A. 威胁情报之开源情报搜集
根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。本文所说的威胁情报属于狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。
2.1注册VirusTotal账户,VT提供一个免费的API,可以进行IP,Domain,File类信息的查询,免费账户有查询速率限制,每分钟查询四次限制,可以注册多个账户轮训。
目前国内外主流的安全公司都有自己的威胁情报业务,例如VT,360,奇安信,微步在线,天际友盟等。关于IP,domain的部分情报实际上来自于恶意样本在沙箱中的网络行为,可以利用开源沙箱 Cuckoo 分析恶意样本,实现IOC的生产。
可以部署蜜罐进行IOC的生产和相关Tag的标注,这边推荐我使用过的开源蜜罐 HFish
国内的安全厂商都会定期更新安全分析文章,文章末尾有高质量IOC,可以利用爬虫技术实现对公开安全报告中的IOC实现爬取。
可以通过订阅一些免费的开源情报平台获取高质量的威胁情报
AlienVault 开放威胁交换(OTX)是全球权威的开放威胁信息共享和分析网络。OTX提供了一个由威胁研究人员和安全专业人员组成的全球社区,有来自140个国家的5万多名参与者,每天贡献400多万个威胁指标。
Twitter等国外社交媒体上经常有第一手的攻击信息,实效性强,老外的研究成果确实要领先于国内,经常出现国外前一天发布,国内第二天炒冷饭的情况,但是此类信息的缺点同样明显:信息准确性未经验证,信息碎片化,难以规范化。
B. 信息安全所面临的威胁有哪些
信息安全面临的威胁主要来自以下三个方面:
一、技术安全风险因素
1)基础信息网络和重要信息系统安全防护能力不强。
国家重要的信息系统和信息基础网络是我们信息安全防护的重点,是社会发展的基础。我国的基础网络主要包括互联网、电信网、广播电视网,重要的信息系统包括铁路、政府、银行、证券、电力、民航、石油等关系国计民生的国家关键基础设施所依赖的信息系统。虽然我们在这些领域的信息安全防护工作取得了一定的成绩,但是安全防护能力仍然不强。主要表现在:
① 重视不够,投入不足。对信息安全基础设施投入不够,信息安全基础设施缺乏有效的维护和保养制度,设计与建设不同步。
② 安全体系不完善,整体安全还十分脆弱。
③ 关键领域缺乏自主产品,高端产品严重依赖国外,无形埋下了安全隐患。 我国计算机产品大都是国外的品牌,技术上受制于人,如果被人预先植入后门,很难发现,届时造成的损失将无法估量。
2)失泄密隐患严重。
随着企业及个人数据累计量的增加,数据丢失所造成的损失已经无法计量,机密性、完整性和可用性均可能随意受到威胁。在当今全球一体化的大背景下,窃密与反窃密的斗争愈演愈烈,特别在信息安全领域,保密工作面临新的问题越来越多,越来越复杂。信息时代泄密途径日益增多,比如互联网泄密、手机泄密、电磁波泄密、移动存储介质泄密等新的技术发展也给信息安全带来新的挑战。
二、人为恶意攻击
相对物理实体和硬件系统及自然灾害而言,精心设计的人为攻击威胁最大。人的因素最为复杂,思想最为活跃,不能用静止的方法和法律、法规加以防护,这是信息安全所面临的最大威胁。人为恶意攻击可以分为主动攻击和被动攻击。主动攻击的目的在于篡改系统中信息的内容,以各种方式破坏信息的有效性和完整性。被动攻击的目的是在不影响网络正常使用的情况下,进行信息的截获和窃取。总之不管是主动攻击还是被动攻击,都给信息安全带来巨大损失。攻击者常用的攻击手段有木马、黑客后门、网页脚本、垃圾邮件等。
三、信息安全管理薄弱
面对复杂、严峻的信息安全管理形势,根据信息安全风险的来源和层次,有针对性地采取技术、管理和法律等措施,谋求构建立体的、全面的信息安全管理体系,已逐渐成为共识。与反恐、环保、粮食安全等安全问题一样,信息安全也呈现出全球性、突发性、扩散性等特点。信息及网络技术的全球性、互联性、信息资源和数据共享性等,又使其本身极易受到攻击,攻击的不可预测性、危害的连锁扩散性大大增强了信息安全问题造成的危害。信息安全管理已经被越来越多的国家所重视。与发达国家相比,我国的信息安全管理研究起步比较晚,基础性研究较为薄弱。研究的核心仅仅停留在信息安全法规的出台,信息安全风险评估标准的制定及一些信息安全管理的实施细则,应用性研究、前沿性研究不强。这些研究没有从根本上改变我们管理底子薄,漏洞多的现状。
