很少有職業隨著IT安全的變化而變化。從業者每年平均面臨5000到7000個新的軟件漏洞，這就像你的防御體系每天會引發15次新的泄露。這是每年威脅您IT環境的數以千萬計的獨特惡意軟件程序中最嚴重的問題。在這種持續不斷的威脅中，一個漏洞就可能造成嚴重的損失。然而這些都是可預防的，以下是每個計算機安全專業人員都應該知道的十二件事：

[[241974]]

1. 黑客做了什么：他們的動機和惡意軟件

無論黑客是使用計算機漏洞還是惡意軟件，他們的動機都是一樣的。了解黑客為何以及如何破解是您防御的關鍵。

2. 了解黑客及其攻擊方式

不管威脅種類，它都會以兩種方式到達您的計算機：認為或惡意軟件。黑客可以使用數十萬種已知計算機漏洞和攻擊方法中的任何一種來破壞計算機或設備。人們要及時更新補丁，而且許多設備和軟件程序也都會自動更新，但即使在補丁可用之后，許多計算機和設備在很長一段時間內仍然容易受到攻擊。

惡意軟件程序數以億計，每天創建和發布數萬個新的惡意軟件程序。三種主要的惡意軟件主要分為三種：病毒(自我復制)，蠕蟲(自行)和特洛伊木馬程序(需要最終用戶執行操作)。如今的惡意軟件通常是通過網頁或電子郵件發送的，通常是多個惡意軟件的組合。通常，利用系統的第一個惡意軟件程序只是一個“存根下載程序”，它獲得初始訪問權限，然后“phones home”獲取更多指令并下載和安裝更復雜的惡意軟件。

通常，存根程序將下載十幾種不同的新惡意軟件變體，每種變體都會避免反惡意軟件的檢測和刪除。惡意軟件編寫者維護他們自己的惡意軟件多檢測服務，類似于合法的Google VirusTotal，然后將其鏈接到自動更新服務，該服務修改他們的惡意軟件，使當前的反惡意軟件引擎無法檢測到。正是這種即時更新導致了如此多的“獨特”惡意軟件程序被創建和傳播。

惡意軟件編寫者或傳播者也可能被雇來使用完全不同類型的惡意軟件感染人們的設備。這已經形成了一個市場，惡意軟件控制者可以出售這些軟件以賺取更多的錢。而且，通過這種方式，惡意軟件控制者的風險要小得多。

許多黑客(和黑客組織)使用惡意軟件來訪問公司或更廣泛的目標受害者，然后單獨選擇一些已經受到攻擊的目標花費更多精力。有時候，就像大多數勒索軟件一樣，惡意軟件程序就是全部，能夠在沒有任何惡意領導者互動的情況下進行攻擊和敲詐金錢。一旦被釋放，黑客所要做的就是收集不義之財。惡意軟件創建之后通常會被出售或租給傳播和使用它們的人。

3. 為什么攻擊?

黑客犯罪的原因分為以下幾類：

• 經濟動機
• 民族國家贊助/網絡戰
• 商業間諜
• 黑客行動
• 竊取資源

金融盜竊和民族國家攻擊是最容易發生的網絡犯罪。幾十年前，吃著垃圾食品的孤獨青年黑客是一般黑客的代表。他們有興趣向他人展示他們可以破解某些東西或制造有趣的惡意軟件。但他們很少造成實質性的損失。

如今，大多數黑客屬于專業團體，這些團體的動機是獲得有價值的東西，并經常造成嚴重損失。他們盡可能隱蔽的使用惡意軟件，并在被發現之前盡可能多地獲取有價值的東西。

4. 如何攻擊?

無論動機是什么，黑客或他們的惡意軟件通常以相同的方式侵入和利用計算機系統，并使用大多數相同類型的漏洞和方法，包括：

• 社會工程
• 未修補的軟件和硬件漏洞
• 零日攻擊
• 瀏覽器攻擊
• 密碼攻擊
• 竊聽
• 拒接服務
• 物理攻擊

此列表不包括內部威脅、意外數據泄漏、錯誤配置、用戶錯誤以及無法直接與黑客行為聯系的大量其他威脅。設備受損的最常見方式是由于未修補的軟件和社交工程。在大多數環境中，這些威脅會帶來絕大多數風險(超過95%)。解決了這些問題，你就能擺脫大量的風險。

黑客或惡意軟件程序利用公眾不知道的漏洞，進行的零日攻擊在剛發生時造成了極大的影響，因為供應商還沒有發布相應的補丁。這種攻擊每年只能發現少數幾例，通常在發現、分析和修補漏洞之前，他們只攻擊一家公司或少數幾家公司。可能會發生更多的零日攻擊，尤其是在一些民族國家，比我們意識到的還要多。然而由于這類黑客非常謹慎地使用它們，我們才很少發現它們，因而這種攻擊手段才能屢禁不止。

