很少有職業(yè)隨著IT安全的變化而變化。從業(yè)者每年平均面臨5000到7000個新的軟件漏洞，這就像你的防御體系每天會引發(fā)15次新的泄露。這是每年威脅您IT環(huán)境的數(shù)以千萬計的獨特惡意軟件程序中最嚴重的問題。在這種持續(xù)不斷的威脅中，一個漏洞就可能造成嚴重的損失。然而這些都是可預(yù)防的，以下是每個計算機安全專業(yè)人員都應(yīng)該知道的十二件事：

[[241974]]

1. 黑客做了什么：他們的動機和惡意軟件

無論黑客是使用計算機漏洞還是惡意軟件，他們的動機都是一樣的。了解黑客為何以及如何破解是您防御的關(guān)鍵。

2. 了解黑客及其攻擊方式

不管威脅種類，它都會以兩種方式到達您的計算機：認為或惡意軟件。黑客可以使用數(shù)十萬種已知計算機漏洞和攻擊方法中的任何一種來破壞計算機或設(shè)備。人們要及時更新補丁，而且許多設(shè)備和軟件程序也都會自動更新，但即使在補丁可用之后，許多計算機和設(shè)備在很長一段時間內(nèi)仍然容易受到攻擊。

惡意軟件程序數(shù)以億計，每天創(chuàng)建和發(fā)布數(shù)萬個新的惡意軟件程序。三種主要的惡意軟件主要分為三種：病毒(自我復(fù)制)，蠕蟲(自行)和特洛伊木馬程序(需要最終用戶執(zhí)行操作)。如今的惡意軟件通常是通過網(wǎng)頁或電子郵件發(fā)送的，通常是多個惡意軟件的組合。通常，利用系統(tǒng)的第一個惡意軟件程序只是一個“存根下載程序”，它獲得初始訪問權(quán)限，然后“phones home”獲取更多指令并下載和安裝更復(fù)雜的惡意軟件。

通常，存根程序?qū)⑾螺d十幾種不同的新惡意軟件變體，每種變體都會避免反惡意軟件的檢測和刪除。惡意軟件編寫者維護他們自己的惡意軟件多檢測服務(wù)，類似于合法的Google VirusTotal，然后將其鏈接到自動更新服務(wù)，該服務(wù)修改他們的惡意軟件，使當(dāng)前的反惡意軟件引擎無法檢測到。正是這種即時更新導(dǎo)致了如此多的“獨特”惡意軟件程序被創(chuàng)建和傳播。

惡意軟件編寫者或傳播者也可能被雇來使用完全不同類型的惡意軟件感染人們的設(shè)備。這已經(jīng)形成了一個市場，惡意軟件控制者可以出售這些軟件以賺取更多的錢。而且，通過這種方式，惡意軟件控制者的風(fēng)險要小得多。

許多黑客(和黑客組織)使用惡意軟件來訪問公司或更廣泛的目標受害者，然后單獨選擇一些已經(jīng)受到攻擊的目標花費更多精力。有時候，就像大多數(shù)勒索軟件一樣，惡意軟件程序就是全部，能夠在沒有任何惡意領(lǐng)導(dǎo)者互動的情況下進行攻擊和敲詐金錢。一旦被釋放，黑客所要做的就是收集不義之財。惡意軟件創(chuàng)建之后通常會被出售或租給傳播和使用它們的人。

3. 為什么攻擊?

黑客犯罪的原因分為以下幾類：

• 經(jīng)濟動機
• 民族國家贊助/網(wǎng)絡(luò)戰(zhàn)
• 商業(yè)間諜
• 黑客行動
• 竊取資源

金融盜竊和民族國家攻擊是最容易發(fā)生的網(wǎng)絡(luò)犯罪。幾十年前，吃著垃圾食品的孤獨青年黑客是一般黑客的代表。他們有興趣向他人展示他們可以破解某些東西或制造有趣的惡意軟件。但他們很少造成實質(zhì)性的損失。

如今，大多數(shù)黑客屬于專業(yè)團體，這些團體的動機是獲得有價值的東西，并經(jīng)常造成嚴重損失。他們盡可能隱蔽的使用惡意軟件，并在被發(fā)現(xiàn)之前盡可能多地獲取有價值的東西。

4. 如何攻擊?

