黑客們怎樣選擇惡意攻擊受害者？這個(gè)看似普通的問題在IT安全領(lǐng)域卻一直受到極大的誤解，而且這種誤解往往使得企業(yè)管理者最終制定出完全錯(cuò)誤的安全防御方針。

從一般的分析邏輯判斷，網(wǎng)絡(luò)犯罪分子跟大多數(shù)銀行劫匪并無不同——哪里有錢，他們就撲向哪里。因此他們也喜歡把目標(biāo)設(shè)定在銀行或者其它金融服務(wù)公司身上——由于這些企業(yè)掌握著大量信用卡數(shù)據(jù)，攻克了它們就等于接管了用戶的錢財(cái)，對吧？而且別指望著企業(yè)的龐大規(guī)模能夠幫上什么忙，正所謂槍打出頭鳥，大企業(yè)管理的敏感信息更多、所以也更可能被犯罪分子盯上。

根據(jù)同樣的分析過程，我們也能夠找到那些可能受到攻擊的終端用戶。假如我們把自己放在攻擊者的立場，那么必然會(huì)選擇那些執(zhí)行權(quán)限較高的領(lǐng)導(dǎo)、個(gè)人資產(chǎn)雄厚的富翁或者是擁有多套系統(tǒng)訪問資格的IT管理員。保護(hù)好這些重要用戶也是實(shí)現(xiàn)整體安全性的關(guān)鍵性措施。

雖然這些假設(shè)都完全符合邏輯，但我得提醒眾列位：這可都是一派胡言，跟實(shí)際情況完全不挨著。

事實(shí)上，大多數(shù)網(wǎng)絡(luò)犯罪分子根本就沒有這么周密的攻擊目標(biāo)甄選計(jì)劃。沒錯(cuò)，各家銀行確實(shí)掌握著大量交易信息，但這并不代表只有金融行業(yè)才是下黑手的好對象。賣快餐批副食的、搞工程進(jìn)水泥的，但凡跟大筆資金沾邊的企業(yè)都有足夠的油水可撈，而且這些與IT技術(shù)八竿子打不著的對象往往還疏于防備。

除此之外，認(rèn)為網(wǎng)絡(luò)犯罪分子只會(huì)瞄準(zhǔn)大企業(yè)的想法也屬于一廂情愿。雖然大型企業(yè)坐擁巨資、財(cái)大氣粗，但他們同樣也擁有組織嚴(yán)密、技術(shù)高超的安保團(tuán)隊(duì)，而且肯在風(fēng)險(xiǎn)防范工作上花大錢。反觀中小型企業(yè)，不僅缺乏足夠的安全技術(shù)，在防御體系預(yù)算方面也捉襟見肘，這讓他們成為黑客眼中唾手可得的“人傻錢多”。平心而論，人都有懶性，攻擊者也希望能“小成本贏得大產(chǎn)出”。正因?yàn)槿绱耍覀儾懦３Ｔ诟鱅T門戶網(wǎng)站上看到中小型企業(yè)慘遭攻擊、數(shù)據(jù)及財(cái)務(wù)信息意外泄露等負(fù)面消息。

網(wǎng)絡(luò)犯罪分子喜歡唾手可得的目標(biāo)——那些疏于防范、缺乏安全技能又漏洞滿滿的終端用戶是危險(xiǎn)系數(shù)最高的倒霉蛋。

網(wǎng)絡(luò)犯罪分子目標(biāo)何在？

在終端用戶方面，類似的謠言及虛假經(jīng)驗(yàn)同樣不絕于耳。盡管從邏輯角度來分析，為CEO以及密碼管理者配備更多附加保護(hù)手段似乎非常必要，但事實(shí)證明網(wǎng)絡(luò)釣魚者及其它惡意人士根本不會(huì)將這類特殊群體當(dāng)成首先攻擊目標(biāo)。精明的網(wǎng)絡(luò)犯罪分子明白，他們根本沒必要苦心破解CEO的安全保護(hù)體系，還有很多方式能夠訪問到企業(yè)中的敏感數(shù)據(jù)。舉例來說，首當(dāng)其沖的應(yīng)該是公司里職級較高的員工、項(xiàng)目主管甚至是與這些員工關(guān)系密切的家伙，這才是最合適的下手之處。惡意人士并不會(huì)刻意選擇目標(biāo)，他們只會(huì)逐步摸索信息的走向，并以廣撒網(wǎng)的形式慢慢撈到大魚。

網(wǎng)絡(luò)犯罪分子喜歡唾手可得的目標(biāo)。他們喜歡將矛頭指向那些疏于防范、缺乏安全技能又漏洞滿滿的終端用戶，并以此為跳板最終擊垮整個(gè)企業(yè)。他們躲在自己的電腦前尋覓沒有鎖定的后門與開放的窗口——大家別再活在自己的想象中了，有錢不一定招賊，但門都不關(guān)那就等著倒霉吧。

雖然網(wǎng)絡(luò)犯罪分子盯上我們的原因多種多樣，但其中的道理都是相通的：只有沒生意、沒油水的公司才無人問津。時(shí)至今日，無論是像索尼那樣的電子巨頭還是普通的民間小作坊，都有可能成為下一個(gè)攻擊目標(biāo)。我們不能再繼續(xù)抱有幻想，惟一的解決方案就是加強(qiáng)安保機(jī)制、制定應(yīng)對措施，這也是決定企業(yè)未來生存或是滅亡的關(guān)鍵決策。#p#

實(shí)例：由來自俄羅斯的“Ivan”發(fā)給您的郵件

“您好，幾分鐘之后我會(huì)對您的網(wǎng)站發(fā)起DDoS攻擊，相信我，整套體系都會(huì)立即癱瘓，”郵件這樣說道。“如果您不想承受由此引起的損失，請盡快付費(fèi)——惠承3500美元，謝謝！”

