趙明

很多企業(yè)的首席信息安全官認(rèn)為，確保云應(yīng)用合規(guī)是面臨的最大工作壓力之一。賽門鐵克不久前發(fā)布了第22期《互聯(lián)網(wǎng)安全威脅報告》，與公眾和IT專業(yè)人士分享了對全球威脅動態(tài)、網(wǎng)絡(luò)犯罪趨勢和攻擊者動機的分析和洞察。

近日，全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)廠商賽門鐵克公司發(fā)布一項針對企業(yè)數(shù)據(jù)安全現(xiàn)狀的全新調(diào)研報告。該報告覆蓋全球11個市場，共邀請1100 名首席信息安全官（CISO）參與調(diào)研。報告結(jié)果顯示，云安全是中國首席信息安全官最擔(dān)憂的挑戰(zhàn)。不僅如此，中國首席信息安全官更關(guān)注自身企業(yè)是否擁有快速應(yīng)對網(wǎng)絡(luò)攻擊的能力。

針對云的攻擊范圍不斷增大

賽門鐵克的調(diào)查顯示，云安全成為中國CISO所面臨的棘手問題。絕大數(shù)的CISO（92%）認(rèn)為，確保云應(yīng)用合規(guī)是他們所面臨的最大的工作壓力之一。在行業(yè)合規(guī)性方面，中國CISO最擔(dān)心自身企業(yè)是否能夠充分跟蹤已批準(zhǔn)的云應(yīng)用中的活動（29%），以及公司員工是否使用未被批準(zhǔn)的云應(yīng)用（23%）。

此外，中國CISO針對云安全的擔(dān)憂還包括：在云應(yīng)用中廣泛分享合規(guī)所管控的敏感數(shù)據(jù)（21%），對企業(yè)所屬移動設(shè)備的管理（16%），以及遵守國家和地區(qū)特定的數(shù)據(jù)保留和管理條例（11%）。

賽門鐵克調(diào)研顯示，針對云安全話題，中國CISO在2017年最關(guān)注的企業(yè)外部威脅主要包括：數(shù)據(jù)泄露（30%）、系統(tǒng)漏洞利用（23%）、身份認(rèn)證和證書破壞（20%）。除此之外，CISO最關(guān)注的內(nèi)部威脅包括：員工違反安全合規(guī)要求（26%）、不安全的企業(yè)應(yīng)用（22%）、數(shù)據(jù)丟失（21%）。

對端到端解決方案的需求

賽門鐵克的調(diào)研顯示，為了加強信息安全，所有受訪的中國CISO（100%）表示，計劃在今年增加IT人員安全培訓(xùn)的支出，確保企業(yè)數(shù)據(jù)在本地系統(tǒng)、移動應(yīng)用和云服務(wù)之間傳輸?shù)陌踩?。新加入的IT員工在入職培訓(xùn)期間將接受平均13個小時的安全培訓(xùn)。值得提出的是，中國CISO所計劃的支出高于所有其他受調(diào)研的國家。

對數(shù)據(jù)安全、滿足合規(guī)性和數(shù)據(jù)保留等方面的需求，促使中國CISO尋找加密（Encryption）或標(biāo)記化（Tokenization）解決方案來支持企業(yè)的軟件即服務(wù)（SaaS）計劃。賽門鐵克的調(diào)查顯示，絕大數(shù)（98%）的中國CISO認(rèn)為，云數(shù)據(jù)標(biāo)記化是滿足數(shù)據(jù)保留和數(shù)據(jù)管理條例的最佳方式——80%的受訪者表示使用標(biāo)記化方法；77%的中國CISO表示使用加密技術(shù)來保護云中數(shù)據(jù)；60%的受訪者表示自身企業(yè)同時使用加密技術(shù)和標(biāo)記化方法。值得一提的是，與其他受訪國家相比，中國CISO采用標(biāo)記化方法的比例更高。

