网络安全威胁、恶意软件趋势和策略（一）

admin管理员组

文章数量:1585345

原文：Cybersecurity Threats, Malware Trends, and Strategies

协议：CC BY-NC-SA 4.0

零、前言

想象你在一艘潜艇里，被黑暗冰冷的水包围，淹没在水下数英里。潜艇的船体始终承受着来自四面八方的巨大压力。潜艇的设计、建造或操作中的一个小小的错误都会给它和它的全体船员带来灾难。

这类似于首席信息安全官(ciso)和他们的团队今天面临的挑战。他们的组织在互联网上被攻击者包围，这些攻击者不断寻找渗透和危害组织 IT 基础架构的方法。组织中的人员会收到一波又一波的社会工程攻击，这些攻击旨在欺骗他们做出不可信的决策，从而破坏他们的安全团队已经实现的控制。勒索软件和数据泄露的幽灵继续困扰着世界上最复杂的组织的首席信息官、首席信息官 ( 首席信息官)和首席技术官 ( 首席技术官)。

在进行了数百次事件响应调查并发布了数千页威胁情报后，我有机会向全世界数千家企业和公共部门组织学习并提供建议。我写这本书是为了分享我在这段不平凡的旅程中学到的一些见解和教训。

本书中表达的观点和意见是我自己的，而不是我过去或现在的雇主的。

这本书是给谁的？

本书面向首席信息安全官、有抱负的首席信息安全官、CISO 办公室的高级经理、首席信息官、首席技术官以及其他对其组织的网络安全负有重要责任的角色。

这本书涵盖的内容

第一章，成功的网络安全策略的要素，详细介绍了成功的网络安全计划所必需的要素。

第二章，利用漏洞趋势降低风险和成本，利用来自国家漏洞数据库的漏洞披露数据，提供了一个独特的 20 年漏洞视图。这将有助于读者更准确地评估后面章节中讨论的网络安全策略的有效性。

第三章，威胁格局的演变——恶意软件，提供了一个独特的数据驱动视角，展示了恶意软件在过去 10 年间是如何在全球范围内演变的。这有助于读者了解他们面临的恶意软件威胁的类型，以及哪些恶意软件威胁最常见，哪些最不常见。

第四章，基于互联网的威胁，探讨了一些攻击者使用互联网的方式以及这些方法是如何随着时间的推移而演变的。本章深入探讨了网络钓鱼攻击、驱动下载攻击和恶意软件托管站点。

第五章，网络安全策略，讨论了过去 20 年左右业界采用的主要网络安全策略。本章介绍了网络安全基础评分系统，该系统使读者能够估计任何网络安全策略的功效分数。

第六章、策略实现，提供了一个如何实现已确定的最佳网络安全策略之一的示例。本章说明了如何实现以攻击为中心的策略，即入侵杀伤链。

第七章，衡量表现和有效性，探讨 CISOs 和安全团队一直面临的挑战，以及如何衡量其网络安全计划的有效性。本章探讨了如何衡量网络安全策略的表现和有效性。

第八章，云——安全和合规性的现代方法，概述了云如何成为一个伟大的网络安全人才放大器。本章着眼于云如何减轻企业通常受到危害的方式。此外，本章还深入探讨了安全团队如何使用加密和密钥管理来保护云中的数据。

从这本书中获得最大收益

• 你已经了解了基本的信息技术 ( IT )概念，并且拥有一些使用、实现和/或操作 IT 系统和应用程序的经验。
• 管理企业 IT 和/或网络安全团队的经验将有所帮助，但不是严格要求。
• 你会带着健康的兴趣去学习一些你过去可能没有接触过的网络安全方面的知识。

使用的惯例

本书中使用了以下约定:

代码块设置如下:

{
    "eventVersion": "1.05", 
    "userIdentity": { 
 "type": "AssumedRole", 
 "principalId": "Example:user123", 
 "arn": "arn:aws:sts::Example:assumed-role/Admin/user123", 
 "accountId": "Example-ID", 
} 

粗体:表示一个新的术语或一个重要的单词。

下载彩色图像

我们还提供了一个 PDF 文件，其中有本书中使用的截图/图表的彩色图像。可以在这里下载:static . packt-cdn . com/downloads/9781800206014 _ color images . pdf。

取得联系

我们随时欢迎读者的反馈。

总体反馈:电子邮件feedback@packtpub，在邮件主题中提及书名。如果您对本书的任何方面有疑问，请发邮件至questions@packtpub联系我们。

勘误表:虽然我们已经尽力确保内容的准确性，但错误还是会发生。如果你在这本书里发现了一个错误，请告诉我们，我们将不胜感激。请访问，，选择您的图书，点击勘误表提交表单链接，输入详细信息。

盗版:如果您在互联网上遇到我们作品的任何形式的非法拷贝，如果您能提供我们的地址或网站名称，我们将不胜感激。请通过copyright@packtpub联系我们，并提供材料链接。

如果你有兴趣成为一名作家:如果你对某个主题有专长，并且对写作或写书感兴趣，请访问。

复习

请留下评论。一旦你阅读并使用了这本书，为什么不在你购买它的网站上留下评论呢？潜在的读者可以看到并使用您不带偏见的意见来做出购买决定，我们 Packt 可以了解您对我们产品的看法，我们的作者可以看到您对他们的书的反馈。谢谢大家！

更多关于 Packt 的信息，请访问packtpub。

一、成功的网络安全策略的要素

毫无疑问，如今的企业比以往任何时候都更需要有效的网络安全策略。然而，良好的策略本身并不能保证成功。网络安全项目要取得成功，有几个要素是必不可少的。本章将详细描述网络安全策略是什么样子，以及成功的每个必要因素。

在本章中，我们将讨论以下主题:

• 定义术语网络安全策略
• 组织受到危害的常见方式，以及如何缓解这些方式对有效的网络安全至关重要
• 理解攻击者的动机和他们的战术之间的区别
• 关于制定成功的网络安全策略的补充指南

在详细讨论网络安全策略之前，让我们先回答一个基本问题:当我们说“网络安全策略”时，我们实际上指的是什么？

什么是网络安全策略？

拥有超强安全文化的组织本质上已经将网络安全融入其中。对其他所有人来说，都有策略。以我的经验来看，商业界对“策略”和“战术”这两个术语的理解很差。一个人的策略是另一个人的战术。我曾经和一位公司副总裁一起工作，他告诉我，当我解释我们的策略时，我说的是战术。在我的职业生涯中，我参加过一些会议，会上人们互相讨论，因为一个人在讨论策略，另一个人在讨论战术。

此外，安全和合规专业人员在提到框架、模型或标准时，有时会使用术语“策略”。行业中有许多这样的工具，许多组织都在使用它们。例如，ISO 标准、NIST 标准、OWASP 十大标准、CIS 基准、STRIDE、风险管理框架、SOC 2、PCI、HIPAA、云安全联盟云控制矩阵、AWS 云采用框架安全视角、AWS 架构完善的安全支柱等等。所有这些都是有用的工具，有助于组织改善其安全状况，遵守法规，并证明他们符合行业标准。

我并不是在为术语“策略”提出一个新的字典定义，但我确实想解释我在本书中讨论网络安全策略时的意思。在我看来，网络安全策略至少有两个关键要素:

1. 每个组织的高价值资产
2. 适用于每个组织的特定要求、威胁和风险，由他们所处的行业、他们在世界上开展业务的地方以及与每个组织相关联的人员决定

高价值资产 ( HVAs )也被称为“皇冠上的宝石”这些术语有许多定义。但是当我使用它们时，我的意思是如果资产的机密性、完整性或可用性受到损害，那么组织将会失败或者会被严重破坏。HVAs 很少是组织的信息工作者使用的计算机。然而，我看到如此多的组织关注桌面系统的安全性，就好像他们是 HVAs 一样。鉴于 hva 的重要性，很容易将重点放在 hva 上而排除低价值资产。但是请记住，攻击者通常使用价值较低的资产作为攻击 HVAs 的切入点。例如，那些从未适当退役的旧开发和测试环境通常不是 HVAs。但是他们经常被发现是妥协的来源。

CISO 人得到工作后需要做的第一件事就是识别组织的 hva。这可能比听起来更具挑战性，因为皇冠上的宝石对于不具备与其所支持的业务相关的专业知识的人来说可能并不明显。采访首席执行官和董事会成员有助于识别真正会导致企业失败或被严重破坏的资产。

从组织的目标逆向工作也有助于识别其 hva。当首席信息安全官进行这种分析时，他们应该为一些最初并不明显的细微差别做好准备。例如，如果没有电力、水、暖气、空调和生命安全系统，企业还能实现目标吗？根据企业和它所使用的建筑类型，如果没有电梯，让员工和顾客从前门进来还有意义吗？顾客可能愿意走上几层楼梯，但如果有必要，他们会愿意走上 40 层楼梯吗？可能不会。

如果这种中断持续几天、几周或几个月，企业能存活多久？这些功能的控制系统在哪里？上次评估这些系统的安全状况是什么时候？识别一个组织的 HVAs 并不意味着 CISOs 可以忽略其他一切。了解哪些资产是真正的 HVAs，哪些不是，有助于 CISOs 优先考虑其有限的资源，并专注于避免组织的灭绝事件。

一旦 CISO 确定了他们组织的皇冠上的宝石，下一步就是确保最高管理层和董事会理解并同意这份名单。当需要比组织过去利用的更多的资源或不同的资源时，这种清晰性将非常有帮助。当组织需要做出关于减少资源的艰难决策时，围绕 HVAs 的清晰性将有助于做出基于风险的决策。花费时间和精力让高级利益相关者群体达成一致将使 CISO 的生活更加轻松。

网络安全策略的第二个关键输入是适用于组织的特定要求、威胁和风险，这些要求、威胁和风险来自于组织所处的行业、组织开展业务的地点以及与组织相关的人员。该输入有助于进一步确定网络安全计划的要求范围。例如，他们开展业务的行业和/或地点可能有他们需要遵守的法规遵从性要求，或者他们可能面临高额罚款或吊销营业执照。请记住，大多数组织无法识别所有可能的威胁和风险。这需要全知全能，也是基于风险的方法的自然局限。

在我在微软工作时(微软公司，2007-2016 年)发表了数千页的威胁情报后，我可以告诉你，有可能影响每个人的全球性威胁，但也有特定行业的威胁和区域性威胁。使用可信的威胁情报来制定策略将有助于 CISOs 对能力和控制进行优先排序，如果他们没有无限的资源，这将特别有帮助。试图保护所有东西，就好像它们对组织具有相同的价值一样，这是一个失败的秘诀。首席信息安全官必须做出取舍，如果他们知道他们开展业务的行业和地区所面临的具体威胁，他们会做得更好。这并不意味着 CISOs 可以忽略所有其他威胁，但是确定对其组织皇冠上宝石的最高风险威胁将有助于他们将资源集中在最重要的地方。

我在本书中专门用了三章来帮助您了解威胁形势以及它在过去 20 年中是如何演变的。第二章，利用漏洞趋势降低风险和成本，深入探讨漏洞管理，并向您展示过去二十年漏洞披露的趋势。第三章，威胁格局的演变——恶意软件，重点讲述恶意软件在过去 20 年中是如何演变的。第四章、基于互联网的威胁，探讨了每个组织都应该设法缓解的基于互联网的威胁。

如果没有我在这里描述的两种输入，首席信息安全官们只能实现基于他人威胁模型的“最佳实践”和行业标准。同样，这些有助于推动组织朝着正确的方向发展，但它们通常不是基于单个组织的 hva 和他们关心的特定威胁。使用没有这两个输入信息的最佳实践和行业标准将更有可能出现关键差距。

此时，您可能想知道网络安全策略是什么样子的。下图展示了网络安全策略。人道主义援助是核心，并得到策略其他部分的支持。网络安全基础包括支持成功安全计划的基本能力，如漏洞管理和身份管理等。

高级网络安全能力是组织在非常精通基础知识时应该进行的投资。如果您的组织并不真正擅长基础知识，那么就不要费心投资高级网络安全功能，因为攻击者不需要做任何“高级”的事情来成功危及环境并颠覆这些高级功能。

图 1.1:网络安全策略的示例

既然我们已经对网络安全策略需要什么有了一个很好的想法，让我们来检查一下我认为是网络安全策略的一个关键因素:组织被入侵的常见方式。

组织最初是如何受到危害的，以及网络安全的基本原则

该策略的基础是我所说的“网络安全基础”成功的策略需要坚实的基础。网络安全的基础是基于我之前提到的威胁情报。在进行了数百次事件响应调查并研究了十多年的微软威胁情报后，我可以满怀信心地告诉你，组织最初让受到攻击的方式只有五种。在最初的妥协之后，有许多许多的战术、技术和程序 ( TTPs )可以让攻击者用来横向移动、窃取凭证、危害基础设施、保持持久性、窃取信息以及破坏数据和基础设施。其中一些已经存在了几十年，一些是新的和新颖的。

组织最初受到危害的五种方式是我所说的“网络安全常见疑点”:

1. 未修补的漏洞
2. 安全错误配置
3. 脆弱、泄露和被盗的凭据
4. 社会工程
5. 内部威胁

网络安全基础是策略的一部分，重点是减轻网络安全常见的嫌疑。让我们更详细地看一下其中的每一个，从利用未打补丁的漏洞开始。

未修补的漏洞

漏洞是软件或硬件设计和/或底层编程代码中的缺陷，它允许攻击者让受影响的系统做一些意想不到的事情。最严重的漏洞允许攻击者完全控制受影响的系统，运行他们选择的任意代码。不太严重的漏洞会导致系统以非预期的方式泄露数据，或者拒绝向合法用户提供服务。在第二章、利用漏洞趋势降低风险和成本中，我深入探讨了漏洞管理和过去 20 年中一些关键的漏洞披露趋势。我将把深入的讨论留到下一章，但是我将在这里提供更多的背景。

至少从 2001 年的 Code Red 和 Nimda 时代开始，攻击者就一直在利用漏洞大规模危害系统。2003 年，SQL Slammer 和 MSBlaster 通过利用微软 Windows 操作系统中未打补丁的漏洞，成功破坏了互联网，并危及全球数十万个系统的安全。在这些攻击之后的几年中，家庭手工业发展了一种持续的努力，以帮助企业组织，那些具有最复杂环境的组织，清点他们的 IT 系统，识别其中的漏洞，为漏洞部署缓解措施，并修补它们。截至 2019 年底，在国家漏洞数据库(National Vulnerability Database，n.d .)的记录中，全行业软件和硬件产品中披露的漏洞超过 122，000 个。正如您将在第二章、中读到的，利用漏洞趋势降低风险和成本，整个行业披露的漏洞数量在 2016 年至 2020 年间激增，达到前所未有的水平。

经济已经围绕漏洞和利用的供给和需求而发展，参与者的名单各不相同，包括供应商、攻击者、防御者、各种商业实体、政府等。这种经济中参与者的数量及其相对复杂性使得组织更难通过增加相关风险来保护自己免受其 it 环境中漏洞的利用。利用未打补丁的漏洞是攻击者的主要工具。

高效且擅长漏洞管理的组织使得攻击者更难成功攻击他们。

运行良好的漏洞管理计划是网络安全策略的基本组成部分和关键要求。没有它，组织的网络安全努力将会失败，无论他们进行其他投资。重申这一点很重要。操作系统中未修补的漏洞，以及高级网络安全功能所依赖的底层平台组件，使攻击者能够完全破坏这些投资的有效性。如果不能有效解决您的系统所依赖的“可信计算基础”中正在发生的漏洞泄漏，就会使其变得不可信。

所有 IT 资产的准确清单对于漏洞管理计划至关重要。如果组织无法准确、及时地清点所有 IT 资产，扫描所有 IT 资产的漏洞，并有效地缓解和/或修补这些漏洞，那么在此问题得到解决之前，就不应该进行其他投资。如果您的组织属于这一类，请重读本书的前言部分，回忆一下我介绍的潜艇类比。如果 CISO 和漏洞管理项目经理依赖其组织的 IT 团队或其他内部合作伙伴来提供 IT 资产清单，则这些清单需要是完整的，而不仅仅是他们想要遵守的系统的清单。

没有出现在清单中的资产将不会被扫描或修补，并将成为您试图创建的安全链中的薄弱环节。通常，这与 IT 组织衡量正常运行时间的目标不一致，因为修补漏洞会增加系统重启的次数，从而减少正常运行时间，即使一切顺利。我的建议是，在资产清单由漏洞管理程序本身以外的其他方提供的情况下，要相信但要核实。花费额外的精力和预算来不断核对资产库存与现实情况。这包括那些官方和非官方的开发和测试环境，这些环境多年来造成了行业中如此多的违规行为。

如果资产库存的来源不符合这一要求或不能提供准确、及时的库存，这就代表了应该通知董事会的风险类型。向他们提供当前未由您的漏洞管理计划管理的总资产库存的估计百分比的视图，应该会导致资产库存的来源重新安排他们工作的优先级，并打破危险的现状。我将在本书的第二章、使用漏洞趋势降低风险和成本中更详细地讨论漏洞管理。我还将在第八章、云——关于云计算的安全和合规性的现代方法中讨论漏洞管理。

云可以让老式的清点、扫描和修补安全漏洞的方法变得过时。

当然，我刚刚描述的方法的一个挑战是，环境已经接受了自带设备 ( 自带设备)政策，允许信息工作者使用他们的个人移动设备来访问和处理企业数据。潜在的问题是企业漏洞管理团队是否应该清点和管理个人设备？这场辩论是许多安全专业人士最初将 BYOD 称为“带来自己的灾难”的一个原因不同的组织在回答这个问题时采取不同的方法。一些组织为员工提供公司所有且完全受管理的移动设备，而其他组织则要求员工使用个人设备加入企业移动设备管理计划。我还见过一种更被动的管理模式，即要求用户在设备上安装访问密码，如果他们的设备上没有安装最新版本的移动操作系统，就不允许他们连接到雇主的网络。一些组织使用网络访问控制 ( NAC )或网络访问保护 ( NAP )技术来帮助执行与连接到其网络的系统健康相关的策略。最大限度地减少允许连接到企业网络的未打补丁系统的数量是一种最佳实践，但根据企业文化和移动设备政策的不同，这一点很难做到。收集有助于安全团队了解移动设备对其环境造成的风险的数据，对于合理化的基于风险的方法非常有帮助。

接下来，我们将考虑安全错误配置。与未打补丁的漏洞一样，安全错误配置可能会使攻击者在系统上采取一系列行动，包括中断系统运行、窃取信息、降低安全设置或禁用安全功能、夺取系统控制权，以及利用系统攻击其他系统。

安全错误配置

安全错误配置可以作为默认设置出现在系统中，例如供应商制造的每个系统上的预置密钥或密码都是相同的。随着管理时间的推移，系统的配置会逐渐发生变化，安全错误配置也会逐渐引入。

当我在微软面向客户的事件响应团队中执行了数百次事件响应调查后，我可以告诉你，很大一部分系统最初都是由于安全错误配置而受到危害的。

对于面向互联网的系统来说尤其如此，比如 web 服务器、防火墙和其他在企业非军事区 ( 非军事区)中发现的系统。一旦错误配置使得攻击者能够控制 DMZ 中的系统，或者使用该系统代表攻击者发送经过验证的命令(例如服务器端请求伪造攻击)，攻击者就会渴望使用该系统访问 DMZ 中的其他系统，并最终访问组织内部防火墙内的系统。20 多年来，这一直是攻击者战术手册中的常见模式。

安全错误配置也困扰着终端设备，如个人电脑、智能手机和物联网 ( 物联网)设备。这些端点连接的基础设施，如无线接入点，也经常被攻击者探测常见的错误配置。安全错误配置也是工业控制系统 ( ICS )中的一个问题。例如，ICS 在过去曾让安全团队焦头烂额，其中一种情况是“退回到最近已知的状态”，它可以覆盖最近的安全配置更改，以支持以前的较不安全的设置。硬编码凭证和易受攻击的默认配置长期以来一直困扰着整个行业的各种软件和硬件制造商。

一个运行良好的漏洞管理程序通常会将识别安全错误配置作为其工作范围的一部分。用于识别和修补安全漏洞的许多相同的漏洞扫描器和工具也能够识别安全错误配置，并就如何解决它们提供指导。同样，如果组织还不能非常熟练地识别和减轻其环境中的安全错误配置，他们应该放弃在高级网络安全功能上的大量投资。如果攻击者可以使用互联网上几十年前的硬编码密码列表成功入侵并在环境中四处活动，那么花费大量金钱和精力在环境中寻找高级持续威胁 ( APT )就毫无意义。即使 CISOs 在他们的 IT 环境中发现了这样的攻击者，他们也无法用未受管理的常见安全错误配置来驱逐他们。

历史上一些最大的违规事件是由于未打补丁的漏洞和安全错误配置的组合导致的初步妥协。两者都可以通过运行良好的漏洞管理程序来管理。在任何网络安全策略中，这都是一个不可选择的原则，应该相应地提供资源。别忘了，你管理不了你不衡量的东西；完整、准确和及时的 IT 资产清单对于漏洞管理计划至关重要。始终相信但核实资产清单。值得记住的是，与旧的内部 It 世界相比，云提供了几个优势。我将在本书的第八章、云——安全和合规性的现代方法中详细讨论这一点。

新的硬件和软件可能会默认出现安全错误配置，也可能会随着时间的推移逐渐出现。另一个需要持续关注的持续威胁是凭据泄露。组织必须不断主动地努力缓解这一威胁载体。

脆弱、泄露和被盗的凭据

由于凭据薄弱、泄露或被盗而危及 IT 环境的情况屡见不鲜。凭据泄露和被盗的方式有多种，包括网络钓鱼等社交工程、记录击键或从操作系统和浏览器窃取凭据的恶意软件，以及缓存、存储和/或处理凭据的被入侵系统。有时，开发人员将项目放在公开的代码共享网站上，这些网站上有一些秘密，比如忘记在代码中的密钥和密码。被放弃但仍在运行的旧开发和测试环境，如果不及时修补，最终会向攻击者提供凭证。

多年来，在互联网上发现了大量被盗和泄露的凭据。除了这些列表之外，高性能计算集群和基于 GPU 的密码破解工具的可用性也使得密码本身无法有效保护资源和帐户。一旦密码泄露或被盗，它们就有可能被用于对系统的未授权访问、“重用”攻击和权限提升。密码本身保护企业资源的效用早已不复存在。随后，使用多因素认证 ( MFA )对企业和消费者都是一种需求。在许多(但不是所有)情况下，使用 MFA 可以减少凭据被盗和泄露。使用 MFA，即使攻击者拥有帐户的有效用户名和密码，如果攻击者不具备身份验证所需的其他因素，他们也无法访问该帐户。其他可用于身份验证的因素包括数字证书、在专用硬件或智能手机应用程序上生成的一次性密码和 pin 码、对预先注册的座机或手机的呼叫等等。

MFA 不是针对弱密码、泄露密码或被盗密码的灵丹妙药，但它在许多情况下非常有用。对一些 MFA 方法已经有一些成功的攻击。例如，通过 SMS 拦截发送到预先注册的移动电话的 pin 码的 SIM 交换攻击。MFA 的另一个实际限制是它在企业 it 环境中并不普遍。拥有数十年使用老式身份验证和授权方法的遗留应用程序的组织不太可能完全减轻 MFA 带来的风险。即使最新的系统和基于云的服务需要 MFA，也有可能有更多的传统应用程序不容易利用它。

这里我想到了一幅冰山的图片。我交谈过的几个 CISOs 在渗透测试中亲身经历了这种限制，暴露了 MFA 在其环境中的局限性。尽管如此，MFA 应该被广泛采用，因为它成功地缓解了许多攻击场景，其中涉及弱密码、泄露密码和被盗密码。对于正在采用的新系统，应该有此要求，并且应该仔细考虑没有此要求的旧系统所带来的风险，并在可能的情况下减轻这些风险。有几家供应商专门从事此类缓解工作。

