新的一年，有些事變了，有些事保持原樣。關(guān)于多線程高隱蔽的復(fù)雜網(wǎng)絡(luò)攻擊的各種恐懼和疑慮我們已經(jīng)經(jīng)受很多。誠然，落入這個范疇的攻擊是存在的，但如果縱觀去年一整年的網(wǎng)絡(luò)犯罪活動，顯然大部分威脅沒有我們經(jīng)常談?wù)摰哪敲磸?fù)雜。

[[183009]]

網(wǎng)絡(luò)威脅情報呈現(xiàn)給我們的，反而是大多數(shù)威脅都只簡單地利用一系列已知漏洞和其他弱點，來達(dá)成最小阻力最大收益。可以從威脅三角棱鏡，也就是黑客的能力、意圖和機會三個方面，來看看今日幾個頂級威脅的模樣：

1. 勒索軟件

該威脅利用老一套但有效的社會工程戰(zhàn)術(shù)。誘使某人點擊依然可用的惡意宏，盡管宏如今不再廣泛使用(講真，你用過或者知道誰曾經(jīng)用過宏嗎?)。人類天性好奇，而好奇心正是特別容易被利用的。

減少攻擊者成功進(jìn)行勒索軟件活動，限制勒索軟件攻擊風(fēng)險的方法也是有那么幾個的。

部署反網(wǎng)絡(luò)釣魚功能，因為網(wǎng)絡(luò)釣魚是攻擊者最常用來發(fā)起行動的方法。配置成掃描所有郵件附件的反惡意程序軟件也有助于捕獲最惡意的附件。所有允許文檔下載并直接打開的設(shè)置都應(yīng)該關(guān)閉。

限制非必要的用戶在本地計算機上擁有管理員級權(quán)限，除非是有特別需求。然而，不幸的是，很多案例中，本地管理員權(quán)限常會被授予用戶以暫停他們對“某個App又死機啦”的抱怨。限制該權(quán)限可以減少勒索軟件的影響。

對微軟用戶來說，應(yīng)該了解組策略對象(GPO)。微軟將組策略設(shè)置進(jìn)行了調(diào)整，輔助系統(tǒng)管理員采取更恰當(dāng)?shù)拇胧诒ＷC定制用戶功能的同時，防御勒索軟件之類的威脅。

培訓(xùn)你的用戶。這并非什么新鮮概念，但只要做好了，有效性是毋庸置疑的。這可不是什么“做這個，不做那個”的長長的策略列表。有公司的網(wǎng)絡(luò)安全用戶指南長達(dá)100多張PPT，太讓人崩潰了。培訓(xùn)項目應(yīng)直擊重點，而不是冗長到讓用戶生無可戀選擇無視。理解你用戶的3個最頂級威脅，然后專注在這3個威脅上面。與用戶溝通，以半定期的形式，真切讓用戶體驗現(xiàn)實生活中的攻擊場景。這會讓用戶的警惕意識常刷常新，讓他們更加警覺。

給你的設(shè)備打補丁。你知道勒索軟件大多在你用戶訪問被入侵網(wǎng)站時通過漏洞利用工具包現(xiàn)身，或者通過網(wǎng)絡(luò)釣魚郵件中的惡意負(fù)載投放么?你知道有助于防御以上兩種情況的所有CVE都已經(jīng)放出了好一陣子了么?請一定在您用戶環(huán)境的漏洞管理上積極主動，因為他們的暴露面是最廣的。

2. 漏洞利用工具包

很多此類工具包都利用CVE，沒理由不補上它們。看看近期的RIG、Sundown和Magnitude漏洞利用工具包。下面的列表包含有當(dāng)前和以往的歸因溯源譜系：

RIG漏洞利用工具包利用了：

CVE-2012-0507、CVE-2013-0074、CVE-2013-2465、CVE-2013-2471、CVE-2013-2551、CVE-2013-3896、CVE-2014-0311、CVE-2014-0322、CVE-2014-0497、CVE-2014-6332、CVE-2015-0313、CVE-2015-2419、CVE-2015-3090、CVE-2015-5119、CVE-2015-5122、CVE-2015-5560、CVE-2015-7645、CVE-2015-8651、CVE-2016-0034、CVE-2016-0189、CVE-2016-1019、CVE-2016-4117、CVE-2016-7200、CVE-2016-7201、CVE-2016-3298

