【IT168 评论】“在互联网上，没人知道你是一条狗”，漫画家Peter Steiner的一句话曾经风靡了整个互联网。然而10多年后的今天，这句话所称颂的——“在不透露个人隐私的前提下，利用互联网发送或接受信息”的时代即将过去。

　　如今的互联网，在用户享受着搜索引擎、杀毒软件、社交网络和位置服务等诸多免费功能的同时，企业和个人信息在无意中已成为用户换取免费服务的代价。无论是出于商业行目的，还是因为黑客行为，近年来的网络攻击和隐私泄露大有愈演愈烈之势。

　　日前，赛门铁克在京发布第二十期《互联网安全威胁报告》(ISTR)，报告显示：与2013年相比，2014年互联网安全面临了更加严峻的挑战，例如影响更广泛的漏洞、速度更快的攻击、以实现勒索目的的文件控制，以及显著增多的恶意代码。

▲赛门铁克公司大中华区信息安全技术销售部区域总监罗少辉

　　赛门铁克公司大中华区信息安全技术销售部区域总监罗少辉表示，“当下的网络环境里，安全威胁不断增多，网络攻击者的攻击手法也不断创新，因此，企业单靠产品和人力根本不足防御安全威胁，企业需要更丰富的安全情报来抵御安全威胁。赛门铁克认为，用户需要进行多重防御，包括在整个网关、终端上加强保护。”

　　另外，企业需要把一些安全事件进行互动，通过连结相关信息来发现高级的攻击。因为，如果单纯从邮件的附件有没有恶意程序来进行判断，很多时候是没办法发现网络攻击的。比如勒索软件，他们的附件本身是没有恶意程序的，只有当用户安装这个插件或附件时，他们才会进行恶意攻击。所以要把整串的安全事件串起来，才能把相关的保护做到最完善。网络韧性(Cyber Resilience)和安全智能(SecurityIntelligence)是2014年的网络安全热词，赛门铁克可以为企业用户和个人用户提供安全智能，为整个信息环境提供全面的保护。

　　众所周知，中小企业在安全的投入比较少，没有那么多专业资源来做更多的安全防护，因此，他们也成为了攻击者的一大目标。对此，赛门铁克公司大北区安全解决方案技术支持部经理马蔚彦表示，“现在很多技术都在走向云端。中小企业可以把企业安全交由更加专业的厂商和机构来解决，他们可以用云的方式订阅安全服务，达到防护效果的同时，也不需要那么多的资金投入。赛门铁克将通过云服务的方式服务更广泛的客户群，把智能网络变成一种SaaS服务，向中小型企业提供安全即服务(Security as a Service)。”

▲赛门铁克公司大北区安全解决方案技术支持部经理马蔚彦

　　下面，就让我们来具体看看2015年的六大网络安全威胁趋势：

　　趋势一：新的欺骗手法，网络攻击者采用跳跃方式躲避企业防御

　　在当今高度互联的世界中，网络犯罪分子已经开始转变攻击战术，他们使用很多新型的欺骗手法，除了最普通的邮件附件，网络文档，网络图片以及屏保程序都成为网络攻击者用来吸引受害者的途径。

　　网络攻击者主要采用三种手段。第一种是鱼叉式网络钓鱼攻击，这也是是针对性攻击最常用的手段。它最主要的方法是向目标群体发送电子邮件，通过电子邮件里面附带的恶意程序，感染和实施攻击。第二种是水坑攻击，通过感染网站等待目标客户主动上钩。水坑式攻击主要的关注点是在企业的外部网站。第三种是利用软件更新的方式来植入木马。网络犯罪分子会利用常见程序的软件更新植入木马，耐心等待并诱骗公司自行下载更新，从而受到感染。

　　高级网络攻击者不断借助针对性极强的鱼叉式网络钓鱼攻击侵入网络。2014年，这种攻击手段的使用增长率为8%。值得关注的是，鱼叉式网络钓鱼攻击在实施每次攻击的时候，所发布的电子邮件数量在降低，收件人数量也在减少，但这说明针对性攻击不再像以前针对大规模人群。网络攻击的准确性大幅提高，结合更多隐蔽式强迫下载恶意软件和基于Web的漏洞，垃圾邮件数量即使减少了20%，仍旧能够精准攻击目标受害者。