当内部部署的企业环境最初遭到破坏时，攻击者使用泄漏或窃取的凭据来执行侦察，并寻找环境中缓存的其他凭据。他们特别注意管理员凭证，这些凭证可以让他们在受损的环境中无限制地访问资源。通常情况下，在最初的危害发生后的几秒钟内，攻击者试图访问受害组织的用户帐户目录服务，如微软活动目录 ( AD )，以转储目录中的所有凭证。他们可以用来移动和保持持续的凭证越多，就越难将他们从环境中驱逐出去——他们可以无限期地持续下去。攻击者将试图窃取用户帐户数据库。如果攻击者成功地从他们的目录服务中获得所有凭证，那么恢复真的是令人向往的。

一旦攻击者窃取了哈希凭证，这些凭证中最弱的一个就可以在几个小时内被离线攻击破解。较长的、不常见的和真正复杂的密码将最后被破解。几十年来，关于密码与通行短语的功效，以及适当的字符长度、字符集、密码锁定策略、密码过期策略等，一直存在激烈的争论。随着威胁和风险的变化以及新数据的出现，密码指南也在不断变化。我在微软身份保护团队中的一些同事根据他们在企业和消费者身份系统上每天看到的 1000 万次凭据攻击的数据发布了密码指南。《微软密码指南》(Hicock，2016)推荐阅读。

当凭据从组织中泄露或被盗时，攻击者很快就会通过脚本运行它们，这些脚本试图登录金融机构、电子商务网站、社交网站和其他网站，希望凭据在某个地方被重用。跨帐户重复使用密码是一种可怕的做法。简而言之，提供多个帐户访问权限的凭据比不提供的凭据对攻击者有更高的投资回报率。可以提供访问公司资源和信息的一组被破坏的凭证，以及也可以作为丰富的信息来源和潜在受害者的社交网络，都是有价值的。

为每个帐户使用唯一的密码并在任何地方使用 MFA 可以减轻这种风险。如果您有太多的帐户要分配唯一的密码，那么使用密码库使生活更容易。对于消费者和企业来说，有许多商业可用的产品。

身份一直是网络安全最难的部分。身份治理和管理值得拥有自己的书。我提供了一个非常不完整的建议列表来帮助管理脆弱、泄露和被盗的凭据的风险:

• MFA 可能非常有效——尽可能在任何地方使用它。微软发表了一篇关于 MFA 有效性的伟大博文，名为“你的 Pa$$word 无关紧要”(Weinert，2019)，推荐阅读。
• 您应该知道您的组织是否正在泄漏凭据，以及这些泄漏的凭据存在了多长时间。使用一个收集泄露和被盗凭据的服务，并查找您的组织在网上出售和交易的凭据，可以让您安心一点，因为您不会错过一些明显的东西。了解这些凭据的年龄有助于确定密码重置是否必要以及潜在受影响的人数。
• 特权访问管理解决方案可以检测哈希传递、票证传递和黄金票证攻击，以及攻击者在您的基础架构中的横向移动和侦察:
  • 其中许多解决方案还提供密码保险存储、凭据代理和专业分析。其中一些解决方案可能会有噪音，容易出现误报，但它们仍然可以帮助您管理和检测薄弱、泄露和被盗的凭据。
• 在基于云的环境中，身份和访问管理(IAM)控件是您拥有的最强大的控件。利用 IAM 控件提供的所有功能可以帮助您保护和检测云中的资源。但是，这是一个控制集领域，可以迅速扩散成一个不可收拾的烂摊子。围绕您的组织的 IAM 策略的额外的深思熟虑的计划将支付巨大的安全红利。

我将在本书的第五章、网络安全策略中进一步讨论身份。

保护凭据的一个重要方面是教育组织内的信息工作者注意社交工程攻击，攻击者可能试图通过网络钓鱼等方法窃取凭据。然而，这并不是社会工程用来危害系统的唯一方式。接下来我们将更详细地讨论社会工程。

社会工程

在通常的网络安全怀疑中，社会工程是最广泛使用的方法。简而言之，社会工程正在欺骗用户做出糟糕的信任决定。不良信任决策的例子包括通过改变系统的设置而降低系统的安全状态，而不了解这样做的可能结果，或者在系统上安装恶意软件。攻击者在社会工程攻击中依靠受害者的天真。

社交工程攻击的数量比其他类型的攻击多几个数量级。例如，微软报告的 2019 年 7 月电子邮件钓鱼攻击量占当月通过 Office 365(微软公司，n.d .)流动的超过 4700 亿封电子邮件的 0.85%。仅在一个月内，就有 40 亿封网络钓鱼电子邮件依靠社会工程被检测出来。同样，木马是一种依赖社会工程才能成功的恶意软件，在过去十年中一直是世界上最流行的恶意软件。我将在第三章、威胁格局的演变——恶意软件中详细讨论这一类别的恶意软件和许多其他种类的恶意软件。

鉴于大量的社会工程攻击，以及它们成功的历史记录，减轻这些攻击对企业来说确实不是可有可无的。企业网络安全策略的一个基本组成部分是针对社会工程攻击的缓解策略。换句话说，在你的网络安全策略中不包括社会工程攻击将意味着忽略组织最初被大量攻击的主要方式。

社会工程攻击通常由组织外部的攻击者实现，用户必须通过适当的教育和培训做好准备。另一个需要防御的挑战是来自内部的威胁。最后一条潜在的妥协途径是内部威胁，我们接下来将讨论这一点。

内部威胁

在与 CISOs 和安全团队讨论内部威胁时，我发现将它们分成三个不同的类别很有用，这里从最有可能到最不可能列出:

1. 用户和管理员会犯错误或做出不可信的决策，从而导致不良的安全后果。
2. 独狼内部人员或极少数利用其特权窃取信息或以其他方式对组织的信息技术和/或数据的机密性、完整性或可用性产生负面影响的个人。
3. 多名内部人员共同努力克服分散安全控制范围的职责分离的大规模阴谋。我发现企业在讨论托管服务提供商环境和云中的风险时，通常会提到这一类别。

减轻内部威胁是网络安全的一个重要方面，也是任何企业策略的基础。强制执行有意义的职责分离和采纳最小特权原则是有帮助的，监控和审计也是如此。

在看到欺骗技术如何被用来减轻内部威胁后，我成了它的忠实粉丝。欺骗技术有几种不同的方法，但基本概念是为攻击者提供一个系统，该系统可能具有众所周知的漏洞或常见的安全错误配置，当与这些漏洞或错误配置交互时，会提醒防御者注意攻击者的存在。这种方法有助于提醒防御者注意外部攻击者和内部威胁的存在。我听到一些安全专业人士称之为 it 环境中的“煤矿中的金丝雀”。在尽可能少的人参与的情况下实现欺骗技术，并对程序保密，这有助于暴露我概述的三类内部威胁中的至少两类。

这是组织最初受到损害的五种方式。防御这五种攻击是有效网络安全的基础。

关注网络安全基础知识

为了有一个成功的网络安全计划，组织需要非常善于持续缓解所有这五种类型的威胁。这种能力构成了健全的网络安全策略的基础。如果该策略的基础不牢固，其他网络安全相关投资的回报可能会减少。

在攻击者使用这五种方法中的一种或多种来初步危害组织后，他们可能会使用大量新颖和高级的 TTP。专注于网络安全基础的组织让攻击者更难得逞；也就是说，通过关注网络安全基础所在的钟形曲线内部的 85%，而不是曲线两端外围的 7.5%，安全团队将会更加成功。不幸的是，寻找高级持久威胁的诱惑可能会从曲线中间不太性感但很关键的工作中夺走资源。

图 1.2:说明大多数安全团队应该把时间花在网络安全基础知识上的钟形曲线

如果真的只有五种方式让组织最初受到危害，为什么在网络安全项目的适当优先级方面，行业中似乎有如此多的混乱？我认为造成这种混乱的因素有很多。造成混乱的一个原因是，流行媒体报道攻击、安全事件和数据泄露的方式有时会混淆攻击者的策略和动机。这可能导致组织做出错误的安全优先级决策。

理解攻击者的动机和策略之间的差异

我发现许多组织缺乏对网络安全基础知识的关注和能力的原因之一是过去十年中新闻报道大数据泄露的方式。声称一次攻击是“迄今为止最先进的攻击”或“一个民族国家”所为的故事似乎很常见。但是，当您仔细观察这些攻击时，受害者组织最初总是被攻击者使用我在本章中概述的五种方法中的一种或多种来危害。

有些攻击者公开活动，因为基于他们的位置和法律管辖权，他们不相信他们的非法活动会有后果。但这是一个例外，他们会模糊自己真实的个人身份。声称一次攻击是一个民族国家或一个 APT 组织所为通常是基于间接证据。快速变化的社交媒体账户网络和传播虚假信息的新闻渠道加剧了归属的挑战。

将攻击归咎于个人或团体可能非常困难。这是因为互联网是基于 35 年前开发的一套协议。

开发这些高度可扩展和复杂协议的工程师从未设想过这样一个未来世界:一个每年价值数十亿美元的产业将建立在新的安全漏洞、恶意软件研究、社会工程保护和国家行为者的发现之上。TCP/IP 第 4 版是互联网的基础，但它从未被设计用来帮助调查人员对利用全球范围内的巨大分布式系统网络的攻击进行归因。比较来自两个恶意软件样本的代码片段以确定是否是同一个攻击者开发的，这并不是一种可靠的方法来执行归因，尤其是当攻击者知道这是一种常见的技术时。在已经被入侵数月或数年的大型环境中，使用来自被入侵系统的数据来寻找“零号患者”，是不可能完全有把握的。

但是，许多网络安全专家仍然使用这种类型的数据来猜测攻击者的动机和身份。攻击者的动机包括:

• 恶名:攻击者想要证明他们比大型高科技公司及其受害者更聪明。
• 利润:正如我将在第三章、中讨论的，威胁格局的演变——恶意软件，在 2003 年成功的蠕虫攻击之后，恶意软件开始演变以支持持续至今的利润动机。
• 经济间谍:例如，东亚某大国的一些团体涉嫌从西方国家窃取有价值的知识产权，以给自己的产业带来竞争和经济优势。
• 军事间谍活动:这是一个与政府本身一样古老的动机，政府希望了解对手的军事能力。
• 黑客主义:基于政治或哲学问题上的分歧而攻击组织和机构。
• 影响选举:利用文化操纵和信息战来帮助国家实现外交政策目标。
• 许多其他人:看任何一部詹姆斯·邦德的电影，其中反情报、恐怖主义、报复和勒索的特别执行官 ( 幽灵)是情节的一部分。

如果大多数组织不能真正知道谁在攻击他们，那么他们就不能真正理解攻击者的动机是什么。如果 CISOs 不知道攻击者的动机是什么，他们怎么知道什么是适度反应呢？谁应该帮助受害者组织应对攻击-地方当局、军方、国际联盟？

尽管如此，我还是和那些网络安全策略严重依赖归属的组织谈过。在为微软的客户进行了数百次事件响应调查后，我发现可以有把握地进行及时归因的假设过于乐观。对于大多数组织来说，依靠准确的归因来制定网络安全策略或帮助做出事件响应决策纯属幻想。但是，我相信您可以以 99.9%的把握预测攻击者在试图首先破坏 IT 环境时将使用的策略。这是组织应该投资的——网络安全基础。

拥有网络安全策略是朝着正确方向迈出的一大步。但它本身代表了良好的意愿，而不是本组织的承诺。在下一节中，我们将了解为了成功实现有效的网络安全策略还需要做些什么。

成功策略的其他要素

有一堆与管理相关的工作需要完成，以确保 CISO、安全团队和组织的其他部分能够有效地执行网络安全策略。本节概述了一些使策略最有可能成功的因素。

那些告诉他们所支持的企业，“不，你不能这样做”的 CISOs 不再受欢迎。安全团队必须与其组织的业务目标保持一致，否则他们不会成功。

业务目标一致性

我遇到过许多首席信息官，他们在自己的岗位上苦苦挣扎。他们中的一些人只是没有得到他们的组织的适当支持。很容易发现一些高管认为网络安全威胁被夸大了，他们的 CISO 所做的一切都是对他们试图完成的事情征税。对这些人来说，网络安全只是另一个应该支持他们争取资源的计划。毕竟，公司不会通过成本中心达到下一个收入里程碑，对吗？

与不了解其组织所面临的网络安全威胁、也没有时间关注这些威胁的高管一起工作并不罕见。大多数首席信息安全官必须与其他高管合作完成工作，即使这些高管没有意识到他们与 CISO 有着共同的命运；当 CISO 失败时，他们都失败了。但我见过的最好的首席信息安全官往往能在这样的环境中茁壮成长。

无论 CISO 是在我描述的环境中工作，还是有幸与关心他们是否成功的人一起工作，要想成功，首席信息安全官需要与他们支持的业务保持一致。不理解并接受他们所支持的组织的目标的 CISOs 会产生摩擦。高层领导人在要求改变之前，只愿意容忍这么多摩擦。对业务及其运作方式的深刻理解给开明的首席信息官提供了真正支持其组织所需的知识和信誉。换句话说，“纯粹主义”的首席信息安全官试图将数据保护与他们的组织赖以成功的人员、业务流程和技术隔离开来，但他们只是做了他们被雇来做的工作的一部分。

网络安全策略只有在真正支持业务的情况下才会成功。开发有助于减轻安全团队最关心的风险的策略可能会让团队感到满意，因为他们有一个严密的计划，使攻击者难以得逞。但是，如果这种策略也使企业难以保持竞争力和灵活性，那么安全团队必须做得更好。

向你的高管同事证明你在那里帮助他们的最好方式是了解他们管理的业务部分，他们的优先事项是什么，并赢得他们的信任。所有这些都不会在你的安全运营中心 ( SOC )发生，所以你将不得不花时间在他们的世界里，无论是在工厂车间，在仓库，在卡车上，还是在办公室。站在他们的立场上走一英里，他们会更容易听从你的建议，在重要的时候为你辩护。

最后，请记住，沟通、管理和减轻业务风险是 CISO 的工作，而不是决定组织的风险偏好。自该组织成立以来，董事会和高级管理层一直在为其管理风险。他们一直在管理各种风险，包括财务风险、经济风险、人力资源风险、法律风险和许多其他风险。网络安全风险可能是他们被迫管理的最新类型的风险，但如果 CISO 能够学会以与企业其他部门相同的方式沟通网络安全风险，企业将为客户和股东做正确的事情，否则他们将付出代价——但这是企业的决定，而不是 CISO 的决定。

也就是说，责任、义务和授权是相辅相成的。许多 CISOs 面临着严峻的现实，他们有责任降低企业接受的风险，但没有权力做出必要的改变或实现对策。简而言之，CISO 的工作很辛苦。这可能有助于解释为什么与其他高管相比，CISO 的任期通常如此之短。

对网络安全在一个组织更广泛的业务策略中的位置有一个明确和共同的愿景，这不仅在一个组织的高层非常重要；组织作为一个整体，应该对其网络安全计划的愿景、使命和必要性有一个清晰的立场。我们接下来会看看这个。

网络安全愿景、使命和当务之急

花时间制定并记录网络安全计划的愿景、使命陈述和必要条件对首席信息安全官很有帮助。从网络安全的角度传达组织未来最佳状态的共同愿景可以成为发展支持性企业文化的有力工具。它可以激发对网络安全团队和组织未来的信心。它还可以激发人们对安全团队的热情和好感，这对他们的工作很有帮助。

同样，一份写得很好的使命宣言可以成为组织积极的文化咒语。一份好的使命陈述可以传达安全团队试图完成的任务，同时展示安全团队如何与业务、客户和股东保持一致。使命陈述将有助于传达安全小组的目标，因为它与组织的其他部分一起工作。

最后，业务需求是网络安全团队在未来两三年内的主要目标。这些目标应该足够雄心勃勃，不能在一个财年内实现。要务支持策略，并与更广泛的业务目标保持一致。当策略与更广泛的业务目标不一致时，这可能会显示出一个不合适的必要条件——一个圆孔中的方钉。为什么业务支持是一个与其目标不一致的大的多年目标？这应该是向 CISO 发出的一个信息，要求它重新调整策略，重新思考当务之急。这些多年目标成为网络安全组织开展项目的基础。一个命令可能由一个项目完成，也可能需要多个项目。记住一个项目有一个明确的开始日期，结束日期和预算。

不要把这和一个不一定有结束日期并且可以永久资助的项目相混淆。项目可以也应该有助于团队的使命。

为网络安全项目制定愿景、使命宣言和必要措施并不总是容易或简单的。如果没有网络安全小组之外的利益相关者的支持，愿景就无法实现，让他们相信该计划的价值可能会非常耗时。这项工作的未来回报，对于 CISO 和整个网络安全组织来说，通常是值得的。接下来，我们将简要讨论如何获得这种支持，这是我们成功的网络安全策略的重要组成部分之一。

高级管理人员和董事会支持

确保高级管理人员和董事会理解并支持组织的网络安全策略是安全计划成功的重要一步。如果高级管理人员了解策略，参与制定并批准了策略，他们应该表现出更多的主人翁精神，支持策略向前发展。但是，如果他们与策略没有联系，那么为支持策略而执行的活动将是潜在的破坏性和不受欢迎的。他们不会理解为什么要做出改变，或者为什么治理模型会有这样的行为。

首席信息安全官在面试 CISO 的新职位时应该问的两个重要问题是，该职位向谁报告，以及 CISO 多久与董事会或董事会审计委员会会面一次？如果 CISO 没有每季度或每年两次与董事会开会，那就是一个危险信号。这可能是 CISO 向其汇报的角色，而是与董事会会面。但除非这个角色在策略和日常运营中根深蒂固，否则他们应该将与董事会开会的工作分担或委托给 CISO。这给了 CISO 与理事会讨论优先事项的第一手经验。它还允许理事会成员直接从 CISO 获得他们的更新，并直接向他们提问。我会非常犹豫是否接受 CISO 的工作，因为这个职位每年至少不会与董事会直接会面几次。

这一经历很重要，表明 CISO 是本组织管理层的合法成员。如果 CISO 没有机会请求董事会帮助他们的同行，包括首席执行官，这是他们的同行不需要支持他们的另一个原因。在 CISO 和董事会之间增加管理层可能是高级管理层用来延迟、影响或阻止 CISO 推进其安全计划的一种策略。它还可以为那些不具备商业头脑或企业成熟度、无法与董事会直接互动的首席信息官提供庇护。

但如果高管团队真的支持 CISO 和网络安全策略，他们应该欢迎 CISO 有机会在不建立更多官僚机构的情况下尽快获得所需的帮助。此外，高管团队应该已经知道 CISO 会告诉董事会什么，如果他们认真对待自己的责任的话。当然，历史告诉我们，就网络安全而言，情况并非总是如此。

如果 CISO 成功地让董事会同意网络安全策略，这将使董事会更容易理解安全团队为什么要做他们正在做的事情。这也将使 CISO 在需要时更容易寻求帮助，并对照该策略报告结果。我不认为这是一件容易的事情。我第一次和董事会见面就像是和阿加莎·克里斯蒂小说或《线索游戏》中的人物见面。我见过的董事会成员在专业方面都很有成就。有些人对自己的成就很谦虚，而有些人则宣称自己的成就是为了影响他人。似乎总会有至少一名董事会成员声称拥有网络安全经验，希望提出尖锐的问题，并就网络安全问题向 CISO 提出建议。但是，如果 CISO 能够有效地传达一个基于数据的网络安全策略结果视图，该策略也是理事会批准的策略，这些对话对所有利益相关者都非常有帮助。此外，内部和外部审计的结果通常会让董事会对 CISO 的工作效率有所信心。

在与全球数千个组织的高管就网络安全进行交流后，我可以告诉你，在组织愿意接受的风险程度上确实存在差异。除了获得高级管理人员和董事会的支持，很好地了解他们的风险偏好也很重要，我们将在接下来讨论这一点，因为这可能会对网络安全策略产生重大影响。

了解风险偏好

一些组织处于高度竞争的行业中，在这些行业中，创新、速度和敏捷性是重中之重；当面临安全和法规遵从性决策时，这些组织往往愿意接受更大的风险，因为这些决策可能会降低他们的速度或妨碍他们的竞争力。对于这些公司来说，如果他们不承担计算好的风险，他们不会在未来的业务中做出足够长的决策。我谈过的其他组织非常厌恶风险。这并不意味着他们一定会行动缓慢，但他们在做决定时需要更多的确定性。

他们愿意花时间真正理解基于风险的决策中的因素和细微差别，以努力为他们的组织做出最佳决策。当然，在这两个例子之间也有组织。

了解其组织中高级管理层风险偏好的 CISOs 可以帮助他们做出更快、更好的决策。这些年来，我看到许多首席信息安全官决定扮演“房间里的大人”的角色，试图规定组织应该接受多大的风险。在大多数情况下，这不是 CISO 的工作。提供背景和数据以帮助企业做出明智的基于风险的决策是 CISOs 应该提供的功能。有时，他们还必须教育不了解网络安全风险的高管和董事会成员。但我发现，在成熟的组织中，早在网络安全风险与他们相关之前，高管团队就已经在为组织管理多种类型的风险，这一点非常有用。请注意，对于初创企业或 CISO 在其支持的业务中也有深厚专业知识的组织来说，这可能会有所不同；在这些场景中，CISO 可能会更直接地为组织做出风险决策。但在所有情况下，理解组织在正常业务过程中愿意接受多大的风险对 CISOs 来说都很重要。

组织对风险的偏好将在他们的治理模型和治理实践中表现出来。在许多情况下，为了更快地前进而接受更多风险的组织将精简他们的治理实践，以最小化摩擦和障碍。想要采取谨慎的决策方法的组织通常会实现更多的治理控制，以确保决策完全通过适当的流程。因此，首席信息安全官必须验证他们对组织风险偏好的理解，而不是做出假设。这就是他们的业务知识和他们的同行的优先事项将有所帮助的地方。

除了对业务优先级的了解，对组织当前的能力和技术人才有一个现实的想法也很重要。我们接下来会讨论这个问题。

对当前网络安全能力和技术人才的现实看法

我认识的许多首席信息安全官都渴望拥有一个世界级的网络安全团队来设计、实现和操作复杂而有效的控制措施。然而，诚实面对自己目前的状况是最好的起点。

十多年来，整个行业一直严重缺乏网络安全人才。随着越来越多的组织开始意识到他们需要认真对待网络安全，否则将遭受潜在的违规处罚和负面的声誉后果，这个问题变得越来越严重。评估安全团队目前拥有的人才有助于首席信息官和首席信息官确定关键的专业知识缺口。例如，如果安全团队在漏洞管理或事件响应等关键领域人手不足，首席信息官和首席信息官需要尽早了解这一情况。如果您的员工在他们负责或预期使用的一些硬件、软件或流程方面未经培训，确定这些差距是解决这些差距的第一步。它还有助于首席信息官和首席信息官为安全团队成员确定专业发展领域，并发现潜在的未来领导者。跨团队或跨职能的交叉授粉员工将有助于以未来可能有用的方式发展他们。

关键是首席信息官和首席信息官在评估时要尽可能地实事求是，这样他们才能对组织中的人才有一个清晰的认识。不要让对伟大的渴望描绘出一幅不准确的组织人才的图画。这将更容易优先考虑所需人才的类型，并使组织的招聘人员有更好的机会吸引合适的新人才。

制图，或者对你当前的网络安全能力做一个清单，是另一个重要的练习。这些结果将为我之前讨论的网络安全需求的发展提供信息，并有助于确定能力方面的关键差距。它还可以帮助识别对功能的过度投资。例如，发现组织购买了三个身份管理系统，但实际上只部署了其中一个。当组织没有足够的漏洞扫描器来在合理的时间内胜任扫描和修补基础架构的工作时，就会发生这种情况。

在大多数大型复杂的 IT 环境中，这不是一件容易的事情。从采购部门获得授权列表或从 It 部门获得已部署的软件清单可能相对容易。但是，知道已经部署了特定的设备、软件或功能套件只能回答 CISO 需要回答的部分问题。真正理解这些功能的部署和操作的成熟度同样重要，但通常更难确定。仅仅因为一个身份管理产品已经投入生产，并不意味着它的所有功能都已经实现或启用，也不意味着该产品正在被主动管理，并且它产生的数据正在被任何人使用。

