新的一年，有些事變了，有些事保持原樣。關(guān)于多線程高隱蔽的復(fù)雜網(wǎng)絡(luò)攻擊的各種恐懼和疑慮我們已經(jīng)經(jīng)受很多。誠然，落入這個(gè)范疇的攻擊是存在的，但如果縱觀去年一整年的網(wǎng)絡(luò)犯罪活動(dòng)，顯然大部分威脅沒有我們經(jīng)常談?wù)摰哪敲磸?fù)雜。

[[183009]]

網(wǎng)絡(luò)威脅情報(bào)呈現(xiàn)給我們的，反而是大多數(shù)威脅都只簡單地利用一系列已知漏洞和其他弱點(diǎn)，來達(dá)成最小阻力最大收益?？梢詮耐{三角棱鏡，也就是黑客的能力、意圖和機(jī)會(huì)三個(gè)方面，來看看今日幾個(gè)頂級(jí)威脅的模樣：

1. 勒索軟件

該威脅利用老一套但有效的社會(huì)工程戰(zhàn)術(shù)。誘使某人點(diǎn)擊依然可用的惡意宏，盡管宏如今不再廣泛使用(講真，你用過或者知道誰曾經(jīng)用過宏嗎?)。人類天性好奇，而好奇心正是特別容易被利用的。

減少攻擊者成功進(jìn)行勒索軟件活動(dòng)，限制勒索軟件攻擊風(fēng)險(xiǎn)的方法也是有那么幾個(gè)的。

部署反網(wǎng)絡(luò)釣魚功能，因?yàn)榫W(wǎng)絡(luò)釣魚是攻擊者最常用來發(fā)起行動(dòng)的方法。配置成掃描所有郵件附件的反惡意程序軟件也有助于捕獲最惡意的附件。所有允許文檔下載并直接打開的設(shè)置都應(yīng)該關(guān)閉。

限制非必要的用戶在本地計(jì)算機(jī)上擁有管理員級(jí)權(quán)限，除非是有特別需求。然而，不幸的是，很多案例中，本地管理員權(quán)限常會(huì)被授予用戶以暫停他們對(duì)“某個(gè)App又死機(jī)啦”的抱怨。限制該權(quán)限可以減少勒索軟件的影響。

對(duì)微軟用戶來說，應(yīng)該了解組策略對(duì)象(GPO)。微軟將組策略設(shè)置進(jìn)行了調(diào)整，輔助系統(tǒng)管理員采取更恰當(dāng)?shù)拇胧?，在保證定制用戶功能的同時(shí)，防御勒索軟件之類的威脅。

培訓(xùn)你的用戶。這并非什么新鮮概念，但只要做好了，有效性是毋庸置疑的。這可不是什么“做這個(gè)，不做那個(gè)”的長長的策略列表。有公司的網(wǎng)絡(luò)安全用戶指南長達(dá)100多張PPT，太讓人崩潰了。培訓(xùn)項(xiàng)目應(yīng)直擊重點(diǎn)，而不是冗長到讓用戶生無可戀選擇無視。理解你用戶的3個(gè)最頂級(jí)威脅，然后專注在這3個(gè)威脅上面。與用戶溝通，以半定期的形式，真切讓用戶體驗(yàn)現(xiàn)實(shí)生活中的攻擊場景。這會(huì)讓用戶的警惕意識(shí)常刷常新，讓他們更加警覺。

給你的設(shè)備打補(bǔ)丁。你知道勒索軟件大多在你用戶訪問被入侵網(wǎng)站時(shí)通過漏洞利用工具包現(xiàn)身，或者通過網(wǎng)絡(luò)釣魚郵件中的惡意負(fù)載投放么?你知道有助于防御以上兩種情況的所有CVE都已經(jīng)放出了好一陣子了么?請(qǐng)一定在您用戶環(huán)境的漏洞管理上積極主動(dòng)，因?yàn)樗麄兊谋┞睹媸亲顝V的。

2. 漏洞利用工具包

很多此類工具包都利用CVE，沒理由不補(bǔ)上它們?？纯唇诘腞IG、Sundown和Magnitude漏洞利用工具包。下面的列表包含有當(dāng)前和以往的歸因溯源譜系：

RIG漏洞利用工具包利用了：

CVE-2012-0507、CVE-2013-0074、CVE-2013-2465、CVE-2013-2471、CVE-2013-2551、CVE-2013-3896、CVE-2014-0311、CVE-2014-0322、CVE-2014-0497、CVE-2014-6332、CVE-2015-0313、CVE-2015-2419、CVE-2015-3090、CVE-2015-5119、CVE-2015-5122、CVE-2015-5560、CVE-2015-7645、CVE-2015-8651、CVE-2016-0034、CVE-2016-0189、CVE-2016-1019、CVE-2016-4117、CVE-2016-7200、CVE-2016-7201、CVE-2016-3298

Sundown漏洞利用工具包利用了：

CVE-2012-1876、CVE-2013-7331、CVE-2014-0556、CVE-2014-0569、CVE-2014-6332、CVE-2015-2444、CVE-2015-0311、CVE-2015-0313、CVE-2015-5119、CVE-2015-2419、CVE-2016-0034、CVE-2016-4117、CVE-2016-0189、CVE-2016-7200、CVE-2016-7201

Magnitude漏洞利用工具包利用了：

CVE-2011-3402、CVE-2012-0507、CVE-2013-2551、CVE-2013-2643、CVE-2015-0311、CVE-2015-7645、CVE-2015-3113、CVE-2016-1015、CVE-2016-1016、CVE-2016-1017、CVE-2016-1019、CVE-2016-4117

這些CVE都不應(yīng)該出現(xiàn)在你的環(huán)境中了!