但这些威胁根据其性质,基本上可以归结为以下几个方面:
(1) 信息泄露:保护的信息被泄露或透露给某个非授权的实体。
(2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。
(3) 拒绝服务:信息使用者对信息或其他资源的合法访问被无条件地阻止。
(4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。
(5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。
(6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。
(7) 假冒:通过欺骗通信系统或用户,达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客大多采用的就是假冒攻击。
(8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如:攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。
(9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。
(10)抵赖:这是一种来自用户的攻击,涵盖范围比较广泛,比如,否认自己曾经发布过的某条消息、伪造一份对方来信等。
(11)计算机病毒:这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序,行为类似病毒,故称作计算机病毒。
(12)信息安全法律法规不完善,由于当前约束操作信息行为的法律法规还很不完善,存在很多漏洞,很多人打法律的擦边球,这就给信息窃取、信息破坏者以可趁之机。
C. 网络安全威胁有哪些
网络安全威胁包括似的网络信息被窃听、重传、篡改、拒绝服务攻击,并导致网络行为否认、电子欺骗、非授权访问、传播病毒等问题。
D. 常见的网站威胁有什么
常见网站威胁
网站管理员应该意识到的最大威胁之一是网络钓鱼计划,网络钓鱼计划正越来越多地被用来窃取网站访问者的个人信息,例如信用卡号,姓名和地址。网络钓鱼可以通过多种方式发挥作用,但是当针对你网站的访问者使用网络钓鱼时,这种类型的攻击很可能会以你网站的“复制版”形式出现。当你的常规站点访问者被诱骗去访问这些虚假站点时,他们可能会以假冒他们在你安全站点上的伪装输入他们的个人信息,信用卡号和其他敏感数据。从那里,他们的信息可能会受到损害。
作为网站所有者,你应该意识到的另一个严重威胁是分布式拒绝服务(DDoS)攻击。这些攻击变得非常普遍,范围和范围可能很大。DDoS攻击的运行方式是用虚假的网络流量充斥你的网站,最终目的是使服务器不堪重负,使其关闭。这些攻击不仅给站点管理员带来麻烦,也给站点的常规访问者带来麻烦。
E. 从ATT&CK开始——威胁情报
https://attack.mitre.org/resources/getting-started/
一、威胁情报
基于来自ATT&CK用户的反馈,在第一个ATT&CKcon和从其他途径,我们学到了很多,就像我们告诉你,我们已经意识到,这将有助于我们退后一步,专注于你们很多人一个问题:我如何开始使用ATT&CK吗?
这本书开始是一系列的博客文章,旨在回答这个问题的四个关键用例:
�(1)威胁情报
(2)�检测和分析
(3)�对手仿真和红队
�(4)评估和工程
我们根据这些用例重新组织了我们的网站来共享内容,我们希望这些博客文章能增加这些资源。
ATT&CK对于任何组织来说都是非常有用的,因为他们想要建立一个基于威胁的防御体系,所以我们想要分享如何开始的想法,不管你的团队有多复杂。
我们将把这些帖子分成不同的级别:
�一级对于刚开始那些可能没有许多资源
二级中层团队开始成熟
�三级为更先进的网络安全团队和资源
我们将以威胁情报作为本书的开篇,因为它是最好的用例(尽管我相信我的同事可能不同意!)