发现这些细节可能具有挑战性，并且衡量它们对您的策略的影响可能太难了，以至于无法实际考虑。但是，如果没有这些细节，您可能无法准确识别保护、检测和响应能力方面的差距，以及发生过度投资的领域。

如果首席信息官和首席信息官能够准确了解他们当前的网络安全人才和能力，他们就能更容易、更经济地有效管理组织的网络安全项目。

根据我的经验，当网络安全团队和合规团队不能很好地合作时，组织中会有很多冲突和摩擦。接下来让我们探索这种动态。

合规计划和控制框架的一致性

我见过网络安全团队和合规团队在控制框架和配置上相互冲突。当这种情况发生时，组织内的网络安全策略和合规性策略之间往往会出现脱节。例如，CISO 可能决定网络安全团队将 ISO 作为他们衡量自己的控制框架。如果合规团队正在衡量对 NIST 标准的合规性，这可能会导致一次又一次关于控制框架和配置的谈话。一些组织快速有效地解决了这些差异，而其他组织则努力协调这些工作。

网络安全和合规团队之间不一致的一个常见领域是内部标准和行业标准中的控制措施不一致。内部标准通常由最适用于每个组织的特定风险和控制提供信息。但是，当内部标准比行业标准新时，内部标准和行业标准之间就会出现差异，反之亦然。例如，行业标准规定帐户锁定策略必须设置为最多 5 次不正确的密码输入。但是网络安全团队知道，在强制执行强密码策略的环境中，尤其是在启用了 MFA 的系统上，这种控制是“安全剧场”。但是，为了满足行业标准，他们可能会被迫打开帐户锁定策略，从而使攻击者能够通过拒绝服务攻击随时锁定帐户。

我见过合规专业人士与 CISOs 争论这些过时的控制标准的有效性，他们只是试图成功地遵守行业标准，而没有考虑到他们实际上增加了整个组织的风险。我甚至看到一些合规专家在工作过程中声称，他们可以代表整个组织接受风险，而这种决策是很少发生的。

应该认识到并承认法规遵从性和安全性对组织都很重要。法规遵从性由责任法规驱动，安全性由预防、检测和响应驱动。CISOs 应促进标准化和应用框架的一致性，以实现安全性和合规性。法规遵从性专业人员需要认识到，任何将法规遵从性放在更高优先级的组织最终都会受到损害。

网络安全小组和合规小组应共同努力，找到既能满足标准，又能保护、检测和应对现代威胁的方法。这些不同但重叠的规程应该与帮助组织管理风险的共同目标相协调。正如我前面提到的，网络安全策略应该以组织的高价值资产和他们关心的特定风险为基础。合规团队是第二道防线，旨在通过将他们的控制与内部、行业和/或监管标准进行比较，确保网络安全团队有效地开展工作。但他们需要准备好评估存在差异或冲突的控制措施的有效性，而不是盲目地要求遵守某个标准。

例如，通常情况下，通过满足过时的行业标准来接受更多风险的决定应该由风险管理委员会或更广泛的内部利益相关者群体做出，而不是由单个个人或团体做出。内部和外部审计团队是第三道防线，通过审计工作结果来帮助网络安全团队和合规团队保持诚实。当这些团队为控制框架和标准而争斗时，没有人会赢，特别是当所讨论的框架或标准基于其他人的威胁模型时，行业和监管标准几乎总是如此。

一些组织试图通过向法规遵从性组织提交 CISO 报告来解决这个问题。我总是为 CISOs 感到遗憾，我会向合规或审计领导报告。这绝不是对合规、审计专业人士或领导力的批评。简单来说，网络安全和合规是不同的学科。

合规性关注于证明组织成功满足内部、行业和/或监管标准。网络安全专注于保护、检测和应对现代网络安全威胁。它们共同帮助组织管理风险。我将在第五章、网络安全策略中详细讨论“作为网络安全策略的合规性”。然而，接下来，我们将讨论网络安全和 IT 保持愉快且富有成效的相互关系的重要性。

网络安全和 IT 之间的有效关系

以我的经验来看，与企业 IT 部门保持良好工作关系的首席信息官通常在工作中更快乐、更有效率。与它的无效关系会让 CISO 人的生活很痛苦。同样真实的是，首席信息安全官会让首席信息官和 It 部门副总裁的工作变得令人沮丧。我遇到过许多 CISOs，他们与其组织的 IT 部门的工作关系并不理想。我见过许多网络安全组织和 IT 组织像油和水一样相互作用，而成功的唯一途径就是合作。毕竟，他们有着共同的命运。那么，有什么问题呢？简单地说，在很多情况下，改变是很难的。首席信息官们很容易将 CISOs 的崛起解读为自身缺点的副产品，不管这是否准确。首席信息官代表着变革，他们中的许多人是变革的领导者。

此外，我认为这种动态可以发展至少有几个原因。这些团体的组织方式可能是其中之一。我见过的最常见的两种网络安全团队整合方式如下，这些团队通常比大型成熟组织中的 IT 组织更新:

• CISO 向 IT 部门报告并共享 IT 资源以完成工作。
• CISO 在 IT 部门之外向首席执行官、董事会、法律部、合规部或首席财务官报告。这种模式有两种风格:
  1. CISO 有自己的网络安全资源，但需要 IT 资源来完成工作。
  2. CISO 有自己的网络安全和 IT 资源，可以独立完成工作。

历史上，CISO 向 IT 组织报告的情况非常普遍。但是这种报告关系一直在演变。如今，我估计我遇到的 CISOs 中只有不到 50%的人会向 IT 部门汇报。报告关系发生这种变化的原因之一是，首席信息官往往将信息技术优先于网络安全。

网络安全与任何其他 it 项目一样，必须与其他 IT 项目排队，并与它们竞争资源才能完成工作。沮丧的 CISOs 们要么成功说服他们的老板网络安全不仅仅是另一个 IT 项目，要么被迫升级。这种升级没有赢家，尤其是 CISO。在许多情况下，CISO 留给首席信息官的是憎恨他们的人，视他们为 IT 组织的负担。

许多首席信息官花了几年时间才意识到每个 It 项目都有安全需求。降低网络安全计划的优先级或减缓其速度意味着每个依赖于网络安全能力的 IT 项目要么被推迟，要么需要一个例外来回避这些要求。后者往往比前者更常见。当首席执行官和其他高管开始失去工作，董事会董事因数据泄露而被追究责任时，许多组织接受外部顾问的建议，让他们的 CISOs 向首席执行官报告或直接向董事会报告。这样，如果没有最高级别的人参与做出这些风险决策，网络安全就不会被置于次要地位。

在 CISO 向 CEO、董事会或公司的其他部门报告的场景中，引入了新的挑战。CISO 将从哪里获得完成工作所需的 IT 人员？当 CISO 向 it 部门报告时，访问 IT 资源变得更加容易，即使他们必须排队。对于 it 组织之外的 CISOs 来说，他们只有很少的选择。他们可以从 IT 部门获得资源并成为他们的客户，或者他们必须雇佣自己的 IT 资源。成为它的客户听起来会让 CISOs 的事情变得更容易，但只有当他们与它有良好的关系，导致积极的结果。否则，它可能与 CISO 向其报告的模型没有足够的不同。尽管雇佣他们自己的资源听起来是权宜之计，但这种方法存在挑战。例如，变更控制可能变得更加复杂，因为它不是唯一一组可以在环境中进行变更的人。很多时候，这导致 IT 工程师看到网络安全工程师在他们的共享环境中做出改变，反之亦然。使用两倍的资源来确保事情及时完成是解决这个问题的一种方法。但是大多数组织可以找到更好的资源利用方式。

我见过更好的方法。当首席信息官、首席信息官和首席技术官相互尊重彼此的章程并相互支持时，工作会更容易，事情会更有效率。

首席信息官需要与他们的 IT 部门建立良好、有效的工作关系，以确保他们能够完成工作，而不是通过资源争夺或权力主张来定义关系。建立这样的关系并不总是容易的，甚至是不可能的，但我相信这是一个成功的网络安全策略的关键因素。理想情况下，这些关系会发展成一种安全文化，整个组织都会从中受益。

关于文化的话题，成功的网络安全策略的最后一个要素是强大的安全文化。这种文化要求组织中的每个人都了解他们在帮助维护良好的安全态势以保护组织免受危害方面的角色。让我们在本章的下一节也是最后一节更详细地讨论它。

安全文化

有人最近说，“文化早餐吃策略。”我完全同意。成功地将安全融入企业文化的组织能够更好地保护、检测和应对现代威胁。例如，当组织中的每个人都了解社会工程攻击看起来像什么，并在寻找这种攻击时，它会使网络安全团队的工作变得容易得多，并给他们更大的成功机会。相比之下，在工作环境中，由于员工双击来自未知发件人的电子邮件中的附件，员工不断被成功钓鱼，漏洞不断被利用。在这些环境中，网络安全团队花费大量时间和精力来应对已经意识到的威胁。强大的安全文化有助于减少威胁、减少检测和响应时间，从而减少相关的损失和成本。

文化超越训练。员工接受一次性或每年一次的合规性安全培训是一回事，但员工在培训中学习到的理念和行动要求要得到所有员工和工作环境本身的持续支持和强化则完全是另一回事。这不应该仅限于一线信息工作者。开发人员、操作人员和 IT 基础设施人员都从包含安全性的文化中受益。安全文化可以帮助员工在缺乏治理或明确指导的情况下做出更好的决策。

关于网络安全培训的游戏化，有一点值得注意:当组织将一些网络安全培训从阅读和视频转移到更具互动性的体验时，我看到了良好的效果。

我主持了“游戏日”活动，旨在帮助组织了解威胁建模和云安全。老实说，我对使用这种方法非常怀疑。但是我已经看到许多高管和安全团队接受了它，并提供了热情的反馈，现在我是用于培训目的的游戏化的忠实粉丝。

当组织中的每个人都帮助首席信息安全官时，他们成功的机会更大。我鼓励首席信息安全官们在其他高管的帮助下，花些时间培养一种安全文化，因为这肯定会带来回报。

章节总结

我在这一章中涉及了很多内容。但是我在这里提供的背景将对本书其余部分的读者有所帮助。在这一章中，我介绍了网络安全基础知识、网络安全常见疑点、高价值资产(HVAs)和其他概念，我将在本书的其余部分中不断提及这些概念。

什么是网络安全策略？网络安全策略至少有两个关键输入:您组织的 HVAs，以及适用于您组织的特定要求、威胁和风险，这些信息来自您所在的行业、您在世界上开展业务的地方以及与组织相关的人员。如果 HVA 的机密性、完整性或可用性受到损害，组织将会失败或受到严重破坏。因此，识别 hva 并优先保护、检测和应对它们是至关重要的。这并不意味着安全团队可以完全忽略其他资产。HVAs 的清晰性有助于安全团队区分优先级，并避免灭绝事件。

只有五种方式会让组织最初受到危害，我称之为网络安全通常的嫌疑人。它们包括未打补丁的漏洞、安全错误配置、薄弱、泄露和被盗的凭证、社会工程和内部威胁。非常擅长管理网络安全基础的组织会让攻击者更加难以得逞。在 IT 环境遭到初步破坏后，攻击者可以使用许多策略、技术和程序(TTP)来实现他们的非法目标。高级网络安全功能可以帮助安全团队检测 TTP 的使用，并减少响应和恢复时间。不要混淆攻击者的动机和他们的策略。由于攻击的准确归属非常困难，因此大多数组织不太可能确定谁在攻击他们以及他们的动机是什么。

无论攻击者是商业恶意软件的供应商还是一个民族国家，他们最初试图危及受害者 IT 环境的方式都仅限于网络安全的常见嫌疑人。精通网络安全基础知识让攻击者更加难以下手，无论他们是试图窃取知识产权的民族国家，还是敲诈勒索者。

网络安全策略是成功的必要条件，但它本身是不够的。成功策略的要素包括:

• 业务目标一致性
• 网络安全愿景、使命和当务之急
• 高级管理人员和董事会支持
• 了解组织的风险偏好
• 对当前网络安全能力和技术人才的现实看法
• 合规计划和控制框架的一致性
• 网络安全和 IT 之间的有效关系
• 安全文化

既然已经介绍了所有这些内容，我将在接下来的章节中继续介绍。在接下来的几章中，我将探讨威胁格局是如何演变的。我相信，当 CISOs 了解威胁如何随着时间的推移而变化时，他们可以做出更好的决策。我将深入探讨的三类威胁是 CISOs 最常问我的:漏洞、恶意软件和基于互联网的威胁，如网络钓鱼和驱动下载攻击。

参考

1. 希科克河(2016 年)。微软密码指导。检索自微软公司网站:www . Microsoft . com/en-us/research/WP-content/uploads/2016/06/Microsoft _ Password _ Guidance-1 . pdf
2. 微软公司。(2007-2016).微软安全情报报告。检索自
3. 微软公司。(未注明日期)。微软安全情报报告。检索自
4. 国家脆弱性数据库。(未注明)。检索自
5. a . weinert(2019 年 7 月 9 日)。你的 Pa $ $字不重要。检索自tech community . Microsoft . com/T5/azure-active-directory-identity/your-pa-word-does-t-matter/ba-p/731984

二、利用漏洞趋势降低风险和成本

漏洞对所有组织来说都意味着风险和费用。认真降低客户风险和成本的供应商专注于减少其产品中的漏洞数量，并致力于使攻击者利用其客户变得困难和昂贵，从而降低攻击者的投资回报。确定成功做到这一点的供应商和产品既费时又困难。

在这一章中，我将为您提供有价值的背景信息，并深入分析一些行业领导者在过去二十年中是如何管理其产品中的漏洞的，重点是操作系统和 web 浏览器。我介绍了一个漏洞改进框架，它可以帮助您识别已经为客户降低风险和成本的供应商和产品。这些数据和分析可以为您的漏洞管理策略提供信息。

在本章中，我们将讨论以下主题:

• 漏洞管理入门
• 引入漏洞管理改进框架
• 检查特定供应商、操作系统和 web 浏览器的漏洞披露趋势
• 漏洞管理计划指南

让我们从什么是漏洞管理开始。

介绍

在过去的 20 年里，组织一直面临着管理软件和硬件中不断出现的新漏洞的挑战。攻击者和恶意软件不断试图利用世界各地各行业系统中未打补丁的漏洞。漏洞是许多利益团体的货币，包括安全研究人员、漏洞管理行业、政府、各种商业组织，当然还有恶意软件的攻击者和供应者。这些团体有不同的动机和目标，但他们都重视新的漏洞，其中一些愿意为此支付可观的费用。

在蠕虫和其他恶意软件第一次大规模利用微软软件漏洞的混乱时期，我坐在归零地的前排。在微软的企业网络支持团队工作了几年后，我被要求帮助建立一个新的面向客户的安全事件响应团队。2003 年 1 月 23 日，星期四，我接受了那份工作。两天后，1 月 25 日星期六，SQL Slammer 攻击了互联网，扰乱了全球网络。那个星期六的早上，我开车去办公室，但是不得不停下来加油。由于“网络问题”，加油站的提款机和加油机都离线了。那时，我意识到那次袭击是多么的广泛和严重。然后，2003 年 8 月的一天，MSBlaster 对互联网的破坏程度甚至超过了 SQL Slammer。然后，在接下来的一年里，MSBlaster 变种接踵而至，还有 MyDoom、Sasser 和其他广泛传播的恶意软件攻击。结果是数百万人愿意双击一个标有“MyDoom”的电子邮件附件。

这些攻击大多利用微软产品中未打补丁的漏洞来感染系统并传播。这一切都发生在 Windows Update 出现之前，也没有任何工具可以用来维护软件。由于微软不得不发布多个安全更新来解决 MSBlaster 使用的组件中的底层漏洞，许多 IT 部门开始了一种长期的行为模式，推迟修补系统以避免重复修补相同的组件和重复重启系统。当时，大多数联网的基于 Windows 的系统也没有运行防病毒软件，而且许多运行了防病毒软件的系统也没有安装最新的特征码。在那个年代，在面向客户的安全事件响应团队中工作，支持安全更新，帮助企业客户应对恶意软件感染和黑客，是一项非常艰巨的工作——你需要厚脸皮。随后，在这个角色中，我学到了很多关于恶意软件、漏洞和利用的知识。

在我在微软职业生涯的后期，我管理过微软安全响应中心(MSRC)微软安全开发生命周期 ( SDL )和微软恶意软件保护中心 ( MMPC )的营销传播。MSRC 是微软管理传入漏洞报告和攻击报告的小组。MMPC 当时被称为微软的反病毒研究和响应实验室。SDL 是一种开发方法，是在这些毁灭性的蠕虫攻击之后的几年中在微软建立的。我在这个名为“可信计算”的组织工作了 8、9 年，了解了很多关于漏洞、利用、恶意软件和攻击者的知识。

经常有人问我，今天的情况是否比 5 年或 10 年前更好。本章致力于回答这个问题，并从漏洞管理的角度提供一些关于事情如何变化的见解。我还想为您提供一种方法，来识别那些为客户降低风险和成本的供应商和产品。

漏洞管理初级读本

在我们深入探讨过去几十年的漏洞披露趋势之前，让我为您提供一个关于漏洞管理的快速入门，以便更容易理解我提供的数据和分析，以及一些漏洞管理团队如何使用这些数据。

国家漏洞数据库 ( NVD )用于跟踪全行业各种软硬件产品中公开披露的漏洞。https://nvd.nist.gov【NVD】是一个公开可用的数据库。

在这种情况下，漏洞被定义为:

“在软件和硬件组件中发现的计算逻辑(例如代码)弱点，当被利用时，会对机密性、完整性或可用性产生负面影响。在这种情况下，漏洞的缓解通常涉及编码更改，但也可能包括规范更改，甚至规范废弃(例如，完全删除受影响的协议或功能)。”

—(NIST，联合国出版物，出售品编号:e . 02 . ii . a . 7)

当在软件或硬件产品中发现漏洞并报告给拥有易受攻击产品或服务的供应商时，该漏洞最终将在某个时候被分配一个常见漏洞和暴露 ( CVE )标识符。

一个 CVE 标识符被分配给一个漏洞的确切日期是许多不同因素的函数，本书可以用整整一章来讨论这个问题。事实上，我在微软与人合写了一份关于这个主题的微软白皮书，名为软件漏洞管理，其中描述了为什么发布微软产品的安全更新可能需要相对较长的时间。这篇论文似乎已经随着时间的流逝从微软下载中心消失了。然而，以下是解释为什么厂商从收到漏洞报告到发布安全更新需要很长时间的一些因素:

• 识别 bug :有些 bug 只在特殊情况下或者在最大的 IT 环境中出现。供应商可能需要一段时间来重现错误并对其进行分类。此外，报告的漏洞可能存在于使用相同或相似组件的其他产品和服务中。所有这些产品和服务需要同时修复，这样供应商就不会无意中在自己的产品线中产生零日漏洞。我将在本章后面讨论零日漏洞。
• 识别所有变种:修复报告的 bug 可能简单明了。但是，找到问题的所有变体并修复它们也很重要，因为这将避免需要重新发布安全更新或发布多个更新来解决同一组件中的漏洞。这可能是修复漏洞时花费时间最多的活动。
• 代码审查:确保更新的代码确实修复了漏洞，并且没有引入更多的错误和漏洞，这很重要，有时也很耗时。
• 功能测试:这确保了修复不会影响产品的功能性——当这种情况发生时，客户不会喜欢。
• 应用程序兼容性测试:对于操作系统或网络浏览器，供应商可能需要测试成千上万的应用程序、驱动程序和其他组件，以确保他们在发布安全更新时不会破坏他们的生态系统。例如，Windows 的集成测试矩阵非常庞大，包括数千个在该平台上运行的最常见的应用程序。
• 发布测试:确保安全更新的分发和安装按预期运行，不会使系统无法启动或不稳定。

认识到为漏洞分配 CVE 标识符的日期不一定与供应商发布解决底层漏洞的更新的日期相关，这一点很重要；也就是说，这些日期可以不同。宣布发现新漏洞带来的恶名诱惑导致一些安全研究人员在供应商修复漏洞之前公开发布细节。典型的最佳情况是，漏洞的公开披露发生在供应商发布解决该漏洞的安全更新的同一天。这减少了攻击者利用漏洞的机会，缩短了组织在其 it 环境中测试和部署更新的时间。

CVE 标识符的一个例子是 CVE-2018-8653。从 CVE 标识符可以看出，编号 8653 被分配给了 2018 年与之相关的漏洞。当我们在 NVD 中查找这个 CVE 标识符时，我们可以获得与它相关的漏洞的更多细节。例如，一些详细信息包括漏洞的类型、CVE 的发布日期、CVE 的上次更新日期、漏洞的严重性分数、漏洞是否可以被远程访问以及它对机密性、完整性和可用性的潜在影响。

它还可能包含漏洞的摘要描述，如下例所示:“脚本引擎处理 Internet Explorer 内存中对象的方式中存在一个远程代码执行漏洞，也称为“脚本引擎内存损坏漏洞”。"这将影响 Internet Explorer 9、Internet Explorer 10 和 Internet Explorer 11。这个 CVE ID 是 CVE 唯一的-2018-8643。”

—(NIST)

风险是概率和影响的组合。在漏洞的上下文中，风险是漏洞被成功利用的概率和被利用后对系统的影响的组合。CVE 分数代表此漏洞的风险计算。通用漏洞评分系统 ( CVSS )用于评估 NVD 每个漏洞的风险。为了计算风险，CVSS 使用“可利用性指标”，如攻击媒介、攻击复杂性、所需权限和用户交互(NIST，未注明日期)。如果漏洞被成功利用，为了计算对系统影响的估计，CVSS 使用“影响度量”，例如对机密性、完整性和可用性的预期影响(NIST，北爱尔兰)。

注意，在我前面提到的 CVE 细节中提供了可利用性度量和影响度量。CVSS 在一些简单的数学计算中使用这些细节来产生每个漏洞的基本分数(维基百科)。

漏洞管理专业人员可以通过使用时间指标组和环境组中的指标来进一步细化漏洞的基本分数。

时间度量组反映了这样的事实，即随着新信息变得可用，基本分数可以随着时间而改变；例如，当漏洞的概念证明代码公开时。由于特定 IT 环境中存在缓解因素或控制措施，因此环境指标可用于降低 CVE 的分数。例如，漏洞的影响可能会减弱，因为组织在以前加强其 IT 环境的工作中已经部署了针对漏洞的缓解措施。我在本章中讨论的漏洞披露趋势都是基于 CVE 的基础分数。

CVSS 随着时间的推移不断发展，至今已有三个版本。最新版本(第 3 版)的评级在下图中显示(NIST，未注明日期)。CVSS v2 和 v3 的 NVD·CVSS 计算器可帮助组织使用时间和环境指标计算漏洞分数(NIST，北达科他州)。

分数可以转换为低、中、高和关键等等级，比使用粒度数字分数(NIST，北爱尔兰)更容易管理。

表 2.1:CVSS 分数范围的评级说明。

分数越高的漏洞被利用的可能性越大，并且/或者被利用时对系统的影响越大。换句话说，分数越高，风险越高。这就是为什么许多漏洞管理团队在漏洞被公开披露后，使用这些分数和评级来确定在他们的环境中测试和部署安全更新和/或漏洞缓解的速度。

另一个需要理解的重要术语是“零日”漏洞。零日漏洞是指在负责该漏洞的供应商发布解决该漏洞的安全更新之前已经公开披露的漏洞。这些漏洞是所有漏洞中最有价值的，攻击者和政府都愿意为它们支付相对较高的价格(一个有效的漏洞可能需要 100 万美元或更多)。

对于漏洞管理团队来说，最坏的情况是他们环境中的软件或硬件出现严重的零日漏洞。这意味着利用漏洞的风险可能非常高，并且可以防止利用该漏洞的安全更新不会公开发布。零日漏洞并不像你想象的那样罕见。微软最近发布的数据表明，在 2017 年微软产品中已知被利用的 CVE 中，第一次被利用时，100%是零日漏洞，而在 2018 年，83%是零日漏洞(Matt Miller，2019)。

