新的一年，有些事變了，有些事保持原樣。關于多線程高隱蔽的復雜網絡攻擊的各種恐懼和疑慮我們已經經受很多。誠然，落入這個范疇的攻擊是存在的，但如果縱觀去年一整年的網絡犯罪活動，顯然大部分威脅沒有我們經常談論的那么復雜。

 

網絡威脅情報呈現給我們的，反而是大多數威脅都只簡單地利用一系列已知漏洞和其他弱點，來達成最小阻力最大收益。可以從威脅三角棱鏡，也就是黑客的能力、意圖和機會三個方面，來看看今日幾個頂級威脅的模樣：

1. 勒索軟件

該威脅利用老一套但有效的社會工程戰術。誘使某人點擊依然可用的惡意宏，盡管宏如今不再廣泛使用(講真，你用過或者知道誰曾經用過宏嗎？)。人類天性好奇，而好奇心正是特別容易被利用的。

減少攻擊者成功進行勒索軟件活動，限制勒索軟件攻擊風險的方法也是有那么幾個的。

部署反網絡釣魚功能，因為網絡釣魚是攻擊者最常用來發起行動的方法。配置成掃描所有郵件附件的反惡意程序軟件也有助于捕獲最惡意的附件。所有允許文檔下載并直接打開的設置都應該關閉。

限制非必要的用戶在本地計算機上擁有管理員級權限，除非是有特別需求。然而，不幸的是，很多案例中，本地管理員權限常會被授予用戶以暫停他們對“某個App又死機啦”的抱怨。限制該權限可以減少勒索軟件的影響。

對微軟用戶來說，應該了解組策略對象(GPO)。微軟將組策略設置進行了調整，輔助系統管理員采取更恰當的措施，在保證定制用戶功能的同時，防御勒索軟件之類的威脅。

培訓你的用戶。這并非什么新鮮概念，但只要做好了，有效性是毋庸置疑的。這可不是什么“做這個，不做那個”的長長的策略列表。有公司的網絡安全用戶指南長達100多張PPT，太讓人崩潰了。培訓項目應直擊重點，而不是冗長到讓用戶生無可戀選擇無視。理解你用戶的3個最頂級威脅，然后專注在這3個威脅上面。與用戶溝通，以半定期的形式，真切讓用戶體驗現實生活中的攻擊場景。這會讓用戶的警惕意識常刷常新，讓他們更加警覺。

給你的設備打補丁。你知道勒索軟件大多在你用戶訪問被入侵網站時通過漏洞利用工具包現身，或者通過網絡釣魚郵件中的惡意負載投放么？你知道有助于防御以上兩種情況的所有CVE都已經放出了好一陣子了么？請一定在您用戶環境的漏洞管理上積極主動，因為他們的暴露面是最廣的。

2. 漏洞利用工具包

很多此類工具包都利用CVE，沒理由不補上它們。看看近期的RIG、Sundown和Magnitude漏洞利用工具包。下面的列表包含有當前和以往的歸因溯源譜系：

RIG漏洞利用工具包利用了：

CVE-2012-0507、CVE-2013-0074、CVE-2013-2465、CVE-2013-2471、CVE-2013-2551、CVE-2013-3896、CVE-2014-0311、CVE-2014-0322、CVE-2014-0497、CVE-2014-6332、CVE-2015-0313、CVE-2015-2419、CVE-2015-3090、CVE-2015-5119、CVE-2015-5122、CVE-2015-5560、CVE-2015-7645、CVE-2015-8651、CVE-2016-0034、CVE-2016-0189、CVE-2016-1019、CVE-2016-4117、CVE-2016-7200、CVE-2016-7201、CVE-2016-3298

Sundown漏洞利用工具包利用了：

CVE-2012-1876、CVE-2013-7331、CVE-2014-0556、CVE-2014-0569、CVE-2014-6332、CVE-2015-2444、CVE-2015-0311、CVE-2015-0313、CVE-2015-5119、CVE-2015-2419、CVE-2016-0034、CVE-2016-4117、CVE-2016-0189、CVE-2016-7200、CVE-2016-7201

Magnitude漏洞利用工具包利用了：

CVE-2011-3402、CVE-2012-0507、CVE-2013-2551、CVE-2013-2643、CVE-2015-0311、CVE-2015-7645、CVE-2015-3113、CVE-2016-1015、CVE-2016-1016、CVE-2016-1017、CVE-2016-1019、CVE-2016-4117

這些CVE都不應該出現在你的環境中了！

3. 憑證管理

口令復雜度和重用也沒什么新鮮或復雜的，但我們依然還在看到新的攻擊利用以往數據泄露中的被盜憑證。一些業務過程和技術性建議可以用來限制這一安全問題：

再次核查你的口令策略，確保它們被實施了。用戶總會選擇走阻力最小的路徑，傾向于使用所能用的最弱口令選項。強制定期口令重置，實現雙因子身份驗證，可以幫助你保護系統不受口令重用攻擊的侵害。如果你還沒這么做，那就應該考慮為你的用戶數據庫部署易用的口令管理器。千萬別假設這僅限于業務相關的憑證。用戶個人和公司兩種憑證，在個人和公司設備上都存放有的現象太普遍了。如果你選擇為公司購入口令管理器，可以考慮將許可也延伸至雇員的個人設備上。培訓和教育——應當勸阻客戶、雇員和其他用戶重用別處賬戶的口令。如果你懷疑數據已經被泄，無論是直接從你的站點泄的，還是從其他泄露事件中泄的，請采取積極措施，通過重置口令預防口令重用攻擊。

4. 敲詐

與勒索軟件類似，該威脅基于數據呈現的不健康水平來敲詐目標。區別在于，勒索軟件加密數據，不見贖金不放數據；敲詐犯則是通過滲漏獲取公司的數據，然后威逼羞辱受害者支付贖金。最近的敲詐案例圍繞名為“黑暗領主”的黑客，他使用社交媒體公開威脅公司企業，只要不支付贖金就會公開那些被盜的敏感數據。

清除機會——根源問題在于，我們的對手需要“我們”暴露出漏洞才能成功。如果你清除掉那些機會，你就直接影響了他們敲詐的能力。網絡安全“技術債務”——公司暴露出太多被攻擊機會的時候，往往令人想起一個術語“技術債務”。這是一個隱喻，指的是恰當設計軟件 vs. 走捷徑更快更便宜地搞定某個功能。為開發出什么東西并快速推向市場，很多時候這些捷徑會讓你背上高利率的貸款。最終，貸款會到期，長遠看，你的付出必定會更多。這里面的關鍵點就是，今日網絡罪犯戰術下，背上技術債務貸款，會引發很多以往不被認為是風險的額外影響。當公司選擇背上技術巨債時，最終會為攻擊者呈現可供利用的更多機會。這些風險，如果被利用，就可導致對客戶(您忠實的客戶)、品牌和信譽的不良影響，甚至可能還有監管或法律訴訟等著你。

如果有與你業務、供應鏈和行業相關的網絡威脅情報，你就能準確定位關鍵風險領域。去年的種種案例，就是對我們應該在解決更復雜事件前關注安全基本的一個提醒。奪人眼球的破壞性威脅很多，但很多案例對你的公司并無直接影響。放輕松，夯實基礎先。