在2018年,我对如何利用ATT&CK推进网络威胁情报(CTI)进行了一个高层次的概述。在本章中,我将在此基础上,分享一些实用的入门建议。
1.1 一级
网络威胁情报就是要知道你的对手在做什么,然后利用这些信息来改进决策。对于一个只有几个分析师的组织来说,他们想要开始使用ATT&CK作为威胁情报,你可以从一个你关心的小组开始,观察他们在ATT&CK中的行为。
你可以根据他们之前的目标组织,从我们网站上的那些组织中选择一个小组。另外,许多威胁情报订阅提供商也映射到ATT&CK,因此您可以使用他们的信息作为参考。
从那里,您可以打开该组的页面,查看他们使用的技术(仅基于我们映射的开源报告),以便了解更多关于他们的信息。如果你需要更多的技术信息,因为你不熟悉它,没有问题,它就在ATT&CK网站上。你可以对我们使用的每一个软件样本重复这个步骤,我们分别在ATT&CK的网站上追踪它们。
那么我们如何使这些信息变得可操作,这就是威胁情报的全部意义?让我们与我们的防御者分享它,因为这是一个针对我们部门的组织,我们想要防御他们。当你这样做的时候,你可以在ATT&CK网站上找到一些想法,让你开始检测和减轻技术。
例如:让你的防御者知道APT19使用的特定注册表运行键。但是,他们可能会改变这一点,并使用不同的运行键。如果您查看该技术的检测建议,您会看到一个建议是监视注册表中的新运行键,您不希望在您的环境中看到这些键。这将是与你的防御者进行的一个伟大的谈话。
总之,开始使用ATT&CK作为威胁情报的一个简单方法是查看您所关心的单个敌手组。识别他们使用过的一些行为可以帮助你告诉你的防御者他们如何尝试去发现那个群体。
1.2 二级
你有一个由威胁分析专家组成的团队,他们会定期查看对手的信息,你可以采取的下一个行动是将情报映射到自己身上,而不是使用其他人已经映射的信息。如果你有一个关于你的组织已经工作的事件的报告,这可以是一个伟大的内部来源映射到ATT&CK,或者你可以使用一个外部报告,如博客文章。为了简化这个过程,您可以只从一个报告开始。
我们意识到,当你不知道所有的数百种技术时,试图映射到ATT&CK是很可怕的。这里有一个你可以遵循的过程来帮助这一点。
1. 了解ATT&CK -熟悉ATT&CK的整体结构:
战术(对手的技术目标)、技术(如何实现这些目标)和过程(技术的具体实现)。看看我们的入门页面和哲学论文。
2. 找出对手的行为——从比原子指示器(比如IP地址)更广的角度考虑对手的行为。例如,上述报告中的恶意软件“建立了一个SOCKS5连接”。建立联系的行为是对手采取的行为。
3.研究行为——如果你不熟悉行为,你可能需要做更多的研究。在我们的例子中,一个小的研究表明SOCKS5是一个第5层(会话层)协议。
4. 将行为转化为战术——考虑对手的技术目标,然后选择一个合适的战术。好消息是:在企业战略中只有12种战术可供选择。对于SOCKS5连接示例,建立到以后通信的连接属于命令和控制策略。
5. 弄清楚什么技术适用于行为——这可能有点棘手,但是根据你的分析技能和ATT&CK网站上的例子,这是可行的。如果您在我们的网站上搜索SOCKS,就会弹出技术标准非应用层协议(T1095)。查看技术描述,您将发现这可能是我们的行为所适合的地方。
6. 将您的结果与其他分析人员进行比较—当然,您对某个行为的解释可能与其他分析人员不同。这很正常,而且在ATT&CK团队中经常发生!我强烈建议您将您的ATT&CK信息映射与其他分析师的进行比较,并讨论其中的差异。
对于那些有几个分析师的CTI团队来说,将信息映射到ATT&CK是一个很好的方法,可以确保您获得最相关的信息来满足您的组织的需求。从那里,你可以将att&ck地图上的敌方信息传递给你的防御者,以通知他们的防御,就像我们上面讨论的那样。
1.3三级
如果你的CTI团队是先进的,你可以开始映射更多的信息到ATT&CK,然后使用这些信息来优先考虑你如何防御。采用上述过程,您可以将内部和外部信息映射到ATT&CK,包括事件响应数据、来自OSINT或威胁intel订阅的报告、实时警报和组织的历史信息。
一旦你映射了这些数据,你就可以做一些很酷的事情来比较组和优先使用常用的技术。例如,从ATT&CK导航器中获取这个矩阵视图,我之前与ATT&CK网站上的技术共享了它。只有APT3使用的技术以蓝色突出显示;只有APT29使用的是黄色突出显示的,APT3和APT29都使用的是绿色突出显示的。(所有这些都是基于我们所映射的公开信息,而这些信息只是这些组织所做工作的一部分。)
您应该根据组织的主要威胁替换您关心的组和技术。为了帮助您创建自己的导航器层,就像我在上面所做的那样,这里有一个关于生成上述矩阵的步骤的逐步指南,以及一个视频演练,它还提供了导航器功能的概述。
然后,我们可以聚合信息来确定常用的技术,这可以帮助防御者知道应该优先处理什么。这让我们可以优先考虑技术,并与防御者分享他们应该关注的检测和减轻。在我们上面的矩阵中,如果APT3和APT29是组织中被认为对他们构成高威胁的两个组,那么绿色的技术可能是决定如何减轻和检测的最高优先级。如果我们的防御者已经给了CTI团队帮助确定他们应该在哪里优先分配防御资源的要求,我们可以与他们共享这些信息,作为他们开始的地方。
如果我们的防御者已经对他们能探测到什么进行了评估(我们将在以后的章节中讨论),你就可以将这些信息叠加到你所知道的威胁上。这是一个很好的地方来集中您的资源,因为您知道您所关心的组已经使用了这些技术,而您无法检测它们!