無論動機是什么，黑客或他們的惡意軟件通常以相同的方式侵入和利用計算機系統(tǒng)，并使用大多數(shù)相同類型的漏洞和方法，包括：

• 社會工程
• 未修補的軟件和硬件漏洞
• 零日攻擊
• 瀏覽器攻擊
• 密碼攻擊
• 竊聽
• 拒接服務(wù)
• 物理攻擊

此列表不包括內(nèi)部威脅、意外數(shù)據(jù)泄漏、錯誤配置、用戶錯誤以及無法直接與黑客行為聯(lián)系的大量其他威脅。設(shè)備受損的最常見方式是由于未修補的軟件和社交工程。在大多數(shù)環(huán)境中，這些威脅會帶來絕大多數(shù)風(fēng)險(超過95%)。解決了這些問題，你就能擺脫大量的風(fēng)險。

黑客或惡意軟件程序利用公眾不知道的漏洞，進行的零日攻擊在剛發(fā)生時造成了極大的影響，因為供應(yīng)商還沒有發(fā)布相應(yīng)的補丁。這種攻擊每年只能發(fā)現(xiàn)少數(shù)幾例，通常在發(fā)現(xiàn)、分析和修補漏洞之前，他們只攻擊一家公司或少數(shù)幾家公司?？赡軙l(fā)生更多的零日攻擊，尤其是在一些民族國家，比我們意識到的還要多。然而由于這類黑客非常謹慎地使用它們，我們才很少發(fā)現(xiàn)它們，因而這種攻擊手段才能屢禁不止。

絕大多數(shù)惡意攻擊來自互聯(lián)網(wǎng)并要求用戶執(zhí)行某些操作——單擊鏈接，下載并執(zhí)行文件，或提供登錄名稱和密碼——以便開始惡意攻擊。瀏覽器的安全性提高使得不常見的“無聲運行”攻擊成為可能，當(dāng)用戶訪問網(wǎng)頁或打開電子郵件時，威脅會在用戶沒有任何操作的情況下執(zhí)行。

5. 防范黑客

無論動機如何，打敗黑客和惡意軟件的關(guān)鍵是，要發(fā)現(xiàn)根本的原因。看看上面列出的根本原因，確定哪些是你自身遇到過的，然后創(chuàng)建或改進現(xiàn)有防御以使威脅最小化。這樣你就會建立一個無比穩(wěn)固的安全防御體系。

6. 了解惡意軟件

惡意軟件主要分為三種：計算機病毒、特洛伊木馬和蠕蟲。任何惡意軟件程序都是這些分類中的一個或多個的混合體。惡意軟件—-病毒，蠕蟲，特洛伊木馬和其他有害計算機程序的全面術(shù)語—-自計算機初期就一直伴隨著我們。但惡意軟件不斷在發(fā)展，黑客利用它來破壞并獲取敏感信息; 打擊惡意軟件成為信息安全專業(yè)人員的大部分日常工作。

7. 惡意軟件定義

正如微軟所說，“惡意軟件是一個全面的術(shù)語，指的是任何旨在對單個計算機，服務(wù)器或計算機網(wǎng)絡(luò)造成損害的軟件。” 換句話說，軟件基于其預(yù)期用途被識別為惡意軟件，而不是基于構(gòu)建它的技術(shù)。

8. 惡意軟件類型

惡意軟件與病毒之間存在差異的問題忽略了一點：病毒是一種惡意軟件，因此所有病毒都是惡意軟件(但并非每一種惡意軟件都是病毒)。

可以用許多不同的方法對惡意軟件進行分類; 首先是惡意軟件的傳播方式。您可能已經(jīng)聽說過病毒，木馬和蠕蟲，但正如賽門鐵克(賽門鐵克，Symantec是信息安全領(lǐng)域全球領(lǐng)先的解決方案提供商，為企業(yè)、個人用戶和服務(wù)供應(yīng)商提供廣泛的內(nèi)容和網(wǎng)絡(luò)安全軟件及硬件的解決方案，可以幫助個人和企業(yè)確保信息的安全性、可用性和完整性。)所解釋的那樣，它們描述了三種略有差別的惡意軟件感染目標計算機的方式：

