賽門鐵克公司今日發布第二十期《互聯網安全威脅報告》(ISTR)。報告揭示，在當今高度互聯的世界中，遭受網絡攻擊只是時間問題，網絡犯罪分子已經開始轉變攻擊戰術，通過劫持大型企業的基礎架構，侵入并躲過企業安全監測，實現對企業的攻擊。

賽門鐵克公司亞太及日本地區大客戶和戰略副總裁梅正宇表示：“憑借密鑰，網絡攻擊者能夠輕易侵入公司網絡。我們發現，網絡犯罪分子會利用常見程序的軟件更新植入木馬，耐心等待并誘騙公司自行下載更新，從而受到感染。這種手段讓網絡攻擊者可以隨心所欲地訪問企業網絡。”

網絡犯罪分子的“得勝”之道：快速、準確

賽門鐵克公司的研究顯示，零日漏洞的數量在2014年創歷史最高。軟件公司平均需要59天來生成和推出補丁，而在2013年僅需4天。網絡攻擊者在補丁尚未推出前充分利用該漏洞，以Heartbleed(心臟出血)為例，該漏洞在4個小時內迅速被利用并用于發動攻擊。2014 年，共有24個零日漏洞被發現，網絡犯罪分子在這些漏洞被修補之前毫無顧忌的利用已知的安全漏洞對企業發起攻擊。

與此同時，高級網絡攻擊者不斷借助針對性極強的魚叉式網絡釣魚攻擊侵入網絡。2014年，這種攻擊手段的使用增長率為8%。值得關注的是，網絡攻擊的準確性大幅提高，結合更多隱蔽式強迫下載惡意軟件(Drive-by malware downloads)和基于 Web 的漏洞，垃圾郵件數量即使減少了20%仍舊能夠精準攻擊目標受害者。

此外，賽門鐵克公司還發現網絡攻擊者會：

· 從某公司盜取受害者的電子郵件賬戶，利用魚叉式網絡釣魚手段對更高級的受害者進行攻擊;

· 潛出前，利用公司的管理工具和程序在公司網絡中移動盜取的 IP;

· 在受害者的網絡內部構建定制的攻擊軟件，以進一步掩蓋自己的攻擊活動。

“數字勒索”處于上升趨勢

電子郵件仍是網絡犯罪分子的重要攻擊途徑，但他們繼續針對移動設備和社交網絡嘗試新的攻擊手段，以便達到事半功倍的效果。

賽門鐵克公司大中華區安全產品技術總監羅少輝表示：“網絡犯罪分子本性懶惰，他們更喜歡利用自動化工具讓不知情的消費者來幫助他們進行卑鄙勾當。2014年，攻擊者利用人們對朋友所分享內容的信任，70%的社交媒體騙局都通過用戶手動分享而傳播。”

盡管社交媒體騙局可以快速為網絡犯罪分子帶來收益，但他們卻并不滿足于此，網絡犯罪分子還采用勒索軟件等卑劣的攻擊方法獲取暴利，這樣的攻擊在去年增加了 113%。值得關注的是，在2013年，密碼勒索軟件攻擊的受害者比以前增高了45倍。密碼勒索軟件的攻擊策略并不會采取傳統勒索軟件那樣偽裝成執法部門對盜取內容收取罰金的方式，而是更加惡劣地劫持受害者的文件、照片和其他數字內容，毫不掩飾他們的攻擊目的。

加強保護!切勿丟失重要信息!

當網絡犯罪分子繼續存在，并不斷變換攻擊手段時，企業和消費者需要采取更多保護自己的應對方法。賽門鐵克公司建議用戶采取以下方式：

對于企業：

· 不要毫無準備：采用高級威脅智能解決方案，幫助用戶及時發現入侵信號并做出快速響應。

· 保持強大的安全態勢：部署多層端點安全防護、網絡安全防護、加密、強大有效身份的驗證和采取擁有高信譽的技術。與安全托管服務提供商合作，增強 IT 團隊的防范能力。

· 為最壞的情況做準備：事件管理可確保用戶的安全框架得到優化，并具備可測量和可重復性，而且還可幫助用戶吸取教訓以改善安全態勢。考慮與第三方專家開展合作，從而強化危機管理。

· 提供長期且持續的教育和培訓：創建指導方針及公司策略及程序，以保護個人和公司設備上的敏感數據。定期評估內部調查團隊，進行實踐演練，確保用戶擁有有效對抗網絡威脅的必要技能。

對于消費者：

·使用安全性高的密碼：無論如何強調該建議都不為過。為賬戶和設備設置強大而獨特的密碼，定期進行更新，建議每三個月進行一次。切勿將相同密碼用于多個賬戶。

·謹慎使用社交媒體：切勿點擊來源不明的網絡鏈接，尤其是來自陌生人的電子郵件或社交媒體信息。詐騙者知道人們往往會點擊來自朋友的鏈接，這會讓他們侵入相關賬戶，并向賬戶擁有者的聯系人發送惡意鏈接。

·了解自己所分享的權限：在安裝家庭路由器、恒溫器等網絡連接設備或下載新應用時，認真審核權限許可，了解自己將會分享哪些數據。在不需要時禁用遠程訪問功能。