您可以根据您所拥有的数据继续添加您所观察到的对手所使用的技术,并开发一个频繁使用的技术的“热图”。Brian Beyer和我在SANS CTI峰会上讨论了我们如何基于MITRE-curated和Red Canary-curated数据集提出不同的“前20”技术。你的团队可以遵循同样的过程来创建你自己的“前20名”。
这个映射ATT&CK技术的过程并不完美,并且存在偏见,但是这些信息仍然可以帮助您开始更清楚地了解对手在做什么。
(你可以在这张幻灯片上阅读更多关于偏见和限制的内容,我们希望很快分享更多的想法。)
对于想要将ATT&CK用于CTI的高级团队来说,将各种资源映射到ATT&CK可以帮助您建立对对手行为的深刻理解,从而帮助确定优先级并为您的组织提供防御信息。
总结
在我们的入门指南的第一章中,我们已经带你走过了三个不同的层次,如何开始ATT&CK和威胁情报,这取决于你的团队的资源。在以后的章节中,我们将深入探讨如何开始使用其他用例,包括检测和分析、对手模拟和红色团队、评估和工程。
F. 计算机网络安全的主要的威胁有哪些
计算机网络信息安全面临的主要威胁有以下几个:
1.
黑客的回恶意攻击。答
2.
网络自身和管理存在欠缺。
3.
软件设计的漏洞或“后门”而产生的问题。
4.
恶意网站设置的陷阱。
5.
用户网络内部工作人员的不良行为引起的安全问题。
6.
那就还有人为的误接收病毒文件也是有可能的。
G. 网络安全威胁有哪些
计算机网络安全所面临的威胁主要可分为两大类:一是对网络中信息的威胁,二是对网络中设备的威胁。
从人的因素 考虑,影响网络安全的因素包括:
(1)人为的无意失误。
(2)人为的恶意攻击。一种是主动攻击,另一种是被动攻击。
(3)网络软件的漏洞和“后门”。
针对您的问题这个一般都是针对WEB攻击吧!一般有钓鱼攻击!网站挂马!跨站攻击!!DDOS这些吧!至于防御方案!不同情况不一样!没有特定标准!+
内部威胁,包括系统自身的漏洞,计算机硬件的突发故障等外部威胁,包括网络上的病毒,网络上的恶意攻击等
5.黑客:
H. 常见的网络安全威胁有哪些
1. 网络安全的概念的发展过程
网络发展的早期,人们更多地强调网络的方便性和可用性,而忽略了网络的安全性.当网络仅仅用来传送一般性信息的时候,当网络的覆盖面积仅仅限于一幢大楼、一个校园的时候,安全问题并没有突出地表现出来.但是,当在网络上运行关键性的如银行业务等,当企业的主要业务运行在网络上,当政府部门的活动正日益网络化的时候,计算机网络安全就成为一个不容忽视的问题.
随着技术的发展,网络克服了地理上的限制,把分布在一个地区、一个国家,甚至全球的分支机构联系起来.它们使用公共的传输信道传递敏感的业务信息,通过一定的方式可以直接或间接地使用某个机构的私有网络.组织和部门的私有网络也因业务需要不可避免地与外部公众网直接或间接地联系起来,以上因素使得网络运行环境更加复杂、分布地域更加广泛、用途更加多样化,从而造成网络的可控制性急剧降低,安全性变差.
