目前，針對(duì)性攻擊已經(jīng)成為當(dāng)下威脅企業(yè)安全的主要攻擊方式之一。它們常常隱藏在安全系統(tǒng)所生成的大量警示之下，讓攻擊者有時(shí)間入侵企業(yè)系統(tǒng)，盜取寶貴的數(shù)據(jù)。

而隨著安全形勢(shì)的不斷演變，針對(duì)性攻擊手段也開(kāi)始發(fā)生變化。根據(jù)賽門鐵克的統(tǒng)計(jì)報(bào)告顯示，針對(duì)性攻擊組織的數(shù)量在逐年增加，目前已經(jīng)發(fā)現(xiàn)140個(gè)針對(duì)性攻擊組織，比2016年增加了19個(gè)。

針對(duì)性攻擊的目標(biāo)與動(dòng)機(jī)

對(duì)于針對(duì)性攻擊，攻擊者不再針對(duì)廣泛的消費(fèi)者、個(gè)人用戶或普遍的企業(yè)進(jìn)行攻擊，而只針對(duì)某個(gè)企業(yè)發(fā)動(dòng)攻擊，這種黑客組織就叫針對(duì)性攻擊組織。

而針對(duì)性攻擊組織的主要攻擊流程，第一就是情報(bào)收集。黑客組織大部分工作其實(shí)就是先做情報(bào)收集，隨后，才會(huì)選擇對(duì)企業(yè)做破壞行動(dòng)，最終目的還是要獲取金錢及牟利。這些就是針對(duì)性攻擊組織發(fā)動(dòng)攻擊的主要?jiǎng)訖C(jī)和目標(biāo)。

主要攻擊手段

針對(duì)性攻擊最常用的方式是網(wǎng)絡(luò)釣魚(yú)，原因與人們的工作和生活方式有著密切關(guān)系。例如，我們手機(jī)在接收郵件時(shí)，只能看到郵件的名稱，但看不到郵件的域名，這一點(diǎn)往往會(huì)被黑客所利用。因?yàn)猷]件是企業(yè)員工在使用便攜設(shè)備和智能終端時(shí)最常見(jiàn)的一個(gè)應(yīng)用，同時(shí)也能接觸到企業(yè)相關(guān)數(shù)據(jù)。所以，黑客很容易利用這些漏洞對(duì)企業(yè)數(shù)據(jù)進(jìn)行攻擊，而大量移動(dòng)設(shè)備的使用和員工警惕性的放松，也是導(dǎo)致網(wǎng)絡(luò)釣魚(yú)成功率居高不下的重要原因之一。

第二種常用的方式叫水坑式攻擊。如果黑客組織想去攻擊某一個(gè)目標(biāo)企業(yè)，那么，他首先會(huì)去了解這個(gè)目標(biāo)企業(yè)的員工平時(shí)都會(huì)訪問(wèn)什么類型的網(wǎng)站，甚至了解其上下游供應(yīng)商的網(wǎng)站。黑客組織的思路和目標(biāo)很簡(jiǎn)單，他們會(huì)選擇企業(yè)信任或者經(jīng)常訪問(wèn)的網(wǎng)站，尤其是允許員工訪問(wèn)的網(wǎng)站，一旦黑客無(wú)法直接攻擊這個(gè)目標(biāo)企業(yè)的主網(wǎng)站，那么，他們將會(huì)把企業(yè)員工經(jīng)常訪問(wèn)的其他網(wǎng)站作為攻擊的突破口。

據(jù)統(tǒng)計(jì)，釣魚(yú)和水坑式攻擊方式加起來(lái)占針對(duì)性攻擊總量的95％。但黑客去嘗試攻擊的時(shí)候，往往不是用一種方式，會(huì)同時(shí)運(yùn)用多種方式發(fā)起攻擊。因此，企業(yè)員工的安全意識(shí)對(duì)企業(yè)非常重要，企業(yè)應(yīng)該及時(shí)對(duì)員工的安全意識(shí)進(jìn)行培訓(xùn)。

企業(yè)如何防范攻擊

現(xiàn)在很多企業(yè)在防范這類攻擊或未知危險(xiǎn)時(shí)會(huì)大量使用到沙盒產(chǎn)品和技術(shù)，還有異常檢測(cè)等產(chǎn)品，這導(dǎo)致用戶需要承擔(dān)的任務(wù)非常龐大，大量的分析檢測(cè)工作都需要企業(yè)自己來(lái)完成。這對(duì)于目前日益頻繁和復(fù)雜的攻擊而言，已經(jīng)捉襟見(jiàn)肘。對(duì)此，賽門鐵克公司華東及華南區(qū)技術(shù)經(jīng)理王景普表示，這些工作完全可以搬到云端來(lái)完成，處理完成后再把結(jié)果反饋給企業(yè)，這也是賽門鐵克提出高級(jí)威脅防御（ATP）解決方案的初衷。

