IT业界面临的九大最严峻安全威胁

就在几年前，典型的黑客攻击活动还只是属于少数人的专利。这些恶意人士常常夜挑孤灯、红牛为伴，苦苦搜寻面向公众的IP地址。而一旦得手，他们就会列举各类广告服务（Web server、SQL server等等）、利用各种漏洞实施入侵并最终揪出隐藏在最深处的企业敏感信息。虽然他们的行为本身并不具备犯罪故意而更像是一种试探，但违法活动所带来的刺激感与成就感很可能在关键性的时刻把黑客推向犯罪的深渊。

但如今一切都不同了，遥想当年，那倔强而纯真的突破欲望如梦似幻。

时至今日，我们在描述典型黑客攻击活动时，恶意工具及黑客本人都已经不重要了，真正危险的是潜藏在暗处的幕后黑手。当下，黑客活动已经不再是过去那种“介于合法与违法之间的灰色地带”，而已经变成了彻头彻尾的犯罪。这是一个完整的市场，买家出价购买恶意软件、攻击达人、租用僵尸网络甚至能够组织起破坏力巨大的网络战——时代不同了，现在我们所面对的是强大而组织严密的“敌人”。

下面我们就一起看看，如今IT业界正面临着的九大最严峻安全威胁。

安全威胁第一位: 网络犯罪集团的兴起

虽然单打独斗型犯罪策划者依然存在，但如今最具威胁、攻击力最强的恶意活动无疑源自有组织的团体，其中大部分成员都具有很高的专业水准。在时代发展的大势之下，传统犯罪团伙纷纷选择与时俱进，在保持以往的贩毒、博彩、敲诈及勒索等盈利项目不动摇的基础上，大举进军网络犯罪这一新兴领域。但他们也承认，这个行业竞争同样激烈。不只是黑手党，多家规模极其庞大的专业犯罪组织也已经参与进来，并意图成为整个网络犯罪领域的带头大哥。

大多数组织最严谨、实施最成功的网络犯罪活动都是由某些业界知名的顶级跨国集团一手促成，其中不少都拥有相当庞大的正规市场传播渠道。事实上，如今的网络犯罪分子很可能从属于雅芳或者玫琳凯等知名企业，这是我们过去想都不敢想的状况。

虽然人数较少、规模有限的小团体同样会带来不少安全威胁，但IT安全专家们已经逐渐将关注重心转移到来自大型企业集团的恶意活动身上。这听起来有些耸人听闻，但却绝对是铁打的事实——包括全职员工、人力资源管理、项目管理团队以及领导者在内的所有对象都是犯罪分子，这实在是太可怕了。以往那些好笑的提示信息以及小小恶作剧已经不复存在，如今的恶意活动目标直指我们口袋里的现金与设备中的信息。与此同时，大多数黑客组织已经开始在光天化日之下采取行动，像俄罗斯商业网络这样的机构甚至拥有自己的企业维基百科——这个世界到底怎么了？

专业化与流程分工是这些企业机构的核心。虽然规模庞大，但真正的策划者或者内部核心团队只有一个。管理者与具体执行者在不同领域负责各项针对性工作，有些将全部精力用于创建恶意软件、有些负责市场推广工作、有些专门建立并维护分销渠道，还有些则专注于打造僵尸网络并将产品出租给其他有需求的坏家伙们。

大家可能抱有疑问：为什么当前种种主流IT安全方案无法压制新形势下的恶意软件？事实上我们不仅没能对抗网络犯罪，反而使其一步步发展壮大，并最终拥有了复杂而多层次的组织架构、成为一种以服务为导向的正规产业，甚至以赢利为目的利用恶意工具掏空来自企业与个人受害者的资金、知识产权及敏感信息。

安全威胁第二位：钱骡与洗钱组织支持下的小型技术团队

并不是所有的网络犯罪集团都来自大型机构或企业，不少恶意团队头顶小公司的名号干着争钱逐利的恶意勾当。

这些小团体为了经济利益不惜以身犯险，肆意窃取他人的身份信息及密码，甚至故意以重新定向的方式实现自己的罪恶目的。归根到底，赚钱才是他们的终极目标。这些团队会尝试利用信用卡或银行交易欺诈获取不义之财，并将资金通过钱骡（指专业的违规财产转移人士）、电子现金分派、网上银行或者其它一些洗钱手段兑换为本地货币。