这是一个有趣的事实。2013 年，我在微软的官方安全博客上写了一篇博文，创造了“永远零日”这个词，引发了一场轰动性的新闻大循环。我指的是官方支持终止后在 Windows XP 中发现的任何漏洞。在这种情况下，在支持结束后在 Windows XP 中发现的任何漏洞将永远是零天，因为微软不会为其提供持续的安全更新。

让我更详细地解释一下。攻击者可以等待当前支持的 Windows 版本(如 Windows 10)发布新的安全更新。然后，他们对这些更新进行逆向工程，以找到每个更新解决的漏洞。然后，他们检查这些漏洞是否也存在于 Windows XP 中。如果他们是，而微软不会为他们发布安全更新，那么攻击者就永远拥有 Windows XP 的零日漏洞。时至今日，你可以搜索“永远零日”这几个词，找到很多引用我的新闻。因为那个新闻周期，我成了 Windows XP 生命终结的海报男孩。

这些年来，我与数以千计的 CISOs 和漏洞管理者谈论过他们为组织管理漏洞的实践。关于大型复杂企业环境中管理漏洞的最佳方式，最常见的四种观点如下:

• 区分关键等级漏洞的优先级:当关键等级漏洞的更新或缓解可用时，它们会立即被测试和部署。在定期 IT 维护期间测试和部署较低等级的漏洞，以最大限度地减少系统重启和业务中断。这些组织正在尽快缓解风险最高的漏洞，并愿意接受重大风险，以避免因安全更新部署而不断干扰其环境。
• 确定高等级和严重等级漏洞的优先级:当高等级和严重等级漏洞被公开披露时，他们的政策规定他们将在 24 小时内修补严重漏洞或部署可用的缓解措施，高等级漏洞在一个月内修补。得分较低的漏洞将作为常规 IT 维护周期的一部分进行修补，以最大限度地减少系统重启和业务中断。
• 没有优先顺序–只是修补所有东西:一些组织已经得出结论，考虑到他们被迫管理的持续增长的漏洞披露量，他们投入在分析 CVE 分数和优先更新上的努力是不值得的。相反，他们只是按照基本相同的时间表测试和部署所有更新。这个时间表可以是每月一次，每季度一次，或者，对于那些有健康风险偏好的组织，每半年一次。这些组织致力于真正高效地部署安全更新，而不管其严重性等级如何。
• 延迟部署:对于那些对 IT 中断非常敏感的组织来说，延迟安全更新的部署已经成为一种不幸的做法，因为这些组织过去曾被质量低劣的安全更新所中断。换句话说，这些组织接受与他们使用了几个月的产品中所有已知的、未打补丁的漏洞相关的风险，以确保他们的供应商不会因为质量问题而重新发布安全更新。这些组织认为治疗方法可能比疾病更糟糕；也就是说，与世界上所有潜在的攻击者相比，劣质安全更新带来的破坏给他们带来的风险相同或更高。赞同这种观点的组织倾向于捆绑和部署几个月的更新。至少可以说，这些机构的风险偏好很高。

对于外行人来说，这些方法和权衡似乎没有多大意义。除了费用之外，部署漏洞造成的主要棘手问题是业务中断。例如，历史上，Windows 操作系统的大多数更新都需要重新启动。当系统重新启动时，发生的停机时间将计入大多数 IT 组织承诺的正常运行时间目标。重启一台服务器可能看起来并不重要，但重启数百或数千台服务器所需的时间开始增加。请记住，试图保持 99.999%(5“9”)正常运行时间的组织每年只能承受 5 分 15 秒的停机时间。这相当于每月 26.3 秒的停机时间。企业数据中心中的服务器，尤其是数据库和存储服务器，在正常运行时很容易需要 5 分钟以上的时间来重新启动。此外，当服务器重新启动时，这是出现需要故障排除的问题的黄金时间，从而加剧了停机时间。最坏的情况是安全更新本身导致问题。在数百或数千个系统上卸载更新并再次重新启动所花费的时间，使它们处于易受攻击的状态，也会对正常运行时间产生负面影响。

修补和重新启动系统可能非常昂贵，尤其是对于在非工作时间执行监督修补的组织，这可能需要加班和周末工资。传统维护窗口的概念不再有效，因为许多企业都是全球性的，并且是跨国运营的，一周 7 天、一天 24 小时都是如此。一种经过深思熟虑的计划和分层修补方法，在修补和重新启动少数基础设施的同时保持大部分基础设施可用，已经变得很普遍。

重新启动是组织决定接受某些风险，每季度或每半年打一次补丁的首要原因，以至于我与之密切合作了十多年的 MSRC 过去常常试图将需要系统重新启动的安全更新次数减少到每两个月一次。为此，在可能的情况下，他们会尝试在一个月内发布所有需要重启的更新，然后在下个月发布不需要重启的更新。当这个计划起作用时，每月修补系统的组织至少可以避免每两个月重启一次系统。但是“带外”更新，即计划外的更新，似乎经常破坏这些计划。

当您看到漏洞披露随着时间推移的趋势时，组织在利用风险和正常运行时间之间做出的权衡可能更有意义。在云中运行服务器可以极大地改变这个等式——我将在第八章“云——实现安全性和合规性的现代方法”中对此进行更详细的介绍。

关于 NVD、CVE 和 CVSS，还有许多其他方面和细节我没有在这里介绍，但是我已经提供了足够的基础知识，您将能够理解我接下来提供的漏洞披露趋势。

漏洞披露数据源

在我们深入研究漏洞披露数据之前，让我告诉你数据来自哪里，并提供一些关于数据有效性和可靠性的警告。我在本章中使用的数据有两个主要来源:

1. nvd.nist.gov/vuln/searchNVD
2. CVE 详细资料:https://www . CVE details . com/

NVD 是该行业漏洞披露的事实上的权威来源，但这并不意味着 NVD 的数据是完美的，CVSS 也是如此。我参加了 2013 年黑帽美国会议的一个会议，名为“购买偏见:为什么脆弱性统计很糟糕”(Brian Martian，2013)。

本次会议涵盖了 CVE 数据中的许多偏见。这个演讲仍然可以在网上看到，我推荐观看它，以便你理解我在本章中讨论的 CVE 数据的一些局限性。CVE 细节是一个很棒的网站，它帮我节省了很多收集和分析 CVE 数据的时间。CVE 详细信息继承了 NVD 的局限性，因为它使用 NVD 的数据。值得一读《CVE 细节》的工作原理及其局限性(《CVE 细节》)。因为我在本章提供的数据和分析是基于 NVD 和 CVE 的细节，他们继承了这些局限性和偏见。

鉴于我在本章的分析中使用的两个主要数据来源都有其局限性，我可以自信地说我的分析并不完全准确或完整。此外，随着 NVD 的不断更新，漏洞数据也会随着时间而变化。我的分析是基于几个月前拍摄的 CVE 数据快照，这些数据不再是最新的或准确的。我提供此分析来说明漏洞披露是如何随着时间的推移而发展的，但我对这些数据不做任何保证——使用这些数据风险自担。

行业漏洞披露趋势

首先，让我们看看自 1999 年 NVD 启动以来每年披露的漏洞。1999 年至 2019 年间，分配了 CVE 标识符的漏洞总数为 122，774 个。如图 2.1 所示，2016 年至 2018 年间披露的信息大幅增加。2016 年至 2017 年期间，披露量增加了 128%，2016 年至 2018 年期间增加了 157%。换句话说，在 2016 年，漏洞管理团队平均每天管理 18 个新漏洞。这个数字在 2017 年增加到每天 40 个漏洞，在 2018 年平均每天 45 个。

图 2.1:每年全行业披露的漏洞(1999-2019 年)

您可能想知道是什么因素导致漏洞披露如此之多。主要因素可能是 CVE 标识符分配给 NVD 漏洞的方式发生了变化。在此期间，CVE 指定并授权他们所谓的“CVE 编码机构(CNAs)”为新漏洞分配 CVE 标识符。据 Mitre 称，他负责管理用数据填充 NVD 的 CVE 流程:

“CVE 编码机构(CNA)是来自世界各地的组织，它们被授权在其明确的、商定的范围内为影响产品的漏洞分配 CVE id，以包含在新漏洞的第一次公开声明中。这些 CVE id 提供给研究人员、漏洞披露者和信息技术供应商。

参与该计划是自愿的，参与的好处包括能够公开披露具有已分配的 CVE ID 的漏洞，能够控制漏洞信息的披露而无需预先发布，以及向研究人员请求 CVE ID 的研究人员通知 CNA 范围内的产品漏洞。"

—斜接

CVE 用法:MITRE 特此授予您永久的、全球性的、非排他性的、免费的、免版税的、不可撤销的版权许可，以复制、准备衍生作品、公开展示、公开执行、再许可和分发常见漏洞和暴露(CVE)。只要您在任何此类副本中复制 MITRE 的版权标志和本许可证，您为此目的制作的任何副本都是授权的。

CNAs 的出现意味着 2016 年后将有更多的组织分配 CVE 标识符。截至 2020 年 1 月 1 日，有来自 21 个国家的 110 个组织作为 CNA 参与。CNAs 的名称和位置可在【https://cve.mitre/cve/cna.html】获得。显然，这一变化使得分配 CVE 标识符的流程更加高效，从而导致 2017 年和 2018 年漏洞披露量大幅增加。2019 年结束时，漏洞数量少于 2018 年和 2017 年，但仍明显多于 2016 年。

还有其他因素导致了更多的漏洞披露。例如，从事漏洞研究的人和组织比以往任何时候都多，他们拥有比过去更好的工具。发现新的漏洞是一项大生意，很多人都渴望从中分一杯羹。此外，新型硬件和软件正在以物联网 ( 物联网)设备的形式迅速加入计算机生态系统。在这个巨大的新市场空间中获得有意义的市场份额的巨大淘金热导致该行业犯下了软件和硬件制造商在过去 20 年中犯下的所有相同的错误。

几年前，我与一些制造商讨论了他们物联网产品线的安全发展计划，很明显他们计划做的很少。开发缺乏更新机制的物联网设备会让该行业回到个人电脑无法自我更新的时代，但规模要大得多。消费者不愿意为更好的安全性支付更多，制造商也不愿意将时间、预算和精力投入到不能推动需求的开发方面。如果过去 3 年有任何迹象，这种漏洞披露量的增加似乎是该行业的新常态，导致更多的风险和更多的工作要管理。

这些 CVE 的严重程度分布如图 2.2 所示。与其他评级的 CVE 相比，有更多的 CVE 评级为高严重性(CVSS 评分在 7 到 8 之间)和中等严重性(CVSS 评分在 4 到 5 之间)。CVSS 的加权平均得分是 6.6。超过三分之一的漏洞(44，107)被评为严重或高。对于具有漏洞管理策略的组织来说，这些策略规定紧急部署所有关键评级漏洞和每月部署评级为高的 CVE，这意味着在 20 年内可能会有超过 15，000 次紧急部署和超过 25，000 次每月补丁部署。这也是为什么一些组织决定不根据严重性来确定安全更新的优先级的原因之一，因为有太多的高严重性和关键严重性漏洞，与低评级漏洞相比，对它们进行不同的管理是对时间的有效利用。这些组织中的许多组织都致力于在其环境中真正高效地测试和部署安全更新，以便他们能够在不中断业务的情况下尽快部署所有更新，无论其严重性如何。

图 2.2:按严重性划分的 CVSS 得分(1999 年至 2019 年)

图 2.3 列出了 2020 年 1 月 1 日《CVE 细节》50 大供应商名单(CVE 细节，2020)中 CVE 最多的供应商和 Linux 发行版。这个列表并不令人惊讶，因为这个列表中的一些供应商也是过去 20 年中他们在市场上拥有的产品数量最多的供应商。您编写的代码越多，潜在的漏洞就越多，尤其是在 2003 年之前的几年里，那时大蠕虫攻击(SQL Slammer、MS Blaster 等)时有发生。

2004 年后，像这份名单上的那些行业领导者开始更加关注这些攻击后的安全漏洞。我将在第三章、中进一步讨论恶意软件——恶意软件。此外，操作系统和 web 浏览器供应商由于其无处不在而对其产品给予了不成比例的关注。操作系统或浏览器中一个新的严重或高评级漏洞的价值远远超过一个模糊应用程序中的漏洞。

图 2.3:CVE 数量最多的前 10 名供应商/经销商(1999-2019)

此时，您可能想知道这些漏洞出现在什么类型的产品中。将 CVE 最多的前 25 个产品分为操作系统、网络浏览器和应用，图 2.4 展示了细分情况。在 CVE 最多的前 25 个产品中，影响操作系统的 CVE 比浏览器和应用程序加起来还要多。

但有趣的是，随着产品数量从 25 个扩大到 50 个，这种分布开始迅速转移，总 CVE 的 5%从操作系统类别转移到应用程序。我怀疑，随着这一分析中所包含的产品数量的增加，应用程序最终会比其他类别拥有更多的 CVE，如果没有其他原因，仅仅是因为这样一个事实，即应用程序比操作系统或浏览器多得多，尽管操作系统多年来一直受到关注。还要记住，在流行的开发库中，如 JRE 或微软，漏洞的影响。NET 可以被放大，因为有数以百万计的应用程序使用它。

图 2.4:按产品类型分类的 CVE 最多的 25 种产品中的漏洞(1999-2019)

以下列表显示了报告了这些漏洞的特定产品(CVE 详细信息，未注明日期)。该列表将让您了解许多流行软件产品的漏洞数量，以及漏洞管理团队可能会花费多少精力来管理它们。

表 2.2:CVE 最多的前 25 种产品(1999-2019)

回到 2003 年，微软 Windows 大蠕虫攻击发生的时候，我当时接触的很多机构都认为只有微软的软件有漏洞，其他厂商的软件都很完美。尽管在 2003 年前后，每年有成千上万的 CVE 被分配给来自许多供应商的软件。

15 年后，我没有遇到多少组织仍然相信这个神话，因为他们的漏洞管理团队正在处理所有软件和硬件中的漏洞。请注意，前 10 名中只有两款微软产品。

但是这些数据并不完美，以这种方式统计漏洞总数并不一定能告诉我们这些年来哪些厂商和产品有所改进，或者整个行业是否改进了其安全开发实践。接下来我们就更多的探讨这些方面。

降低风险和成本——衡量供应商和产品改进

如何降低与安全漏洞相关的风险和成本？通过使用已经成功减少其产品漏洞数量的供应商，您有可能减少与您的漏洞管理计划相关的时间、精力和成本。此外，如果您选择的供应商已经通过使攻击者难以或不可能利用其产品中的漏洞来降低攻击者的投资回报，那么您也将降低您的风险和成本。我现在将为您提供一个框架，您可以使用它来识别这样的供应商和产品。

在 2003 年大蠕虫攻击之后，微软开始开发微软 SDL。微软至今仍在使用 SDL。我为 SDL 管理了几年的营销传播，所以我有机会学习了很多关于这种发展方式的知识。SDL 的既定目标是减少微软软件中漏洞的数量和严重性。

SDL 还试图使开发后的软件中发现的漏洞更难或不可能被利用。很明显，即使微软以某种方式能够生产无漏洞的产品，运行在 Windows 或 web 浏览器上的应用程序、驱动程序和第三方组件仍然会使系统易受攻击。随后，微软与更广泛的行业免费共享了一些版本的 SDL 和一些 SDL 工具。它还将 SDL 的某些方面融入到 Visual Studio 开发工具中。

我将使用 SDL 的目标作为一个非正式的“漏洞改进框架”,来了解使用供应商或特定产品的风险(概率和影响)是否随着时间的推移而增加或减少。这个框架有三个标准:

1. 漏洞总数呈上升趋势还是下降趋势？
2. 这些漏洞的严重性是上升还是下降？
3. 这些漏洞的访问复杂性是上升还是下降？

为什么这个看似简单的框架有意义？让我们走一遍。漏洞总数呈上升趋势还是下降趋势？随着时间的推移，供应商应该努力减少产品中的漏洞数量。所有供应商的理想目标应该是他们的产品零漏洞。但是这是不现实的，因为人类编写代码时会犯错误，导致漏洞。但是，随着时间的推移，供应商应该能够向他们的客户展示，他们已经找到了减少产品漏洞的方法，从而为他们的客户降低风险。

这些漏洞的严重性是上升还是下降？考虑到产品中会存在一些安全漏洞，供应商应该努力降低这些漏洞的严重性。降低漏洞的严重性可以减少我在本章前面提到的紧急安全更新部署的数量。它还为漏洞管理团队提供了更多的时间来测试和部署漏洞，从而减少了对他们所支持的业务的中断。更具体地说，应尽量减少关键和高严重性 CVE 的数量，因为它们对系统构成最大的风险。

这些漏洞的访问复杂性是上升还是下降？同样，如果产品中存在漏洞，让这些漏洞尽可能难以或无法被利用应该是供应商关注的事情。访问复杂性或攻击复杂性(取决于使用的 CVSS 版本)是利用漏洞难易程度的衡量标准。CVSS 版本 2 将访问复杂性估计为低、中或高，而 CVSS 版本 3 将攻击复杂性估计为高或低。概念是一样的——访问复杂性或攻击复杂性越高，攻击者利用漏洞的难度就越大。

使用这些措施，我们希望看到供应商使其产品中的漏洞始终难以利用。我们希望看到高访问复杂性 CVE(具有最低风险的 CVE)的数量随着时间的推移呈上升趋势，而低复杂性漏洞(具有最高风险的 CVE)呈下降趋势或为零。换句话说，我们希望高复杂性 CVE 的份额增加。

为了总结这个漏洞改进框架，我将衡量:

• 每年的 CVE 计数
• 每年临界额定和高额定 CVE 的数量。这些简历的得分在 7 到 10 分之间
• 每年访问复杂度或攻击复杂度较低的 CVE 数量

当我将这个框架应用到拥有成百上千种产品的供应商身上时，我将使用 CVE 过去五年的数据。我认为 5 年的时间足够判断一个厂商管理产品漏洞的努力是否成功。当我将这个框架应用到单个产品时，如操作系统或网络浏览器，我将使用 CVE 最近 3 年(2016-2018)的数据，以便我们看到最近的趋势。请注意，这种方法的一个局限性是，如果供应商和/或他们的产品是新的，并且没有足够的数据进行评估，那么这种方法就没有用。

现在我们有了一个框架来衡量漏洞披露是否随着时间的推移而改善，我将把这个框架应用于一些选定的供应商、操作系统和 web 浏览器的二十年历史 CVE 数据，以更好地了解行业中流行软件的状态。只是为了增加悬念和紧张感，就像你在马克·鲁西诺维奇的网络安全惊悚小说中会发现的那样，我将最后披露微软的 CVE 数据！

Oracle 漏洞趋势

由于甲骨文在简历最多的供应商前十名中排名第二，我们就从他们开始吧。Oracle 产品的 CVE 可以追溯到 1999 年。图 2.5 展示了 1999 年至 2018 年间，甲骨文产品每年发布的简历数量。

在此期间，分配了 5，560 个 CVE，其中 1，062 个被评定为关键或高，3，190 个 CVE 具有低访问复杂性。2019 年披露了 489 个 CVE，使得 1999 年至 2019 年期间甲骨文产品中的 CVE 总数达到 6，112 个(CVE 细节，未注明日期)。

请注意，甲骨文在此期间收购了许多技术公司和新技术，包括 MySQL 和 Sun Microsystems。收购新技术会导致供应商的 CVE 数发生重大变化。收购供应商可能需要时间来使他们获得的产品符合或超过他们的标准。在甲骨文的案例中，他们收购的一些技术在他们庞大的产品组合中拥有最多的 CVEs 其中包括 MySQL、JRE 和 JDK (CVE 详情，未注明日期)。

图 2.5:Oracle 产品中 CVE、关键和高 CVE 以及低复杂度 CVE 的数量(1999-2018)

就过去五年来看，从 2014 年初到 2018 年底，简历数量增加了 56%。具有低访问复杂性或攻击复杂性的 CVE 数量增加了 54%。然而，在同一时期，关键和高分(分数在 7 到 10 之间)CVE 的数量下降了 48%。考虑到这段时间漏洞数量的大幅增加，这一数字令人印象深刻。图 2.6 展示了这一积极变化。图 2.6 展示了 1999 年至 2018 年期间，每年严重和高度严重 CVE 的数量占总 CVE 的百分比。它还向我们展示了低访问复杂度的 CVE 占同期所有 CVE 的百分比。

图 2.6:Oracle 产品中关键和高严重性等级 CVE 和低复杂性 CVE 占总 CVE 的百分比(1999 年至 2018 年)

像这样的长期趋势不是偶然发生的。Oracle 可能在人员(如安全开发培训)、流程和/或技术方面实现了一些变革，帮助他们降低了客户的风险。达到使用寿命的旧产品也有助于改善整体状况。甲骨文可能也在解决其多年来收购的许多技术的漏洞方面取得了进展。漏洞管理团队仍然需要处理相对大量的漏洞，但是正如我前面所讨论的，严重性较低的漏洞是有帮助的。

根据 CVE 的详细信息，1999 年至 2018 年间对 CVE 总数贡献最大的 Oracle 产品包括 MySQL、JRE、JDK、数据库服务器和 Solaris。

苹果漏洞趋势

CVE 数量最多的厂商名单上的下一个是苹果。1999 年至 2018 年间，分配给苹果产品的 CVE 有 4277 个；在这些 CVE 中，1，611 个具有关键或高分，1，524 个具有被描述为低的访问复杂性(CVE 细节，未注明)。2019 年，苹果产品中披露了 229 个 CVE，1999 年至 2019 年期间共有 4507 个 CVE(CVE 细节，未注明)。正如你从图 2.7 中看到的，自 2013 年以来，苹果产品中的 CVE 数量有很大的增加和减少。

仅从 2014 年到 2018 年底这 5 年来看，对比这一时期的开始和结束，CVE 的数量减少了 39%，CVSS 得分为 7 或更高的 CVE 减少了 30%，访问复杂性较低的 CVE 减少了 65%。然而，漏洞管理团队在 2015 年和 2017 年遇到了苹果历史上 CVE 数量最大的增长。

图 2.7:苹果产品中 CVE、关键和高 CVE 以及低复杂度 CVE 的数量(1999-2018)

[外链图片转存中…(img-Voky1ro0-1722479491467)]

图 2.8:苹果产品中被评定为严重和高度严重的 CVE 以及低复杂性 CVE 占总 CVE 的百分比(1999 年至 2018 年)

根据 CVE 细节公司的数据，对苹果总 CVEs 贡献最大的苹果产品包括 macOS、iOS、Safari、macOS Server、iTunes 和 watchOS (CVE 细节公司，未注明日期)。

IBM 漏洞趋势

IBM 在漏洞最多的供应商名单中排名第四，在 1999 年至 2018 年期间，其 CVE 略少于苹果，为 4224 个(CVE 细节，未注明日期)，令人难以置信的是，这两家供应商在 19 年期间仅相差 53 个 CVE。但与苹果相比，蓝色巨人有将近一半的 CVEs 被评为关键或高。然而，与苹果相比，IBM 拥有更多低访问复杂度的 CVE。

图 2.9:IBM 产品中 CVE、关键和高分 CVE 以及低复杂度 CVE 的数量(1999–2018)

仅从 2014 年到 2018 年底的过去 5 年来看，IBM 的简历数量增长了 32%。关键和高分 CVE 的数量减少了 17%,而访问复杂度低的 CVE 增加了 82%。在 CVEs 增加了近三分之一的时候，严重和高评级漏洞的减少是积极的，值得注意的。

图 2.10:IBM 产品中关键和高严重性等级 CVE 和低复杂性 CVE 占总数的百分比(1999-2018)

对 IBM 的 CVE 计数贡献最大的产品是 AIX、WebSphere Application Server、DB2、Rational Quality Manager、Maximo Asset Management、Rational Collaborative life cycle Management 和 WebSphere Portal (CVE 细节，未注明日期)。