絕大多數惡意攻擊來自互聯網并要求用戶執行某些操作——單擊鏈接，下載并執行文件，或提供登錄名稱和密碼——以便開始惡意攻擊。瀏覽器的安全性提高使得不常見的“無聲運行”攻擊成為可能，當用戶訪問網頁或打開電子郵件時，威脅會在用戶沒有任何操作的情況下執行。

5. 防范黑客

無論動機如何，打敗黑客和惡意軟件的關鍵是，要發現根本的原因。看看上面列出的根本原因，確定哪些是你自身遇到過的，然后創建或改進現有防御以使威脅最小化。這樣你就會建立一個無比穩固的安全防御體系。

6. 了解惡意軟件

惡意軟件主要分為三種：計算機病毒、特洛伊木馬和蠕蟲。任何惡意軟件程序都是這些分類中的一個或多個的混合體。惡意軟件—-病毒，蠕蟲，特洛伊木馬和其他有害計算機程序的全面術語—-自計算機初期就一直伴隨著我們。但惡意軟件不斷在發展，黑客利用它來破壞并獲取敏感信息; 打擊惡意軟件成為信息安全專業人員的大部分日常工作。

7. 惡意軟件定義

正如微軟所說，“惡意軟件是一個全面的術語，指的是任何旨在對單個計算機，服務器或計算機網絡造成損害的軟件。” 換句話說，軟件基于其預期用途被識別為惡意軟件，而不是基于構建它的技術。

8. 惡意軟件類型

惡意軟件與病毒之間存在差異的問題忽略了一點：病毒是一種惡意軟件，因此所有病毒都是惡意軟件(但并非每一種惡意軟件都是病毒)。

可以用許多不同的方法對惡意軟件進行分類; 首先是惡意軟件的傳播方式。您可能已經聽說過病毒，木馬和蠕蟲，但正如賽門鐵克(賽門鐵克，Symantec是信息安全領域全球領先的解決方案提供商，為企業、個人用戶和服務供應商提供廣泛的內容和網絡安全軟件及硬件的解決方案，可以幫助個人和企業確保信息的安全性、可用性和完整性。)所解釋的那樣，它們描述了三種略有差別的惡意軟件感染目標計算機的方式：

• 蠕蟲是自包含的程序(或是一套程序)，它能傳播自身功能的拷貝或自身的某些部分到其他的計算機系統中(通常是經過網絡連接)。
• 病毒是編制者在計算機程序中插入的破壞計算機功能或者數據的代碼，能影響計算機使用，能自我復制的一組計算機指令或者程序代碼。
• 木馬是指通過特定的程序(木馬程序)來控制另一臺計算機。木馬通常有兩個可執行程序：一個是控制端，另一個是被控制端。與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執行，向施種木馬者提供打開被種主機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種主機。

惡意軟件也可以由攻擊者自己“手動”安裝在計算機上，方法是獲取對計算機的訪問權限或使用權限提升來獲取遠程管理員訪問權限。

對惡意軟件進行分類的另一種方法是根據它成功感染了受害者的計算機后做什么進行分類。惡意軟件使用各種潛在的攻擊技術：

間諜軟件被Webroot Cyber​​security定義為“用于秘密收集毫無戒心用戶數據的惡意軟件”。從本質上講，只要你在使用計算機，它就會監視你的行為，你發送和接受的數據，并且將這些信息發送給第三方。鍵盤記錄是一種特殊的間諜軟件，記錄用戶所有的鍵盤記錄—-主要用來竊取密碼。

Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標上隱藏自身及指定的文件、程序和網絡鏈接等信息，對系統進行操縱、并通過隱秘渠道收集數據的程序。Rootkit的三要素就是：隱藏、操縱、收集數據。Rootkit的初始含義就在于“能維持root權限的一套工具”。

• 廣告軟件是指以一個附帶廣告的電腦程序，以廣告作為盈利來源的軟件。此類軟件往往會強制安裝并無法卸載;在后臺收集用戶信息牟利，危及用戶隱私;頻繁彈出廣告，消耗系統資源，使其運行變慢等。
• 勒索軟件是一種加密硬盤驅動器的文件并進行勒索的軟件，它要求受害者用比特幣付款，以換取解密密鑰。過去幾年中一些備受矚目的惡意軟件爆發，如Petya就是勒索軟件。如果沒有解密密鑰，受害者就無法重新獲得對其文件的訪問權限。所謂的恐嚇軟件是勒索軟件的一種影子版本，它聲稱控制了你的計算機并要求贖金，但實際上只是使用瀏覽器重定向循環這樣的技巧使它看起來好像它造成了比實際更多的破壞，并且不像勒索軟件可以相對容易地被禁用。
• Cryptojacking 是攻擊者可以強迫向他們支付比特幣的另一種方式—-只是它可以在你不知道的情況下運行。劫持用戶的設備例如個人筆記本的 CPU 或其他處理器進行挖礦。或者更準確點說是在受害者不知情的前提下，使用受害者的計算設備來挖取數字貨幣。挖掘軟件可以在操作系統的后臺運行，也可以在瀏覽器窗口中作為JavaScript運行。