专搞洗钱的家伙甚至到处都有，这一行甚至形成了规模化市场与激烈的竞争态势，我们完全可以从几十甚至上百家从业机构中选择条件最优厚、成本最低的流程执行者。而且大家很可能会惊讶地发现，所谓行有行规在技术犯罪领域同样说得通。专门提供互联网犯罪类服务的组织之间由于竞争而形成了颇为公正的操作准则，他们严格遵循“职业操守”，本着“不向客户问问题”、“油盐不进”的死硬态度与法律机构顽抗到底。无论是司法机关的传票还是国家机器的监查都不能从根本上扼杀这些家伙。与此同时，他们还提供规范化的公告发布栏、软件精品推介、全天候电话咨询支持、招投标论坛、客户服务参考表、反恶意软件规避技能等等各类项目，并借此打造更加“优异”的犯罪活动表现。据悉该行业中的某些团队每年的收入甚至高达数千万美元。

在过去几年中，这类犯罪团体中不少从业人员的身份已经被曝光（还有些则遭到通缉和逮捕）。我们发现他们乐于在社交媒体中炫耀自己的幸福生活——包括豪车大屋以及环球旅行等等。他们似乎对自己的技术以及给家人带来的幸福生活颇为自豪，而且完全不会因为自己给他人造成的损失而心生内疚。

试想一下，如果某天我们在参与邻家组织的烧烤聚餐时，无意中听说他们是搞“网络营销生意”的，大家最好马上引起警惕。而且只要证据确凿，请务必协助司法机构将其缉拿归案，毕竟这帮看似友善的家伙不仅明目张胆地盗窃财产，还把无数从事技术工作的IT安全人士折磨得夜不能寐——别犹豫，打击他们就是保护成千上万无辜的普通民众。

安全威胁第三位：黑客行动主义者

早期的黑客行动往往比较高调，攻击者喜欢像超级英雄一样当着管理人员的面肆虐一番后再扬长而去。但如今的网络犯罪活动则没那么浪费，一切要以成功及不被察觉为优先——当然，黑客行动主义者不管这一套，他们喜欢把攻击当成“政治诉求的现实体现”。

既然已经上升到“主义”的高度，这群黑客们当然是希望在政治层面上搞点动静。如今越来越多的IT安全专家发现很多黑客领域的散兵游勇开始将注意力集中在政治活动当中，其中最具代表性的要数臭名昭著的Anonymous匿名小组。从黑客这一角色诞生之日起，参与其中的人们就开始将政治作为自己的展示平台之一。但多年来形势发生了巨大改变，目前很多黑客开始在光天化日之下通过攻击活动来表达自己的立场，而且人们甚至整个社会也逐渐将此视为政治行为的某种可以接受的表达方式。

在政治上有所诉求的黑客组织之间会时常沟通，而且无论匿名与否，他们在动手之前都会在论坛上公开宣布自己的攻击目标以及行动时间。他们广召人才、扩充队伍，希望能让自己对政府的怨气通过社交媒体获得人民大众的支持与理解。另外，黑客行动主义者在骨子里往往还拥有一股浪漫情怀，他们从不会把自己看作犯罪分子，而且会对自己被通缉甚至逮捕的情况表示惊讶。他们的行动宗旨是尽可能给攻击目标惹麻烦、制造负面社会舆论。为了实现这一目的，他们不惜攻击用户信息、实施DDoS（即分布式拒绝服务）攻击或是给对方的机构造成严重冲突。

通常来说，政治型黑客希望通过财务损失的方式改变受害者的运转方向或者态度立场。但无论他们将自己标榜得多么高尚，整个冲突过程仍然会给很多无辜的人造成损害，而且利用威胁与破坏来改变他人的政治诉求本身毫无正义可言——这是彻头彻尾的犯罪活动，毫无疑问。

安全威胁第四位：知识产权盗窃与商业间谍活动

虽然遭遇黑客行动主义者的概率并不高，但大多数IT安全专家仍然需要时刻保持警惕，因为接下来要介绍的才是企业最大的敌人——拥有大集团作坚强后盾的恶意黑客。这帮家伙的存在纯粹是为了窃取其它公司的知识产权，或者侵入到自己东家的竞争对手内部开展商务间谍活动。

他们的具体执行方法是：找个机会潜伏在受害企业的IT基础设施当中，把密码一股脑挖掘出来，然后随着时间的推移不断窃取对方的各类机密信息——无论是专利、新产品创意、军事机密、财务信息还是商业计划通通逃不掉。这群黑客与政治型攻击者相比更没节操，他们完全是为了经济利益而发掘有价值的信息，并将数据转交给愿意出钱的客户。一旦被他们给盯上，我们的企业命脉就不再由自己掌握：无数潜伏在公司内部的眼线会令我们在市场竞争中一败涂地。

