2011年11月2日由EMC信息安全事業(yè)部RSA主辦、中國(guó)電子學(xué)會(huì)聯(lián)合承辦的RSAConference2011信息安全國(guó)際論壇在北京中國(guó)大飯店舉行。EMC公司執(zhí)行副總裁兼RSA,EMC信息安全事業(yè)部執(zhí)行主席亞瑟W科維洛解析全球最活躍的三類攻擊者。

中國(guó)互聯(lián)網(wǎng)發(fā)展情況統(tǒng)計(jì)報(bào)告顯示，中國(guó)互聯(lián)網(wǎng)用戶中有2.17億人曾是木馬和病毒受害者，另外1.2億人有密碼被盜的經(jīng)歷，中國(guó)用戶中每十個(gè)人就有一個(gè)人曾是網(wǎng)絡(luò)欺詐受害者，這種情況是不可接受的。當(dāng)然也有好消息，信息安全產(chǎn)業(yè)已經(jīng)開(kāi)始發(fā)展，領(lǐng)先的安全團(tuán)隊(duì)已經(jīng)做好部署，他們的技術(shù)和能力必須像攻擊者一樣快速、敏捷，同時(shí)要比攻擊者更聰明才能應(yīng)對(duì)他們的狡猾。變得更聰明的要素就是了解你的對(duì)手，了解他們的動(dòng)作和方法。要了解風(fēng)險(xiǎn)在何處你必須意識(shí)到誰(shuí)可能發(fā)出攻擊，為什么攻擊，如何攻擊。而且你必須超越自己的領(lǐng)域，根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)小組發(fā)布的中國(guó)互聯(lián)網(wǎng)安全報(bào)告，網(wǎng)絡(luò)安全事件的跨國(guó)特點(diǎn)變得越來(lái)越突出。

去年計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)小組發(fā)現(xiàn)，對(duì)中國(guó)進(jìn)行木馬和網(wǎng)絡(luò)釣魚(yú)攻擊等非法行為利用的惡意域名有一半注冊(cè)在海外，遠(yuǎn)在美國(guó)、印度、土耳其，還有比較近的是緊臨中國(guó)大陸的臺(tái)灣地區(qū)。而且手段最高潮的攻擊者往往利用第三國(guó)業(yè)已被攻擊的域名來(lái)掩蓋他們的蹤跡。換句話說(shuō)，這種跨國(guó)攻擊非常的復(fù)雜，讓我們來(lái)看一看今天活動(dòng)在世界各地的三類攻擊者。

首先是受意識(shí)形態(tài)引導(dǎo)的追求曝光率的黑客，他們想要向公司或者政府傳達(dá)非常響亮的信息，他們希望看到他們的信息通過(guò)全球媒體網(wǎng)點(diǎn)即刻向全世界廣播，不管是網(wǎng)站的漏洞還是缺乏一般的信息安全控制還是防火墻失效，這些團(tuán)體努力尋找任何外圍防御體系的漏洞，他們經(jīng)常與內(nèi)部人士合作。

第二類是網(wǎng)絡(luò)罪犯，他們建立松散的聯(lián)系還是嚴(yán)密組織起來(lái)其目的都是竊取信息資產(chǎn)然后迅速出售變現(xiàn)。比較典型的做法是將基于平臺(tái)的犯罪軟件和零日漏洞拍賣給出價(jià)最高的買方，一個(gè)犯罪集團(tuán)可以買下僵尸網(wǎng)絡(luò)工具包，地下服務(wù)供應(yīng)商購(gòu)買防彈托管和無(wú)法追蹤的注冊(cè)域名等等。對(duì)網(wǎng)絡(luò)犯罪而言，一切無(wú)外乎金錢和速度，他們會(huì)找到您最薄弱的環(huán)節(jié)加以利用。

第三類同時(shí)是最可怕的攻擊者是正規(guī)的組織。如今正規(guī)組織制造出了最高級(jí)的威脅，但是隨著威脅環(huán)境的不斷變化，其他類型的攻擊者很可能也會(huì)具備同樣的能力。這些高級(jí)的攻擊無(wú)外乎其隱秘性、復(fù)雜性。通過(guò)社交工程，攻擊者搜集各種情報(bào)，時(shí)候要經(jīng)過(guò)數(shù)月的的準(zhǔn)備才會(huì)發(fā)動(dòng)攻擊。他們會(huì)先了解公司和政府機(jī)構(gòu)的哪些最終用戶擁有他們想要的資產(chǎn)，他們的活動(dòng)很難察覺(jué)。因?yàn)樗麄兺鶗?huì)利用一個(gè)受到侵害的組織來(lái)攻擊另外的組織。網(wǎng)絡(luò)攻擊開(kāi)始可能會(huì)使用基本的惡意軟件和各種工具與其他類型的攻擊者沒(méi)什么不同。如果必要的話他們會(huì)以真正的零日漏洞發(fā)起攻擊，其可怕之處在于攻擊背后集中的大量資源以及他們發(fā)起攻擊的效率。一旦進(jìn)入組織內(nèi)部他們就會(huì)蜇伏起來(lái)，隨著目標(biāo)的推移他們會(huì)開(kāi)發(fā)目標(biāo)網(wǎng)絡(luò)和安全架構(gòu)的影射和庫(kù)存。經(jīng)驗(yàn)會(huì)告訴他們想要的信息駐留在何處，不管在數(shù)據(jù)庫(kù)還是文件共享中。與網(wǎng)絡(luò)罪犯不同，他們想留在你的網(wǎng)絡(luò)內(nèi)部，監(jiān)控事件響應(yīng)的情況，以便評(píng)估你的防御反映，相應(yīng)的調(diào)整自己的行為，直到他們得到自己想要的東西。

所有這些攻擊者帶來(lái)風(fēng)險(xiǎn)的隱含意義是IT組織始終面臨著持久、動(dòng)態(tài)和智能的威脅。我們必須克服這些威脅以便各組織有信心利用信息來(lái)驅(qū)動(dòng)創(chuàng)新、進(jìn)行合作、獲得市場(chǎng)認(rèn)可并且實(shí)現(xiàn)經(jīng)濟(jì)增長(zhǎng)。不幸的是面對(duì)這一新的威脅局面，過(guò)去的信息安全技術(shù)是不夠的。許多信息安全技術(shù)已經(jīng)不再新鮮，他們的價(jià)值大大降低，所以我們作為信息安全的專業(yè)人員，需要改變我們的思維方式，信息安全必須從現(xiàn)有的、常規(guī)、不協(xié)調(diào)的靜態(tài)單點(diǎn)產(chǎn)品向更為高級(jí)的安全系統(tǒng)發(fā)展。我們需要采用已經(jīng)開(kāi)發(fā)和正在開(kāi)發(fā)的安全創(chuàng)新，跟上信息技術(shù)的創(chuàng)新和威脅升級(jí)的步伐。

【2011 RSA中國(guó)大會(huì)相關(guān)推薦】

1. RSA2011中國(guó)大會(huì)首日?qǐng)D文播報(bào)：Alice和Bob冒險(xiǎn)繼續(xù)
2. 電子學(xué)會(huì)何華康:RSA成為交流分享合作的平臺(tái)
3. 2011RSA 英特爾網(wǎng)安規(guī)劃總監(jiān)Tom Quillin發(fā)言
4. 2011RSA信息安全國(guó)際論壇日程