影響更廣泛的漏洞、速度更快的攻擊、以實現勒索目的的文件控制，以及顯著增多的惡意代碼。與2013年相比，2014年互聯網安全面臨了更嚴峻的挑戰。

4月21日，賽門鐵克在京發布第二十期《互聯網安全威脅報告》（ISTR），揭示了全球互聯網安全的六個趨勢：第一，網絡犯罪分子使用新的欺騙手法侵入公司網絡；第二，網絡犯罪分子在速度和精準度上獲勝；第三，惡意軟件數量的大幅度上升分散應該部署在高級安全問題的IT資源；第四，數字勒索處于上升趨勢：2014年，勒索軟件攻擊上升了113%；第五，利用消費者對朋友所分享內容的信任，網絡犯罪分子實施社交網絡和移動詐騙；第六，物聯網安全不是一個新興問題，而將是一個持續的問題。注：該報告基于賽門鐵克全球智能網絡中的數據，賽門鐵克全球智能網絡由超過5760萬個攻擊傳感器組成，每秒可以記錄數以千計的網絡活動，賽門鐵克以此監測157個國家和地區進行網絡安全威脅活動。

賽門鐵克公司大中華區信息安全技術銷售部區域總監羅少輝表示，“當下的網絡環境里，安全威脅不斷增多，網絡攻擊者的攻擊手法也不斷創新，因此，企業單靠產品和人力根本不足防御安全威脅，企業需要更豐富的安全情報來抵御安全威脅。賽門鐵克認為，用戶需要進行多重防御，包括在整個網關、終端上加強保護。另外，企業需要把一些安全事件進行互動，通過連結相關信息來發現高級的攻擊。因為，如果單純從郵件的附件有沒有惡意程序來進行判斷，很多時候是沒辦法發現網絡攻擊的。比如勒索軟件，他們的附件本身是沒有惡意程序的，只有當用戶安裝這個插件或附件時，他們才會進行惡意攻擊。所以要把整串的安全事件串起來，才能把相關的保護做到最完善。網絡韌性（Cyber Resilience）和安全智能（SecurityIntelligence）是2014年的網絡安全熱詞，賽門鐵克可以為企業用戶和個人用戶提供安全智能，為整個信息環境提供全面的保護。”

我們知道，中小企業在安全的投入比較少，沒有那么多專業資源來做更多的安全防護，因此，他們也成為了攻擊者的一大目標。對此，賽門鐵克公司大北區安全解決方案技術支持部經理馬蔚彥表示，“現在很多技術都在走向云端。中小企業可以把企業安全交由更加專業的廠商和機構來解決，他們可以用云的方式訂閱安全服務，達到防護效果的同時，也不需要那么多的資金投入。賽門鐵克將通過云服務的方式服務更廣泛的客戶群，把智能網絡變成一種SaaS服務，向中小型企業提供安全即服務（Security as a Service）。”

下面讓我們來具體看看2014年的六大網絡安全威脅趨勢吧！

趨勢一：新的欺騙手法，網絡攻擊者采用跳躍方式躲避企業防御

在當今高度互聯的世界中，網絡犯罪分子已經開始轉變攻擊戰術，他們使用很多新型的欺騙手法，除了最普通的郵件附件，網絡文檔，網絡圖片以及屏保程序都成為網絡攻擊者用來吸引受害者的途徑。

網絡攻擊者主要采用三種手段。第一種是魚叉式網絡釣魚攻擊，這也是是針對性攻擊最常用的手段。它最主要的方法是向目標群體發送電子郵件，通過電子郵件里面附帶的惡意程序，感染和實施攻擊。第二種是水坑攻擊，通過感染網站等待目標客戶主動上鉤。水坑式攻擊主要的關注點是在企業的外部網站。第三種是利用軟件更新的方式來植入木馬。網絡犯罪分子會利用常見程序的軟件更新植入木馬，耐心等待并誘騙公司自行下載更新，從而受到感染。

高級網絡攻擊者不斷借助針對性極強的魚叉式網絡釣魚攻擊侵入網絡。2014年，這種攻擊手段的使用增長率為8%。值得關注的是，魚叉式網絡釣魚攻擊在實施每次攻擊的時候，所發布的電子郵件數量在降低，收件人數量也在減少，但這說明針對性攻擊不再像以前針對大規模人群。網絡攻擊的準確性大幅提高，結合更多隱蔽式強迫下載惡意軟件和基于Web的漏洞，垃圾郵件數量即使減少了20%，仍舊能夠精準攻擊目標受害者。

網絡攻擊者會：從某公司盜取受害者的電子郵件賬戶，利用魚叉式網絡釣魚手段對更高級的受害者進行攻擊；潛出前，利用公司的管理工具和程序在公司網絡中移動盜取的IP；在受害者的網絡內部構建定制的攻擊軟件，以進一步掩蓋自己的攻擊活動。