这帮混蛋为了邀功讨赏，会想尽办法窃取受害者的重要电子邮件、RAID数据库等等。由于可能存在价值的资源过多，他们甚至开发出一套颇具讽刺意味的恶意搜索引擎及查询工具，借以提高自己的“工作效率”以及盗窃知识产权的速度。

这种类型的攻击往往被称为APT（即高级持续性威胁）或者DHA（即故意人工性威胁）。事实上，世界上绝大多数的企业巨头都曾被这类攻击所成功击溃。

安全威胁第五位：恶意软件佣兵

无论网络犯罪活动背后到处隐藏着什么样的大型企业或者政治意图，恶意软件都是实现攻击行为的必要工具。在过去，仅仅一位程序员就足以开发出足以挑战世界的恶意软件，并通过出售获取巨额利润。但在如今，专门编写恶意软件的技术团队与公司已经纷纷出现，他们拥有强大的技能力量与坚实的经济基础，能够根据客户需求打造出能够绕过特定安全防御机制、攻击指定客户、完成特定目标的高级攻击工具。而且他们再也不必躲躲藏藏，转而在竞标论坛上公开兜售自己的恶意软件产品。

通常情况下，恶意软件都是由多种组件及面向目标共同构成的。它会首先在受害者的计算机上种植一个体积小巧的存根程序，并且以安全稳妥的方式保存下来。这样用户在重新启动计算机时，它就会正确执行并与Web服务器端进行交互，开展进一步的攻击计划。在通常情况下，这款存根小程序会向攻击者设定的服务器发送DNS查询指令，当然我们不能指望可以顺藤摸瓜找出恶意人士——他们往往会让其它受害者扮演服务器端的角色。这些被发往DNS服务器的DNS查询指令是完全无害的，因此被害者的设备不可能会对此产生怀疑。而且随着感染对象的增加，DNS服务器会从一台计算机转移至另一台，这样一来安全专家将很难揪出策划这一切的幕后黑手。

一旦连接建立，DNS与恶意服务器端就会将存根程序重新定向至其它DNS及恶意服务器。通过这种方式，存根客户端的指向路径得以一再变更（一般都会达到十几次），而且每次指向的都是新的被感染计算机。这样的步骤不断重复，直到存根程序接收到定向结束指令并开始着手安装恶意程序。

总而言之，恶意软件开发者绝对是深谙“与时俱进”之道，他们以顺应时代的技术与设置方式令IT安全专家很难追踪或者抵御这类攻击型工具。

安全威胁第六位：僵尸网络即服务

僵尸网络不再只服务于始作俑者，事实上那些拥有技术能力开发僵尸网络的开发人员不仅利用成品服务自身，也常常把它按小时或其它收费标准租赁给有需要的客户。

这种做法大家一定耳熟能详。恶意程序的每个版本都尽力感染成千上万台计算机，以此为基础建立起单独的僵尸网络体系，然后将其整体作为产品进行租赁招标。僵尸网络中的每台组成设备都会与其C&C（指令与控制）服务器相连接，借以及时获得创建者的操作与更新。僵尸网络之规模已经十分庞大，目前已发现的僵尸网络所涉及的受感染计算机常常达到数十万台之多。

不过尽管如今活跃僵尸网络如此之多（从表面上看每天出现的受感染计算机都高达上千万台），其租赁收费倒是非常低廉，这意味着IT安全专家必须时刻做好准备迎接可能出现的新威胁。

始终与恶意软件斗争不已的安全专家们始终在努力摧毁C&C服务器或者接管其控制权，这样他们才能管理所有接入的僵尸设备并最终将整套恶意托管体系彻底粉碎。

安全威胁第七位：多合一型恶意软件

如今的恶意软件在功能性方面可谓成熟稳定，小到窥探、大到窃取的一系列效果可谓应有尽有。这些程序不仅积极感染终端用户，还会侵入网站、修改页面内容并借此感染更多前来浏览的无辜受害者。这些多合一型恶意软件还常常配备管理控制台，这样开发者及设计人员就能够追踪僵尸网络的运作状态、正在感染哪些用户以及哪些攻击活动已经成功得手。

目前大多数恶意程序都以木马的形式存在，当年叱咤风云的病毒及蠕虫等方案早已退出了最流行恶意软件的历史舞台。在大多数情况下，终端用户都是在不知情或者受误导的状态下运行了木马程序——例如提示用户进行必要反病毒扫描的广告、磁盘碎片整理工具或者其它一些看似常用或无害的工具。我并不是说如今的用户仍然缺乏基本的自我保护意识，但大家在访问那些每天都要上去看看的受信任站点时戒备心会大大降低，而这就给恶意软件提供了机会。恶意人士利用主机追踪及JavaScript信息插入等方式从底层篡改了目标网站，这样用户的浏览器在打开网站时就会被重新定向至木马程序，进而导致计算机受到感染。

