhǔn)確

　　賽門鐵克公司的研究顯示，零日漏洞的數(shù)量在2014年創(chuàng)歷史最高。軟件公司平均需要59天來生成和推出補丁，而在2013年僅需4天。網(wǎng)絡(luò)攻擊者在補丁尚未推出前充分利用該漏洞，以Heartbleed（心臟出血）為例，該漏洞在4個小時內(nèi)迅速被利用并用于發(fā)動攻擊。2014 年，共有24個零日漏洞被發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪分子在這些漏洞被修補之前毫無顧忌的利用已知的安全漏洞對企業(yè)發(fā)起攻擊。

　　與此同時，高級網(wǎng)絡(luò)攻擊者不斷借助針對性極強的魚叉式網(wǎng)絡(luò)釣魚攻擊侵入網(wǎng)絡(luò)。2014年，這種攻擊手段的使用增長率為8%。值得關(guān)注的是，網(wǎng)絡(luò)攻擊的準(zhǔn)確性大幅提高，結(jié)合更多隱蔽式強迫下載惡意軟件（Drive-by malware downloads）和基于 Web 的漏洞，垃圾郵件數(shù)量即使減少了20%仍舊能夠精準(zhǔn)攻擊目標(biāo)受害者。

　　此外，賽門鐵克公司還發(fā)現(xiàn)網(wǎng)絡(luò)攻擊者會：

• 從某公司盜取受害者的電子郵件賬戶，利用魚叉式網(wǎng)絡(luò)釣魚手段對更高級的受害者進(jìn)行攻擊；
• 潛出前，利用公司的管理工具和程序在公司網(wǎng)絡(luò)中移動盜取的 IP；
• 在受害者的網(wǎng)絡(luò)內(nèi)部構(gòu)建定制的攻擊軟件，以進(jìn)一步掩蓋自己的攻擊活動。

　　“數(shù)字勒索”處于上升趨勢

　　電子郵件仍是網(wǎng)絡(luò)犯罪分子的重要攻擊途徑，但他們繼續(xù)針對移動設(shè)備和社交網(wǎng)絡(luò)嘗試新的攻擊手段，以便達(dá)到事半功倍的效果。

　　賽門鐵克公司大中華區(qū)安全產(chǎn)品技術(shù)總監(jiān)羅少輝表示：“網(wǎng)絡(luò)犯罪分子本性懶惰，他們更喜歡利用自動化工具讓不知情的消費者來幫助他們進(jìn)行卑鄙勾當(dāng)。2014年，攻擊者利用人們對朋友所分享內(nèi)容的信任，70%的社交媒體騙局都通過用戶手動分享而傳播。”

　　盡管社交媒體騙局可以快速為網(wǎng)絡(luò)犯罪分子帶來收益，但他們卻并不滿足于此，網(wǎng)絡(luò)犯罪分子還采用勒索軟件等卑劣的攻擊方法獲取暴利，這樣的攻擊在去年增加了 113%。值得關(guān)注的是，在2013年，密碼勒索軟件攻擊的受害者比以前增高了45倍。密碼勒索軟件的攻擊策略并不會采取傳統(tǒng)勒索軟件那樣偽裝成執(zhí)法部門對盜取內(nèi)容收取罰金的方式，而是更加惡劣地劫持受害者的文件、照片和其他數(shù)字內(nèi)容，毫不掩飾他們的攻擊目的。

　　加強保護！切勿丟失重要信息！

　　當(dāng)網(wǎng)絡(luò)犯罪分子繼續(xù)存在，并不斷變換攻擊手段時，企業(yè)和消費者需要采取更多保護自己的應(yīng)對方法。賽門鐵克公司建議用戶采取以下方式：

　　對于企業(yè)：

• 不要毫無準(zhǔn)備：采用高級威脅智能解決方案，幫助用戶及時發(fā)現(xiàn)入侵信號并做出快速響應(yīng)。
• 保持強大的安全態(tài)勢：部署多層端點安全防護、網(wǎng)絡(luò)安全防護、加密、強大有效身份的驗證和采取擁有高信譽的技術(shù)。與安全托管服務(wù)提供商合作，增強 IT 團隊的防范能力。
• 為最壞的情況做準(zhǔn)備：事件管理可確保用戶的安全框架得到優(yōu)化，并具備可測量和可重復(fù)性，而且還可幫助用戶吸取教訓(xùn)以改善安全態(tài)勢�？紤]與第三方專家開展合作，從而強化危機管理。
• 提供長期且持續(xù)的教育和培訓(xùn)：創(chuàng)建指導(dǎo)方針及公司策略及程序，以保護個人和公司設(shè)備上的敏感數(shù)據(jù)。定期評估內(nèi)部調(diào)查團隊，進(jìn)行實踐演練，確保用戶擁有有效對抗網(wǎng)絡(luò)威脅的必要技能。

　　對于消費者：

• 使用安全性高的密碼：無論如何強調(diào)該建議都不為過。為賬戶和設(shè)備設(shè)置強大而獨特的密碼，定期進(jìn)行更新，建議每三個月進(jìn)行一次。切勿將相同密碼用于多個賬戶。
• 謹(jǐn)慎使用社交媒體：切勿點擊來源不明的網(wǎng)絡(luò)鏈接，尤其是來自陌生人的電子郵件或社交媒體信息。詐騙者知道人們往往會點擊來自朋友的鏈接，這會讓他們侵入相關(guān)賬戶，并向賬戶擁有者的聯(lián)系人發(fā)送惡意鏈接。
• 了解自己所分享的權(quán)限：在安裝家庭路由器、恒溫器等網(wǎng)絡(luò)連接設(shè)備或下載新應(yīng)用時，認(rèn)真審核權(quán)限許可，了解自己將會分享哪些數(shù)據(jù)。在不需要時禁用遠(yuǎn)程訪問功能。