從魚叉式網絡釣魚攻擊的分布來看，在2011年，大型企業受到魚叉式網絡釣魚攻擊占到了50%。但是到2014年，大型企業占比在減少。相反，中型企業成為魚叉式網絡釣魚攻擊的目標的數量在增加。此外，大型企業的風險率仍舊最高，平均每1.2個企業就有一個被作為目標攻擊對象，相當于每6家企業中有5家是攻擊目標，占比83%，比前一年增加了40%。

按行業來看，礦業是受魚叉式網絡釣魚攻擊最嚴重的行業，就風險率來講，平均2.3個行業中的企業有一個會被作為目標性攻擊的對象。其次是批發行業和制造行業。

趨勢二：網絡攻擊者的行動加快，防御卻沒有跟上

零日漏洞的數量在2014年創歷史最高，賽門鐵克認為零日漏洞的數量在2015年仍然不會下降。2014 年，共有24個零日漏洞被發現，網絡犯罪分子在這些漏洞被修補之前毫無顧忌的利用已知的安全漏洞對企業發起攻擊。去年非常熱門的漏洞和攻擊是心臟出血（Heartbleed）和破殼（Shellshock）漏洞。心臟出血被認為是有史以來在整個IT界影響范圍最廣的漏洞，破殼也可以被認為是迄今為止嚴重程度最高的漏洞，因為它們都跟Linux系統有關。

“零日漏洞”的利用價值非常高，在沒有被公開之前，黑客可以做很多攻擊。而被公開往往會吸引更多的黑客或攻擊者，他們會快速尋找沒有打補丁的系統并實施攻擊。以Heartbleed（心臟出血）為例，該漏洞在4個小時內迅速被利用并用于發動攻擊。軟件公司平均需要59天來生成和推出補丁，而在2013年僅需4天。2014年，在廠商推出補丁之前，攻擊者利用排名前5大“零日漏洞”并主動實施攻擊的時間總共長達295天。

合法網站上也可能含有惡意軟件，2014年含有惡意軟件的網站數量有所減少，1126個網站中才有一個包含惡意軟件。然而，這并不說明企業的防御和安全性得到了提升。事實上，這是因為攻擊者的方法和策略發生了變化，他們會在實施攻擊中使用更高級的數據包，甚至利用SaaS技術。合法網站上所含的惡意軟件數量雖然減少了，但是網絡攻擊者會將受害者重定向到受到攻擊者控制的網站上，使用工具包和SaaS從他們的網站實施攻擊。

2014年，數據泄露總量較2013年增加了23%，2014 年，大規模數據泄露事件減少，4起數據泄露事故所涉及的身份信息泄露超過1000 萬（2013 年為8 起）。數據泄露的主要原因分別為：攻擊者（49%）、意外泄露——設備被盜或丟失（43%）以及內部偷竊（8%）。在2013年，主要的泄露原因是意外或者設備丟失被盜。2014年，主要的泄露原因是來自攻擊者。同時，發生數據泄露的企業中，五分之一沒有報告數據泄露事件，在2013年為六分之一。

過去，網絡犯罪主要集中在金融行業，但在2014年，醫療和零售是數據泄露重災區。醫療數據與用戶的生活息息相關，如果黑客能獲取用戶的醫療數據，后果不堪設想。

零售行業最常見的數據泄露原因是網絡攻擊者，而醫療行業最常見的數據泄露原因是意外泄露/ 設備丟失或被盜。零售行業泄露事件占比11%，但卻造成59%身份信息的泄露。醫療行業泄露事件占比37%，但僅2%身份信息的泄露。

趨勢三：惡意軟件數量的大幅度上升，分散應該部署在高級安全問題的IT資源

惡意軟件的數量呈現出大幅度增長，并導致企業IT人員在運維各方面的精力、時間以及資源分配都放在應對大量惡意軟件上。同時，惡意軟件不僅僅是數量大，還出現了新的、更高級的惡意軟件。惡意軟件新變種逐年增加，2014年產生了3.17億個，較2013年的2.52億個增長了26%，這意味著，在2014年每天出現約100萬種新型威脅。

羅少輝指出，企業需要不停地定義安全相關的政策并調節IT系統，以確保安全性和可用性。攻擊數量不斷增加的同時，攻擊手法也在不停創新，黑客也在采取更高級的手段。他們可以隱藏惡意程序，測試受害者系統是否有互聯網接入功能，是否會通過下載方式下載惡意程序。

2014年，28%的惡意軟件可“感知虛擬機”，而某些惡意軟件（如Crisis）可搜索虛擬鏡像。

電子郵件的惡意軟件不僅僅局限于在郵件的附件中夾雜惡意軟件，有很多是通過在郵件當中放URL隱藏惡意代碼。2014年的數據顯示，用URL方式的占比是下降的，從25%下降到12%。攻擊者并不需要URL隱藏，在附件中放惡意軟件仍然是主流方式。