任何特定的惡意軟件都有感染手段和行為類別。例如，WannaCry是一種勒索軟件蠕蟲。并且一個特定的惡意軟件可能具有不同的形式，具有不同的攻擊向量：例如，Emotet銀行惡意軟件既是木馬也是蠕蟲。

到目前為止，最常見的感染媒介是垃圾郵件，它誘使用戶激活特洛伊類型的惡意軟件。WannaCry和Emotet是最流行的惡意軟件，但包括NanoCore和Gh0st在內的許多其他惡意軟件都被稱為遠程訪問特洛伊木馬(RAT)。

9. 如何防止惡意軟件

垃圾郵件和網絡釣魚電子郵件是惡意軟件感染計算機的主要媒介，防止惡意軟件的最佳方法是嚴密鎖定您的電子郵件系統，并且知道如何發現危險。我們建議仔細檢查附加文檔并限制潛在危險的用戶行為—-以及讓用戶熟悉常見的網絡釣魚詐騙。

在涉及更多技術預防措施時，您可以采取許多步驟，包括更新所有系統的補丁，保留硬件清單，以便了解需要保護的內容，并對基礎架構執行持續的漏洞評估。特別是在勒索軟件攻擊方面，一種方法是始終對文件進行備份，確保在硬盤被加密時，您永遠不需要支付贖金來取回它們。

10. 惡意軟件防護

防病毒軟件是最廣為人知的惡意軟件防護產品; 盡管名稱中存在“病毒”，但大多數產品都采用各種形式的惡意軟件。雖然高端安全專業人士認為它已經過時，但它仍然是基本反惡意軟件防御的支柱。根據AV-TEST最近的測試，如今最好的防病毒軟件來自卡巴斯基實驗室，賽門鐵克和趨勢科技供應商。

當涉及到更先進的企業網絡時，端點安全產品可以提供針對惡意軟件的深度防御。它們不僅提供您希望從防病毒中獲得的基于簽名的惡意軟件檢測，還提供反間諜軟件，個人防火墻，應用程序控制和其他類型的主機入侵防護。Gartner 提供了該領域的首選名單，其中包括Cylance，CrowdStrike和Carbon Black的產品。

11. 如何檢測惡意軟件

盡管你付出了最大的努力，但在某些時候你的系統將被惡意軟件感染是完全可能的。你怎么能肯定地說你的系統不會被感染?

當您達到企業IT級別時，還可以使用更高級的可見性工具來查看網絡中發生的情況并檢測惡意軟件感染。大多數形式的惡意軟件使用網絡將信息傳播或發送回其控制器，因此網絡流量包含您可能會錯過的惡意軟件感染信號 ; 那里有各種各樣的網絡監控工具，價格從幾美元到幾千美元不等。還有SIEM工具，它們是從日志管理程序演變而來的; 這些工具分析來自基礎架構中各種計算機和設備的日志，以查找問題跡象，包括惡意軟件感染。SIEM供應商從像IBM和HP Enterprise這樣的行業巨頭到Splunk和Alien Vault等小型專家。

12. 惡意軟件示例

我們已經討論了當前一些迫在眉睫的惡意軟件威脅。但是，惡意軟件的歷史漫長而傳奇，可追溯到20世紀80年代由Apple II愛好者交換的受感染軟盤和1988年在Unix機器上傳播的Morris蠕蟲。其他一些高調的惡意軟件攻擊包括：

• ILOVEYOU，一種蠕蟲，在2000年像野火一樣蔓延，造成的損失超過150億美元。
• SQL Slammer，它在2003年第一次快速傳播的幾分鐘內就使互聯網流量停滯不前。
• Conficker，一種利用Windows中未修補的漏洞并利用各種攻擊媒介的蠕蟲—-從注入惡意代碼到網絡釣魚電子郵件—-最終破解密碼并將Windows設備劫持到僵尸網絡中。
• Zeus，00年代后期一種針對銀行信息的鍵盤記錄木馬。
• CryptoLocker，第一次廣泛傳播的勒索軟件，其代碼不斷在類似的惡意軟件項目中重新利用。
• Stuxnet是一種非常復雜的蠕蟲病毒，它感染了全球范圍內的計算機但只在一個地方造成了真正的破壞：伊朗在納坦茲的核設施，在那里它摧毀了富鈾離心機，它是由美國和以色列情報機構建造的。

結論

了解這些基本類別的惡意軟件非常重要，這樣當您找到惡意軟件程序時，您就可以它最有可能攻擊您系統的方式。這有助于您了解在何處查找惡意軟件程序的起源，并了解它可能會進一步傳播的位置。