羅少輝表示：“網(wǎng)絡(luò)罪犯組織在進行犯罪活動時往往伺機而動，他們會利用合法的操作系統(tǒng)、工具和云服務(wù)中的漏洞來破壞企業(yè)網(wǎng)絡(luò)。為了有效地對抗這些犯罪行為，首席信息安全官需要擁有卓越的可見性和管控力，對用戶通過云上傳、存儲和共享的敏感內(nèi)容進行管理。出色的CISO不會依靠一次性修復(fù)和被動的補丁來保護機密信息，而是通過主動部署端到端解決方案來消除可被利用的潛在漏洞和威脅?！?/p>

電郵攻擊再受關(guān)注

過去，網(wǎng)絡(luò)攻擊組織主要集中利用零日漏洞發(fā)動具有針對性的攻擊。但隨著“漏洞賞金” 計劃的日益普及，產(chǎn)品在開發(fā)過程中對安全因素的重點關(guān)注，以及國家、企業(yè)和個人用戶對安全解決方案的采用和部署，攻擊者越來越難發(fā)現(xiàn)和利用零日漏洞，這迫使他們重新采用一些常用攻擊途徑——電子郵件就是其中之一。

賽門鐵克第22期《互聯(lián)網(wǎng)安全威脅報告》顯示，2016年是網(wǎng)絡(luò)攻擊極其活躍的一年，全球先后發(fā)生多起大型網(wǎng)絡(luò)攻擊事件，例如令人震驚的造成數(shù)千萬美元損失的虛擬銀行劫案，蓄意破壞美國選舉的黑客攻擊，利用物聯(lián)網(wǎng)設(shè)備發(fā)動的史上最大規(guī)模的DDoS攻擊，以及近期席卷全球150個國家的WannaCry勒索軟件攻擊。

2016年，惡意電子郵件成為各類網(wǎng)絡(luò)攻擊團伙的首選 “武器” ，無論是有政府背景的間諜團伙，還是電子郵件群發(fā)勒索團伙都對其情有獨鐘。第22期賽門鐵克《互聯(lián)網(wǎng)安全威脅報告》指出，電子郵件中的惡意軟件比例在2016年出現(xiàn)明顯上升，達(dá)到1：131，成為五年來最高比例。在中國，該情況更為嚴(yán)重，比例為1：63——這意味著，每63封電子郵件中就有一封帶有惡意軟件。此外，利用魚叉式網(wǎng)絡(luò)釣魚電子郵件的商務(wù)電郵詐騙（BEC）騙局也受到攻擊者的青睞，在 2016 年出現(xiàn)明顯的增加。

羅少輝認(rèn)為：“電子郵件是當(dāng)今極為重要的通信工具，無論企業(yè)還是個人都十分依賴電子郵件作為生活和工作的溝通工具。攻擊者只需要通過簡單的欺騙手段便能夠成功誘惑受害者打開附件、點擊鏈接或泄露憑據(jù)，無需任何漏洞就可以完成?！?/p>

偽裝成信息化工具

隨著人們對網(wǎng)絡(luò)安全意識的提高，網(wǎng)絡(luò)攻擊者也在不斷改進利用郵件的攻擊手段，來確保目標(biāo)在完善電子郵件安全防御前，搶占感染設(shè)備的先機。

Office宏和PowerShell成為常用的攻擊工具，該釣魚郵件偽裝成來自 Gmail 官方管理員的郵件，并在郵件中表示：受害人的郵箱可能已經(jīng)受到感染，提示他需要重設(shè)密碼來確保賬戶的安全。該釣魚郵件中包含了一個短URL來掩飾真正的惡意URL。當(dāng)受害人點擊該URL，就會進入一個“冒牌”的 Gmail賬戶密碼重置網(wǎng)頁。整個攻擊過程中，黑客僅通過簡單的社交詐騙技術(shù)，便輕松獲取了目標(biāo)設(shè)備的密碼。

