網絡安全通常被作為企業必須處理的問題來看待，但這一問題的內容卻并非永遠恒定。相較于這種將網絡安全作為問題的思路，如今企業開始逐漸將其作為一種游戲，而網絡層面的對手則屬于游戲內的挑戰者。為什么要進行視角轉換?這是因為作為問題，我們自然需要為其尋找答案。為什么安全邊界存在過多網絡流量負載?這就是個問題，而答案則是——安裝防火墻。在另一方面，游戲則永遠不存在“解決”一說，它是動態的且要求玩家根據各種實際情況做出反應。

如 今的安全挑戰涉及極為廣泛的范疇，從黑客行動主義者到有組織犯罪再到民族國家支持下的惡意活動——這一切共同構成了安全游戲中的“對手”。它們都屬于安全 這一復雜方程式中的變量，因此我們也需要更多具備自適應能力的解決方案，從而在快速發展的同時解決來自對手的“不斷變化的攻擊侵擾”——無論其如何具體變 化。

攻擊轉向數字化通道

從 傳統角度講，安全團隊只需要關注企業防火墻保護之內的一切資產即可。但與任何現代游戲一樣，網絡安全戰役的最新戰場已經延伸到了數字化通道以及防火墻之外 的區域，而且受攻擊面也變得越來越大。目前發展最迅速的攻擊活動都出現在我們主要數字通道當中——包括網絡、移動與社交媒體——這就給我們帶來了新的挑 戰，即如何在防火墻、主機代理以及網絡傳感器等傳統保護手段無法奏效的情況下，了解對手在外部網絡中組織起怎樣的攻擊規劃。

釣魚攻擊的演變明顯就遵循此理。根據Verizon DBIR報告的說法，過去幾年來“企業遭遇的超過三分之二安全事故源自釣魚攻擊。”而約有50%的目標在收到郵件的一小時內“將其打開并點擊了其中的釣魚鏈接”——這樣的作法令60%的企業“在幾分鐘內”遭受入侵。

檢 測釣魚攻擊已經不再是人為分析所能完成的任務，而靜態檢測規則在這一領域也幾乎無技可施，這意味著安全游戲玩家必須想到新的辦法。對手開始利用復雜度更高 的軟件開發技術快速定制并修改釣魚攻擊手段，并將其散播到全部數字化通道當中。檢測這些威脅并跟上變化節奏要求甚至說迫使大家使用先進的自動化機制與機器 學習技術。

客戶、員工以及營收都需要通過數字化通道實現，這就讓如今的信息安全游戲迎來了新的戰場，而我們面對的則是武裝到牙齒的對手。

作為結果，我們看到網絡安全游戲中出現了兩種規模最可觀且發展速度最快的新型外部威脅：

1)通過社交媒體實現的釣魚攻擊。

2)對手開始將攻擊資源散布到大型威脅基礎設施當中以混淆視聽。

流氓社交媒體攻擊

過去幾年以來，攻擊者們已經將釣魚環境由傳統電子郵件及Web層面轉向移動應用。最近一段時間，他們更是開始使用Twitter等社交媒體平臺作為攻擊立足 點。犯罪分子們能夠輕松使用熱門議題、群組成員或者偽造的品牌人性關系幫助自身獲得信任，進而將矛頭指向特定群體并利用這種信任實現惡意活動。

而讓這些攻擊極具挑戰性的因素在于，我們很難對這種極為靈活且周期較短的惡意行為做出判斷。很多惡意活動只存在五到八個小時，而其造成的危害往往在前幾個小時中就已經顯現出來。

發 現并阻斷攻擊活動則往往相對滯后，一般來講我們需要24個小時才能識別出流氓社交媒體賬戶并將其拒之門外。要切實應對此類威脅，我們需要顯著提升對攻擊活 動的檢測與響應速度。具體來講，這要求我們的技術手段能夠檢測全部數字化通道中的釣魚行為，包括Web、移動以及社交媒體。而目前惟一的答案就是機器學 習，它確實有能力揪出前所未見的新型/經過修改的惡意活動。

威脅基礎設施變為“移動靶”

為 了進一步提升攻擊能力，惡意人士還會對自己的威脅基礎設施進行快速移動與規模擴展，從而確保自己的攻擊向量能夠覆蓋各類新型通道。為了實現這項目標，他們 會采取敏捷軟件開發與云服務以快速部署各類工具。攻擊者還會合法使用同樣的云服務及第三方托管方案，從而有效降低運行自有基礎設施的成本并提升運作效率。

他 們還利用此類基礎設施托管惡意負載與文件的多套副本，從而快速實現攻擊資源轉移。攻擊者使用的最為先進的新技術之一正是負責混淆攻擊并回避安全分析，即建 立分層流量分發服務(簡稱TDS)。這類方案基本上會對流量進行十幾次甚至幾十次重新定向，從而最終迷惑安全產品及分析手段。

這些先進威脅基礎設施亦被用于組織釣魚攻擊、惡意廣告活動以及傳統惡意軟件傳播，并幫助其立足于社交媒體實施惡意行為。不過，希望仍然存在。

戰勝游戲對手

有跡象表明，我們可以利用多項指標將基礎設施作為統一整體看待，從而識別并分析“游戲對手”。無論如何，基礎設施至少需要PDNS、Whois以及SSL證 書注冊信息才能發揮作用，而我們也能夠以自動化方式將其與已知威脅活動加以關聯。使用這些指標，安全分析師們能夠更好地掌控這場網絡安全游戲，了解攻擊者的當前行為并對其基礎設施進行定位，最終將其屏蔽以及/或者反擊。這同樣能夠有效防范未來可能出現的潛在攻擊。

網絡安全游戲永遠沒有終點，攻擊者們會不斷建立新的基礎設施并改變具體戰術。然而，只要使用正確的技術與自動化方案，企業注能夠更好地檢測到其蛛絲馬跡，阻止其惡意行為并顯著提升犯罪分子們的攻擊成本——最終保護自身與用戶安全。