IT技術日新月異，隨著云計算、移動互聯網、社交媒體的普及，大數據的出現，虛擬化技術的應用，新技術帶來了新的安全威脅，正所謂“道高一尺魔高一丈”。與2011年相比，2012年有哪些安全問題值得關注?最近賽門鐵克發布了第十八期《互聯網安全威脅報告》，報告指出了2012年的三大主要安全威脅——APT攻擊;移動威脅;信息泄露。

APT攻擊

APT(高級持續性威脅)由來已久，針對性強，一般的商業企業很難防范。較之2011年，250人規模以下的企業遭受針對性攻擊數量的增幅最大。當前，以中小型企業為目標的針對性攻擊占所有針對性攻擊總量的31%，比2011年增長了3倍。

賽門鐵克公司中國區安全產品總監卜憲錄說：“究其原因，第一，中小企業的安全防護意識、安全防護手段仍然非常薄弱，很容易成為攻擊的目標。第二，這些中小企業作為大型企業供應鏈中的一環，黑客精心選擇它們，然后作為跳板再去攻擊那些大企業，政府、能源、制造業等大企業。”

2011年的《報告》里指出首要的攻擊目標是政府，今年制造業上升為第一位。因為在制造業里面知識產權，不管是源代碼、還是圖紙，大部分都在制造業的企業里面。所有行業都可以成為攻擊目標，但是制造業在過去的2012年是最受攻擊的一個行業。同時，賽門鐵克對被攻擊的人和人群做了劃分，以往大家認為被攻擊的對象要么是大企業，要么是企業的董事長、總經理等這些人物，但是2012年分析發現首要的攻擊目標是公司里的研發人員或者它的銷售人員。為什么是他們?研發人員手上掌控的是企業的知識產權，核心競爭力，源代碼、圖紙，銷售人員掌控的是企業的客戶信息，所以這兩類人上升為攻擊的首要目標。當然另外還有一些，包括助理，包括管理層仍然是攻擊的目標。被攻擊以后很多人被當作跳板，發動下一個攻擊做準備。

卜憲錄表示在攻擊的形式和手法上2012年有顯著的變化，APT里面最新涌現出來的叫做水坑攻擊。具體做法是黑客先瞄準一個目標時候，分析他的行為，比如你經常或者喜歡去哪些網站。然后黑客不攻擊你，而是去攻擊那個網站。他先去偵察一番這個網站有沒有脆弱性，它想一些方法在這個網站上掛上這個惡意軟件，他知道你經常訪問它，他在那邊設好服務，就像一只獅子等在水坑旁邊而不是直接追那個目標一樣，等到這個人訪問這個網站時候就會中毒，然后對你竊取資料。水坑式攻擊的效率遠遠超過傳統的魚叉攻擊，它的破壞力是非常大的。#p#

移動惡意軟件

不管是I OS、安卓還是Windows操作系統都有很多漏洞，出乎意料的是I OS漏洞的數量是最多的。但是針對安卓惡意軟件的威脅數量是最大的，也就是說漏洞最多的系統受到的攻擊反而不是做多的。

賽門鐵克認為主要原因有兩個：第一，安卓平臺是比較開放性的，使用的人了解它的人比較多的，所以它的漏洞一旦被發現以后被利用的可能性和門檻是非常低的，黑客很容易編寫一段針對這個漏洞的攻擊代碼。這跟它的市場占有率也有關。安卓市場占有率70%多，IOS大概只有14%。另外還有一點非常重要，很多蘋果的操作系統是越獄的，安卓的系統因為可以在網站上隨便下載一些應用，它實際上是不需要越獄的。所以你在蘋果操作系統上會看到很多漏洞，這些漏洞里面很多是針對那些越獄的操作系統。這些因素導致安卓系統成為攻擊者的理想平臺。現在暫時漏洞和威脅沒有正相關，但是賽門鐵克的預測，在將來兩者會逐漸走向一致，也就是說漏洞多將來威脅必然也會多，雖然現在不是很多。

那么這些移動惡意軟件感染了移動終端以后主要會做哪些事情?賽門鐵克公司全球副總裁、大中華區總裁連智浩說：“最重要的一點是竊取你的個人信息然后加以非法利用，可能銷售出去，或者通過手機上的社交網絡應用發送欺騙信息給你的聯系人。傳統對PC的威脅正向手機演進，而且在手機上還有一些新的東西是原來PC上沒有的，比如定位，現在手機可以定位你的信息，所以破壞性非常大。”#p#

惡意網站

2012年只有14個新增的零日漏洞，但是它們產生的威脅極其巨大。比如前面提到的水坑攻擊就是利用了零日漏洞。

卜憲錄說：“針對web上有很多零日漏洞被黑客利用拿來做水坑攻擊，針對WebHTTP的攻擊力量過去一年增長了30%，這帶動了針對網頁攻擊數量的提升。針對網頁攻擊有很多種形式。比如攻擊一個網站web管理員的權限，或者通過社交媒體/社會工程學的方法，或者攻擊這個Web service背后的基礎架構，然后獲取管理員的權限。更高端的方法是在合法網站上花錢買廣告或者外掛插件，但當你點進去的時候就會被鏈接到非法網站里面去，那里已經被掛了木馬、被種了病毒，所以很容易被感染。所以透過合法的途徑很容易獲得一個網站的控制權。黑客不需要攻擊本來這家網站或者找出漏洞，而且攻擊工具包越來越普及，所以攻擊一個網站變得非常容易。”

這里有一個統計數據，通過賽門鐵克大情報的網絡搜集了很多網站的信息。53%的合法網站(不包含的非法網站)都是有未修補漏洞的，24%的合法網站都是有高危險漏洞的，很容易被攻陷;61%的合法網站被掛了一些廣告頁，商務類網站、技術網站和購物網站名列感染宿主網站排名中排在前列。它本身是一個合法網站，但同時它也是一個惡意的網站。而“勒索軟件”作為一種更加高級的惡意攻擊手段，由于其強大的獲利能力，已成為當今攻擊者的首選惡意軟件。勒索軟件的制造者們主要利用被感染的網站來攻擊毫無防備的用戶并鎖住用戶設備，然后要求用戶繳納贖金才能再次啟動其設備。這就是為什么針對web攻擊、水坑攻擊將來會越來越普及。

如何防范?

在新的安全威脅出現以后，賽門鐵克的建議是：第一，對企業而言應該有一支專家團隊，企業的員工應該有良好的風險防范意識，人是最重要的基礎。為什么這么講?現在黑客是非常有組織的，他很容易拿到各種精良的武器跟工具，但是企業里面IT的人員是非常有限的，受到的培訓跟風險的意識也是相對薄弱的，所以這一場戰爭敵我雙方差距很大，大企業都有這樣的問題，更何況是廣大的中小企業。第二，隨著IT大趨勢、IT的技術日益普及的情況下，你不僅要應對傳統的威脅，你還要應對新的威脅。除了人以外很重要的是知識跟情報，或者說預警系統，如果連企業的安全態勢是什么樣你不清楚，企業里的敏感信息、核心資產在什么位置、怎么樣使用你也不清楚，更無從談防護。第三，以前傳統的安全防范手段都是由很多的單點的產品，有些企業的單點產品幾十種甚至上百種，把它們拼湊在一起，但這還不夠!企業應該更多考慮那些做過整合的解決方案。現在是時候為了應對新的安全威脅，把它們盡可能整合在一起。要有整體的解決方案，才可能在新的趨勢下做好安全防護。