随着组织和部门对网络依赖性的增强,一个相对较小的网络也突出地表现出一定的安全问题,尤其是当组织的部门的网络就要面对来自外部网络的各种安全威胁,即使是网络自身利益没有明确的安全要求,也可能由于被攻击者利用而带来不必要的法律纠纷.网络黑客的攻击、网络病毒的泛滥和各种网络业务的安全要求已经构成了对网络安全的迫切需求.
2. 解决网络安全的首要任务
但是,上面的现状仅仅是问题的一个方面,当人们把过多的注意力投向黑客攻击和网络病毒所带来的安全问题的时候,却不知道内部是引发安全问题的根源,正所谓"祸起萧墙".国内外多家安全权威机构统计表明,大约有七八成的安全事件完全或部分地由内部引发.在一定程度上,外部的安全问题可以通过购置一定的安全产品来解决,但是,大多数的外部安全问题是由内部管理不善、配置不当和不必要的信息泄露引起的.因此,建立组织的部门的网络安全体系是解决网络安全的首要任务.
网络安全存在的主要问题
任何一种单一的技术或产品者无法满足无法满足网络对安全的要求,只有将技术和管理有机结合起来,从控制整个网络安全建设、运行和维护的全过程角度入手,才能提高网络的整体安全水平.
无论是内部安全问题还是外部安全问题,归结起来一般有以下几个方面:
1. 网络建设单位、管理人员和技术人员缺乏安全防范意识,从而就不可能采取主动的安全 措施加以防范,完全处于被动挨打的位置.
2. 组织和部门的有关人员对网络的安全现状不明确,不知道或不清楚网络存在的安全隐 患,从而失去了防御攻击的先机.
3. 组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构,其缺陷给攻击 者以可乘之机.
4. 组织和部门的计算机网络没有建立完善的管理体系,从而导致安全体系和安全控制措施 不能充分有效地发挥效能.业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的机会.
5. 网络安全管理人员和技术有员缺乏必要的专业安全知识,不能安全地配置和管理网络, 不能及时发现已经存在的和随时可能出现的安全问题,对突发的安全事件不能作出积极、有序和有效的反应.
网络安全管理体系的建立
实现网络安全的过程是复杂的.这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标.因此,建立组织的安全管理体系是网络安全的核心.我们要从系统工程的角度构建网络的安全体系结构,把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体.安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成.
1. 安全需求分析 "知已知彼,百战不殆".只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构,从而有效地保证网络系统的安全.
2. 安全风险管理 安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估,以组织和部门可以接受的投资,实现最大限度的安全.风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据.
3. 制定安全策略 根据组织和部门的安全需求和风险评估的结论,制定组织和部门的计算机网络安全策略.
4. 定期安全审核 安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行.其次,由于网络安全是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对安全的需求也会发生变化,组织的安全策略需要进行相应地调整.为了在发生变化时,安全策略和控制措施能够及时反映这种变化,必须进行定期安全审核. 5. 外部支持 计算机网络安全同必要的外部支持是分不开的.通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供安全预警.
6. 计算机网络安全管理 安全管理是计算机网络安全的重要环节,也是计算机网络安全体系结构的基础性组成部分.通过恰当的管理活动,规范组织的各项业务活动,使网络有序地进行,是获取安全的重要条件.