谷歌漏洞趋势

拥有最多简历的前五名厂商是谷歌。谷歌不同于前五名名单上的其他厂商。NVD 首次公布谷歌产品漏洞是在 2002 年，而不是像其他产品一样在 1999 年。与榜单上的其他公司相比，谷歌是一家更年轻的公司。

在 2002 年至 2018 年期间，有 3959 份简历归因于谷歌产品。在这些简历中，2078 份被评为关键或高分(CVE 细节，未注明)。与 IBM 和 Oracle 相比，这是关键和高分值漏洞数量的两倍多，远远超过苹果。除了微软之外，谷歌比前五名中的任何一家供应商都有更多的严重和高严重性漏洞。在此期间，分配给谷歌产品的 1982 个 CVE 具有低访问复杂性(CVE 详细信息，未注明)。

图 2.11:谷歌产品中 CVE、关键和高 CVE 以及低复杂度 CVE 的数量(2002-2018)

从 2014 年到 2018 年底的 5 年间的趋势来看，分配给谷歌产品的 CVE 增加了 398%；在同一时期，评级为关键或高的 CVE 增加了 168%，低复杂性 CVE 增加了 276%(CVE 细节，未注明)。根据 CVE 细节公司(CVE 细节公司)的数据，2017 年的简历数量达到了 1001 个，这是前五大供应商中没有一家实现过的壮举。

[外链图片转存中…(img-68lmuoBX-1722479491468)]

图 2.12:谷歌产品中被评定为严重和高度严重的 CVE 以及低复杂性 CVE 占总 CVE 的百分比(2002 年至 2018 年)

据《CVE 细节》报道，对谷歌 CVE 总计数贡献最大的谷歌产品包括安卓和 Chrome (CVE 细节，未注明日期)。

微软漏洞趋势

现在是时候看看微软是如何管理他们产品中的漏洞的了。他们是简历最多的供应商之一，在 1999 年至 2018 年底期间共有 6，075 个(CVE 详情，未注明日期)。

在上述 6，075 个 CVE 中，3，635 个被评为关键或高，2，326 个 CVE 具有低访问/攻击复杂性(CVE 详情，未注明)。在我们调查的 5 家供应商中，微软的漏洞总数最多，CVSS 得分为 7 或更高的漏洞数量最多，访问复杂性较低的 CVE 数量最多。

图 2.13:微软产品中 CVE、关键和高 CVE 以及低复杂度 CVE 的数量(1999-2018)

关注 2014 年至 2018 年底的 5 年间，分配给微软产品的 CVE 增加了 90%。关键和高分漏洞增加了 14%,低访问复杂性 CVE 增加了 193%。如果有一线希望的话，那就是从长远来看，微软已经大大增加了利用漏洞的难度。微软最近发布了关于其产品可开发性的令人信服的新数据，值得一看，以获得更完整的图片(马特·米勒，2019)。

图 2.14:微软产品中关键和高严重性等级 CVE 和低复杂性 CVE 占总数的百分比(1999 年至 2018 年)

对微软的 CVE 总数贡献最大的产品包括 Windows Server 2008、Windows 7、Windows 10、Internet Explorer、Windows Server 2012、Windows 8.1 和 Windows Vista (CVE 详情，未注明日期)。这个列表中的一些操作系统曾经是世界上最受欢迎的操作系统，尤其是在消费者中。这使得微软尽量减少这些产品漏洞的努力尤为重要。我将在本章后面讨论操作系统和 web 浏览器的漏洞披露趋势。

供应商漏洞趋势摘要

我们在本章中调查的所有供应商都发现，随着时间的推移，他们产品中的漏洞数量急剧增加。与我们在过去 3 年中看到的数量相比，2003-2004 年期间漏洞披露的数量似乎有些古怪。漏洞数量的大幅增加使得降低 CVE 的严重性和增加其访问复杂性变得更加困难。

图 2.15: CVE 排名前五的供应商(1999 年至 2018 年)

图 2.16:前五大供应商的严重和高评级严重 CVE 计数(1999-2018)

在我们调查的行业领导者中，只有一家实现了我们之前为非正式漏洞改进框架定义的所有三个目标。着眼于我目前拥有数据的过去五年(2014 年至 2018 年)，苹果成功减少了 CVE 的数量、关键和高严重性 CVE 的数量以及低访问复杂性 CVE 的数量。恭喜苹果！

表 2.3:应用漏洞改进框架的结果(2014–2018)

一次在数百个产品中沿着正确的方向推动这些指标是极具挑战性的。让我们来看看各个产品在一段时间内的表现。接下来，我们将看看选择的操作系统和网络浏览器。

操作系统漏洞趋势

在过去的几十年里，操作系统吸引了安全研究人员的大量关注。流行的桌面或移动操作系统中的零日漏洞的有效利用可能价值数十万美元甚至更多。让我们来看看操作系统的漏洞披露趋势，并仔细看看几个漏洞数量最多的产品。

图 2.17 显示了根据 CVE 细节公司(CVE 细节公司，未注明日期)的数据，1999 年至 2019 年间存在最独特漏洞的操作系统。该列表包含来自一系列供应商的桌面、服务器和移动操作系统，包括苹果、谷歌、Linux、微软等:

图 2.17:按 CVE 总数统计的具有最独特漏洞的操作系统(1999-2019)

微软操作系统漏洞趋势

由于我们在上一节讨论了微软，我将从他们的操作系统开始。在我前面提到的微软面向客户的事件响应团队工作之后，我有机会在微软的核心操作系统部门工作。我是 Windows 网络团队的项目经理。我帮助推出了 Windows Vista、Windows Server 2008 和一些服务包。信不信由你，运送 Windows 比客户面对事件响应角色更难。但这是另一本书的主题。

让我们来看看客户端和服务器微软操作系统的子集。图 2.18 显示了 Windows XP、Windows Server 2012、Windows 7、Windows Server 2016 和 Windows 10 每年的 CVE 数量。

[外链图片转存中…(img-l7VmwJeG-1722479491469)]

图 2.18:微软 Windows 精选版本的 CVE 计数(2000–2018)

图 2.18 让我们对随着时间的推移漏洞披露的变化有了一些了解。它向我们展示了与早期相比，在过去的 4、5 年中，漏洞被披露的程度有多严重。例如，在 Windows XP 中报告漏洞披露的 20 年中，共有 741 个 CVE 被披露(CVE 细节，未注明日期)；平均每年有 37 份简历。微软最新的客户端操作系统 Windows 10 在短短 4 年内以 748 个 CVE 超过了 CVE。平均每年有 187 个漏洞被披露。这意味着平均每年披露的 CVE 增加了 405%。

服务器操作系统的漏洞发现率也越来越高。从 2012 年发布到 2018 年的 7 年间，Windows Server 2012 共披露了 802 个漏洞(CVE 细节，未注明日期)；平均每年有 114 份简历。但是对于 Windows Server 2016 来说，这一平均值跃升至每年 177 个 CVE，增长了 55%。

鉴于最新的操作系统 Windows 10 和 Windows Server 2016 不应该有任何漏洞，这些漏洞是在以前的操作系统出厂前修复的，并且它们已经受益于使用更新的工具和受过更好培训的开发人员进行开发，披露的速度令人难以置信。然而，随着其他操作系统即将寿终正寝，Windows 10 是 Windows 唯一的新客户端版本，它可能比任何其他 Windows 操作系统版本都更受安全研究人员的关注。

现在，让我们更深入地了解一些 Windows 版本，并将我们的漏洞改进框架应用于它们。

Windows XP 漏洞趋势

截至 2014 年 4 月，Windows XP 不再获得支持，但 2017 年披露了 3 个 CVE，2019 年披露了 1 个，这就是为什么图 2.19 中的图形有一条长尾巴(CVE 细节，未注明)。虽然到 2014 年初支持结束时，Windows XP 中的关键和高严重性 CVE 的数量确实从 2011 年的高点有所下降，但访问复杂性较低的 CVE 的数量仍然相对较高。我不认为我们可以将我们的漏洞改进框架应用于 Windows XP 生命的最后几年，因为去年，特别是，被寻找和保留新的零日漏洞的淘金热所扭曲，微软可能永远不会修复这些漏洞。只要保密，这些漏洞将非常有价值。

图 2.19:Microsoft Windows XP 中 CVE、严重和高评级严重 CVE 以及低复杂性 CVE 的数量(2000–2019)

为什么微软在停止支持后发布了 Windows XP 的安全更新？这就是我之前提到的“永远零日”的概念。面对 Windows XP 中新的、关键的、潜在的蠕虫漏洞，微软决定在官方支持生命周期结束后为 Windows XP 提供安全更新。

另一种可能是数千或数百万受到危害和感染的“僵尸”Windows XP 系统不断攻击互联网的其余部分。鉴于仍有许多企业、政府和消费者在使用 Windows XP，微软在 Windows XP 寿终正寝后发布更新是正确的决定。

图 2.20 显示了 Windows XP 中严重和高严重性 CVE 以及低复杂性 CVE 占 CVE 总数的百分比。2017 年和 2019 年的不稳定模式是由于这两年披露的简历很少(2017 年 3 份，2019 年 1 份)(CVE 细节，未注明)。

图 2.20:Microsoft Windows XP 中被评定为严重和高严重性的 CVE 以及低复杂性 CVE 占所有 Microsoft Windows XP CVEs 的百分比(2000 年至 2019 年)

Windows 7 漏洞趋势

接下来，让我们检查一下非常流行的 Windows 7 操作系统的数据。Windows 7 于 2020 年 1 月 14 日停止支持(微软公司，2020 年)。Windows 7 于 2009 年 7 月发布，此前 Windows Vista 反响不佳。与 Windows Vista 相比，每个人都喜欢 Windows 7。此外，从 CVE 披露的角度来看，Windows 7 在发布时享受了一个“蜜月”，因为 CVE 的披露花了几年时间才增加，近年来，它们已经显著增加。

Windows 7 在 2009 年至 2018 年期间披露了 1，031 个 CVE。平均每年有 103 个漏洞被披露(CVE 细节，未注明)。这没有 Windows 10 的平均年度 CVE 披露率高，但几乎是 Windows XP 每年披露的 CVE 平均数量的 3 倍。Windows 7 平均每年有 57 个严重或高等级漏洞。

图 2.21:微软 Windows 7 (2009 年至 2018 年)中 CVE、关键和高评级严重性 CVE 以及低复杂性 CVE 的数量

如果我们只关注 2016 年至 2018 年之间的过去 3 年(我们有几个 Windows 版本的数据用于比较)，从 2016 年初到 2018 年底，CVE 的数量增加了 20%，而关键和高严重性 CVE 的数量减少了 44%，低复杂性 CVE 的数量增加了 8% (CVE 细节，未注明)。漏洞严重性的显著降低有助于漏洞管理团队，但这并没有实现我们的漏洞改进框架在这 3 年期间的目标。

图 2.22:Microsoft Windows 7 中被评定为严重和高严重性的 CVE 以及低复杂性 CVE 占所有 Microsoft Windows 7 CVEs 的百分比(2009-2018)

Windows Server 2012 和 2016 漏洞趋势

现在让我们来看几个 Windows Server SKU——Windows Server 2012 和 2016。Windows Server 2012 于 2012 年 9 月发布。Windows Server 2016 于 2016 年 9 月发布，因此我们没有 2016 年全年的数据。这将扭曲我们框架的结果，因为与 2016 年相比，我们的指标似乎都有大幅增长。

图 2.23:微软 Windows Server 2012 (2012 年至 2018 年)中的 CVE、关键和高评级严重性 CVE 以及低复杂性 CVE 的数量

截至 2018 年底，Windows Server 2012 在 NVD 拥有 802 个 CVE。在图 2.23 的中的 7 年间，平均每年有 115 个 CVE，其中 54 个 CVE 被评为关键或高(CVE 细节，未注明)。从 2016 年到 2018 年底，Windows Server 2012 的 CVE 数量增加了 4%，而关键和高严重性 CVE 减少了 47%，低复杂性 CVE 减少了 10%。它非常接近实现我们的漏洞改进框架的目标。如此接近！

不幸的是，对于 Windows Server 2016 来说，这个故事并不简单。我们只是没有足够的全年数据来了解漏洞披露的趋势。2016 年至 2018 年间，CVE 披露的数据大幅增加(518%)，但这只是因为我们只有 2016 年一个季度的数据。然而，2017 年和 2018 年之间的披露数量基本相同(分别为 251 和 241)。

Windows Server 2012 在 2018 年有 235 项披露，2018 年有 162 项披露(CVE 细节，未注明日期)。这两年平均每年有 199 个 CVE，而 Windows Server 2016 整整两年平均每年有 246 个 CVE。然而，2 年的数据是不够的；我们需要等待更多的数据，以便了解 Windows Server 2016 的表现如何。

图 2.24:微软 Windows Server 2016(2016–2018)中 CVE、关键和高评级严重性 CVE 以及低复杂性 CVE 的数量

Windows 10 漏洞趋势

我将在这里考察的最后一个 Windows 操作系统被称为“有史以来最安全的 Windows 版本”(呃…由我(Ribeiro，n.d .)命名)，Windows 10。这个版本的 Windows 发布于 2015 年 7 月。在撰写本文时，我有 2016 年、2017 年和 2018 年整整三年的数据。截至 2018 年底，Windows 10 在 NVD 共有 748 个 CVEs 平均每年 187 个 CVE 和 76 个严重和高严重性漏洞(CVE 详细信息，未注明日期)。

在这 3 年期间，Windows 10 中的 CVE 数量增加了 48%，而关键和高分 CVE 的数量减少了 25%，低访问复杂性 CVE 的数量增加了 48%。

图 2.25:微软 Windows 10(2015–2018)中的 CVE、关键和高评级严重性 CVE 以及低复杂性 CVE 的数量

图 2.26:Microsoft Windows 10 中被评定为严重和高严重性的 CVE 以及低复杂性 CVE 占所有 Microsoft Windows 10 CVEs 的百分比(2015–2018)

2019 年结束时，Windows 10 中有 357 个 CVE，比 2018 年增加了 33%，是自发布以来 CVE 数量最多的一年(CVE 细节，未注明日期)。这个数据没有反映的一个重要因素是，微软已经非常擅长快速修补全球数亿个系统。这非常有助于降低客户的风险。现在让我们来看看其他一些流行的操作系统是否符合我们的标准。

Linux 内核漏洞趋势

根据 CVE 的详细资料，在撰写本文的时刻，Debian Linux 和 Linux Kernel 在他们追踪的所有产品中拥有最高的 CVE 数量。让我们来看看 Linux 内核的 CVE 趋势。从 1999 年到 2018 年，个人简历的累计总数为 2，163 份，平均每年约 108 份(CVE 细节，未注明)。这是 Windows XP 年平均水平的 3 倍，略低于 Windows Server 2012 年的年平均水平(114)，也远低于 Windows Server 2016 年的年平均水平(177)。平均每年在 Linux 内核中有 37 个关键的和高评级的 CVE。

查看 2016 年至 2018 年底之间的同一三年期，我们可以从下图 2.28 中看到，2016 年至 2017 年期间，CVE 披露量大幅增加。这与我在本章前面讨论的整个行业的趋势是一致的。这似乎是 Linux 内核的短期增长。2019 年结束时，Linux 内核中有 170 个 CVE，低于 2018 年的 177 个(CVE 细节，未注明日期)。

[外链图片转存中…(img-UOPYbpxU-1722479491470)]

图 2.27:Linux 内核中 CVE、关键和高评级严重性 CVE 以及低复杂性 CVE 的数量(1999-2018)

从 2016 年到 2018 年底，简历数量减少了 18%，而 7 分及以上的简历数量减少了 38%。同期，低复杂度 CVE 的数量下降了 21%。Linux 内核似乎已经实现了我们的漏洞改进框架的目标。太棒了！

图 2.28:在所有 Linux 内核 CVE 中，Linux 内核中被评定为严重和高严重性的 CVE 以及低复杂性 CVE 所占的百分比(1999-2018)

谷歌 Android 漏洞趋势

我们来看看谷歌制造的移动操作系统 Android。Android 的首次发布日期是在 2008 年 9 月，Android 的 CVEs 于 2009 年开始在 NVD 出现。平均而言，每年有 215 个针对 Android 的 CVE，其中 129 个 CVE 被评为严重或高严重性；在 2009 年至 2014 年的 6 年间，Android 只有 43 个 CVE(CVE 细节，未注明)。Android 中 CVE 的数量在 2015 年开始显著增加，此后一直在增加。

图 2.29:谷歌安卓系统中 CVE、严重和高评级严重 CVE 以及低复杂性 CVE 的数量(2009-2018)

从 2016 年到 2018 年底的 3 年间，Android 中的 cv 数量增加了 16%，而关键和高分的 cv 数量减少了 14%，但低复杂度的 cv 数量增加了 285%。

根据 CVE 细节(CVE 细节，未注明日期)的数据，2009 年至 2018 年底，为安卓提交的简历总数为 2147 份。

图 2.30:2009 年至 2018 年期间，Google Android 中被评定为严重和高严重性的 CVE 以及低复杂性 CVE 占所有 Google Android CVEs 的百分比

苹果 macOS 漏洞趋势

我在这里考察的最后一个操作系统是苹果的 macOS。在 1999 年至 2018 年期间，有 2094 份简历进入 NVD MAC OS(CVE 详情，未注明日期)。平均每年有 105 例心血管事件，其中约有 43 例严重和高度严重的心血管事件。这和 Linux 内核平均每年 108 个 CVE 非常相似。从图 2.31 可以看出，2015 年 CVEs 有较大幅度的增长。

图 2.31:MAC OS 中 CVE、关键和高评级严重性 CVE 以及低复杂性 CVE 的数量(1999-2018)

从 2016 年初到 2018 年底，MacOS X 的 CVE 数量下降了 49%。严重和高严重性心血管事件的数量减少了 59%。●访问复杂度降低了 66%。MacOS X 实现了我们漏洞改进框架的目标。又干得好，苹果！

图 2.32:MAC OS 中严重和高严重性等级的 CVE 和低复杂性 CVE 占所有 CVE 总数的百分比(1999-2018)

操作系统漏洞趋势摘要

我们在本章中研究的操作系统是历史上最流行的操作系统之一。当我将我们的漏洞改进框架应用于这些操作系统的漏洞披露数据时，结果喜忧参半。

我检查的微软操作系统没有一个符合我们漏洞改进框架中设定的标准。Windows Server 2012 非常接近，但在我检查的这段时间里，它的 CVEs 确实增加了 4%。调整时间框架可能会导致不同的结论，但我研究的所有操作系统的 CVE 趋势都是在同一时期。微软发布的利用数据显示，由于他们在 Windows 中实现的所有内存安全功能和其他缓解措施，他们产品中漏洞的可利用性非常低(Matt Miller，2019)。这对于漏洞管理团队来说是苦乐参半，因为尽管绝大多数漏洞不能被成功利用，但它们仍然需要修补。然而，在减少利用未打补丁的漏洞方面，很高兴知道微软已经为他们的客户提供了这么多有效的缓解措施。

谷歌 Android 在 2016 年至 2018 年期间没有达到漏洞改善框架中的目标。在此期间，心血管事件略有增加，低复杂性心血管事件增加了 285%。(CVE 详情，未注明日期)

macOS 和 Linux 内核确实符合漏洞改进框架的标准，这些供应商在为客户降低风险方面取得的成就应该得到祝贺和奖励。

表 2.4:漏洞改进框架的应用结果(2016–2018)

在表 2.5 中，我为您提供了我所研究的操作系统的 CVE 数据的有趣摘要。Linux 内核和苹果 macOS 从列表中脱颖而出，因为每年严重和高严重性 CVE 的平均数量相对较低。

表 2.5:操作系统的生命统计数据(1999 年至 2018 年)

在我研究 web 浏览器之前，我想指出我在本节中介绍的数据的一个局限性。虽然我能够为每个 Windows 版本分离出 CVE 数据，但我没有为 macOS 版本这么做。类似地，我没有深入研究不同 Linux 发行版的粒度细节来检查定制内核和第三方应用程序的数据。如果你能原谅这个双关语的话，将一个单独的 Windows 版本，比如 Windows 7，与所有的 macOS 版本进行比较，并不像是将苹果与苹果进行比较。需要更多的研究来揭示特定非 Windows 操作系统版本的趋势。

单个操作系统版本的趋势数据可能与作为一个整体的所有版本的结果大相径庭。然而，我提供的数据仍然说明了比特定操作系统版本的趋势更基本的东西，其中许多版本都不再受支持。它展示了这些操作系统供应商多年来的开发和测试过程。换句话说，它说明了供应商的安全标准是什么样的，以及它们是否能够随着时间的推移不断改进。由此，我们可以得出这样的结论:这些供应商中的哪一个擅长于潜在地降低企业的漏洞管理成本，同时也降低企业的风险。

接下来让我们看看网络浏览器中的漏洞趋势，这也受到了世界各地安全研究人员的密切关注。

Web 浏览器漏洞趋势

网络浏览器吸引了安全研究人员和攻击者的大量注意力。这是因为没有他们很难生活。每个人在台式机、移动设备和服务器上都至少使用一个浏览器。操作系统的开发团队可以在他们的产品中嵌入多层安全特性，但是 web 浏览器往往会通过所有这些基于主机的防火墙和其他安全层带来威胁。众所周知，Web 浏览器很难保护，正如您将从本节的数据中看到的，多年来，所有流行的浏览器都存在大量的漏洞。

关于我在本节中与你分享的网络浏览器数据，只是一个额外的警告。在我为本章分析的所有 NVD、CVE 和 CVSS 的数据中，我对这些数据的准确性最没有信心。这是因为，随着时间的推移，NVD 的 CVE 使用了不同的产品名称，这使得我很难确保拥有完整的数据集。例如，一些用于 Internet Explorer 的 CVE 被标记为“IE”。我尽我所能使用昵称找到了所有的变化，但我不能保证数据是完整和准确的。

1999 年至 2019 年 4 月间的 CVE 数量见图 2.33 (CVE 详情，未注明)。

图 2.33:流行网络浏览器中的简历总数(1999 年至 2019 年)

我将深入研究这些数据，并将我们的漏洞改进框架应用于其中一些产品，让您了解这些供应商如何管理世界上一些最流行的 web 浏览器中的漏洞。

Internet Explorer 漏洞趋势

我们先来考察一下微软IE 浏览器 ( IE )。IE 已经存在很多年了，不同的操作系统发布了不同的版本。我找到了 1999 年至 2018 年间的 1597 份 ie 简历(CVE 详情，未注明日期)。平均每年有 80 个漏洞和 57 个严重和高严重性 CVE。

图 2.34 显示了 1999 年至 2018 年期间每年的 CVE 数量、关键和高评级 CVE 数量以及低复杂性 CVE 数量。你可以看到，在 2012 年至 2017 年期间，简历的数量以及关键和高分简历的数量都有大幅增长。

图 2:34:工业工程(1999-2018 年)中 CVE、关键和高严重性 CVE 以及低复杂性 CVE 的数量

如图 2.37 所示，一个值得注意的数据点是这些年来在 IE 中发现了多少临界额定 CVE。请记住，许多组织会针对披露的每个严重漏洞启动并执行紧急更新流程，因为风险非常高。在 IE 的 1，597 份简历中，有 768 份，也就是 48%，被评为关键(CVE 细节，未注明)。这些简历数量最多的年份是 2013 年、2014 年和 2015 年。微软转向了季度安全更新发布模式，在这种模式下，他们发布累积安全更新，而不是单个更新，以最大限度地减少所有这些 CVE 可能导致的中断。

图 2.35:工业工程中个人简历的 CVSS 分数分布(1999-2018)

尽管有大量的 CVE 和大量的关键和高评级 CVE，但当我们将这些数据放入我们的漏洞改善框架(重点关注 2016 年至 2018 年底之间的 3 年)时，IE 表现良好。从 2014 年和 2015 年的高点压低 CVE 的努力表现为 2016 年至 2018 年 CVE 下降 44%，关键和高评级 CVE 下降 41%。此外，2018 年的低复杂度 CVE 为零。微软已经达到了我们的漏洞改进框架中的标准，更重要的是，达到了 SDL 的目标。干得好，微软！

