美國網絡安全技術供應商賽門鐵克１４日發布年度網絡安全威脅報告說，２０１４年網絡安全總體形勢出現一些重要變化動向，表現為安全隱患影響更深遠、網絡攻擊更迅速、惡意軟件暴增、勒索軟件興起等特點。

這份報告是對賽門鐵克全球智能網絡所收集數據的分析和研究結果。賽門鐵克說，它的全球智能網絡由超過５７６０萬個攻擊傳感器組成，可以記錄每秒數以千計的網絡活動，對１５７個國家和地區進行網絡安全威脅活動監測。

報告說，如果說２０１３年是大規模數據外泄之年，那么２０１４年則是重大安全隱患頻頻登上頭條。數據外泄的數量比上年增長了２３％，其中大部分由網絡攻擊者造成。但人們的注意力開始轉向攻擊者何以侵入數據庫。去年發現的“心臟出血”等三個重大安全隱患廣泛存在于許多操作系統中，引起強烈關注。人們開始研究安全漏洞如何被網絡威脅和網絡攻擊所利用。

與此同時，攻擊者利用安全隱患發動攻擊的速度更快，但防御措施卻沒能跟上。比如，“心臟出血”安全隱患公布后僅４小時，就有大批攻擊者聞風而動。就“心臟出血”等去年三次重大安全隱患，軟件供應商發布補丁分別用了２０４天、２２天和５３天。

攻擊者的技術也在簡化和更新，而相比之下，作為潛在攻擊目標的公司很多仍沿用老一套安全措施。比如，報告顯示定向網絡釣魚攻擊去年增長了８％，同時攻擊者發送的惡意電子郵件減少了１４％，發送對象減少了２０％。攻擊者還啟用“木馬式”軟件更新的手段，即把木馬軟件隱藏在攻擊目標所要下載安裝的軟件更新中。報告說，去年有六成的攻擊目標是中小公司，這些公司缺乏財力投資安全保護，增加了公司業務和客戶的安全風險。

統計顯示，美國去年每６家大公司（雇員人數在２５００人以上）中就有５家成為網絡釣魚攻擊對象，比上一年增加４０％。受到攻擊的中小公司也分別增長了３０％和２６％。

報告說，惡意軟件大部分仍用于非定向攻擊。去年，惡意軟件新增３.１７億個，比上一年增加了２６％，意味著平均每天有近１００萬個新惡意軟件出現。

在攻擊平臺方面，報告說，網絡犯罪販子仍喜歡利用電子郵件發動網絡攻擊，但同時他們也明顯轉向社交媒體和移動應用。賽門鐵克發現，去年有７０％的社交媒體騙局被點擊分享。這些騙局迅速傳播，被網絡犯罪分子大加利用來發動攻擊，因為人們更愿意點擊朋友圈發的信息。

很多人認為網絡威脅與個人電腦有關，忽視了對智能手機的基本安全保護。報告舉例說，去年有將近１００萬個不同的安卓移動應用實際上是偽裝的惡意軟件，占安卓應用的１７％。另外，灰色軟件應用雖然本身不是惡意軟件，但可以被用來跟蹤用戶習慣等。這部分軟件應用占全部移動應用的３６％。

令人擔憂的是，越來越多的犯罪分子利用勒索軟件進行數字勒索。報告說，去年勒索軟件攻擊增長１１３％，其中加密勒索軟件攻擊激增４０００％以上。犯罪分子用加密勒索軟件把受害者的文件加密，只有在受害者支付一筆贖金后才提供解密密鑰。加密勒索軟件主要攻擊運行“視窗”操作系統的設備，但賽門鐵克發現，運行其他操作系統的設備也開始受到攻擊。去年首次發生加密勒索軟件攻擊安卓移動設備的事件。

報告還指出，在物聯網安全方面，去年對銷售點系統、ＡＴＭ機、家庭路由器等設備的網絡攻擊有增無減。這些設備雖然常常不被視為物聯網的一部分，但它們都是帶有操作系統的聯網設備。這表明不僅個人電腦面臨網絡攻擊的風險，汽車、醫療設備等也有可能成為網絡攻擊目標，應該引起關注。