I. 当前互联网领域存在哪些安全威胁和风险
1、是黑客攻击由原来的单一无目的攻击转变成为有组织目的性很强的团体攻击犯罪,在攻击中主要以经济利益为目的,采取针对性的集团化攻击方式;
2、是目前最有效的网络互联网攻击形式是DDOS攻击,常见的有SYN攻击、DNS放大攻击、DNS泛洪攻击和应用层DDOS攻击;
3、是互联网金融业务支撑系统存在安全漏洞,给病毒、DDOS、僵尸网络、蠕虫、间谍软件等侵入留下可乘之机,对其信息安全造成很大威胁;
4、是病毒木马的威胁,很多木马程序和密码嗅探程序等多种病毒不断更新换代对网上银行实施攻击,窃取用户信息,可以直接威胁网上银行安全,其用户上网终端如没有安装木马查杀工具,就很容易被染;
5、是信息泄露,互联网金融交易信息是通过网络传输的,有些业务交易平台在信息传输、使用、存储、销毁等环节未建立保护信息的有效机制,致使信息很容易出现泄露风险;
6、是网络钓鱼,和其他信息安全攻击方式不同,网络钓鱼主要诱骗互联网金融用户误认为钓鱼网站属于安全网站,很容易将用户信息泄露,虽然政府、金融机构对此非常重视,但很多钓鱼网站建在境外,很难监管。
J. 常见的网络安全威胁有哪些
近日,国内安全厂商金山公司发布了《2005年网络安全报告》,该报告显示,2005年网络威胁呈现多样化,除传统的病毒、垃圾邮件外,危害更大的间谍软件、广告软件、网络钓鱼等纷纷加入到互联网安全破坏者的行列,成为威胁计算机安全的帮凶。尤其是间谍软件,其危害甚至超越传统病毒,成为互联网安全最大的威胁。同时,有关反病毒专家预测,2006年,“间谍软件”对网络安全危害的发展势头将会表现得更为猛烈。
●“木马”病毒首当其冲
据金山反病毒监测中心统计,2005年1月到10月,共截获或监测到的病毒达到50179个,其中木马、蠕虫、黑客病毒占其中的91%。尤其是以盗取用户有价账号的木马病毒(如网银、QQ、网游)多达2000多种,如果算上变种则要超过万种,平均下来每天有30个病毒出现。综合2005年的病毒情况,具有以下的特征:
●计算机病毒感染率首次下降
2005年我国计算机病毒感染率为80%,比去年的85.57%下降了5.57个百分点。这是自2001年以来,我国计算机病毒疫情首次呈下降趋势。同期的间谍软件感染率则大大高于去年,由2004年的30%激增到2005年的90%。2001年在感染病毒的用户当中,感染次数超过3次的达到56.65%,而2005年降为54.7%。2005年病毒造成的危害主要是网络瘫痪,接近20%,而2003年和2004年病毒危害集中在系统崩溃,这表明蠕虫病毒造成的网络问题越来越严重。2001年因计算机病毒造成损失的比例为43%,今年为51.27%,这表明计算机病毒造成的危害正在加剧。
●90%用户遭受“间谍软件”袭击
据介绍,2005年,间谍软件已经大面积闯入了我们的网络生活中。根据公安部发布的《2005年全国信息网络安全状况暨计算机病毒疫情调查活动》公布的相关数据显示,2005年中国有将近90%的用户遭受间谍软件的袭击,比起2004年的30%提高了6成。就连大名鼎鼎的比尔盖茨面对间谍软件也无能为力,惊呼:“我的计算机从未被病毒入侵过,但却居然被间谍软件和广告软件骚扰。”
尽管随着打击力度的加强,2005年的间谍软件有了更加明显的改变,之前大多是流氓的推广方式,比如通过网站下载插件、弹广告、代码的方式。用一些IE辅助工具可以有效拦截,但是这次最烦的表现形式是间谍软件直接弹广告,IE辅助工具根本无法拦截。需要可以彻底把间谍软件清除才能减少广告。虽然许多杀毒软件厂商对间谍软件的清除下了很大的力量,但是由于还没有一款完全意义上的针对间谍软件的安全工具,因此对于间谍软件的彻底清除还远远没有达到用户的需求。
●“间谍软件”成为互联网最大的安全威胁
间谍软件在2005年表现出传播手段多样化的特点,间谍软件的制造者为了寻求利益的最大化,吸引更多的人成为监视的对象,采用了越来越复杂的传播方式。根据调查显示,针对间谍软件的传播方式,用户最为反感的“间谍软件”形式主要包括:弹广告的间谍软件、安装不打招呼的软件、控件、不容易卸载的程序、容易引起系统不稳定的程序、盗取网银网游账号的木马程序。