接下来，我们来考察一下 Edge 浏览器。

Microsoft Edge 漏洞趋势

Edge 是微软在 2015 年随 Windows 10 发布的网页浏览器。微软基于从 IE(微软公司，n.d .)吸取的经验教训，对这款浏览器进行了大量的安全增强。

根据 CVE 细节，2015 年至 2018 年底，Edge 有 525 个简历(CVE 细节，未注明)。平均而言，每年有 131 个漏洞和 95 个严重和高严重性 CVE。图 2.36 显示了每年这些 CVE 的数量，以及严重和高严重性漏洞的数量，以及低复杂性 CVE 的数量。随着 Edge 发布前未修复的漏洞被发现和披露，CVE 的数量在最初几年迅速攀升。这意味着 Edge 不符合我们漏洞改进框架的标准。然而，2018 年的 CVEs 下降持续到 2019 年，进一步减少了 57%。如果我将 2019 年纳入我的分析，Edge 可能符合标准。

图 2.36:微软 Edge(2015–2018)中 CVE、关键和高严重性 CVE 以及低复杂性 CVE 的数量

这个分析可能没有实际意义，因为在 2018 年 12 月，微软宣布他们将采用 Chromium 开源项目进行 Edge 开发(微软公司，n.d .)。我们必须等待几年，看看这种变化如何反映在 CVE 的数据中。

接下来我们来考察一下谷歌 Chrome。

谷歌浏览器漏洞趋势

谷歌 Chrome 浏览器于 2008 年发布，首先在 Windows 上，然后在其他操作系统上发布。从 2008 年到 2018 年底，Chrome 共有 1680 个 CVE，平均每年 153 个漏洞。平均每年有 68 个漏洞被评为严重或高严重性(CVE 详情，未注明)。如图 2.37 所示，2010 年至 2012 年间，Chrome 的 CVE 大幅增加。在 2016 年至 2018 年底的三年间，心血管事件减少了 44%，低复杂性心血管事件以及严重和高严重性心血管事件减少了 100%。

图 2.37:Google Chrome 中 CVE 的数量，关键和高严重性 CVE 以及低复杂性 CVE(2008-2018)

图 2.38:关键和高严重性等级 CVE 和低复杂性 CVE 占所有 Google Chrome CVEs 的百分比(2008-2018)

Chrome 满足我们漏洞改进框架中的标准。干得好谷歌！

Mozilla Firefox 漏洞趋势

Mozilla Firefox 是一款流行的网络浏览器，最初发布于 2002 年。CVEs 于 2003 年开始在 NVD 出现。从 2003 年到 2018 年底，Firefox 有 1767 个 CVE，超过了谷歌 Chrome，成为 CVE 最多的浏览器。在此期间，Firefox 平均每年有 110 个 CVE，其中 51 个被评为严重或高度严重(CVE 细节，未注明)。

如图 2.39 所示，Firefox 在 2017 年几乎实现了零 CVEs 的理想目标，当时只有一个 CVE 在 NVD 备案。不幸的是，这并没有成为一种趋势，因为 2018 年在 NVD 提交了 333 份简历，这是 Firefox 单年的历史新高。从 2016 年到 2018 年底的 3 年间，CVEs 增长了 150%，关键和高严重性漏洞增长了 326%，而低复杂度 CVEs 增长了 841%。2019 年，简历数量从 333 个减少到更典型的 105 个(CVE 细节，未注明)。

图 2.39:Firefox 中 CVE、关键和高严重性 CVE 以及低复杂性 CVE 的数量(2003-2018)

如果 Mozilla 能够延续始于 2015 年的漏洞披露趋势，Firefox 将符合我们漏洞改进框架的标准。2017 年图 2.40 中的峰值是当年单一 CVE 被评为高严重性和低访问复杂性的结果(CVE 细节，未注明)。

图 2.40:关键和高严重性等级 CVE 和低复杂性 CVE 占所有 Firefox CVEs 的百分比(2003-2018)

苹果 Safari 漏洞趋势

我要考察的最后一个网络浏览器是苹果 Safari 浏览器。苹果最初于 2003 年 1 月发布了 Safari。平均而言，Safari 每年有 60 个漏洞，平均每年有 17 个 CVE 被评为严重或高。从 2003 年到 2018 年底，Safari 中总共披露了 961 份简历。

图 2.41:Apple Safari 中的 CVE 数量、关键和高严重性 CVE 以及低复杂性 CVE(2003 年至 2018 年)

如图 2.41 所示，2015 年和 2017 年 Safari 中的 CVE 都有比较大的增长。从 2016 年到 2018 年底，CVE 下降了 11%，关键和高评级 CVE 下降了 100%，低复杂性漏洞下降了 80%(CVE 细节，未注明)。苹果再一次满足了我们漏洞改进框架的标准。

图 2.42:严重和高严重性等级的 CVE，以及低复杂性 CVE 占所有 Apple Safari CVEs 总数的百分比(2003–2018)

Web 浏览器漏洞趋势摘要

我检查的三个网络浏览器符合我们的漏洞改进框架的目标。微软的网络浏览器、谷歌的 Chrome 浏览器和苹果的 Safari 浏览器都榜上有名。

表 2.6:在此期间(2014–2018 年)应用漏洞改进框架的结果

表 2.7:网络浏览器生命统计(1999 年至 2018 年)

表 2.7 总结了我们研究的网络浏览器的一些有趣的 CVE 数据(CVE 详情，未注明日期)。Apple Safari 的突出之处在于其每年平均 CVE 的数量较低，并且严重和高严重性 CVE 的平均数量远低于其他产品。

在将这种类型的数据和分析在 web 浏览器上呈现给真正热爱他们最喜爱的浏览器的人之后，他们通常不相信，有时甚至愤怒，他们最喜爱的浏览器可能有如此多的漏洞。关于数据和分析的有效性的问题通常会很快出现。我与之分享过这类数据的一些人也认为，他们最不喜欢的浏览器中的漏洞数量在某种程度上被低估了。这就像在争论我们最喜欢的汽车品牌！但是记住这个数据在几个方面是不完美的。当然，我们有机会更深入地研究数据，分析特定版本、服务包和发行版的 CVE 趋势，从而更细致地了解浏览器之间的差异。你可以使用我在本章提供的漏洞改进框架来做到这一点。但也许更重要的是，请记住这些数据说明了这些供应商多年来的开发和测试流程表现如何，以及他们是否一直在持续改进。

毕竟 IE 的每个版本都是微软开发的，Safari 的每个版本都是苹果开发的，等等。他们的客户不仅仅使用他们浏览器的一个版本；他们使用其供应商的开发、测试和事件响应流程的输出。要回答的关键问题是，这些供应商中的哪一个在降低风险的同时降低了组织的成本，从而管理了他们的漏洞。让我通过提供一些关于漏洞管理的一般指导来结束本章。

漏洞管理指南

运行良好的漏洞管理计划对所有组织都至关重要。正如您在本章的数据和分析中所看到的，整个行业已经披露了许多漏洞，而且数量一直在增加，而不是减少。截至 2019 年底，NVD 共有超过 122，000 家个人简历。攻击者知道这一点，也明白组织要跟上修补其环境中各种硬件和软件产品的工作量和复杂性是多么具有挑战性。防守者必须是完美的，而进攻者只需要好或者运气好一次。让我为您提供一些关于漏洞管理程序的建议。

首先，漏洞管理计划的一个目标是了解漏洞在您的 IT 环境中存在的风险。这不是静止的或缓慢移动的。所有硬件和软件中的漏洞不断被发现。因此，您环境中的漏洞数据很快就会过时。我所遇到的那些决定每季度或每六个月部署一次安全更新的组织对风险有着异乎寻常的偏好；尽管矛盾的是，这些组织中的一些告诉我他们没有风险偏好。遇到这样的人总是很有趣，他们认为他们最优先考虑的风险是他们的供应商，而不是积极寻找利用他们的方法的攻击者骨干。如果有机会，攻击者会很乐意加密他们所有的数据，并索要解密密钥的赎金。

当我遇到有这种政策的组织时，我想知道他们是否真的有数据驱动的风险观，以及最高层的管理人员是否真的了解他们代表整个组织接受的风险。

他们知道 2019 年平均每天有 33.4 个新漏洞被披露，2018 年每天有 45.4 个被披露吗？如果他们每季度修补一次，这相当于 2018 年有 4082 个漏洞可能长达 90 天没有修补，2019 年有 3006 个漏洞。对于每半年修补一次的组织，这一数字将翻倍。平均而言，超过三分之一的漏洞被评为严重或高度。攻击者只需在正确的系统中找到一个可利用的漏洞，就可以成功地破坏环境。这些组织大多需要专注于构建非常高效的漏洞管理计划，以在更合理的时间内降低风险，而不是避免修补和重启系统来最大限度地减少业务中断。攻击者在脆弱且长期未打补丁的环境中拥有巨大优势。

对于大多数组织，我的建议是漏洞管理团队每天扫描一切。如果有必要，再读一遍那句台词。还记得我在本书序言部分用的潜艇类比吗？你的弱点管理程序是你寻找潜艇船体缺陷的方法之一。每天扫描您环境中的每一项资产的漏洞，将有助于识别船体中的裂缝和缺陷，如果被利用，将会使船沉没。每天扫描所有内容以发现漏洞和错误配置，这为组织提供了重要的数据，有助于他们做出风险决策。没有最新的数据，他们是在不知情的情况下管理风险。

然而，值得注意的是，移动设备，尤其是各种自带设备，对漏洞管理团队构成了巨大的挑战。大多数组织根本无法像扫描其他资产一样扫描这些设备。这就是为什么许多网络安全专业人士将 BYOD 称为“带来自己的灾难”的一个原因。相反，限制移动设备访问敏感信息和 HVAs 更为常见。要求更新的操作系统版本和最低补丁级别才能连接到公司网络也很常见。为此，在过去的年中，我见过的大多数企业都采用了移动设备管理 ( MDM )或移动应用管理 ( MAM )解决方案。

对于一些组织来说，每天扫描所有内容将需要比目前更多的资源。例如，他们可能需要比目前更多的漏洞扫描引擎，以便每天扫描 100%的 IT 资产。他们可能还希望在非工作时间进行扫描，以减少在正常工作时间进行扫描所产生的网络流量。这可能意味着他们必须每晚在规定的时间内扫描所有内容。为此，他们需要足够数量的漏洞扫描引擎和人员来管理它们。一旦他们掌握了环境状态的最新数据，就可以利用这些数据做出基于风险的决策；例如，何时应该解决新发现的漏洞和错误配置。如果没有关于环境状况的最新数据，hope 将在其脆弱性管理策略中继续发挥核心作用。

所有这些漏洞扫描产生的数据对 CISOs 来说都是金粉，尤其是对于相对不成熟的安全程序。向首席执行官和董事会提供该计划的数据可以帮助首席信息官获得他们需要的资源，并传达他们在安全计划方面取得的进展。提供清单中资产数量的细目分类、他们实际上可以管理多少个漏洞、存在的严重和高严重性漏洞的数量，以及解决所有这些漏洞所需时间的估计，可以帮助构建有效的业务案例，从而增加对漏洞管理计划的投资。向高级管理层提供这样的定量数据有助于他们理解现实与观点。如果没有这些数据，就很难做出令人信服的业务案例，也很难根据安全计划的目标交流进展情况。

云可以以非常积极的方式改变与漏洞管理相关的成本和工作。我将在第八章、云——安全和合规性的现代方法中讨论这一点。

章节总结

希望我没有在这一章用太多的科学蒙蔽你——有很多数字需要消化！请允许我回顾一下本章的一些要点。

风险是概率和影响的结合。通用脆弱性评分系统(CVSS)用于评估国家脆弱性数据库(NVD)中每个脆弱性(CVE)的风险。这些数据应该用于通知您的漏洞管理程序。使用已经成功减少其产品中漏洞数量的供应商可能会减少与您的漏洞管理计划相关的时间、精力和成本。如果您选择的供应商也投资于降低攻击者的投资回报，使其产品中的漏洞难以或不可能被利用，那么您也将降低您的风险和成本。

在本章研究的供应商中，只有苹果公司在过去 5 年中通过减少其产品中的漏洞数量、降低其产品中漏洞的严重性以及减少低访问复杂性漏洞(风险最高的漏洞)的数量，达到了我们的漏洞改善框架的标准。我检查的操作系统在 3 年内实现了我们的漏洞改进框架的目标，它们是 Linux 内核和苹果 macOS。我检查的 2016 年至 2018 年期间漏洞管理记录最佳的网络浏览器包括苹果 Safari、谷歌 Chrome 和微软 Internet Explorer。在这三年中，这些浏览器的漏洞管理方式降低了用户面临的风险。

请记住，用于这些比较的数据有许多偏差，并且不完整或不完全准确。但是你可以做你自己的 CVE 研究，使用我提供的非正式的“漏洞改进框架”。

每天扫描一切的漏洞管理团队为其组织提供了管理风险的最佳可见性。来自漏洞管理计划的数据为 CISOs 提供了一些他们需要的数据，以管理其安全计划的性能并引导未来对这些计划的投资。

在下一章中，我们将深入研究来自全球数亿个系统的恶意软件感染数据，以了解威胁形势在这些年是如何演变的。您知道 GDP 等社会经济因素与地区恶意软件感染率有关吗？我们也要看看这个。此外，我将为您提供一些使用威胁情报的提示和最佳实践。

参考

1. 南卡罗来纳州布莱恩·马丁(2013 年 12 月 3 日)。 Black Hat USA 2013 -接受偏见:为什么漏洞统计如此糟糕。从 YouTube 上检索到:T3】https://www.youtube/watch?time_continue=20&v = 3s 0x 0 ujgrq 4sT5】
2. 常见漏洞和暴露。(未注明日期)。 CVE 编号机关。从常见漏洞和暴露中检索到:【https://cve.mitre/cve/cna.html】T3T5】
3. CVE 细节。(2020 年 1 月 1 日)。按“独特”漏洞总数排名前 50 的供应商。从 https://www.cvedetails/top-50-vendors.php 检索到的详细信息:T3T5】
4. CVE 细节。(未注明日期)。苹果产品清单。检索自 CVE 详情:www . CVE Details . com/product-list/vendor _ id-49/apple . html
5. CVE 细节。(未注明日期)。苹果 Mac OS X 漏洞详情。从 https://www.cvedetails/product/156/Apple-Mac-Os-X.html?取回细节:vendor _ id = 49
6. CVE 细节。(未注明日期)。苹果 Safari 漏洞统计。从 https://www.cvedetails/product/2935/Apple-Safari.html?取回细节:vendor _ id = 49
7. CVE 细节。(未注明日期)。苹果漏洞统计。从 https://www.cvedetails/vendor/49/Apple.html 检索到的详细信息:T3T5】
8. CVE 细节。(未注明日期)。谷歌 Android 漏洞统计。检索自 CVE 详情:T3】https://www . CVE Details . com/product/19997/Google-Android . html？vendor _ id = 1224T5】
9. CVE 细节。(未注明日期)。谷歌 Chrome 漏洞详情。检索自 CVE 详情:T3】https://www . CVE Details . com/product/15031/Google-chrome . html？vendor _ id = 1224T5】
10. CVE 细节。(未注明)。谷歌产品列表。检索自 CVE 详情:www . CVE Details . com/product-list/vendor _ id-1224/Google . html
11. CVE 细节。(未注明日期)。谷歌漏洞统计。从 https://www.cvedetails/vendor/1224/Google.html 检索到的详细信息:T3T5】
12. CVE 细节。(未注明日期)。它是如何工作的？从 CVE 取回详情:T3【https://www.cvedetails/how-does-it-work.php】T5】
13. CVE 细节。(未注明日期)。 IBM 产品清单。检索自 CVE 详情:T3】https://www . CVE Details . com/product-list/product _ type-/first char-/vendor _ id-14/page-1/products-by-name . html？sha = 6d 92323 b7a 6590 a46e 9131 E6 E1 f 4a 17 a 96434 ea 7&order = 3&TRC = 1056T5】
14. CVE 细节。(未注明日期)。 IBM 漏洞统计。从 https://www.cvedetails/vendor/14/IBM.html 检索到的详细信息:T3T5】
15. CVE 细节。(未注明日期)。 Linux 内核漏洞统计。检索自 CVE 详情:T3】https://www . CVE Details . com/product/47/Linux-Linux-kernel . html？vendor _ id = 33
16. CVE 细节。(未注明日期)。微软 Edge 漏洞统计。检索自 CVE 详情:T3】https://www . CVE Details . com/product/32367/Microsoft-edge . html？vendor _ id = 26
17. CVE 细节。(未注明日期)。微软 Internet Explorer 漏洞详情。检索自 CVE 详情:T3】https://www . CVE Details . com/product/9900/Microsoft-Internet-explorer . html？vendor _ id = 26
18. CVE 细节。(未注明日期)。微软产品清单。检索自 CVE 详情:T3】https://www . CVE Details . com/product-list/product _ type-/first char-/vendor _ id-26/page-1/products-by-name . html？sha = 4b 975 BDF 63b 781745 f 458928790 E4 c8 FD 6a 77 f 94&order = 3&TRC = 525T5】
19. CVE 细节。(未注明日期)。微软漏洞统计。从 https://www.cvedetails/vendor/26/Microsoft.html 检索到的详细信息:T3T5】
20. CVE 细节。(未注明)。 Mozilla Firefox 漏洞详情。检索自 CVE 详情:T3】https://www . CVE Details . com/product/3264/Mozilla-Firefox . html？vendor _ id = 452T5】
21. CVE 细节。(未注明日期)。 Mozilla Firefox 漏洞统计。检索自 CVE 详情:T3】https://www . CVE Details . com/product/3264/Mozilla-Firefox . html？vendor _ id = 452T5】
22. CVE 细节。(未注明日期)。甲骨文产品清单。检索自 CVE 详情:T3】https://www . CVE Details . com/product-list/product _ type-/first char-/vendor _ id-93/page-1/products-by-name . html？sha = b4dc 68699904240 f1 eab 0 f 9453 FB 5a 2 f 9213 a78 f&order = 3&TRC = 644T5】
23. CVE 细节。(未注明日期)。 Oracle 漏洞统计。从 https://www.cvedetails/vendor/93/Oracle.html 检索到的详细信息:T3T5】
24. CVE 细节。(未注明日期)。按“独特”漏洞总数排名前 50 的产品。从 https://www.cvedetails/top-50-products.php 检索到的详细信息:T3T5】
25. CVE 细节。(未注明日期)。按“独特”漏洞总数排名前 50 的产品。从 https://www.cvedetails/top-50-products.php 检索到的详细信息:T3T5】
26. CVE 细节。(未注明日期)。 Windows 10 漏洞详情。检索自 CVE 详情:T3】https://www . CVE Details . com/product/32238/Microsoft-Windows-10 . html？vendor _ id = 26
27. CVE 细节。(未注明日期)。 Windows 7 漏洞统计。检索自 CVE 详情:T3】https://www . CVE Details . com/product/17153/Microsoft-Windows-7 . html？vendor _ id = 26
28. CVE 细节。(未注明日期)。 Windows Server 2012 漏洞详情。检索自 CVE 详情:T3】https://www . CVE Details . com/product/23546/Microsoft-Windows-Server-2012 . html？vendor _ id = 26
29. CVE 细节。(未注明日期)。 Windows Server 2016 漏洞详情。检索自 CVE 详情:T3】https://www . CVE Details . com/product/34965/Microsoft-Windows-Server-2016 . html？vendor _ id = 26
30. CVE 细节。(未注明日期)。 Windows XP 漏洞统计。检索自 CVE 详情:T3】https://www . CVE Details . com/product/739/Microsoft-Windows-XP . html？vendor _ id = 26
31. 马特·米勒，男(2019 年 2 月 14 日)。 BlueHat IL 2019 -马特米勒。从 YouTube 上检索到:T3【https://www.youtube/watch?v=PjbGojjnBZQ】T5】
32. 微软公司。(2020 年 1 月)。对 Windows 7 的支持已经结束。从微软公司检索:www . Microsoft . com/en-us/windows/windows-7-end-of-life-support-information
33. 微软公司。(未注明日期)。微软 Edge:打造更安全的浏览器。检索自微软:blogs . windows . com/msedgedev/2015/05/11/Microsoft-edge-building-a-safer-browser/# tfljzdzg 1 lorhcy 3.97
34. 微软公司。(未注明日期)。微软 Edge:通过更多开源合作让网络变得更好。检索自微软:blogs . windows . com/windows experience/2018/12/06/Microsoft-edge-making-the-web-better-through-more-open-source-collaboration/# 53 ueshz 9 btu HB 1g . 97
35. 微软。(未注明日期)。安防工程。从微软检索到:【https://www.microsoft/en-us/securityengineering/sdl】T3T5】
36. NIST。(未注明日期)。从国家漏洞数据库中检索:nvd.nist.gov/vuln
37. NIST。(未注明日期)。常见漏洞评分系统计算器。从国家漏洞数据库中检索到:【https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator】
38. NIST。(未注明日期)。 CVE-2018-8653 详情。从国家漏洞数据库中检索到:【https://nvd.nist.gov/vuln/detail/CVE-2018-8653】
39. NIST。(未注明日期)。漏洞度量。从国家漏洞数据库中检索到:【https://nvd.nist.gov/vuln-metrics/cvss】
40. 里贝罗河(未标明)。了解 Windows 10 的安全优势。检索自 BizTech:BizTech magazine . com/article/2016/04/understanding-security-benefits-windows-10
41. 维基百科。(未注明日期)。常见漏洞评分系统。从维基百科检索:en . Wikipedia . org/wiki/Common _ Vulnerability _ Scoring _ System
42. 维基百科。(未注明日期)。零项目。从维基百科检索:【https://en.wikipedia/wiki/Project_Zero】T3T5】

三、威胁格局的演变——恶意软件

我一直认为恶意软件是“攻击者自动化”的同义词。“恶意软件的提供者出于各种动机寻求破坏系统，正如我在第一章第一章第一节和 T2 中所描述的，这是一个成功的网络安全策略的要素。任何发送和接收电子邮件、网上冲浪或接受其他形式输入的系统都可能受到攻击，不管它是在雷蒙德、罗利、库比蒂诺、赫尔辛基还是其他任何地方制造的。AV-TEST Institute 是世界上首屈一指的独立反病毒测试实验室之一，位于德国，拥有世界上最大的恶意软件集合之一。(AV-Test Institute，2020)他们已经积累了超过 15 年的收藏。”每天，AV-TEST Institute 登记超过 350，000 个新的恶意程序(恶意软件)和潜在不需要的应用程序(PUA)" (AV-Test Institute，2020 年)。他们发布的统计数据表明，在 2011 年至 2019 年期间，恶意软件的总量每年都在增加，开始时检测到 6526 万个恶意软件样本，结束时检测到 10.4032 亿个恶意软件样本(增加了 16 倍)(AV-Test Institute，2020)。根据 AV-Test 在其年度安全报告中公布的数据，2016 年为 Windows 操作系统开发的恶意软件的份额为 69.96%(AV-Test Institute，2017)，2017 年为 67.07%(AV-Test Institute，2018)，2018 年为 51.08%(AV-Test Institute，2019)。

这些年恶意软件样本份额第二高的操作系统是谷歌 Android，每年报告的份额不到 7%(AV-Test Institute，2020)。2019 年 3 月，针对 Linux 操作系统检测到的新恶意软件样本数量为 41，161 个(现有最新数据)，而同期针对 Windows 的恶意软件样本数量为 6，767，397 个(相差 198%)(AV-Test Institute，2019)。本月 macOS 的恶意软件样本从上个月的 8，057 个激增至 11，461 个(AV-Test Institute，2019)。

这些数据清楚地表明恶意软件作者选择的平台是 Windows 操作系统。也就是说，与任何其他平台相比，开发了更多独特的恶意软件来攻击基于 Windows 的系统。一旦 Windows 系统遭到破坏，攻击者通常会获取软件和游戏密钥、财务信息(如信用卡号)以及其他机密信息，他们可以用这些信息来窃取身份，有时还会控制系统及其数据以获取赎金。许多攻击者会将受损系统用作平台，利用受损系统提供给他们的匿名性来实现攻击。