Endless Wardrobe這家澳大利亞在線服裝零售企業(yè)在收到這樣一封郵件后果斷拒絕，于是遭受到猛烈的網(wǎng)絡(luò)攻擊。正如威脅郵件中所說，該公司官方網(wǎng)站瞬間被大量偽造的信息請求所淹沒，而且整整一周無法正常工作。盡管Endless Wardrobe公司第一時(shí)間聯(lián)系了托管服務(wù)供應(yīng)商，希望能夠緩解攻擊帶來的影響，但由供應(yīng)商提供的請求過濾機(jī)制同時(shí)把不少正常的客戶購買指令屏蔽在外。

這家由三位全職員工和三位兼職員工組成的小型零售企業(yè)在此次攻擊活動(dòng)中不僅損失了至少數(shù)千美元，還激怒了很多忠實(shí)客戶——該公司總經(jīng)理Andrew Burman沉痛地指出。

“在這次攻擊發(fā)生之前，我一直以為像我們這樣的小公司不會(huì)被人盯上，”Burman表示。“我聽過不少網(wǎng)絡(luò)攻擊啊、惡意活動(dòng)之類的傳言，但從沒想過那些黑客會(huì)拿小型企業(yè)開刀。在我的印象里，他們都是技術(shù)天才，只會(huì)去找大公司或者在線博彩網(wǎng)站的麻煩，那些金主帶來的回報(bào)不是更高嗎？”

與Burman一樣，大多數(shù)中小型企業(yè)的管理者根本不相信自己會(huì)有遭遇網(wǎng)絡(luò)犯罪活動(dòng)的一天，當(dāng)然很多公司可能一輩子也沒遇上過像Endless Wardrobe這樣的悲慘經(jīng)歷。但這并不代表管理者可以高枕無憂，把自己的名字從安保計(jì)劃清單中輕松劃掉。在去年由賽門鐵克公司組織的一份調(diào)查報(bào)告中，共有26000多家企業(yè)受到惡意侵襲，其中半數(shù)以上都是員工少于2500人的中型企業(yè)，18%則為員工少于250人的小型企業(yè)。從拒絕服務(wù)攻擊搞垮網(wǎng)站到木馬程序盜取銀行賬戶，過去的一年對于中小型企業(yè)而言可謂多災(zāi)多難，而且大部分受害者根本不知道要如何抵御這些攻擊。

并不是只有像Amazon這樣的電子商務(wù)巨頭才會(huì)面臨威脅，“反倒是那些員工數(shù)量只有幾百甚至更少的小企業(yè)最為危險(xiǎn)，”網(wǎng)絡(luò)安全企業(yè)CloudFlare公司CEO Matthew Prince指出。CloudFlare是一家專門提供安全服務(wù)的公司，主要幫助客戶避免像Endless Wardrobe事件那樣的慘劇，但頗具諷刺意味的是，他們也成為了中間人攻擊活動(dòng)的受害者。當(dāng)時(shí)黑客們劫持了這家只有36位員工的安全企業(yè)的谷歌托管郵箱系統(tǒng)，并借此獲得設(shè)備恢復(fù)密碼，最終攻入CloudFlare核心系統(tǒng)奪取了企業(yè)及客戶的敏感數(shù)據(jù)。在這次事件中，惡意人士的最終目的是利用郵件訪問取得對客戶賬戶的控制權(quán)。事實(shí)上那家伙差一點(diǎn)就成功了。

根據(jù)Prince的說法，那位實(shí)施攻擊的罪犯“技術(shù)很強(qiáng)，非常善于奪取郵件系統(tǒng)的主控權(quán)。”

前面提到的還只是小型企業(yè)所面臨的一部分風(fēng)險(xiǎn)，隨著意識的加深，大家會(huì)逐漸意識到網(wǎng)絡(luò)犯罪居然是如此龐大且包羅萬象的新世界。對于大多數(shù)管理者而言，幫助企業(yè)以更低的資金投入擁有更具效率的在線運(yùn)營方案絕對是上佳之選，但這些新措施也將小企業(yè)拖入了安全問題的無盡泥潭。

約有90%的中小企業(yè)會(huì)使用網(wǎng)上銀行、賬戶管理及金融服務(wù)等功能，雖然這讓日常運(yùn)營變得更加輕松，但也等于為攻擊者打開了一道闖入的大門。另外，許多中小企業(yè)喜歡跟風(fēng)，嘗試允許員工將自有設(shè)備帶到辦公環(huán)境中來并接入內(nèi)部網(wǎng)絡(luò)。以為這很正常？在Sophos 2012網(wǎng)絡(luò)安全調(diào)查報(bào)告中，全球范圍內(nèi)超過570位頂級IT決策者中超過40%對BYOD現(xiàn)象表示擔(dān)憂，認(rèn)為目前企業(yè)還沒有做好足夠的準(zhǔn)備來應(yīng)對可能出現(xiàn)的信息安全問題。

“小型企業(yè)更容易遭受攻擊，因?yàn)樗麄冑Y源有限、不可能拿出大量預(yù)算來支持防御體系，”McAfee安全公司全球渠道運(yùn)營部門高級副總裁Gavin Struthers指出。“但這也是沒辦法的事，大多數(shù)小企業(yè)的賣點(diǎn)就在于網(wǎng)上業(yè)務(wù)和移動(dòng)連接特性，一旦失去了這些功能，他們的業(yè)務(wù)根本無法開展。”

為了能讓有限的資源應(yīng)付無窮的安全保護(hù)需求，中小企業(yè)往往不得不忽略掉各類潛在的威脅。最理想的保護(hù)措施在于防患于未然，制定策略將問題消滅在萌芽狀態(tài)。