• 蠕蟲是自包含的程序(或是一套程序)，它能傳播自身功能的拷貝或自身的某些部分到其他的計算機系統(tǒng)中(通常是經(jīng)過網(wǎng)絡(luò)連接)。
• 病毒是編制者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)的代碼，能影響計算機使用，能自我復(fù)制的一組計算機指令或者程序代碼。
• 木馬是指通過特定的程序(木馬程序)來控制另一臺計算機。木馬通常有兩個可執(zhí)行程序：一個是控制端，另一個是被控制端。與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種主機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種主機。

惡意軟件也可以由攻擊者自己“手動”安裝在計算機上，方法是獲取對計算機的訪問權(quán)限或使用權(quán)限提升來獲取遠程管理員訪問權(quán)限。

對惡意軟件進行分類的另一種方法是根據(jù)它成功感染了受害者的計算機后做什么進行分類。惡意軟件使用各種潛在的攻擊技術(shù)：

間諜軟件被Webroot Cyber​​security定義為“用于秘密收集毫無戒心用戶數(shù)據(jù)的惡意軟件”。從本質(zhì)上講，只要你在使用計算機，它就會監(jiān)視你的行為，你發(fā)送和接受的數(shù)據(jù)，并且將這些信息發(fā)送給第三方。鍵盤記錄是一種特殊的間諜軟件，記錄用戶所有的鍵盤記錄—-主要用來竊取密碼。

Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標上隱藏自身及指定的文件、程序和網(wǎng)絡(luò)鏈接等信息，對系統(tǒng)進行操縱、并通過隱秘渠道收集數(shù)據(jù)的程序。Rootkit的三要素就是：隱藏、操縱、收集數(shù)據(jù)。Rootkit的初始含義就在于“能維持root權(quán)限的一套工具”。

• 廣告軟件是指以一個附帶廣告的電腦程序，以廣告作為盈利來源的軟件。此類軟件往往會強制安裝并無法卸載;在后臺收集用戶信息牟利，危及用戶隱私;頻繁彈出廣告，消耗系統(tǒng)資源，使其運行變慢等。
• 勒索軟件是一種加密硬盤驅(qū)動器的文件并進行勒索的軟件，它要求受害者用比特幣付款，以換取解密密鑰。過去幾年中一些備受矚目的惡意軟件爆發(fā)，如Petya就是勒索軟件。如果沒有解密密鑰，受害者就無法重新獲得對其文件的訪問權(quán)限。所謂的恐嚇軟件是勒索軟件的一種影子版本，它聲稱控制了你的計算機并要求贖金，但實際上只是使用瀏覽器重定向循環(huán)這樣的技巧使它看起來好像它造成了比實際更多的破壞，并且不像勒索軟件可以相對容易地被禁用。
• Cryptojacking 是攻擊者可以強迫向他們支付比特幣的另一種方式—-只是它可以在你不知道的情況下運行。劫持用戶的設(shè)備例如個人筆記本的 CPU 或其他處理器進行挖礦。或者更準確點說是在受害者不知情的前提下，使用受害者的計算設(shè)備來挖取數(shù)字貨幣。挖掘軟件可以在操作系統(tǒng)的后臺運行，也可以在瀏覽器窗口中作為JavaScript運行。

任何特定的惡意軟件都有感染手段和行為類別。例如，WannaCry是一種勒索軟件蠕蟲。并且一個特定的惡意軟件可能具有不同的形式，具有不同的攻擊向量：例如，Emotet銀行惡意軟件既是木馬也是蠕蟲。

到目前為止，最常見的感染媒介是垃圾郵件，它誘使用戶激活特洛伊類型的惡意軟件。WannaCry和Emotet是最流行的惡意軟件，但包括NanoCore和Gh0st在內(nèi)的許多其他惡意軟件都被稱為遠程訪問特洛伊木馬(RAT)。

9. 如何防止惡意軟件

垃圾郵件和網(wǎng)絡(luò)釣魚電子郵件是惡意軟件感染計算機的主要媒介，防止惡意軟件的最佳方法是嚴密鎖定您的電子郵件系統(tǒng)，并且知道如何發(fā)現(xiàn)危險。我們建議仔細檢查附加文檔并限制潛在危險的用戶行為—-以及讓用戶熟悉常見的網(wǎng)絡(luò)釣魚詐騙。