鉴于攻击者更多地瞄准和利用基于 Windows 的系统，而不是任何其他平台，并且鉴于 Windows 无处不在，安全专家需要了解攻击者如何以及在何处使用这些系统。ciso、有抱负的 ciso、安全团队和网络安全专家可以从了解基于 Windows 的系统如何受到攻击中受益，至少在以下几个方面:

• 负责其环境中 Windows 系统的 CISOs 和安全团队应该了解攻击者是如何用恶意软件攻击基于 Windows 的系统的，以及这种攻击是如何随着时间的推移而演变的:
  • 了解恶意软件将有助于安全团队更好地开展工作。
  • 这些知识有助于识别一些安全供应商用来销售其产品和服务的恐惧、不确定性和怀疑；了解攻击者如何使用恶意软件将有助于 CISOs 做出更好的安全相关投资和决策。
• 负责基于 Linux 的系统和其他非微软操作系统的 CISOs 和安全团队应该对他们的对手如何危害和利用 Windows 系统攻击他们有所了解。攻击者不在乎他们所攻击的技术是在雷蒙德、罗利、库比蒂诺还是东亚某大国开发的；我们可以从 Windows 生态系统中吸取经验教训，这也适用于基于 Linux 的系统和其他平台，并向它们学习。通常，恶意软件作者在 Windows 平台上使用的方法会被用来攻击其他平台，尽管通常规模较小。了解恶意软件作者的方法对于安全团队来说非常重要，不管他们保护的是什么类型的系统。不幸的是，CISOs 无法排除基于 Windows 的威胁，即使他们的环境中不使用 Windows。
• 最后，在我看来，网络安全主题专家很难使用这个绰号，如果他们幸福地不知道在线生态系统中的恶意软件趋势，这个生态系统由超过 10 亿个系统组成，支持世界上超过一半的恶意软件。无论有更多的移动设备、更多的物联网设备，还是更安全的操作系统，都无关紧要。不可否认，Windows 无处不在。随后，所有网络安全专家都应该对全球威胁格局中的最大参与者有所了解。

本章将提供一个独特的、详细的、数据驱动的视角，展示恶意软件在过去十年中是如何在全球范围内发展的，在某些情况下，我将提供更长时间的数据。在区域恶意软件遭遇率和感染率方面有一些非常有趣的差异，我也将在本章中深入探讨。这种对威胁形势的看法将有助于 CISOs 和安全团队了解他们所面临的恶意软件威胁是如何随着时间的推移而变化的。这些数据不仅非常有趣，而且有助于消除人们对恶意软件以及如何管理其带来的风险的担忧、不确定性和疑虑。

我还会给你一些指点，告诉你如何识别好的威胁情报，而不是我今天在行业经常看到的废话；在我在微软工作期间发表了数千页的威胁情报后，我有一些提示和技巧与您分享，我想您会喜欢的。

在本章中，我们将讨论以下主题:

• Windows 威胁情报的一些数据来源
• 定义恶意软件类别以及如何衡量它们的流行程度
• 全球恶意软件演变和趋势
• 中东、欧盟、东欧和俄罗斯、亚洲以及北美和南美的区域性恶意软件趋势
• 如何识别好的威胁情报

在我向你介绍我在本章中使用的数据来源之前，让我们从一个有趣的、希望有点娱乐性的故事开始。

介绍

2003 年，当我在微软面向客户的事件响应团队工作时，我们开始有规律地在受损系统上发现用户模式 rootkit，以至于我们最好的工程师之一开发了一个工具，可以发现隐藏在 Windows 中的用户模式 rootkit。用户模式 rootkit 运行起来就像普通用户运行的任何其他应用程序一样，但它隐藏自己。后来，有一天，我们接到一位微软支持工程师的电话，他正在帮助解决一位客户在 Exchange 电子邮件服务器上遇到的一个问题。问题的症状是每隔几天，服务器就会蓝屏一次。支持工程师无法找出原因，正在进行远程调试会话，试图找到导致服务器蓝屏的代码。这花了几个星期，但一旦他找到了导致蓝屏的代码，他就无法解释这是什么代码，也无法解释它是如何安装在服务器上的。这是他打电话给我们求助的时候。

当服务器蓝屏并重启时，这使我们能够从系统中查看部分内存转储。经过几天的分析，我们确定服务器受到了前所未有的威胁。系统上的设备驱动程序隐藏了自身和其他组件。我们发现了我们在野外见过的第一个内核模式 rootkit。

这是一件大事。与用户模式 rootkit 不同，开发和安装内核模式 rootkit 需要惊人的专业知识。这是因为这种类型的 rootkit 运行在操作系统最有特权的部分，很少有人真正理解。当时，尽管安全专家讨论了内核模式 rootkitss 的概念，但发现在企业生产环境中运行的服务器上安装了内核模式 rootkit，表明攻击者变得比过去更加老练。从用户模式 rootkit 升级到内核模式 rootkit 是恶意软件进化过程中的一次重大飞跃。

对我们的事件响应团队来说，这是一个行动号召。我们必须让微软的 Windows 内核开发人员知道，让 Windows 成为可信计算基础的东西——它的内核——正受到老练的恶意软件作者的直接攻击。在那之前，在野外运行的内核模式 rootkit 是虚构的。但是现在，我们有证据表明这些 rootkits 是真实的，正被用来攻击企业客户。我们安排了一次与 Windows 内核开发团队的首席开发人员、测试人员和项目经理的会议。我们聚集在一个用于培训的房间里，有一个高射投影仪，这样我们可以引导开发人员通过我们从受损服务器获得的内存转储，向他们展示 rootkit 是如何工作的。我们向他们提供了一些关于服务器的上下文，比如它在哪里运行、操作系统版本、服务包级别、服务器上运行的所有应用程序的列表等等。我们回答了许多关于我们如何调试蓝屏的来源，找到隐藏的驱动程序，并发现它如何工作的问题。

起初，Windows 内核团队完全怀疑我们发现了一个运行在 Windows 服务器上的内核模式 rootkit。但是在我们展示了所有证据并向他们展示了调试细节之后，他们逐渐接受了这是一个内核模式 rootkit 的事实。我们的团队期待着对我们所做的所有非常技术性的工作的奉承和尊重，以及我们对 Windows 内核内部的专业知识，这使我们能够做出这一发现。相反，内核开发者告诉我们，我们的工具和方法和恶意软件作者一样糟糕。他们警告我们停止使用我们的工具来寻找 rootkits，因为这些工具可能会使他们运行的 Windows 系统不稳定，除非重新启动。最后，他们提出不做任何事情来加固内核，以防止将来发生这样的攻击。对我们来说，这是一次令人失望的会议，但你不可能赢得所有人！

在 2003 年和 2004 年大规模蠕虫攻击成功后，这种论调发生了变化。整个 Windows 团队停止了他们在后来成为 Windows Vista 的开发工作。相反，他们致力于提高 Windows XP 和 Server 2003 的安全性，发布了 Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1。甚至有人谈到了代号为 Palladium 的新版本 Windows，它有一个安全内核来帮助减少像我们发现的这种 rootkits，但它从未实现过(维基百科，未注明日期)。最终，我们在检测内核模式 rootkits 方面的工作确实有助于推动积极的变化，因为未来的 64 位版本 Windows 不允许安装内核模式驱动程序，就像我们发现的那样，除非它们有有效的数字签名。

在我在微软职业生涯的后期，我有机会与微软反恶意软件研究和响应实验室的世界级恶意软件研究人员和分析师一起工作，他们保护了 10 亿个系统免受数百万个新恶意软件的威胁。像我们 4、5 年前发现的内核模式 rootkit 这样的恶意软件现在已经成了商品。攻击者利用大规模自动化和服务器端多态性，每周创建数百万个独特的恶意软件。为了赢得这场战争，反病毒行业将不得不拥有比大型商用恶意软件供应商更大、更好的自动化，这已被证明是难以完成的。

为什么与其他平台相比，Windows 上的恶意软件如此之多？

如今，连接互联网的移动设备肯定比基于 Windows 的系统多。随着苹果、谷歌、三星和其他公司将非常受欢迎的产品推向全球市场，移动设备的采用呈爆炸式增长。但是如果有更多的移动设备，难道不应该有更多的为这些平台开发的恶意软件吗？

这个问题的答案在于应用程序如何在这些生态系统中分布。苹果的应用商店改变了行业的游戏规则。它不仅让 iPhone 用户轻松找到并安装应用程序，而且几乎完全消除了基于 iOS 设备的恶意软件。

苹果之所以能够做到这一点，是因为它让 App Store 成为消费者唯一可以安装应用程序的地方(越狱除外)。独立软件供应商(ISV)想要把他们的应用程序下载到消费者基于 iOS 的设备上，比如 iPhones 和 iPads，需要把他们的应用程序下载到苹果的应用程序商店。要做到这一点，这些应用程序需要满足苹果的安全要求，他们在幕后验证这些要求。这使得 App Store 成为阻止恶意软件进入苹果设备的完美瓶颈。

相比之下，微软的 Windows 是在更幼稚的时代开发的，当时没有人能够预测到，有一天，Windows 生态系统中的恶意文件会比合法文件更多。对开发者来说，Windows 的一大优势是他们可以为 Windows 开发软件，并直接销售给消费者和企业。几十年来，这种模式一直是个人电脑的主要软件分发模式。由于软件可以被安装而不考虑其出处，并且确定其可信度的能力有限，恶意软件在这个生态系统中盛行并继续如此。几十年来，微软采取了许多措施来对抗这种软件分发模式的“副作用”,但收效甚微。

一些人会认为 Android 生态系统已经在这两个极端之间结束了。谷歌也有一个应用商店，叫做 Google Play。谷歌也已经采取措施，尽量减少这个应用商店中的恶意软件。然而，基于 Android 设备的第三方应用商店并没有都保持谷歌的高安全标准，从而允许这些设备的恶意软件进入生态系统。但是，正如我前面提到的，在基于 Android 的设备上检测到的恶意软件样本数量比基于 Windows 的设备少很多倍。

软件分发模式的这些差异，至少部分地，有助于解释为什么为 Windows 开发的恶意软件比其他平台多得多。网络安全专业人员可以从他们自己的 IT 环境中吸取一些经验教训。控制软件引入企业 it 环境的方式也有助于最大限度地减少 IT 中的恶意软件数量。这是利用持续集成 ( CI )/ 持续部署 ( CD )管道的一个优势。CI/CD 管道可以帮助企业构建自己的应用商店，并限制软件引入其环境的方式。

既然我们已经简要讨论了软件分发模型如何影响恶意软件的分发，那么让我们深入探讨恶意软件。安全团队可以从研究为 Windows 操作系统开发的恶意软件中学到很多东西，即使他们自己不使用 Windows。恶意软件作者在 Windows 上采用的方法可以并且已经被用于针对包括 Linux 在内的许多不同平台开发的恶意软件。研究恶意软件在最大的恶意软件生态系统中是如何工作的，可以帮助我们在几乎所有其他地方防范它。但是，在我深入研究恶意软件趋势数据之前，了解我将向您展示的数据的来源是很重要的。威胁情报的好坏取决于它的来源，所以让我们从这里开始。

数据来源

本章数据的主要来源是微软安全情报报告(微软公司，未注明)。在我与 微软恶意软件保护中心(MMPC)的研究人员和分析师一起工作期间，我是微软安全情报报告 的执行编辑和撰稿人，我们称之为在我帮助制作《先生》的 8、9 年间，我们出版了超过 20 册和特别版的这份报告，篇幅长达数千页。我为世界各地的客户提供了数千次威胁情报简报，以及媒体和分析师采访。这些报告的每一页我都读了一遍又一遍，我非常了解这些数据的来龙去脉。

*这些报告中的数据来自微软的反恶意软件产品，包括恶意软件删除工具、微软安全扫描程序、微软安全基础软件、微软系统中心端点保护、Windows Defender、Windows Defender 高级威胁保护、Windows Defender 脱机版、Azure 安全中心和微软网络浏览器内置的 SmartScreen 过滤器。为本报告提供有价值数据的其他非安全产品和服务包括 Exchange Online、Office 365 和 Bing。让我更详细地解释一下这组折衷的数据源如何帮助描绘一幅全面的威胁图景。

恶意软件清除工具

恶意软件移除工具 ( MSRT )是一个有趣的工具，提供有价值的数据(微软公司，未标明)。在 Blaster 蠕虫攻击之后(有变种)(微软公司，未注明)，2003 年夏天，微软开发了一个免费的“Blaster 删除工具”，旨在帮助客户检测和删除 Blaster 蠕虫及其变种(莱登)。请记住，在这个时候，很少有系统运行最新的，实时防病毒软件。爆破工移除工具是免费的。随着数千万个系统运行这个工具，它产生了巨大的影响。由于该工具的成功以及历史上随之而来的持续不断的恶意软件攻击，如 Sasser、MyDoom 等，以及很少有系统运行防病毒软件的事实，微软决定每月发布一款“恶意软件删除工具”。MSRT 诞生了。

它旨在检测受感染的系统，并从整个 Windows 生态系统中清除最流行或最严重的恶意软件威胁。微软的反恶意软件实验室决定每月向 MSRT 添加什么新的检测。它检测到的所有恶意软件的列表公布在微软的网站上(微软公司)。在 2005 年 1 月至 2019 年 10 月期间，MSRT 的检测中增加了 337 个恶意软件家族。请记住，已知的恶意软件家族即使没有几百万，也至少有几十万，所以这只是实时反恶意软件软件包检测到的全部恶意软件中很小的一部分。MSRT 每月(或多或少)都会在每月的第二个星期二“补丁星期二”发布安全更新。它会自动从 Windows Update 或 Microsoft Update 下载到世界上所有选择运行它的 Windows 系统上。当我在 SIR 中发布 MSRT 的数据时，MSRT 平均每月在数亿个系统上运行。

一旦 EULA 被认可，MSRT 将在没有用户界面的情况下静默运行，因为它是一个命令行工具。如果它没有发现任何恶意软件感染，它会停止执行，并从内存中卸载。在这种情况下，不会向 Microsoft 发回任何数据。但是，如果 MSRT 检测到恶意软件，它会尝试从系统中删除恶意软件，并向用户和微软报告感染情况。在这种情况下，数据被发送回 Microsoft。

微软发布了 MSRT 发回进行分析的数据字段的特定列表，包括检测到恶意软件的 Windows 版本、操作系统区域设置以及从系统中删除的恶意文件的 MD5 哈希等(微软公司，未注明日期)。管理员可以下载 MSRT 并手动运行它；MSRT 也可以配置为不将数据发送回 Microsoft。我接触过的大多数运行 MSRT 的企业通常会用防火墙拦截发送给微软的数据。随后，我有根据的猜测是，向微软返回 MSRT 数据的数亿个系统中，95%或更多可能是消费者的系统。

MSRT 提供了一个很好的恶意软件暴露后快照，它列出了感染全球消费者系统的已知、流行的恶意软件。当微软的反恶意软件实验室在 MSRT 中增加了对一种非常普遍的威胁的检测时，我们应该会看到数据中该恶意软件家族的检测数量激增。正如你将在数据中看到的，这种情况时有发生。请记住，在将检测添加到 MSRT 之前，受感染的系统可能已经感染了数周、数月或数年。由于 MSRT 在世界各地的系统上运行，它返回受感染系统的 Windows 区域设置和国家位置，这为我们提供了一种查看恶意软件感染的区域差异的方法。我将在本章后面详细讨论这一点。

实时反恶意软件工具

与 MSRT 不同，它会清理已经成功感染流行恶意软件的基于 Windows 的系统，实时反恶意软件的主要目的是阻止恶意软件的安装。它通过扫描传入的文件、监控系统是否有明显的感染迹象、在文件被访问时扫描文件以及定期扫描存储来做到这一点。当最初安装实时反恶意软件包时，实时反恶意软件还可以发现系统上预先存在的感染。实时反恶意软件通常会定期(每天、每周、每月等等)获取签名和引擎更新。这有助于 it 部门阻止新出现的威胁，以及以前不知道存在的威胁。

例如，如果添加了对恶意软件威胁的检测，但是该恶意软件威胁已经成功感染了运行实时反恶意软件软件的系统，则该更新使得反恶意软件软件能够检测并有希望移除现有的感染。

我的观点是，与 MSRT 相比，来自实时反恶意软件的数据为我们提供了一个不同的威胁前景视图。Microsoft Security Essentials、Microsoft System Center Endpoint Protection、Windows Defender 和 Windows Defender Advanced Threat Protection 都是作为数据源的实时反恶意软件的示例。Windows Defender 是基于 Windows 10 的系统的默认反恶意软件包，现在在世界上一半以上的个人电脑上运行(Keizer，Windows by the numbers:Windows 10 resumes March to endless dominance)。这意味着 Windows Defender 可能在全球数以亿计的系统上运行，使其成为威胁情报数据的重要来源。

在我所做的一些威胁情报简报中，一些与会者断言这种方法只能提供微软所知的恶意软件的视图。但这并不完全正确。主要的反恶意软件供应商相互共享信息，包括恶意软件样本。因此，虽然第一个发现威胁的反恶意软件实验室将在其他任何人之前检测到该威胁，但随着时间的推移，所有反恶意软件供应商都将检测到该威胁。微软管理着几个安全信息共享计划，目标是帮助所有厂商更好地保护他们共享的客户(微软公司，2019)。

虽然 Internet Explorer 和微软的 Edge web 浏览器没有其他一些可用的 web 浏览器那样大的市场份额，但这些浏览器内置的 SmartScreen 过滤器让我们可以查看 web 上托管的恶意软件(微软公司)。SmartScreen 就像是浏览器的反恶意软件。当用户浏览网页时，SmartScreen 会警告他们试图访问的已知恶意网站，并扫描下载到浏览器中的文件以查找恶意软件。托管恶意软件的站点上的数据以及恶意文件本身可以让我们了解网络上托管的最常见威胁，以及世界上托管威胁最多的地方和受害者所在的地区。

非安全数据源

数据来源，如电子邮件服务和互联网搜索服务，可以为威胁情报提供额外的维度。例如，来自 Office 365 和 Outlook 的数据提供了通过电子邮件流动的威胁的可见性，包括这些威胁的来源和目的地及其数量。微软从 Office 365 获得的数据量令人难以置信，每个月都有来自世界各地客户的数千亿封电子邮件流经它(微软公司，2018)。

微软的互联网搜索引擎服务 Bing 也是威胁情报数据的丰富来源。Bing 为数十亿个网页建立了索引，以便其用户能够快速获得相关的搜索结果，同时它也在寻找路过式下载网站、恶意软件托管网站和钓鱼网站。这些数据可以帮助我们更好地了解恶意软件被托管在世界上的什么地方，它随着时间的推移移动到什么地方，以及受害者在哪里。

当来自一些选定的非安全数据源的数据与来自我之前讨论过的一些安全数据源的数据相结合时，我们可以对威胁形势有一个更全面的了解。Office 365 和 Outlook 接收来自各种非微软客户端和电子邮件服务器的电子邮件，Bing 对所有类型平台上的内容进行索引。当然，这些数据的组合并不能给我们提供完美的可视性，但是这些数据源的规模给了我们很好的洞察力的潜力。

既然您已经知道我是从哪里获取恶意软件相关数据的，那么让我们快速了解一下数据和分析中包含的不同类别的恶意软件。

关于恶意软件

在我们深入研究威胁数据之前，我需要为您提供一些我将在本章剩余部分使用的术语的定义。

恶意软件，也称为恶意软件，是作者意图恶意的软件。恶意软件的开发者试图阻碍数据和/或处理、传输和存储数据的系统的机密性、完整性和/或可访问性。

正如我在第一章、成功网络安全策略的要素中所讨论的，恶意软件作者可能受到许多不同因素的驱使，包括傲慢、恶名、军事间谍、经济间谍和黑客行动主义。

如今，大多数恶意软件家族都是混合型威胁。我这么说的意思是，许多年前，威胁是分散的，它们要么是蠕虫，要么是后门，但不会同时是两者。如今，大多数恶意软件都具有多种恶意软件类别的特征。反恶意软件实验室中对恶意软件样本进行逆向工程的分析师通常按照每个样本的主要或最显著的行为方式对恶意软件进行分类。

例如，一个恶意软件可能表现出蠕虫、木马和勒索软件的特征。分析师可能会将其归类为勒索软件，因为这是其主要行为或特征。这些年来，威胁的数量急剧增加。主要反恶意软件实验室的恶意软件研究人员通常没有时间花数周或数月来研究一个恶意软件威胁，而 20 年前他们可能会这样做。但是，我见过 CERTs 或小型研究实验室的分析师针对客户环境中发现的特定复杂威胁这样做。保护大量系统免受日益增长的严重威胁意味着一些主要的反病毒实验室花费更少的时间来研究和发布他们发现的每个威胁的详细结果。此外，大多数企业客户更感兴趣的是阻止感染或尽快从感染中恢复并继续开展业务，而不是深入了解当前恶意软件的内部工作原理。

一般来说，恶意软件的研究和应对现在更多的是自动化和科学，而不是曾经的艺术。不要误会我；如果您能够了解一个恶意软件是如何传播的，以及它的有效载荷是什么，那么您就可以更有效地减轻它。但是，今天看到的威胁的数量和复杂性将挑战任何组织以任何规模做到这一点。相反，安全团队通常必须花费时间和资源来缓解尽可能多的恶意软件威胁，而不仅仅是一个流行的类别或家族。正如您将从我在本章提供的数据中看到的，一些攻击者甚至使用老式的文件感染程序(病毒)。

恶意软件感染如何传播

恶意软件不是魔法。它必须以某种方式进入 It 环境。希望你能记住网络安全的常见疑点，也就是组织最初被攻破的五种方式，我在第一章、成功的网络安全策略的要素中详细讨论过。提醒您一下，网络安全通常有以下嫌疑:

• 未修补的漏洞
• 安全错误配置
• 脆弱、泄露和被盗的凭据
• 社会工程
• 内部威胁

恶意软件威胁可以使用所有网络安全常见的可疑手段来危害系统。一些恶意软件最初用于危害系统，以便威胁参与者实现他们的目标。一些恶意软件在 IT 环境中使用，在环境已经被破坏之后。例如，在攻击者使用一个或多个网络安全常见嫌疑人最初危及网络安全后，他们可以使用恶意软件来加密敏感数据和/或找到缓存的管理员凭据，并将它们上传到远程服务器。一些恶意软件非常复杂，可用于最初的危害和危害后的目标。正如我前面提到的，我一直认为恶意软件是“攻击者自动化”的同义词。“恶意软件不是攻击者手动键入命令或运行脚本，而是一种为攻击者自动或半自动执行非法活动的程序。恶意软件帮助攻击者实现他们的目标，无论他们的目标是破坏和无政府状态，还是经济间谍活动。

我将在本章讨论的恶意软件类别包括木马、后门木马、木马下载程序和下载程序、浏览器修改器、漏洞利用、漏洞利用工具包、潜在有害软件、勒索软件、病毒和蠕虫。微软为这些类别的恶意软件和其他软件提供了定义。您最喜欢的反恶意软件提供商或威胁情报提供商可能有不同的定义。这完全没问题，但是请记住，定义之间可能会有一些细微的差别。我将为您提供我自己的、不太正式的定义，以使本章更容易阅读和理解。

特洛伊人

我将从木马开始，因为在过去的十年里，在世界范围内，它们是最流行的恶意软件种类。木马依靠社会工程获得成功。它是一个程序或文件，当它实际上是另一个东西时，它将自己表示为一个东西，就像它所基于的木马隐喻一样。用户被诱骗下载并打开或运行它。木马不像蠕虫那样利用未打补丁的漏洞或弱密码传播自己；他们必须依靠社会工程。