賽門鐵克公司華東及華南區(qū)技術(shù)經(jīng)理王景普

另外，王景普表示，過(guò)去往往會(huì)孤立掃描一個(gè)文件是否存在問(wèn)題，或者單看某一時(shí)間點(diǎn)或某一時(shí)間段內(nèi)的網(wǎng)絡(luò)流量，這個(gè)被稱為單獨(dú)掃描。但賽門鐵克的檢測(cè)和掃描會(huì)涉及到整個(gè)企業(yè)內(nèi)部所有的活動(dòng)，也就是終端上的活動(dòng)和網(wǎng)絡(luò)上的流量都可以進(jìn)行分析。我們的分析工具放在云端，同時(shí)利用人工智能和機(jī)器學(xué)習(xí)的一些模型來(lái)進(jìn)行分析。

算法與樣本缺一不可

目前，很多企業(yè)都在做機(jī)器學(xué)習(xí)、人工智能的相關(guān)研發(fā)。王景普認(rèn)為，如果輸入的樣本不夠典型，樣本覆蓋面不夠廣、不夠大，那么，機(jī)器學(xué)習(xí)出來(lái)的模型不一定會(huì)是最匹配業(yè)務(wù)的模型，同時(shí)輸出的結(jié)果也必定不是最好的。因此，算法和輸入數(shù)據(jù)的樣本這兩點(diǎn)非常關(guān)鍵，缺一不可。算法再好，但是沒(méi)有樣本，沒(méi)有典型數(shù)據(jù)，數(shù)據(jù)輸出結(jié)果一定不會(huì)好。當(dāng)然即使有海量的數(shù)據(jù)，沒(méi)有好的算法，那可能要花很多年才能計(jì)算出來(lái)，也是不現(xiàn)實(shí)的。

而融入人工智能的優(yōu)勢(shì)就在于可以利用全球數(shù)億控制點(diǎn)和龐大的客戶群所建立起的龐大分析樣本，相比單一客戶分析來(lái)講這是非常大的突破，所以分析效果也會(huì)更加精準(zhǔn)。

在分析過(guò)程中，首先要收集數(shù)據(jù)，從廣度來(lái)講，賽門鐵克在全球保護(hù)了1．75億個(gè)終端，有八千萬(wàn)代理端點(diǎn)，針對(duì)端點(diǎn)流量、電子郵件，在全球有9500萬(wàn)個(gè)傳感器，還有誘餌郵箱，從而能在全球收集廣泛的數(shù)據(jù)。除了收集的數(shù)據(jù)，企業(yè)里面端點(diǎn)上的進(jìn)程、系統(tǒng)事件也會(huì)進(jìn)行收集。再加上不同的行業(yè)，不同的客戶，不同類型的設(shè)備、機(jī)器，通過(guò)這些形成的數(shù)據(jù)來(lái)源。

王景普表示，在收集事件的時(shí)候，第一，我們不會(huì)對(duì)用戶的終端產(chǎn)生影響；第二，也不會(huì)導(dǎo)致它跟端點(diǎn)上任何其他軟件或者系統(tǒng)產(chǎn)生沖突；第三，我們還會(huì)確保匿名性，不會(huì)涉及到企業(yè)機(jī)密相關(guān)信息的收集。我們還將云端核心端點(diǎn)的分析引擎也做了一些變化，來(lái)達(dá)到既確保用戶系統(tǒng)的性能，又能夠保護(hù)隱私的這樣一種平衡。

安全防護(hù)依賴云端

王景普強(qiáng)調(diào)，未來(lái)針對(duì)性網(wǎng)絡(luò)攻擊的防護(hù)能力將主要依賴于云端。根據(jù)預(yù)測(cè)，未來(lái)不僅我們會(huì)大量運(yùn)用人工智能、機(jī)器學(xué)習(xí)等技術(shù)。同樣，黑客也會(huì)利用人工智能和高級(jí)機(jī)器學(xué)習(xí)等手段發(fā)動(dòng)攻擊，這樣就形成了一種競(jìng)賽模式。那么，我們?cè)谟脵C(jī)器學(xué)習(xí)、人工智能的步伐上能不能跟上黑客的攻擊步伐就成為關(guān)鍵。

對(duì)于安全廠商而言，未來(lái)監(jiān)測(cè)范圍、數(shù)據(jù)量以及分析引擎的響應(yīng)時(shí)間將成為其主要的核心競(jìng)爭(zhēng)力。目前，賽門鐵克把整套系統(tǒng)已從自己的數(shù)據(jù)中心全部遷移到云端，并在高級(jí)威脅防御（ATP）解決方案中推出針對(duì)性攻擊分析（TAA）技術(shù)，以此幫助企業(yè)用戶應(yīng)對(duì)相應(yīng)攻擊威脅，這是因?yàn)橹挥性朴?jì)算的超大計(jì)算能力與大數(shù)據(jù)分析平臺(tái)的結(jié)合，才能更好的應(yīng)對(duì)未來(lái)復(fù)雜的針對(duì)性攻擊威脅。