Sundown漏洞利用工具包利用了：

CVE-2012-1876、CVE-2013-7331、CVE-2014-0556、CVE-2014-0569、CVE-2014-6332、CVE-2015-2444、CVE-2015-0311、CVE-2015-0313、CVE-2015-5119、CVE-2015-2419、CVE-2016-0034、CVE-2016-4117、CVE-2016-0189、CVE-2016-7200、CVE-2016-7201

Magnitude漏洞利用工具包利用了：

CVE-2011-3402、CVE-2012-0507、CVE-2013-2551、CVE-2013-2643、CVE-2015-0311、CVE-2015-7645、CVE-2015-3113、CVE-2016-1015、CVE-2016-1016、CVE-2016-1017、CVE-2016-1019、CVE-2016-4117

這些CVE都不應(yīng)該出現(xiàn)在你的環(huán)境中了!

3. 憑證管理

口令復(fù)雜度和重用也沒什么新鮮或復(fù)雜的，但我們依然還在看到新的攻擊利用以往數(shù)據(jù)泄露中的被盜憑證。一些業(yè)務(wù)過程和技術(shù)性建議可以用來限制這一安全問題：

再次核查你的口令策略，確保它們被實施了。用戶總會選擇走阻力最小的路徑，傾向于使用所能用的最弱口令選項。強制定期口令重置，實現(xiàn)雙因子身份驗證，可以幫助你保護(hù)系統(tǒng)不受口令重用攻擊的侵害。

如果你還沒這么做，那就應(yīng)該考慮為你的用戶數(shù)據(jù)庫部署易用的口令管理器。千萬別假設(shè)這僅限于業(yè)務(wù)相關(guān)的憑證。用戶個人和公司兩種憑證，在個人和公司設(shè)備上都存放有的現(xiàn)象太普遍了。如果你選擇為公司購入口令管理器，可以考慮將許可也延伸至雇員的個人設(shè)備上。

培訓(xùn)和教育——應(yīng)當(dāng)勸阻客戶、雇員和其他用戶重用別處賬戶的口令。如果你懷疑數(shù)據(jù)已經(jīng)被泄，無論是直接從你的站點泄的，還是從其他泄露事件中泄的，請采取積極措施，通過重置口令預(yù)防口令重用攻擊。

4. 敲詐

與勒索軟件類似，該威脅基于數(shù)據(jù)呈現(xiàn)的不健康水平來敲詐目標(biāo)。區(qū)別在于，勒索軟件加密數(shù)據(jù)，不見贖金不放數(shù)據(jù);敲詐犯則是通過滲漏獲取公司的數(shù)據(jù)，然后威逼羞辱受害者支付贖金。最近的敲詐案例圍繞名為“黑暗領(lǐng)主”的黑客，他使用社交媒體公開威脅公司企業(yè)，只要不支付贖金就會公開那些被盜的敏感數(shù)據(jù)。

清除機會——根源問題在于，我們的對手需要“我們”暴露出漏洞才能成功。如果你清除掉那些機會，你就直接影響了他們敲詐的能力。

網(wǎng)絡(luò)安全“技術(shù)債務(wù)”——公司暴露出太多被攻擊機會的時候，往往令人想起一個術(shù)語“技術(shù)債務(wù)”。這是一個隱喻，指的是恰當(dāng)設(shè)計軟件 vs. 走捷徑更快更便宜地搞定某個功能。為開發(fā)出什么東西并快速推向市場，很多時候這些捷徑會讓你背上高利率的貸款。最終，貸款會到期，長遠(yuǎn)看，你的付出必定會更多。這里面的關(guān)鍵點就是，今日網(wǎng)絡(luò)罪犯戰(zhàn)術(shù)下，背上技術(shù)債務(wù)貸款，會引發(fā)很多以往不被認(rèn)為是風(fēng)險的額外影響。當(dāng)公司選擇背上技術(shù)巨債時，最終會為攻擊者呈現(xiàn)可供利用的更多機會。這些風(fēng)險，如果被利用，就可導(dǎo)致對客戶(您忠實的客戶)、品牌和信譽的不良影響，甚至可能還有監(jiān)管或法律訴訟等著你。

如果有與你業(yè)務(wù)、供應(yīng)鏈和行業(yè)相關(guān)的網(wǎng)絡(luò)威脅情報，你就能準(zhǔn)確定位關(guān)鍵風(fēng)險領(lǐng)域。去年的種種案例，就是對我們應(yīng)該在解決更復(fù)雜事件前關(guān)注安全基本的一個提醒。奪人眼球的破壞性威脅很多，但很多案例對你的公司并無直接影響。放輕松，夯實基礎(chǔ)先。