九大最严峻安全威胁 CIO需要重点防护

既然已经上升到“主义”的高度，这群黑客们当然是希望在政治层面上搞点动静。如今越来越多的IT安全专家发现很多黑客领域的散兵游勇开始将注意力集中在政治活动当中，其中最具代表性的要数臭名昭着的Anonymous匿名小组。从黑客这一角色诞生之日起，参与其中的人们就开始将政治作为自己的展示平台之一。但多年来形势发生了巨大改变，目前很多黑客开始在光天化日之下通过攻击活动来表达自己的立场，而且人们甚至整个社会也逐渐将此视为政治行为的某种可以接受的表达方式。

在政治上有所诉求的黑客组织之间会时常沟通，而且无论匿名与否，他们在动手之前都会在论坛上公开宣布自己的攻击目标以及行动时间。他们广召人才、扩充队伍，希望能让自己对政府的怨气通过社交媒体获得人民大众的支持与理解。另外，黑客行动主义者在骨子里往往还拥有一股浪漫情怀，他们从不会把自己看作犯罪分子，而且会对自己被通缉甚至逮捕的情况表示惊讶。他们的行动宗旨是尽可能给攻击目标惹麻烦、制造负面社会舆论。为了实现这一目的，他们不惜攻击用户信息、实施DDoS(即分布式拒绝服务)攻击或是给对方的机构造成严重冲突。

通常来说，政治型黑客希望通过财务损失的方式改变受害者的运转方向或者态度立场。但无论他们将自己标榜得多么高尚，整个冲突过程仍然会给很多无辜的人造成损害，而且利用威胁与破坏来改变他人的政治诉求本身毫无正义可言--这是彻头彻尾的犯罪活动，毫无疑问。

安全威胁第四位：知识产权盗窃与商业间谍活动

虽然遭遇黑客行动主义者的概率并不高，但大多数IT安全专家仍然需要时刻保持警惕，因为接下来要介绍的才是企业最大的敌人--拥有大集团作坚强后盾的恶意黑客。这帮家伙的存在纯粹是为了窃取其它公司的知识产权，或者侵入到自己东家的竞争对手内部开展商务间谍活动。

他们的具体执行方法是：找个机会潜伏在受害企业的IT基础设施当中，把密码一股脑挖掘出来，然后随着时间的推移不断窃取对方的各类机密信息--无论是专利、新产品创意、军事机密、财务信息还是商业计划通通逃不掉。这群黑客与政治型攻击者相比更没节操，他们完全是为了经济利益而发掘有价值的信息，并将数据转交给愿意出钱的客户。一旦被他们给盯上，我们的企业命脉就不再由自己掌握：无数潜伏在公司内部的眼线会令我们在市场竞争中一败涂地。

这帮混蛋为了邀功讨赏，会想尽办法窃取受害者的重要电子邮件、RAID数据库等等。由于可能存在价值的资源过多，他们甚至开发出一套颇具讽刺意味的恶意搜索引擎及查询工具，借以提高自己的“工作效率”以及盗窃知识产权的速度。

这种类型的攻击往往被称为APT(即高级持续性威胁)或者DHA(即故意人工性威胁)。事实上，世界上绝大多数的企业巨头都曾被这类攻击所成功击溃。

安全威胁第五位：恶意软件佣兵

无论网络犯罪活动背后到处隐藏着什么样的大型企业或者政治意图，恶意软件都是实现攻击行为的必要工具。在过去，仅仅一位程序员就足以开发出足以挑战世界的恶意软件，并通过出售获取巨额利润。但在如今，专门编写恶意软件的技术团队与公司已经纷纷出现，他们拥有强大的技能力量与坚实的经济基础，能够根据客户需求打造出能够绕过特定安全防御机制、攻击指定客户、完成特定目标的高级攻击工具。而且他们再也不必躲躲藏藏，转而在竞标论坛上公开兜售自己的恶意软件产品。

通常情况下，恶意软件都是由多种组件及面向目标共同构成的。它会首先在受害者的计算机上种植一个体积小巧的存根程序，并且以安全稳妥的方式保存下来。这样用户在重新启动计算机时，它就会正确执行并与Web服务器端进行交互，开展进一步的攻击计划。在通常情况下，这款存根小程序会向攻击者设定的服务器发送DNS查询指令，当然我们不能指望可以顺藤摸瓜找出恶意人士--他们往往会让其它受害者扮演服务器端的角色。这些被发往DNS服务器的DNS查询指令是完全无害的，因此被害者的设备不可能会对此产生怀疑。而且随着感染对象的增加，DNS服务器会从一台计算机转移至另一台，这样一来安全专家将很难揪出策划这一切的幕后黑手。

一旦连接建立，DNS与恶意服务器端就会将存根程序重新定向至其它DNS及恶意服务器。通过这种方式，存根客户端的指向路径得以一再变更(一般都会达到十几次)，而且每次指向的都是新的被感染计算机。这样的步骤不断重复，直到存根程序接收到定向结束指令并开始着手安装恶意程序。

总而言之，恶意软件开发者绝对是深谙“与时俱进”之道，他们以顺应时代的技术与设置方式令IT安全专家很难追踪或者抵御这类攻击型工具。

安全威胁第六位：僵尸网络即服务

僵尸网络不再只服务于始作俑者，事实上那些拥有技术能力开发僵尸网络的开发人员不仅利用成品服务自身，也常常把它按小时或其它收费标准租赁给有需要的客户。

这种做法大家一定耳熟能详。恶意程序的每个版本都尽力感染成千上万台计算机，以此为基础建立起单独的僵尸网络体系，然后将其整体作为产品进行租赁招标。僵尸网络中的每台组成设备都会与其C&C(指令与控制)服务器相连接，借以及时获得创建者的操作与更新。僵尸网络之规模已经十分庞大，目前已发现的僵尸网络所涉及的受感染计算机常常达到数十万台之多。

不过尽管如今活跃僵尸网络如此之多(从表面上看每天出现的受感染计算机都高达上千万台)，其租赁收费倒是非常低廉，这意味着IT安全专家必须时刻做好准备迎接可能出现的新威胁。

始终与恶意软件斗争不已的安全专家们始终在努力摧毁C&C服务器或者接管其控制权，这样他们才能管理所有接入的僵尸设备并最终将整套恶意托管体系彻底粉碎。

安全威胁第七位：多合一型恶意软件

如今的恶意软件在功能性方面可谓成熟稳定，小到窥探、大到窃取的一系列效果可谓应有尽有。这些程序不仅积极感染终端用户，还会侵入网站、修改页面内容并借此感染更多前来浏览的无辜受害者。这些多合一型恶意软件还常常配备管理控制台，这样开发者及设计人员就能够追踪僵尸网络的运作状态、正在感染哪些用户以及哪些攻击活动已经成功得手。

目前大多数恶意程序都以木马的形式存在，当年叱咤风云的病毒及蠕虫等方案早已退出了最流行恶意软件的历史舞台。在大多数情况下，终端用户都是在不知情或者受误导的状态下运行了木马程序--例如提示用户进行必要反病毒扫描的广告、磁盘碎片整理工具或者其它一些看似常用或无害的工具。我并不是说如今的用户仍然缺乏基本的自我保护意识，但大家在访问那些每天都要上去看看的受信任站点时戒备心会大大降低，而这就给恶意软件提供了机会。恶意人士利用主机追踪及JavaScript信息插入等方式从底层篡改了目标网站，这样用户的浏览器在打开网站时就会被重新定向至木马程序，进而导致计算机受到感染。