间谍软件的危害不仅仅是花花绿绿的广告的骚扰,往往背后还隐藏着更加严重的威胁:间谍软件被黑客利用能够记录用户在计算机上的任何活动,包括敲打了哪个键盘、密码、发送和接收的电子邮件、网络聊天记录和照片等等。2005年万事达国际信用卡公司宣布,位于亚利桑那州土桑市的一家信用卡数据处理中心的计算机网络被侵入,4000万张信用卡账号和有效日期等信息被盗,盗窃者采用的手段正是在这家信用卡数据中心的计算机系统中植入了一个间谍软件。
●中国“网络钓鱼”名列全球第二
网络钓鱼作为一个网络蛀虫,自从2004年出现以后,迅速成为威胁互联网安全的主要攻击方式。进入2005年,网络钓鱼已经从最初的为技术痴迷的Vxer(病毒爱好者),变成受利益诱惑的职业人。他们不断地挖掘系统的漏洞、规则的失误,利用病毒的行为、人们的好奇心,四处进行着“钓鱼”、诈骗。
网络钓鱼在2004年及以前,多以邮件方式投递到用户邮箱中,而仅这种方式已经不能满足利益熏心的制造者。因此网络钓鱼在2005年的传播手段从单一的主动推送方法,增加“守株待兔”方法,以更加多样化的传播方式,这些方式包括:假冒网上银行、网上证券网站;利用虚假电子商务进行诈骗;利用木马和黑客技术等手段窃取用户信息等等,实际上,2005年“网络钓鱼”者在实施网络诈骗的犯罪活动过程中,经常采取以上几种手法交织、配合进行,还有的通过手机短信、QQ、msn进行各种各样的“网络钓鱼”不法活动。
以今年5月份为例,“网络钓鱼”案件比上月激增226%,创有史以来最高纪录。随后的几个月内,网络钓鱼的攻击方式仍以平均每月73%的比例向上增加。据国家计算机病毒应急处理中心统计,目前中国的网络钓鱼网站占全球钓鱼网站的13%,名列全球第二位。
●病毒传播更多样、更隐蔽
2005年,网页浏览、电子邮件和网络下载是感染计算机病毒最常见的途径,分别占59%、50%和48%。计算机病毒通过网络下载、浏览和电子邮件进行传播和破坏的比例分别比去年
上升了6%,而利用局域网传播感染的情况与去年比较减少了7%,可以看到利用互联网传播已经成为了病毒传播的一个发展趋势。
同时,随着各大门户网站的即时通讯工具的推出,利用IM(即时通讯工具)作为传播的重要途径,而且已经渐渐追上了微软漏洞,成为了网络间病毒传播的首选方式,从年初的“MSN性感鸡”到利用QQ传播的“书虫”、“QQRRober”、“QQTran”,以及可以通过多种IM平台进行传播的“QQMsgTing”,它们都通过IM广阔的交流空间大肆传播着。每一个使用IM工具的人,至少会接到一次这类病毒的侵扰。同时,此类病毒在传播过程都会根据生活中的热点事件、新闻人物、或者黄色信息构造诱惑信息,诱使聊天好友打开地址或接收病毒文件。
据统计,通过IM工具传播的病毒高达270万次起,排在所有病毒之首。这也使得国内IM厂家高度重视,腾讯推出的QQ2005,就在业界率先与杀毒厂商合作,与金山公司合作推出了国际首创的“QQ安全中心”。
●漏洞病毒出现的时间间隔越来越短
根据行业人士试验得到的反馈,在2005年,一台未打补丁的系统,接入互联网,不到2分钟就会被各种漏洞所攻击,并导致电脑中毒。因此,今年虽然病毒的感染率呈现出下降的趋势,但病毒仍然存在巨大的危害,并且利用漏洞的方法仍是病毒传播的最重要手段。
据了解,目前普通用户碰到的漏洞威胁,主要以微软的操作系统漏洞居多。微软被新发现的漏洞数量每年都在增长,仅2005年截至11月,微软公司便对外公布漏洞51个,其中严重等级27个。众所周知,微软的Windows操作系统在个人电脑中有极高的市场占有率,用户群体非常庞大。利用微软的系统漏洞传播的病毒明显具有传播速度快、感染人群多、破坏严重的特点。03年的冲击波、04年的震荡波以及05年的狙击波便是很好的佐证。
利用漏洞的病毒越来越多。2005年8月15日凌晨,利用微软漏洞攻击电脑的病毒“狙击波”,被称为历史上最快利用漏洞的一个病毒,距离该漏洞被公布时间仅有一周。
因此,国内有关反病毒工程师告诉用户,2006年对于网络病毒的防护措施主要是以防护为主,但是除此之外,还要有相应的检测、响应及隔离能力。在大规模网络病毒暴发的时候,能够通过病毒源的隔离,把疫情降到最低,对于残留在网络上的病毒,人们也要有相应的处理能力。