在涉及更多技術(shù)預(yù)防措施時，您可以采取許多步驟，包括更新所有系統(tǒng)的補丁，保留硬件清單，以便了解需要保護的內(nèi)容，并對基礎(chǔ)架構(gòu)執(zhí)行持續(xù)的漏洞評估。特別是在勒索軟件攻擊方面，一種方法是始終對文件進行備份，確保在硬盤被加密時，您永遠不需要支付贖金來取回它們。

10. 惡意軟件防護

防病毒軟件是最廣為人知的惡意軟件防護產(chǎn)品; 盡管名稱中存在“病毒”，但大多數(shù)產(chǎn)品都采用各種形式的惡意軟件。雖然高端安全專業(yè)人士認為它已經(jīng)過時，但它仍然是基本反惡意軟件防御的支柱。根據(jù)AV-TEST最近的測試，如今最好的防病毒軟件來自卡巴斯基實驗室，賽門鐵克和趨勢科技供應(yīng)商。

當(dāng)涉及到更先進的企業(yè)網(wǎng)絡(luò)時，端點安全產(chǎn)品可以提供針對惡意軟件的深度防御。它們不僅提供您希望從防病毒中獲得的基于簽名的惡意軟件檢測，還提供反間諜軟件，個人防火墻，應(yīng)用程序控制和其他類型的主機入侵防護。Gartner 提供了該領(lǐng)域的首選名單，其中包括Cylance，CrowdStrike和Carbon Black的產(chǎn)品。

11. 如何檢測惡意軟件

盡管你付出了最大的努力，但在某些時候你的系統(tǒng)將被惡意軟件感染是完全可能的。你怎么能肯定地說你的系統(tǒng)不會被感染?

當(dāng)您達到企業(yè)IT級別時，還可以使用更高級的可見性工具來查看網(wǎng)絡(luò)中發(fā)生的情況并檢測惡意軟件感染。大多數(shù)形式的惡意軟件使用網(wǎng)絡(luò)將信息傳播或發(fā)送回其控制器，因此網(wǎng)絡(luò)流量包含您可能會錯過的惡意軟件感染信號 ; 那里有各種各樣的網(wǎng)絡(luò)監(jiān)控工具，價格從幾美元到幾千美元不等。還有SIEM工具，它們是從日志管理程序演變而來的; 這些工具分析來自基礎(chǔ)架構(gòu)中各種計算機和設(shè)備的日志，以查找問題跡象，包括惡意軟件感染。SIEM供應(yīng)商從像IBM和HP Enterprise這樣的行業(yè)巨頭到Splunk和Alien Vault等小型專家。

12. 惡意軟件示例

我們已經(jīng)討論了當(dāng)前一些迫在眉睫的惡意軟件威脅。但是，惡意軟件的歷史漫長而傳奇，可追溯到20世紀80年代由Apple II愛好者交換的受感染軟盤和1988年在Unix機器上傳播的Morris蠕蟲。其他一些高調(diào)的惡意軟件攻擊包括：

• ILOVEYOU，一種蠕蟲，在2000年像野火一樣蔓延，造成的損失超過150億美元。
• SQL Slammer，它在2003年第一次快速傳播的幾分鐘內(nèi)就使互聯(lián)網(wǎng)流量停滯不前。
• Conficker，一種利用Windows中未修補的漏洞并利用各種攻擊媒介的蠕蟲—-從注入惡意代碼到網(wǎng)絡(luò)釣魚電子郵件—-最終破解密碼并將Windows設(shè)備劫持到僵尸網(wǎng)絡(luò)中。
• Zeus，00年代后期一種針對銀行信息的鍵盤記錄木馬。
• CryptoLocker，第一次廣泛傳播的勒索軟件，其代碼不斷在類似的惡意軟件項目中重新利用。
• Stuxnet是一種非常復(fù)雜的蠕蟲病毒，它感染了全球范圍內(nèi)的計算機但只在一個地方造成了真正的破壞：伊朗在納坦茲的核設(shè)施，在那里它摧毀了富鈾離心機，它是由美國和以色列情報機構(gòu)建造的。

結(jié)論

了解這些基本類別的惡意軟件非常重要，這樣當(dāng)您找到惡意軟件程序時，您就可以它最有可能攻擊您系統(tǒng)的方式。這有助于您了解在何處查找惡意軟件程序的起源，并了解它可能會進一步傳播的位置。