黑客復蘇已成為企業(yè)必須要面對的難題，并且不同于此前的通用型攻擊，受攻擊的類型和方向也產生變化，讓企業(yè)防不勝防。

[[318263]]

繞過企業(yè)安全壁壘 黑客正學會曲線攻擊(圖片來自lawpracticetoday.org)

Vmware在一份調查中提到，越來越多的攻擊者正試圖繞過傳統(tǒng)安全解決方案。在分析的2000個攻擊樣本中，90%以上都出現(xiàn)了防御規(guī)避行為。勒索軟件在過去一年內明顯復蘇，在占分析樣本95%的勒索軟件中，防御規(guī)避行為繼續(xù)發(fā)揮關鍵作用。這些勒索軟件重點攻擊能源、政府和制造業(yè)部門，表明勒索軟件的復蘇已成為地緣政治緊張局勢下的不良“副產品”。

這意味著，攻擊者正變得善于規(guī)避安全解決方案，攻擊質量提升，而在指揮和控制方面變得更加隱秘，通用類的安全監(jiān)測很難察覺。同時，應用層、協(xié)議級的攻擊正在成為主要威脅，攻擊者可以發(fā)起多維的向量攻擊。調查顯示，在DDoS保護服務遇到的攻擊中有86%以上使用了兩個或多個威脅媒介，其中8%包含五個或多個媒介。

另一個特點是，中國已成為撞庫攻擊的前五大目標之一，排在前兩位的分別是美國和俄羅斯。去年五月，北京警方破獲了一起針對一款流行短視頻應用程序的網絡攻擊案件。其千萬級外部賬號遭到惡意撞庫攻擊，其中上百萬賬號密碼與外部泄露密碼吻合。這類攻擊有多個不同的名稱：賬密猜測、撞庫、證書(憑據)填充或密碼填充。

根據Akamai的調查，此類攻擊都有一個前提，就是惡意攻擊者會使用盜取的用戶名和密碼組合嘗試登錄他們的目標網站，他們之所以這么做是因為用戶會在多個網站上使用相同的密碼。大多數網站會默認使用用戶的電子郵件地址作為用戶名，這不僅無法起到保護作用，還產生了反復使用同一證書的“疏漏”。

撞庫攻擊成功后的結果就是賬戶接管。被盜的有效賬戶證書可能會出售給暗網上的其他犯罪分子，或被網絡竊賊消費賬戶的儲值，亦或是竊取數據。例如，在中國公安部組織部署的“凈網2019”專項行動中，前十個月共偵破侵犯公民個人信息類案件近3000起，而被侵犯的個人信息主要來自暗網。

根據Ponemon的“撞庫攻擊造成的損失”報告，撞庫每年會使企業(yè)損失數百萬美元。有金融機構曾報告稱，其因撞庫產生的賬戶接管成本為每個賬戶1500至2000美元。但攻擊者的目標不僅僅是金融服務行業(yè)。Akamai通過分析發(fā)現(xiàn)，流行的撞庫工具可以輕而易舉地攻擊多個行業(yè)的網站，由于高知名度和價值度的原因，黑客對在線直播服務和游戲行業(yè)興趣很大。

同樣是Akamai的調查，中國游戲出海企業(yè)同樣飽受安全問題困擾，不得不面對素來兇險的網絡環(huán)境。從2017年到2018年，Akamai監(jiān)測到的DDoS攻擊和基礎架構層(第三、第四層)攻擊數量均上升16%，而應用層攻擊的增幅更是高達38%。DDoS攻擊、爬蟲攻擊，以及Web和API攻擊，是中國游戲出海企業(yè)必需應對三大類型的攻擊。在上文所提到的流行短視頻應用程序案件中，犯罪分子就承認對時下流行的多個網絡平臺發(fā)起過撞庫攻擊，累計獲利超百萬元人民幣。

從表面上看， 雖然通用型的勒索軟件攻擊有下降的趨勢，但這些威脅卻變得更有針對性，尤其是關注那些情愿投入大筆資金去“贖回”或是恢復數據的企業(yè)。這些黑客看重的可能不是一次性的攻擊成功，而是背后的數據價值。此時，他們往往也會采取不易察覺的方式，即“小火慢燉”，原因是現(xiàn)在用戶個人信息被暴露的越來越多，商家的行為畫像反而成為黑客的有利價值。

以流量較小的攻擊方式為例，可以通過每秒請求量計算，代表就是針對HTTP和DNS的攻擊。早在兩年前就有數據表明，網絡層DDoS攻擊已連續(xù)多個季度呈現(xiàn)下降趨勢，而應用層攻擊每周超過千次。如果企業(yè)被加密劫持，那么生產經營活動也會受到不小的影響，如設備性能退化或無法使用，從而導致IT成本增加，耗電量增加，造成成本增加，特別是基于CPU使用量計費的云企業(yè)。為此，企業(yè)應該部署多個重疊和相互支持的防御系統(tǒng)，以防止任何特定技術或保護方法出現(xiàn)單點故障，包括部署端點、電子郵件和 Web 網關保護技術以及防火墻和漏洞評估解決方案。

不管是規(guī)避防范、撞庫攻擊還是新型勒索，都可看出黑客威脅企業(yè)的方式在變化，對此企業(yè)也要拿出新的辦法才能應對。