安全威胁第八位：Web被破坏之势与日俱增

从最基本的层面来看，网站的结构与一台普通计算机差不多，我们几乎可以把它理解成一台普通终端用户使用的工作站；反过来，管理者与大多数访问者一样也算是终端用户。正是由于结构过于简单，因此大量合法网站被恶意JavaScript重新定向链接所侵扰并感染的状况也就不那么令人意外了。

但Web服务器的安全问题并不完全源自网站管理者的设备受到恶意人士的入侵。事实上，大多数情况下攻击者都会发现网站中固有的弱点或者漏洞，他们能够以此为跳板绕过管理员认证并将自己编写的恶意脚本插入到站点当中。

常见的网站漏洞数不胜数，其中威胁最大的包括密码内容过于简单、跨站点脚本漏洞、SQL注入式漏洞、软件安全缺陷以及高危权限机制等等。有兴趣的朋友不妨访问《开放式Web应用程序安全项目十大排行》一文，相信通过阅读大家会理解Web服务器为何面临如此严峻的安全形势。（网址：Open Web Application Security Project Top 10 list）

有时候Web服务器或者应用程序本身并没有受到篡改，真正被感染的其实是某些链接或者广告。常常访问门户网站的朋友肯定对或悬停、或飘动、或渐入、或淡出的广告板块非常熟悉，这是大多数广告公司最有力的宣传阵地，但同时也是恶意人士搞破坏的好载体。最夸张的是，很多时候这帮攻击者直接从Web服务器处购买了广告位并放置恶意链接——还有王法吗？还有法律吗？

由于许多背地里作恶的家伙都拥有合法的企业外壳、光鲜亮丽的公司总部、名头唬人的名片以及看似正常的付费账户，因此广告厂商往往很难通过表面现象判断这位跑来积极要求开展业务合作的人究竟是真的想宣传合法产品、还是打算在自己的广告位里埋下可能感染千万用户的恶意炸弹。历史上最夸张的这类事件要数某一次针对漫画的恶意攻击，犯罪分子将木马植入报纸上的漫画专栏中，这样所有转载该漫画的站点都在无意中沦为散播恶意软件的帮凶。这实在是防不胜防——连上网看图都不安全了。

惨遭侵入的网站还会带来另一大问题，那就是某家网站的主机往往也在同时托管其它站点，特殊情况下甚至会在同一台设备上存在成百上千个网站。在这种情况下，一次黑客攻击将迅速影响大量站点。

无论网站到底如何被攻陷，无辜的用户都在扮演受害者的角色。他们可能多年来一直访问某些特定站点，而突然有天网站跳出对话框，提示他们安装某款小程序。虽然这种状态确实很突兀，但大多数访问者都会对自己了解及信任的网站充满信心，进而选择运行。在那之后，一切就都完了。又一台终端用户的计算机（或者移动设备）加入进来，成为庞大僵尸网络体系中的新组成部分。

安全威胁第九位：网络战

某些极度排外的民族主义国家会把网络战作为捍卫自身主权的一种手段，这种级别的技术对抗就不是大多数IT安全专家所熟悉或者能够应付得来的了。这些秘密工作拥有复杂的架构、清晰而专业的网络斗争意图，并以此为基础准确监测并把握对手的行动。听起来似乎与日常或民用级恶意活动差不多，但Stuxnet及Duqu事件告诉我们，这类行为的后果之严重绝对超出我们的预期。

没能受到应有惩罚的罪行

某些受害者永远无法从攻击者带来的创伤中走出来。他们的信用记录被黑客盖上欺诈交易的烙印并因而一生与恶劣的名声相伴、某些受害者则被恶意人士冒名顶替骗取了朋友及家人的财物与信任，更有很多知识产权惨遭盗窃的受害者不得不付出数百万美元以恢复并预防此类活动。

但以上情况还不是最糟糕的。现实告诉我们，几乎没有哪一位攻击者由于这些罪名而被成功起诉。职业罪犯之所以喜欢选择互联网作为活动区域，是因为目前司法机构在处理与网络相关的犯罪活动时仍显得软弱无力。在默认情况下，恶意人士的身份完全未知，整个攻击活动以毫秒为单位且很难准确追踪。现在，我们正生活在“与淘金热时的西部一样狂野”的互联网时代。当然，相信随着技术的日渐成熟，将互联网作为犯罪分子避风港的想法将逐渐被击垮。不过在此之前，我们仍然要把命运牢牢把握在自己手中，而IT安全专家也必须肩负起这份重要的历史使命。