RSA反欺诈指挥中心月度情报报告

僵尸网络

RSA的研究表明，88%美国财富500强企业的域曾被僵尸网络活动连接过。换句话说，88%财富500强企业的域都在一定程度上被感染宙斯木马的计算机访问过。

员工数在75000名以下的公司其僵尸计算机活动与员工数的比率再次是最高的。例如，60家员工数超过50000名的公司中，有证据表明来自恶意软件感染计算机的连接有100个或更多。

分析

根据我们数据分析的结果，很显然，企业中有大量的工作用机器感染了恶意软件。

从表面上看，这个数据并不能必然地推断出一个需要立即采取行动的高风险事件。受感染僵尸计算机连接到域的证据并不一定意味着木马在后台操控以抽取公司的数据。企业电子邮件被木马捕获也并不等于VPN登录凭证遭侵害。

更深入的思考突出了这些小范围的数据集提供的可操作信息。电子邮件地址可能仅被雇员作为识别之用，这意味着安全管理器可以在逻辑上推断该雇员正在受恶意软件感染的机器上工作。同样，僵尸网络活动的证据可能与诸如可以追溯到受感染机器的IP地址等信息有关。这些证据为安全管理器提供了研究和修复恶意软件相关问题的必要手段。

最大的问题是：一旦这些信息落入网络犯罪分子之手，他们能用这些信息做些什么？这仍有待确定。RSA目睹了地下论坛中试图向犯罪分子出售不同类型企业数据的帖子数量的急剧增加。鉴于地下犯罪的迅速发展，组织应当了解他们所面临的恶意软件感染的风险等级和暴露程度，并评估他们是否已具备适当的技术，控制和程序以减轻未来的威胁。