如果你關(guān)注安全新聞，你可能已經(jīng)看到過來自彭博公司(Bloomberg )關(guān)于在2009年可口可樂公司受到黑客攻擊，盜取了關(guān)于一項重要并購交易的商業(yè)機密信息的相關(guān)報道，而投資者尚不知道這些情況。這個交易是相當(dāng)?shù)闹匾婕耙还P價值24億美元現(xiàn)金試圖收購中國匯源果汁集團，最終該收購案由于不明原因而以失敗而告終?，F(xiàn)在，我們非常感謝此次報道，我們可以了解到通過這些攻擊可能泄露了此次交易的某些敏感信息，雖然我們不知道黑客本身在此次失敗的交易中扮演了何種角色，但是這些黑客的行動很有可能決定了這么一個重要交易過程的命運，這是非常可怕的。然而，當(dāng)時，F(xiàn)BI曾告訴可口可樂公司關(guān)于黑客的入侵，但是可口可樂公司并沒有披露真實的情況。

事實上，這并非是一次罕見的事件。去年，黑客通過不同網(wǎng)絡(luò)手段將英國天然氣集團作為打擊的目標，盡管該公司從未向外界公布。這些攻擊目標的類型正變得越來越多，不僅包括個人信息，而且也包括財務(wù)數(shù)據(jù)。無論是自身的原因還是有相關(guān)利益的第三方，商業(yè)交易和并購都有可能被一組黑客破壞。因此，這就不奇怪為什么許多公司認為它們不應(yīng)該去公開披露這些攻擊了，無論是投資者，還是公司內(nèi)部的管理者都應(yīng)該隱藏這些信息，清除受感染的系統(tǒng)以及采取相關(guān)的行動。這些疏漏就是為什么早在2011年美國證券交易委員會(SEC)提出了一個指導(dǎo)性方針，告知受到類似事件受害的相關(guān)公司它們應(yīng)該采取何種行動。

相比之下，就在上個月，格魯吉亞計算機應(yīng)急響應(yīng)小組(CERT)研究所發(fā)表了一份完美的案例，講述了應(yīng)該如何應(yīng)對這樣的網(wǎng)上活動，詳細描述了發(fā)生在2011年針對格魯吉亞境內(nèi)的新聞網(wǎng)站，博客和政府網(wǎng)站的攻擊行為。通過閱讀這份27頁的報告，我們可以從中了解到它們的安全團隊發(fā)現(xiàn)這次事件僅僅導(dǎo)致了390臺電腦受到惡意程序的感染。此外，這并不是某些未成年人隨機尋找攻擊目標而尋找所謂的興奮感。此次攻擊目標是將某些特定的政治積極分子網(wǎng)站作為有動機的攻擊，從而影響持有一個特定政治觀點的人們。例如，他們攻擊一個新聞網(wǎng)站，然后丑化新聞報道中的具體對象。

此次攻擊開始于2011年3月，第一個實例是該惡意程序被發(fā)現(xiàn)竊取格魯吉亞境內(nèi)網(wǎng)站的文件和認證。今年，為了繞過防火墻和入侵檢測系統(tǒng)(IDS)，該病毒進行了幾次修改變得更難被監(jiān)測到。到了十二月，受感染的系統(tǒng)能夠被遠程控制，并且具有通過keylogging鍵盤記錄木馬手段進行視頻錄像以及截圖功能。所有這些感染的系統(tǒng)都源自于一個簡單的腳本文件被植入到被黑客攻擊的新聞網(wǎng)站中，利用零日漏洞(zero-day exploit)將ActiveX, PDF 文件和Java程序作為攻擊的目標。

一旦被感染，惡意病毒會掃描攻擊的計算機是否處于UTC+3或UTC+4時區(qū)(即東歐到俄羅斯)，這再次表明了這是一次有針對性的網(wǎng)絡(luò)攻擊。然后，該病毒會被偽裝成calc.exe 文件并且將某些代碼植入到瀏覽器中以此命令進行通信和控制服務(wù)器。該代碼非常復(fù)雜，它可以同時從幾個不同的IP地址進行更新。報道的最后指出，在此次調(diào)查的背后，該團隊展示了一些阻止這些攻擊的步驟，包括阻止執(zhí)行該命令和控制服務(wù)器，與安全公司合作在入侵檢測系統(tǒng)(IDS)中增加適當(dāng)?shù)谋O(jiān)測設(shè)備，與各個執(zhí)法機構(gòu)合作，與那些不負責(zé)任的托管服務(wù)提供商聯(lián)系獲取離線的服務(wù)器信息，并獲取日志文件進行分析。

任何公司都應(yīng)該經(jīng)歷過被黑客攻擊的事件，這是一個很好的例子。它表明網(wǎng)絡(luò)攻擊不僅比以前變得更加復(fù)雜，而且也非常具有針對性。雖然目前仍然有許多非針對性惡意軟件威脅，但是我們的安全解決方案還足以能夠應(yīng)付。大多數(shù)的公司都花了最少的努力以確保它們的網(wǎng)絡(luò)安全，導(dǎo)致了管理人員認為公司的系統(tǒng)不會被破壞。但是，當(dāng)涉及此次類型的事件時，針對性攻擊的目標是特定的數(shù)據(jù)，提前進行準備變得相當(dāng)困難，這就為什么正確的取證以及披露出來是如此的重要。假設(shè)一個非針對性攻擊，當(dāng)一名IT管理員監(jiān)測到一個漏洞時，他或她所做的最糟糕的情況是在對病毒進行清理后就簡單的將其擱置了。如果任何東西看起來都很可疑，那么你永遠不知道該攻擊的真實效果有多大。

如果你是一名負責(zé)網(wǎng)絡(luò)工作的員工，無論是在家大公司還是小公司，通過分析這些報告中的網(wǎng)絡(luò)攻擊類型能夠提供給你一些寶貴的信息，不僅僅是類似的針對性攻擊，還有通過對漏洞的調(diào)查獲取相關(guān)信息, 并且在最后應(yīng)該將攻擊的類型披露出來。不幸的是，目前正在進行的絕大多數(shù)的網(wǎng)絡(luò)攻擊仍然是非常鮮有人知的。前美國參議院網(wǎng)絡(luò)顧問Jacob Olcott告訴彭博：“目前，大部分公司有關(guān)重大事項的信息很少出現(xiàn)在它們的相關(guān)網(wǎng)站上，” 因此, “投資者不知道今天發(fā)生了什么事情。”