與此同時，越來越多的攻擊者選擇使用下載器在目標(biāo)設(shè)備中安裝惡意程序。大多數(shù)企業(yè)不愿意通過電子郵件網(wǎng)關(guān)攔截全部Office文件，因為這樣可能影響合法的電子郵件，這一點是Office宏下載程序廣泛流行的重要原因。同時，腳本文件的易混淆性可使其躲避檢測，這是JavaScript下載程序泛濫加劇的原因之一。

BEC詐騙簡單直接

前文提到攻擊者在2016年愈發(fā)傾向于采用簡單的工具和看起來平淡無奇的招數(shù)，而這卻能夠給企業(yè)和目標(biāo)組織帶來巨大的災(zāi)難。作為社交騙局的其中一種，商務(wù)電郵詐騙在去年出現(xiàn)顯著的增加。此類攻擊也被稱為CEO欺詐或“鯨釣”攻擊。詐騙者只需偽裝成企業(yè)CEO或其他高管，向其員工發(fā)送仿冒電子郵件，隨后要求員工進行網(wǎng)上轉(zhuǎn)賬，便可完成攻擊。

賽門鐵克通過分析2016年所發(fā)布的623起重大惡意電子郵件攻擊活動后發(fā)現(xiàn)，BEC騙局所發(fā)送的郵件多是在工作日，郵件主題通常包含“請求（Request）”“付款（Payment）”“緊急（Urgent）”“發(fā)票（Invoice）”“訂單（Order）”“賬單（Bill）”等字樣。其中，“請求”是BEC詐騙郵件主題中最常用的關(guān)鍵字（25%），緊隨其后的分別是“付款” （15%）和“緊急”（10%）。

使用金融關(guān)鍵字發(fā)起攻擊已經(jīng)成為惡意電子郵件攻擊的特征之一。這一發(fā)現(xiàn)表明，攻擊者利用這種手段的成功率非常高。由于大多數(shù)企業(yè)每天都會收到大量來自客戶和供應(yīng)商的常規(guī)業(yè)務(wù)郵件，因此一旦這些電子郵件成功躲避安全軟件，用戶十分容易受到蒙蔽，從而點擊郵件。由于BEC騙局的利益回報率十分誘人，預(yù)計在2017 年，此類詐騙將會繼續(xù)呈現(xiàn)增長勢頭。

電郵成為勒索危害主要途徑

2016 年，勒索軟件成為個人和企業(yè)所面臨的重大網(wǎng)絡(luò)威脅之一。而通過偽裝成企業(yè)通知或發(fā)票等常規(guī)業(yè)務(wù)溝通內(nèi)容的惡意電子郵件成為勒索軟件傳播的熱門途徑。2016 年，勒索軟件團伙利用Necurs僵尸網(wǎng)絡(luò)每天發(fā)出上萬封惡意電子郵件。而多數(shù)如Locky （Ransom.Locky）這樣廣泛傳播的勒索軟件都是通過電子郵件進行散播。許多情況下，受害者會收到一封主題為企業(yè)發(fā)票或收據(jù)的郵件，該郵件會以精心撰寫的內(nèi)容誘使收件人打開惡意附件。此后，惡意下載程序便會下載并將勒索軟件安裝在設(shè)備中，隨即開始加密計算機上已預(yù)編程的一系列文件，然后實施勒索。

大多數(shù)最新的勒索軟件使用強密碼手段，這就意味著，受害者在沒有加密密鑰的情況下幾乎不可能打開被加密文件。由于勒索軟件變種會不定期出現(xiàn)，賽門鐵克強烈建議用戶對尤其包含URL和附件的未知電子郵件保持警惕。羅少輝認(rèn)為：“利用電子郵件發(fā)動網(wǎng)絡(luò)攻擊數(shù)據(jù)的增長表明，攻擊者正在利用這種方式大發(fā)橫財，我們預(yù)計在未來一年，電子郵件依然會繼續(xù)成為網(wǎng)絡(luò)攻擊的主要途徑之一。