　　网络攻击者会：从某公司盗取受害者的电子邮件账户，利用鱼叉式网络钓鱼手段对更高级的受害者进行攻击;潜出前，利用公司的管理工具和程序在公司网络中移动盗取的IP;在受害者的网络内部构建定制的攻击软件，以进一步掩盖自己的攻击活动。

　　从鱼叉式网络钓鱼攻击的分布来看，在2011年，大型企业受到鱼叉式网络钓鱼攻击占到了50%。但是到2014年，大型企业占比在减少。相反，中型企业成为鱼叉式网络钓鱼攻击的目标的数量在增加。此外，大型企业的风险率仍旧最高，平均每1.2个企业就有一个被作为目标攻击对象，相当于每6家企业中有5家是攻击目标，占比83%，比前一年增加了40%。

　　按行业来看，矿业是受鱼叉式网络钓鱼攻击最严重的行业，就风险率来讲，平均2.3个行业中的企业有一个会被作为目标性攻击的对象。其次是批发行业和制造行业。

　　趋势二：网络攻击者的行动加快，防御却没有跟上

　　上图可见，零日漏洞的数量在2014年创历史最高，赛门铁克认为零日漏洞的数量在2015年仍然不会下降。2014 年，共有24个零日漏洞被发现，网络犯罪分子在这些漏洞被修补之前毫无顾忌的利用已知的安全漏洞对企业发起攻击。去年非常热门的漏洞和攻击是心脏出血(Heartbleed)和破壳(Shellshock)漏洞。心脏出血被认为是有史以来在整个IT界影响范围最广的漏洞，破壳也可以被认为是迄今为止严重程度最高的漏洞，因为它们都跟Linux系统有关。

　　“零日漏洞”的利用价值非常高，在没有被公开之前，黑客可以做很多攻击。而被公开往往会吸引更多的黑客或攻击者，他们会快速寻找没有打补丁的系统并实施攻击。以Heartbleed(心脏出血)为例，该漏洞在4个小时内迅速被利用并用于发动攻击。软件公司平均需要59天来生成和推出补丁，而在2013年仅需4天。2014年，在厂商推出补丁之前，攻击者利用排名前5大“零日漏洞”并主动实施攻击的时间总共长达295天。

　　值得注意的是，合法网站上也可能含有恶意软件。2014年含有恶意软件的网站数量有所减少，1126个网站中才有一个包含恶意软件。然而，这并不说明企业的防御和安全性得到了提升。事实上，这是因为攻击者的方法和策略发生了变化，他们会在实施攻击中使用更高级的数据包，甚至利用SaaS技术。合法网站上所含的恶意软件数量虽然减少了，但是网络攻击者会将受害者重定向到受到攻击者控制的网站上，使用工具包和SaaS从他们的网站实施攻击。

　　2014年，数据泄露总量较2013年增加了23%，2014 年，大规模数据泄露事件减少，4起数据泄露事故所涉及的身份信息泄露超过1000 万(2013 年为8 起)。数据泄露的主要原因分别为：攻击者(49%)、意外泄露——设备被盗或丢失(43%)以及内部偷窃(8%)。在2013年，主要的泄露原因是意外或者设备丢失被盗。2014年，主要的泄露原因是来自攻击者。同时，发生数据泄露的企业中，五分之一没有报告数据泄露事件，在2013年为六分之一。

　　过去，网络犯罪主要集中在金融行业，但在2014年，医疗和零售是数据泄露重灾区。医疗数据与用户的生活息息相关，如果黑客能获取用户的医疗数据，后果不堪设想。

　　零售行业最常见的数据泄露原因是网络攻击者，而医疗行业最常见的数据泄露原因是意外泄露/ 设备丢失或被盗。零售行业泄露事件占比11%，但却造成59%身份信息的泄露。医疗行业泄露事件占比37%，但仅2%身份信息的泄露。