3. 憑證管理

口令復(fù)雜度和重用也沒什么新鮮或復(fù)雜的，但我們依然還在看到新的攻擊利用以往數(shù)據(jù)泄露中的被盜憑證。一些業(yè)務(wù)過程和技術(shù)性建議可以用來限制這一安全問題：

再次核查你的口令策略，確保它們被實(shí)施了。用戶總會(huì)選擇走阻力最小的路徑，傾向于使用所能用的最弱口令選項(xiàng)。強(qiáng)制定期口令重置，實(shí)現(xiàn)雙因子身份驗(yàn)證，可以幫助你保護(hù)系統(tǒng)不受口令重用攻擊的侵害。

如果你還沒這么做，那就應(yīng)該考慮為你的用戶數(shù)據(jù)庫部署易用的口令管理器。千萬別假設(shè)這僅限于業(yè)務(wù)相關(guān)的憑證。用戶個(gè)人和公司兩種憑證，在個(gè)人和公司設(shè)備上都存放有的現(xiàn)象太普遍了。如果你選擇為公司購入口令管理器，可以考慮將許可也延伸至雇員的個(gè)人設(shè)備上。

培訓(xùn)和教育——應(yīng)當(dāng)勸阻客戶、雇員和其他用戶重用別處賬戶的口令。如果你懷疑數(shù)據(jù)已經(jīng)被泄，無論是直接從你的站點(diǎn)泄的，還是從其他泄露事件中泄的，請(qǐng)采取積極措施，通過重置口令預(yù)防口令重用攻擊。

4. 敲詐

與勒索軟件類似，該威脅基于數(shù)據(jù)呈現(xiàn)的不健康水平來敲詐目標(biāo)。區(qū)別在于，勒索軟件加密數(shù)據(jù)，不見贖金不放數(shù)據(jù);敲詐犯則是通過滲漏獲取公司的數(shù)據(jù)，然后威逼羞辱受害者支付贖金。最近的敲詐案例圍繞名為“黑暗領(lǐng)主”的黑客，他使用社交媒體公開威脅公司企業(yè)，只要不支付贖金就會(huì)公開那些被盜的敏感數(shù)據(jù)。

清除機(jī)會(huì)——根源問題在于，我們的對(duì)手需要“我們”暴露出漏洞才能成功。如果你清除掉那些機(jī)會(huì)，你就直接影響了他們敲詐的能力。

網(wǎng)絡(luò)安全“技術(shù)債務(wù)”——公司暴露出太多被攻擊機(jī)會(huì)的時(shí)候，往往令人想起一個(gè)術(shù)語“技術(shù)債務(wù)”。這是一個(gè)隱喻，指的是恰當(dāng)設(shè)計(jì)軟件 vs. 走捷徑更快更便宜地搞定某個(gè)功能。為開發(fā)出什么東西并快速推向市場，很多時(shí)候這些捷徑會(huì)讓你背上高利率的貸款。最終，貸款會(huì)到期，長遠(yuǎn)看，你的付出必定會(huì)更多。這里面的關(guān)鍵點(diǎn)就是，今日網(wǎng)絡(luò)罪犯戰(zhàn)術(shù)下，背上技術(shù)債務(wù)貸款，會(huì)引發(fā)很多以往不被認(rèn)為是風(fēng)險(xiǎn)的額外影響。當(dāng)公司選擇背上技術(shù)巨債時(shí)，最終會(huì)為攻擊者呈現(xiàn)可供利用的更多機(jī)會(huì)。這些風(fēng)險(xiǎn)，如果被利用，就可導(dǎo)致對(duì)客戶(您忠實(shí)的客戶)、品牌和信譽(yù)的不良影響，甚至可能還有監(jiān)管或法律訴訟等著你。

如果有與你業(yè)務(wù)、供應(yīng)鏈和行業(yè)相關(guān)的網(wǎng)絡(luò)威脅情報(bào)，你就能準(zhǔn)確定位關(guān)鍵風(fēng)險(xiǎn)領(lǐng)域。去年的種種案例，就是對(duì)我們應(yīng)該在解決更復(fù)雜事件前關(guān)注安全基本的一個(gè)提醒。奪人眼球的破壞性威脅很多，但很多案例對(duì)你的公司并無直接影響。放輕松，夯實(shí)基礎(chǔ)先。