安全威脅領域在迅速發(fā)生變化，由于特大泄密事件和嚴重安全漏洞，安全比以往來得更備受關注。賽門鐵克借助每秒收集的數百萬個數據點，匯總了來自其全球情報網絡的數據，在近日發(fā)布的年度《互聯(lián)網安全威脅報告》中著重介紹了它在安全領域發(fā)現的幾大趨勢。

不妨看一下該報告著重介紹的十大趨勢。

10. 攻擊速度更快了

報告聲稱，這邊廂，攻擊者在利用安全漏洞方面加快了步伐;那邊廂，防御和響應時間卻沒有縮短。比如說，報告提到，Heartbleed漏洞宣布后短短數小時內，攻擊數量急劇飆升。零日漏洞在2014年達到了前所未有的高度;表明了安全廠商打補丁的速度總的來說很慢，前三大最常被利用的安全漏洞平均在53天到204天后才打上補丁。這與2013年形成了鮮明對照，那年的零日補丁平均4天后就會發(fā)布。

9. 攻擊者效率更高了

報告聲稱，攻擊者不僅變得更頻繁出手，他們還變得更高效了。一些攻擊手法包括：增加了針對性的魚叉式網絡釣魚攻擊、水坑攻擊和“混入特洛伊木馬”的軟件更新。報告表示，尤其是，面向中小企業(yè)的攻擊事件有所增加，這類攻擊占到了攻擊總數的60%。

8. 攻擊者“越過防線”

就在許多公司加大防御力度的同時，報告聲稱攻擊者“越過”了識別企圖訪問系統(tǒng)的惡意行為的那些機制。賽門鐵克聲稱，2014年這方面的一些例子包括：將合法軟件部署到中招的系統(tǒng)上，使用管理工具讓攻擊在網絡上四處蔓延，利用盜取的電子郵件對其他員工發(fā)動魚叉式網絡釣魚攻擊，以及“將特洛伊木馬混入”廠商軟件。報告聲稱，這幾種攻擊出現在大大小小的公司，大企業(yè)遭到的魚叉式網絡釣魚攻擊增加了40%，中小企業(yè)遭到的魚叉式網絡釣魚攻擊也增加了近30%。

7. 惡意軟件勢頭正猛

惡意軟件攻擊增加了26%，2014年新增的惡意軟件多達3.17億個。尤其是，賽門鐵克報告聲稱，沒有針對性的攻擊和“可感知虛擬機的攻擊”勢頭正猛;后一種攻擊是指，黑客先測試虛擬機，然后發(fā)動攻擊。報告聲稱，從這種趨勢中可以汲取的一個教訓是，虛擬機沙箱機制不再足以防止惡意軟件攻擊阻礙員工的生產力、盜用IT資源。

6. 勒索軟件大行其道

勒索軟件攻擊在2014年翻了一番多，2014年較前一年猛增了113%。報告聲稱，首當其沖的是密碼勒索軟件攻擊，較前一年激增了4000%，主要針對Windows設備。

報告聲稱：“雖然大多數人將‘敲詐勒索’與好萊塢影片和黑幫大佬聯(lián)系起來，但網絡犯罪分子利用勒索軟件，將敲詐勒索變成了一門有利可圖的行當，大小目標一概不放過。”

5. 互聯(lián)網威脅

2014年互聯(lián)網威脅呈上升趨勢，尤其是OpenSSL加密軟件庫中發(fā)現了Heartbleed安全漏洞后。2014年爆出的其他安全漏洞包括Shellshock和POODLE，還有針對特定企業(yè)發(fā)動的拒絕服務(DoS)攻擊。

報告聲稱：“由于常用工具和加密協(xié)議中的漏洞被暴露，犯罪分子讓受害者更難逃脫其惡意軟件的魔掌，2014年互聯(lián)網威脅變得更嚴重，更肆無忌憚。安全漏洞和惡意軟件的新變種表明網絡安全理應需要專職人員給予足夠的重視。”

賽門鐵克預測，這股趨勢會一直持續(xù)到2015年，包括一種名為FREAK的新安全漏洞，這其實是針對訪客與網站之間的加密通信鏈路發(fā)起的中間人攻擊。

4. 針對性攻擊

在報告稱為“令人擔憂”的一個趨勢中，針對性攻擊在2014年有所增加，來自各種各樣的源頭，包括政府撐腰的攻擊、愛國黑客、黑客活動分子、犯罪分子、數據竊賊及更多不法活動。報告聲稱，這些攻擊不僅越來越頻繁，還越來越狡猾;報告提到2014年的例子包括實施網絡間諜攻擊的Regin和Turla、工業(yè)網絡安全威脅、偵察攻擊、水坑攻擊及更多攻擊。為了奮力反擊，賽門鐵克表示，威脅情報對于企業(yè)組織要想防止和識別針對性攻擊而言會越來越重要。

報告稱：“考慮到這些攻擊日益狡猾，良好的IT安全必不可少;普遍的網絡安全實踐應該成為標準。”

3. 社交媒體

由于社交媒體的人氣越來越旺，通過這些平臺來擴散的攻擊也越來越流行。報告將一方面的原因歸咎于社交媒體具有迅速擴散的特性，因為人們更有可能無意中相信和共享朋友發(fā)來的欺詐內容，這一現象被稱為“社會認同”(social proof)。報告聲稱，移動技術的流行更是起到了推波助瀾的作用，有近100萬個基于惡意軟件的應用程序和230萬個基于灰色軟件的應用程序。賽門鐵克表示，它預計攻擊的頻率和牟利目的性在2015年會有所加大。

報告聲稱：“賽門鐵克預計，移動惡意軟件在2015年繼續(xù)大行其道，更加肆無忌憚地盯上用戶的錢包。如今已經有51%的美國成人使用網銀，35%使用手機辦理網銀業(yè)務。這樣一來，惡意軟件編寫者就有了強烈的動機，將目光盯在手機上，竊取銀行資料。”

2. 物聯(lián)網

賽門鐵克在報告中聲稱，風頭正勁的物聯(lián)網趨勢讓2014年的攻擊遍布眾多方面，包括銷售點、自動柜員機、家庭路由器及更多設備。報告聲稱，從汽車、恒溫器到智能手表，聯(lián)網設備種類多樣，這意味著同樣有種類多樣的探測行為和實際威脅覬覦這些設備。

報告聲稱：“無論是不是正式屬于物聯(lián)網的一部分，針對這些設備的攻擊進一步證明，面臨險境的不僅僅只有我們的PC。汽車和醫(yī)療器材有可能遭到網絡攻擊，這應該是我們所有人都應該關注的問題。”

1. 嚴重的安全漏洞和數據泄密事件

2014年的“特大泄密事件”不可忽視，但它們只是數據泄密事件日增這個更大趨勢的一部分。報告聲稱，2014年，總共有312起重大泄密事件，比前一年增加了23%。在那些信息泄密事件當中，49%由攻擊者引起，另外22%是無意中引起的，21%是設備被偷或丟失引起的，還有8%是內部人員竊取引起的。最常被盯上的行業(yè)是醫(yī)療行業(yè)，占到該年泄密事件總數的37%;其次是零售行業(yè)，占到總數的11%。然而，零售業(yè)在當年泄露的用戶身份總數當中確實占到了59%;報告聲稱，這表明了個人的財務信息具有的吸引力，也表明了銷售點系統(tǒng)存在的薄弱性。