网络安全通常被作为企业必须处理的问题来看待，但这一问题的内容却并非永远恒定。相较于这种将网络安全作为问题的思路，如今企业开始逐渐将其作为一种游戏，而网络层面的对手则属于游戏内的挑战者。为什么要进行视角转换?这是因为作为问题，我们自然需要为其寻找答案。为什么安全边界存在过多网络流量负载?这就是个问题，而答案则是——安装防火墙。在另一方面，游戏则永远不存在“解决”一说，它是动态的且要求玩家根据各种实际情况做出反应。

　　如 今的安全挑战涉及极为广泛的范畴，从黑客行动主义者到有组织犯罪再到民族国家支持下的恶意活动——这一切共同构成了安全游戏中的“对手”。它们都属于安全 这一复杂方程式中的变量，因此我们也需要更多具备自适应能力的解决方案，从而在快速发展的同时解决来自对手的“不断变化的攻击侵扰”——无论其如何具体变 化。

　　攻击转向数字化通道

　　从 传统角度讲，安全团队只需要关注企业防火墙保护之内的一切资产即可。但与任何现代游戏一样，网络安全战役的最新战场已经延伸到了数字化通道以及防火墙之外 的区域，而且受攻击面也变得越来越大。目前发展最迅速的攻击活动都出现在我们主要数字通道当中——包括网络、移动与社交媒体——这就给我们带来了新的挑 战，即如何在防火墙、主机代理以及网络传感器等传统保护手段无法奏效的情况下，了解对手在外部网络中组织起怎样的攻击规划。

　　钓鱼攻击的演变明显就遵循此理。根据Verizon DBIR报告的说法，过去几年来“企业遭遇的超过三分之二安全事故源自钓鱼攻击。”而约有50%的目标在收到邮件的一小时内“将其打开并点击了其中的钓鱼链接”——这样的作法令60%的企业“在几分钟内”遭受入侵。

　　检 测钓鱼攻击已经不再是人为分析所能完成的任务，而静态检测规则在这一领域也几乎无技可施，这意味着安全游戏玩家必须想到新的办法。对手开始利用复杂度更高 的软件开发技术快速定制并修改钓鱼攻击手段，并将其散播到全部数字化通道当中。检测这些威胁并跟上变化节奏要求甚至说迫使大家使用先进的自动化机制与机器 学习技术。

　　客户、员工以及营收都需要通过数字化通道实现，这就让如今的信息安全游戏迎来了新的战场，而我们面对的则是武装到牙齿的对手。

　　作为结果，我们看到网络安全游戏中出现了两种规模最可观且发展速度最快的新型外部威胁：

　　1)通过社交媒体实现的钓鱼攻击。

　　2)对手开始将攻击资源散布到大型威胁基础设施当中以混淆视听。

　　流氓社交媒体攻击

　　过去几年以来，攻击者们已经将钓鱼环境由传统电子邮件及Web层面转向移动应用。最近一段时间，他们更是开始使用Twitter等社交媒体平台作为攻击立足 点。犯罪分子们能够轻松使用热门议题、群组成员或者伪造的品牌人性关系帮助自身获得信任，进而将矛头指向特定群体并利用这种信任实现恶意活动。

　　而让这些攻击极具挑战性的因素在于，我们很难对这种极为灵活且周期较短的恶意行为做出判断。很多恶意活动只存在五到八个小时，而其造成的危害往往在前几个小时中就已经显现出来。

　　发 现并阻断攻击活动则往往相对滞后，一般来讲我们需要24个小时才能识别出流氓社交媒体账户并将其拒之门外。要切实应对此类威胁，我们需要显著提升对攻击活 动的检测与响应速度。具体来讲，这要求我们的技术手段能够检测全部数字化通道中的钓鱼行为，包括Web、移动以及社交媒体。而目前惟一的答案就是机器学 习，它确实有能力揪出前所未见的新型/经过修改的恶意活动。

　　威胁基础设施变为“移动靶”

　　为 了进一步提升攻击能力，恶意人士还会对自己的威胁基础设施进行快速移动与规模扩展，从而确保自己的攻击向量能够覆盖各类新型通道。为了实现这项目标，他们 会采取敏捷软件开发与云服务以快速部署各类工具。攻击者还会合法使用同样的云服务及第三方托管方案，从而有效降低运行自有基础设施的成本并提升运作效率。

　　他 们还利用此类基础设施托管恶意负载与文件的多套副本，从而快速实现攻击资源转移。攻击者使用的最为先进的新技术之一正是负责混淆攻击并回避安全分析，即建 立分层流量分发服务(简称TDS)。这类方案基本上会对流量进行十几次甚至几十次重新定向，从而最终迷惑安全产品及分析手段。

　　这些先进威胁基础设施亦被用于组织钓鱼攻击、恶意广告活动以及传统恶意软件传播，并帮助其立足于社交媒体实施恶意行为。不过，希望仍然存在。

　　战胜游戏对手

　　有迹象表明，我们可以利用多项指标将基础设施作为统一整体看待，从而识别并分析“游戏对手”。无论如何，基础设施至少需要PDNS、Whois以及SSL证 书注册信息才能发挥作用，而我们也能够以自动化方式将其与已知威胁活动加以关联。使用这些指标，安全分析师们能够更好地掌控这场网络安全游戏，了解攻击者的当前行为并对其基础设施进行定位，最终将其屏蔽以及/或者反击。这同样能够有效防范未来可能出现的潜在攻击。

　　网络安全游戏永远没有终点，攻击者们会不断建立新的基础设施并改变具体战术。然而，只要使用正确的技术与自动化方案，企业注能够更好地检测到其蛛丝马迹，阻止其恶意行为并显著提升犯罪分子们的攻击成本——最终保护自身与用户安全。

　　责任编辑：DJ编辑