威胁情报告诉我们 大部分网络犯罪并不复杂

新的一年，有些事变了，有些事保持原样。关于多线程高隐蔽的复杂网络攻击的各种恐惧和疑虑我们已经经受很多。诚然，落入这个范畴的攻击是存在的，但如果纵观去年一整年的网络犯罪活动，显然大部分威胁没有我们经常谈论的那么复杂。

[[183009]]

网络威胁情报呈现给我们的，反而是大多数威胁都只简单地利用一系列已知漏洞和其他弱点，来达成最小阻力最大收益。可以从威胁三角棱镜，也就是黑客的能力、意图和机会三个方面，来看看今日几个顶级威胁的模样：

1. 勒索软件

该威胁利用老一套但有效的社会工程战术。诱使某人点击依然可用的恶意宏，尽管宏如今不再广泛使用(讲真，你用过或者知道谁曾经用过宏吗?)。人类天性好奇，而好奇心正是特别容易被利用的。

减少攻击者成功进行勒索软件活动，限制勒索软件攻击风险的方法也是有那么几个的。

部署反网络钓鱼功能，因为网络钓鱼是攻击者最常用来发起行动的方法。配置成扫描所有邮件附件的反恶意程序软件也有助于捕获最恶意的附件。所有允许文档下载并直接打开的设置都应该关闭。

限制非必要的用户在本地计算机上拥有管理员级权限，除非是有特别需求。然而，不幸的是，很多案例中，本地管理员权限常会被授予用户以暂停他们对“某个App又死机啦”的抱怨。限制该权限可以减少勒索软件的影响。

对微软用户来说，应该了解组策略对象(GPO)。微软将组策略设置进行了调整，辅助系统管理员采取更恰当的措施，在保证定制用户功能的同时，防御勒索软件之类的威胁。

培训你的用户。这并非什么新鲜概念，但只要做好了，有效性是毋庸置疑的。这可不是什么“做这个，不做那个”的长长的策略列表。有公司的网络安全用户指南长达100多张PPT，太让人崩溃了。培训项目应直击重点，而不是冗长到让用户生无可恋选择无视。理解你用户的3个最顶级威胁，然后专注在这3个威胁上面。与用户沟通，以半定期的形式，真切让用户体验现实生活中的攻击场景。这会让用户的警惕意识常刷常新，让他们更加警觉。

给你的设备打补丁。你知道勒索软件大多在你用户访问被入侵网站时通过漏洞利用工具包现身，或者通过网络钓鱼邮件中的恶意负载投放么?你知道有助于防御以上两种情况的所有CVE都已经放出了好一阵子了么?请一定在您用户环境的漏洞管理上积极主动，因为他们的暴露面是最广的。

2. 漏洞利用工具包

很多此类工具包都利用CVE，没理由不补上它们。看看近期的RIG、Sundown和Magnitude漏洞利用工具包。下面的列表包含有当前和以往的归因溯源谱系：

RIG漏洞利用工具包利用了：

CVE-2012-0507、CVE-2013-0074、CVE-2013-2465、CVE-2013-2471、CVE-2013-2551、CVE-2013-3896、CVE-2014-0311、CVE-2014-0322、CVE-2014-0497、CVE-2014-6332、CVE-2015-0313、CVE-2015-2419、CVE-2015-3090、CVE-2015-5119、CVE-2015-5122、CVE-2015-5560、CVE-2015-7645、CVE-2015-8651、CVE-2016-0034、CVE-2016-0189、CVE-2016-1019、CVE-2016-4117、CVE-2016-7200、CVE-2016-7201、CVE-2016-3298

Sundown漏洞利用工具包利用了：

CVE-2012-1876、CVE-2013-7331、CVE-2014-0556、CVE-2014-0569、CVE-2014-6332、CVE-2015-2444、CVE-2015-0311、CVE-2015-0313、CVE-2015-5119、CVE-2015-2419、CVE-2016-0034、CVE-2016-4117、CVE-2016-0189、CVE-2016-7200、CVE-2016-7201

Magnitude漏洞利用工具包利用了：

CVE-2011-3402、CVE-2012-0507、CVE-2013-2551、CVE-2013-2643、CVE-2015-0311、CVE-2015-7645、CVE-2015-3113、CVE-2016-1015、CVE-2016-1016、CVE-2016-1017、CVE-2016-1019、CVE-2016-4117

这些CVE都不应该出现在你的环境中了!

3. 凭证管理

口令复杂度和重用也没什么新鲜或复杂的，但我们依然还在看到新的攻击利用以往数据泄露中的被盗凭证。一些业务过程和技术性建议可以用来限制这一安全问题：

再次核查你的口令策略，确保它们被实施了。用户总会选择走阻力最小的路径，倾向于使用所能用的最弱口令选项。强制定期口令重置，实现双因子身份验证，可以帮助你保护系统不受口令重用攻击的侵害。

如果你还没这么做，那就应该考虑为你的用户数据库部署易用的口令管理器。千万别假设这仅限于业务相关的凭证。用户个人和公司两种凭证，在个人和公司设备上都存放有的现象太普遍了。如果你选择为公司购入口令管理器，可以考虑将许可也延伸至雇员的个人设备上。

培训和教育——应当劝阻客户、雇员和其他用户重用别处账户的口令。如果你怀疑数据已经被泄，无论是直接从你的站点泄的，还是从其他泄露事件中泄的，请采取积极措施，通过重置口令预防口令重用攻击。

4. 敲诈

与勒索软件类似，该威胁基于数据呈现的不健康水平来敲诈目标。区别在于，勒索软件加密数据，不见赎金不放数据;敲诈犯则是通过渗漏获取公司的数据，然后威逼羞辱受害者支付赎金。最近的敲诈案例围绕名为“黑暗领主”的黑客，他使用社交媒体公开威胁公司企业，只要不支付赎金就会公开那些被盗的敏感数据。

清除机会——根源问题在于，我们的对手需要“我们”暴露出漏洞才能成功。如果你清除掉那些机会，你就直接影响了他们敲诈的能力。

网络安全“技术债务”——公司暴露出太多被攻击机会的时候，往往令人想起一个术语“技术债务”。这是一个隐喻，指的是恰当设计软件 vs. 走捷径更快更便宜地搞定某个功能。为开发出什么东西并快速推向市场，很多时候这些捷径会让你背上高利率的贷款。最终，贷款会到期，长远看，你的付出必定会更多。这里面的关键点就是，今日网络罪犯战术下，背上技术债务贷款，会引发很多以往不被认为是风险的额外影响。当公司选择背上技术巨债时，最终会为攻击者呈现可供利用的更多机会。这些风险，如果被利用，就可导致对客户(您忠实的客户)、品牌和信誉的不良影响，甚至可能还有监管或法律诉讼等着你。

如果有与你业务、供应链和行业相关的网络威胁情报，你就能准确定位关键风险领域。去年的种种案例，就是对我们应该在解决更复杂事件前关注安全基本的一个提醒。夺人眼球的破坏性威胁很多，但很多案例对你的公司并无直接影响。放轻松，夯实基础先。