從整體趨勢上來看，企業IT人員會用大量的時間和精力來應對常規威脅，對于新出現的、可能危害性更重的高級安全問題，企業沒有資源進行防護和防御。

趨勢四：數字勒索處于上升趨勢

在2014年，中國也出現了勒索軟件，它們會將用戶的硬盤和里面的內容鎖定，并要求用戶通過付贖金來解鎖。

2014年，勒索軟件的數量上升了113%，這里指的是針對個人或企業電腦和手機內的應用和數據的劫持和綁架。密碼勒索軟件急劇增長，增長了45倍。密碼勒索軟件的攻擊策略并不會采取傳統勒索軟件那樣偽裝成執法部門對盜取內容收取罰金的方式，而是更加惡劣地劫持受害者的文件、照片和其他數字內容，毫不掩飾他們的攻擊目的。

未來勒索軟件的演變：

密碼勒索軟件將繼續攻擊：

–Office 和PDF 文件

–個人文件與照片

密碼勒索軟件將繼續攻擊：

–映射驅動器

–附加存儲

–云存儲（類似于映射驅動器）

勒索軟件正在尋找新的攻擊目標：

–2014 年，Synolocker攻擊了NAS 驅動器

–2014 年，首個針對智能手機的密碼勒索軟件呈現出瘋狂傳播勢態

趨勢五：利用消費者對朋友所分享內容的信任，網絡犯罪分子實施社交網絡和移動詐騙

在很多情況下，黑客不會主動吸引用戶下載，而是通過信任的朋友和手動的方式傳播惡意軟件。2014年，攻擊者利用人們對朋友所分享內容的信任，70%的社交媒體騙局都通過用戶手動分享而傳播。網絡犯罪分子甚至不需要做一個加密程序去勒索，通過社交平臺，他們把惡意軟件和惡意代碼傳播了出去。電子郵件仍是網絡犯罪分子的重要攻擊途徑，但他們繼續針對移動設備和社交網絡嘗試新的攻擊手段。

趨勢六：物聯網安全是一個持續的問題

無論用戶是否將智能手機看做是物聯網的一部分，智能設備已經是物聯網風險的組成部分，因為移動應用通常就是物聯網的用戶界面。

用戶使用同樣的密碼登陸了多少應用和網站？四分之一的最終用戶承認在接受應用條款時，并不知道他們允許開放了哪些訪問授權；而68%的用戶愿意用隱私交換一個免費應用。

羅少輝指出，物聯網安全是非常值得關注的領域，因為，在智能設備和應用中包含了用戶的大量個人隱私數據。應用開發商會如何利用這些數據，是否會分享給其他第三方，或者在傳輸中是否有進行加密，這些都值得思考。

馬蔚彥總結道，“當下的互聯網威脅環境越來越嚴峻和復雜，新的威脅速度更快，攻擊更準確，攻擊技術甚至比企業在安全防御方面運用的IT技術更高級。物聯網的廣泛使用，在用戶忽視安全問題的時候，已經出現攻擊。作為專注安全領域的廠商，賽門鐵克希望通過最新的互聯網威脅趨勢信息，向廣大的企業和個人用戶來進行安全動態分享，幫助企業和個人用戶增強安全防護意識。賽門鐵克向企業提供從端點到網關到數據中心的整體解決方案。同時，賽門鐵克將很大部分的資源投放在移動應用端點解決方案上。在智能手機方面，賽門鐵克提出了自己的解決方案來應對欺詐以及物聯網所造成的風險。其次，賽門鐵克已經發布了一些針對物聯網的產品，例如針對POS機，ATM機等設備，在這方面賽門鐵克還會進行不斷更新，適用更廣泛的物聯網設備。”

基于以上六大趨勢，賽門鐵克呼吁，企業和消費者需要采取更多保護自己的應對方法。

對于企業：

不要毫無準備：采用高級威脅智能解決方案，幫助用戶及時發現入侵信號并做出快速響應。

保持強大的安全態勢：部署多層端點安全防護、網絡安全防護、加密、強大有效身份的驗證和采取擁有高信譽的技術。與安全托管服務提供商合作，增強 IT 團隊的防范能力。

為最壞的情況做準備：事件管理可確保用戶的安全框架得到優化，并具備可測量和可重復性，而且還可幫助用戶吸取教訓以改善安全態勢。考慮與第三方專家開展合作，從而強化危機管理。

提供長期且持續的教育和培訓：創建指導方針及公司策略及程序，以保護個人和公司設備上的敏感數據。定期評估內部調查團隊，進行實踐演練，確保用戶擁有有效對抗網絡威脅的必要技能。

對于消費者：

使用安全性高的密碼：無論如何強調該建議都不為過。為賬戶和設備設置強大而獨特的密碼，定期進行更新，建議每三個月進行一次。切勿將相同密碼用于多個賬戶。

謹慎使用社交媒體：切勿點擊來源不明的網絡鏈接，尤其是來自陌生人的電子郵件或社交媒體信息。詐騙者知道人們往往會點擊來自朋友的鏈接，這會讓他們侵入相關賬戶，并向賬戶擁有者的聯系人發送惡意鏈接。

了解自己所分享的權限：在安裝家庭路由器、恒溫器等網絡連接設備或下載新應用時，認真審核權限許可，了解自己將會分享哪些數據。在不需要時禁用遠程訪問功能。