后门木马就是这种病毒的变种。一旦用户被诱骗运行恶意程序(脚本和宏也可能是恶意的)，后门木马就会让攻击者远程访问受感染的系统。一旦他们拥有远程访问权限，他们就有可能窃取身份和数据，窃取软件和游戏密钥，安装软件和他们选择的更多恶意软件，将受感染的系统加入僵尸网络，以便他们可以为攻击者做“项目工作”，等等。项目工作可能包括敲诈、分布式拒绝服务 ( DDoS )攻击、存储和分发非法和有问题的内容，或者攻击者愿意交易或出售其受威胁系统网络的任何东西。

木马下载者和下载者是这个主题的另一个变种。一旦用户被诱骗运行恶意程序，木马就会从自身解包更多恶意软件，或者从远程服务器下载更多恶意软件。结果通常是一样的——恶意奴役和收获系统的一切价值。木马下载程序和下载程序在 2006 年和 2007 年风靡一时，但自那以后在有限的时间内戏剧性地出现了。木马下载器和下载器的一个很好的例子是臭名昭著的被称为 Zlob 的威胁。当用户访问含有他们想要观看的视频内容的恶意网站时，他们被诱骗在自己的系统上安装了该软件。当他们点击视频文件观看时，网站告诉他们没有安装正确的视频编解码器来观看视频。有益的是，该网站提供了视频编解码器供下载，以便用户可以观看视频。用户实际上是在下载和安装 Zlob(微软公司，2009)。一旦安装完毕，它就会让用户看到免费“安全软件”的弹出广告，帮助他们保护自己的系统。点击广告下载并安装安全软件的用户让攻击者越来越多地控制他们的系统。

可能不需要的软件

当我在讨论使用社会工程的威胁时，另一种几乎无处不在的威胁类别被称为潜在有害软件，也被称为潜在有害应用、潜在有害程序以及其他一些。为什么这个品类有那么多看似不起眼的名字？这是律师发明的一类威胁。这不一定是坏事，这确实是一个有趣的威胁类别。恶意软件研究中有一些灰色阴影，这个类别暴露了这一点。

让我给你一个潜在不需要的软件的假想例子，它不是基于任何真实世界的公司或组织。如果一家合法公司向消费者提供免费游戏，以换取对他们互联网浏览习惯的监控，从而使他们能够更准确地成为在线广告的目标，会发生什么？我想我认识的大多数人会认为这很恐怖，不会放弃自己的隐私来换取免费游戏。但是，如果这种隐私交换只是列在免费游戏的最终用户许可协议(【EULA】)中，在那里很少有人会阅读它，有多少人会简单地下载免费游戏并玩它呢？在这种情况下，假设免费游戏最终成为反恶意软件公司威胁收集中的恶意软件样本。反恶意软件实验室的分析师可能会认为游戏公司对游戏用户不够透明，并将游戏归类为木马。反恶意软件公司随后将更新其反恶意软件产品的签名以检测这一新威胁。反恶意软件公司的反恶意软件解决方案将检测并从运行该游戏的每个系统中删除该游戏。反恶意软件公司是否通过移除游戏及其追踪互联网浏览习惯的能力来帮助其客户？或者，它是否通过将合法公司的产品视为恶意软件并在未经许可的情况下将其从客户的系统中删除而损害了该公司的业务？

反恶意软件行业得出的答案是将其称为“潜在不需要的软件”(或类似的名称)，在检测到它时为用户标记它，并要求用户明确同意或不同意删除它。这样，游戏公司的客户决定他们是否要删除游戏公司的产品，而不是反恶意软件公司。这有助于减轻反恶意软件行业因潜在不需要的软件而面临的可预测的损害索赔和诉讼。

今天，我在这里描述的例子的许多变体在互联网上提供，并且安装在世界各地的系统上。其中一些是拥有合法业务的合法公司，而另一些是伪装成拥有合法产品的合法公司的威胁行为者。这种威胁类别的一些家族开始时是合法的程序，但后来当他们的供应链受到损害或者他们的运营商变得恶意时，他们就变得恶意。这一类别的其他示例包括假冒的防病毒软件、假冒的浏览器保护软件、包含一堆不同软件产品和组件的软件包等等。多年来，我的建议和口头禅一直是，如果你不信任写软件的人，就不要相信软件。在本章的威胁数据中，您会看到可能不需要的软件突出显示。

漏洞和漏洞工具包

接下来，让我们看看漏洞利用和漏洞利用工具包。第二章，利用漏洞趋势降低风险和成本，致力于漏洞的主题。记住漏洞可能允许攻击者损害硬件或软件的机密性、完整性或可用性。漏洞是利用漏洞的恶意软件。你可能还记得我在第二章中对漏洞的讨论，不是所有的漏洞都是一样的。有些漏洞如果被利用，对系统的潜在影响会比其他漏洞更大。攻击者非常热衷于利用关键级别的漏洞。这是因为它们给了攻击者最好的机会来完全控制易受攻击的系统并运行他们选择的任意代码。任意代码可以做它在其中运行的用户上下文可以做的任何事情。例如，它可以从互联网上的服务器下载更多的恶意软件，使攻击者能够远程控制系统，窃取身份和数据，将系统加入僵尸网络，等等。

web 浏览器、操作系统和文件解析器中的漏洞的工作利用(针对文件格式，如。pdf，。医生。xlsx 等等)可以值很多钱，因为这些产品无处不在。随后，一个复杂的市场在过去二十年中围绕着开采的供给和需求发展起来。根据微软的研究，攻击中使用的一些漏洞的例子包括 CVE-2017-0149 和 CVE-2017-0005(微软公司，2017 年)。

利用必须交付给他们的目标。它们可以通过几种不同的方式来实现，其中一些依赖于社会工程来获得成功。例如，攻击者可能通过开发畸形的。pdf 文件，旨在利用 Adobe Reader 或 Microsoft Word 等解析器中的特定未修补漏洞。

当受害者打开。pdf 文件，其解析器没有针对攻击者正在使用的漏洞进行修补，如果没有其他缓解措施，则该漏洞会在系统上被利用，可能会运行攻击者选择的任意代码。但是攻击者如何让受害者运行这个漏洞呢？一种方法是社会工程。畸形的。pdf 文件可以通过电子邮件发送给受害者，发送者伪装成受害者的同事或朋友。由于受害者信任他们的同事或朋友，他们打开电子邮件附件，漏洞就被执行了。漏洞可以在网页上作为受害者的下载，通过社交网络发送，并在 USB 驱动器和其他移动介质上分发。

漏洞工具包是一个漏洞库，带有一些管理软件，使攻击者更容易管理利用漏洞的攻击。套件的漏洞库可以包含任意数量产品的任意数量的漏洞。漏洞利用工具包还可能为攻击者提供网页，使其能够轻松地将漏洞库中的漏洞传递给受害者。该工具包中内置的某种级别的管理软件有助于攻击者了解哪些攻击成功利用了受害者系统上的漏洞，哪些没有。这有助于攻击者更好地决定利用哪些漏洞以及在哪里最大化他们的投资回报。这种管理软件还可以帮助攻击者识别和替换他们网页上不再有效的漏洞。漏洞利用工具包的例子包括 Angler(也称为 Axpergle)、Neutrino 和臭名昭著的黑洞漏洞利用工具包。这种方法支撑了一种新的商业模式，并且催生了一个新词，恶意软件即服务 ( MaaS )。

沃尔姆斯

另一种已知利用未打补丁的漏洞的威胁类别是蠕虫。蠕虫提供了自己的传送机制，因此可以自动在系统间传播。蠕虫可以利用未打补丁的漏洞、安全错误配置、弱密码和社会工程在系统间传播。Conficker 是蠕虫的一个很好的例子。这种蠕虫至少有几个变种。它利用未打补丁的漏洞，如 MS08-067，弱密码的硬编码列表，以及自动运行功能滥用(Windows 中的一个功能)，从 Windows 系统传播到 Windows 系统(Rains，Defending Against Autorun Attacks，2011)。它可以通过 USB 驱动器等可移动驱动器传播，也可以通过网络传播。成功的蠕虫一旦进入环境，就很难从 IT 环境中逃脱。这是因为它们可以“隐藏”在在线和离线存储介质和操作系统映像中。

其他成功蠕虫的例子包括 SQL Slammer 和 Microsoft Blaster，它们都利用未打补丁的漏洞像野火一样在世界各地传播。也有像 MyDoom 这样的蠕虫通过电子邮件传播。有趣的是，当一封名为 MyDoom 的电子邮件附件到达收件箱时，数百万人愿意双击它。打开这个附件，蠕虫就会向用户联系人列表中的所有电子邮件地址发送自己的副本。蠕虫不是来自遥远过去的威胁。自从 Conficker 时代(2007 年时间框架)以来，Windows 中就有一些蠕虫漏洞，可以通过 Windows 防火墙中的默认例外来访问。在所有这些情况下，微软能够足够快地修补互联网上的数亿个系统，从而避免了大规模的蠕虫攻击。但对于一个如此依赖科技的世界来说，这是最危险的情景。

让我根据以往成功的全球蠕虫攻击，为您描绘一幅最坏的蠕虫场景图。攻击者在 Windows 服务中发现了一个新的零日漏洞。这项服务默认运行在世界上绝大多数的 Windows 系统上。

易受攻击的服务使用众所周知的 TCP 端口来侦听网络上的连接尝试。每个系统上的 Windows 防火墙中都有一个默认规则，允许网络直接连接到易受攻击的服务。攻击者设计了一种能够利用这种零日漏洞的蠕虫，并将其发布到互联网上。

在 Microsoft 意识到该漏洞之前，在有安全更新修补该漏洞之前，该蠕虫利用该漏洞进行传播。由于 Windows 防火墙中的默认规则允许蠕虫直接与易受攻击的服务正在侦听的 TCP 端口对话，因此几乎没有任何东西可以阻止蠕虫在每个运行 Windows 的用户系统上利用漏洞，这些用户系统直接连接到互联网并且没有额外的防火墙保护它。受专业管理的企业防火墙保护的易受攻击的 Windows 系统并不安全，因为受感染的笔记本电脑通过 DirectAccess、VPN 或无线网络连接时会将蠕虫病毒引入企业 IT 环境(微软公司，未注明日期)。这种蠕虫在几分钟内就能在全球范围内从一个系统传播到另一个系统。

公共互联网和大多数私有网络将会中断，变得无法使用。首先，当蠕虫试图一次又一次地从一个系统传播到另一个系统时，它所产生的网络流量会极大地破坏互联网上的合法网络流量，以及它所进入的私有网络。在一个系统被感染后，蠕虫会试图感染所有与它有网络连接的系统。在受感染系统可以到达的每个系统上，它只是试图通过它正在侦听的 TCP 端口连接到易受攻击的服务。数以亿计的系统同时这样做会扰乱全球互联网和私人网络。当蠕虫利用未修补的漏洞时，它会导致目标系统不稳定，导致“蓝屏死亡”、内存转储和系统重启。这加剧了问题的严重性，因为对不断重启的系统进行消毒和修补变得更加困难。

所有系统重新启动会产生更多的网络流量。当每个系统重新启动时，它们生成地址解析协议 ( ARP )流量，并向它们的 DHCP 服务器请求 IP 地址。当带有 DHCP 服务器的网段被对 IP 地址的请求弄得饱和时，DHCP 服务器就不能给重启系统提供 IP 地址。随后，重新引导系统开始使用通常不可路由的自动私有 IP 地址(169.254.x.x)。随后，在某些情况下，用于修补这些系统、更新反恶意软件签名或为其部署可能的缓解措施或解决方法的管理软件将无法再访问这些系统。

这种攻击可能造成的破坏不应该被低估。美国政府确定了 16 个关键基础设施部门。这些部门被认为是至关重要的，因为如果它们的网络或系统被破坏，将对国家的安全、经济、公共健康和安全产生可怕的后果。这些部门包括化学部门、商业设施部门、通信部门、关键制造部门、水坝部门、国防工业基地部门、应急服务部门、能源部门、金融服务部门、食品和农业部门、政府设施部门、医疗保健和公共卫生部门、信息技术部门、核反应堆、材料和废物部门、运输系统部门以及水和废水系统部门(美国国土安全部，n.d .)。

当蠕虫利用这些部门中易受攻击系统的零日漏洞时，经济、能源、水、通信、交通、医院和社会的许多其他关键功能都会被中断，并可能离线。如果攻击者在蠕虫中包含恶意负载，如加密数据或破坏存储介质，在大多数情况下，恢复将会非常缓慢。从这种攻击中恢复需要大量的手动干预，因为管理软件工具和自动化系统会被中断，它们所连接的网络也会被中断。如果受感染系统上的底层存储介质也不得不被替换，这种攻击造成的损害将持续数年。

当然，我已经描绘了最坏的情况。这种蠕虫攻击实际发生的可能性有多大？仅在 2019 年，Windows 操作系统就出现了三个可蠕虫攻击的漏洞。2019 年 5 月 14 日，微软宣布 Windows 远程桌面服务中存在一个严重评级的漏洞(CVE-2019-0708)，该漏洞可被蠕虫攻击(NIST，北达科他州)。在他们的公告中，微软安全响应中心(MSRC)写道:

“此漏洞是预认证的，不需要用户交互。换句话说，该漏洞是“可蠕虫化的”，这意味着任何未来利用该漏洞的恶意软件都可能以类似于 2017 年 WannaCry 恶意软件在全球传播的方式在易受攻击的计算机之间传播。虽然我们没有观察到利用此漏洞的行为，但恶意行为者很有可能会针对此漏洞编写一个利用程序，并将其整合到他们的恶意软件中。”

—(微软公司，未注明日期)

CVE-2019-0708，所谓的 BlueKeep 漏洞，应用于 Windows 7、Windows Server 2008、Windows Server 2008 R2；2019 年，三分之一的 Windows 系统仍在运行 Windows 7(Keizer，Windows by the numbers:Windows 10 resumes March to endless dominance，2020)。这一漏洞非常严重，以至于微软发布了针对旧的、不受支持的操作系统(如 Windows XP 和 Windows Server 2003)的安全更新。他们这样做是为了保护大量从未从现已停止支持的旧操作系统升级的系统。保护这些不再定期获得安全更新的旧系统免受极有可能的蠕虫攻击，会在互联网上留下更少的“燃料”供蠕虫用来攻击受支持的系统。大量缺乏针对严重漏洞的安全更新的系统会导致灾难，因为它们在受到攻击后会被用于各种攻击，包括 DDoS 攻击。

随后在 2019 年 8 月 13 日，微软宣布又存在两个可蠕虫化的漏洞(CVE-2019-1181 和 CVE-2019-1182)。更多的 Windows 版本包含这些漏洞，包括 Windows 7、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows 8.1 和 Windows 10 的所有版本(包括服务器版本)。在公告中，MSRC 写道:

“尽快修补受影响的系统非常重要，因为像这样的蠕虫漏洞会带来更高的风险……”

—(微软公司，2019 年)

在 2019 年的这三个案例中，微软都能够在潜在攻击者发现它们并实现蠕虫攻击之前找到并修复这些关键的、可被蠕虫攻击的漏洞，这些攻击可能会产生像我在这里描述的严重影响。

勒索软件

另一类具有潜在破坏性后果的恶意软件是勒索软件。一旦勒索软件使用一个或多个网络安全常见嫌疑人进入系统，它就会加密数据和/或将用户锁定在系统桌面之外。锁定的桌面可以显示要求支付赎金的消息以及如何支付赎金的说明。成功的勒索软件攻击已经成为世界各地的头条新闻。勒索软件家族的例子包括 Reveton(微软公司，n.d .)和 Petya(微软公司，n.d .)。使用勒索软件的攻击者厚颜无耻地试图勒索各种组织，包括医院和各级政府。

尽管勒索软件成为头条新闻，但正如您将从本章的数据中看到的，从全球角度来看，它实际上是最不普遍的威胁类别之一。即使是老式的病毒通常也比勒索软件更普遍。但是要记住，风险是由概率和影响组成的。勒索软件成为高风险威胁的原因不是遇到它的概率；是遇到的时候的冲击力。如果没有解密密钥，被利用适当实现的强加密的勒索软件加密的数据将永远消失。随后，许多组织决定支付赎金，但不保证他们能够恢复所有数据。花费时间和资源来实现勒索软件缓解策略是一项不错的投资。对所有高价值资产的数据集进行离线备份是一个很好的起点。备份是使用勒索软件的攻击者的目标。因此，保持备份离线是一种有效且必要的做法。

此外，请记住没有什么是一成不变的，勒索软件也在不断发展。没有什么可以阻止更普遍和更成功的威胁的作者将勒索软件策略作为其恶意软件的有效载荷。多年来，勒索软件一直被用于有针对性的攻击。控制勒索软件策略使用的一个因素是攻击者的犯罪程度；在互联网上开发和匿名发布扰乱个人和组织的恶意软件是一回事，但持有资产以换取赎金并收取赎金是另一回事，通常是由不同类型的犯罪分子实现的。无论如何，组织都需要针对这种威胁制定缓解策略。

病毒

前面我提到了病毒。病毒已经存在了几十年。他们通常是自我复制的文件感染源。病毒在系统间不经意复制时会传播。因为它们会感染系统上的文件和/或主引导记录(MBR ),有时会不分青红皂白地感染，所以它们可能是非常“嘈杂”的威胁，很容易检测到，但很难消除。在过去的十年中，病毒似乎又随着一些攻击者重新流行起来。开发病毒的现代攻击者通常不会像他们几十年前的前辈那样只感染文件；他们可能更有想象力和恶意。请记住，大多数威胁都是混合的。众所周知，现代病毒会在感染系统后下载其他恶意软件，禁用反恶意软件软件，窃取缓存凭据，打开计算机上的麦克风和/或摄像机，收集音频和视频数据，为攻击者打开后门，并将窃取的数据发送到远程服务器供攻击者获取。病毒远没有木马或潜在的不需要的软件普遍，但似乎总是有一些检测量。已经存在多年的病毒家族的一个很好的例子是 Sality(微软公司)。

浏览器修饰符

我将在这里讨论的最后一个威胁类别是浏览器修饰符。这些威胁旨在未经用户许可修改浏览器设置。一些浏览器修改者还会在未经许可的情况下安装浏览器插件，更改默认搜索提供商，修改搜索结果，注入广告，更改主页和弹出窗口拦截器设置。

浏览器修改器通常依靠社会工程来安装。浏览器修改器的动机通常是利润；攻击者利用它们来实现点击欺诈。但像所有威胁一样，它们可以与其他类别混合，并为攻击者提供后门访问和下载命令和控制功能。

衡量恶意软件流行程度

在下一节中，我将讨论恶意软件感染在过去十年中是如何演变的。在此之前，我将解释测量恶意软件流行程度的两种方法。第一个叫做千分之三 ( CCM )(微软公司，未注明)。术语“每千分之一”在拉丁语中是“千分之一”的意思我们在微软使用这种方法来衡量 MSRT 扫描的每 1，000 个系统中有多少 Windows 系统感染了恶意软件。你会记得，当 MSRT 在每个月的第二个星期二发布微软产品安全更新时，它运行在数以亿计的系统上。

CCM 的计算方法是将一个国家中发现被 MSRT 病毒感染的系统数量除以该国执行的 MSRT 死刑总数。然后，乘以 1000。例如，假设 MSRT 在扫描 10 万个系统后发现 600 个系统感染了恶意软件；CCM 将是(600/100，000)*1，000 = 6(微软公司，2016)。

CCM 很有帮助，因为它允许我们通过消除 Windows 安装基础偏差来比较不同国家的恶意软件感染率。例如，公平地说，在美国运行的 Windows 系统比西班牙多。西班牙是一个比美国人口少的小国。如果我们将美国发现的受感染系统的原始数量与西班牙受感染系统的原始数量进行比较，美国受感染的数量可能会比西班牙多很多倍。事实上，CCM 揭示，在许多时期，西班牙每 1000 次扫描中被感染的系统数量远高于美国。

在系统感染恶意软件之前，它必须首先遇到它。一旦系统遇到恶意软件，恶意软件将使用一个或多个网络安全常见的嫌疑人来试图感染系统。如果恶意软件成功感染了系统，则 MSRT 会在系统上运行，检测感染并清理系统。这将反映在 CCM 中。

恶意软件遭遇率 ( 呃)是你需要了解的第二个定义，以便理解我将要与你分享的数据。微软将 ER 定义为:

在一段时间内，运行 Microsoft 实时安全软件并报告检测到恶意软件或可能不需要的软件，或者报告检测到特定威胁或家族的计算机的百分比

—(微软公司，2016 年)

换句话说，在我在本章前面描述的运行微软实时反恶意软件的系统中，er 是阻止安装恶意软件或清除恶意软件感染的系统的百分比。

我将使用这两种方法向您展示威胁形势如何随着时间的推移而变化。使用这些数据的唯一缺点是，微软没有公布每个时间段的这两个指标。例如，他们公布了 2008 年至 2016 年的 CCM 数据，然后停止公布 CCM 数据。他们在 2013 年开始发布 ER 数据，并在 2019 年继续发布一些 ER 数据。但正如你将看到的，他们没有公布 2016 年下半年的 ER 数据，在可用数据中留下了一个漏洞。此外，有时数据以半年为周期发布，其他时间则以季度为周期发布。我已经尽了最大努力来弥补我接下来将与你分享的分析中的这些不一致之处。

全球 Windows 恶意软件感染分析

我汇总了 SIR 的 20 多卷和特别版的数据，以提供威胁格局如何随着时间的推移而演变的视图。我们要看的第一个指标是全球平均 CCM。这是 MSRT 在全球扫描的每 1000 个系统中发现感染恶意软件的系统数量。图 3.1 包括了微软在 SIR 中发布 CCM 数据的所有时间段，从 2008 年第三季度到 2016 年第二季度的每个季度:

图 3.1:2008–2016 年全球平均恶意软件感染率(CCM)(微软公司，未注明日期)

横轴表示由季度和年度表示的时间段。例如，3Q08 是 2008 年第三季度的简写，而 4Q13 是 2013 年第四季度。纵轴代表每个时间段的全球 CCM。例如，在 2009 年第一季度，全球平均 CCM 为 12.70。

在图 3.1 中显示的所有 32 个季度的全球平均 CCM 为 8.82。为了让这个数字更清晰，我们把它换算成百分比:8.82/1000*100 = 0.882%。从 2008 年第三季度到 2016 年第二季度末的 8 年间，根据 MSRT 的测量，全球平均感染率仅为 0.1%。这可能会让你们中的一些人感到惊讶，他们长期以来一直认为 Windows 安装群的恶意软件感染率非常高。这就是为什么比较不同国家和地区的感染率是有趣的。一些国家的感染率比世界平均水平高得多，一些国家的 CCMs 低得多。我将在本章后面详细讨论这一点。导致恶意软件感染率低于预期的另一个因素是，这些数据的来源是 MSRT。请记住，MSRT 是一个免费的生态系统清洁器，旨在清除大部分未受保护的系统中最普遍和最严重的威胁。如果您查看检测添加到 MSRT 的日期，您会发现它确实清除了一小部分已知的恶意软件家族。例如，根据该列表，在 2005 年底，MSRT 已经检测到 62 个恶意软件家族(微软公司)。但是可以肯定的是，在 2005 年，恶意软件的数量要多得多。

虽然 MSRT 只能检测所有恶意软件家族的一小部分，但它每个月都会在全球数亿个系统上运行。这为我们提供了一个有限的，但很有价值的，关于全世界计算机数量相对状况的快照。当我们将 MSRT 的数据与来自实时反恶意软件解决方案的数据以及我概述的一些其他数据源进行交叉引用时，我们会对威胁形势有一个更完整的了解。

MSRT 的另一个重要方面是，它测量哪些恶意软件家族已经成功大规模感染了系统。微软研究人员在 MSRT 中增加了对他们认为非常普遍的恶意软件家族的检测。然后，当 MSRT 发布新的检测结果时，恶意软件研究人员可以看看他们是否猜对了。如果他们确实增加了对一个真正广泛传播的恶意软件家族的检测，这将表现为恶意软件感染率的激增。在 MSRT 增加一个新的发现就能导致全球感染率的大幅上升。例如，在 2015 年第三季度和第四季度之间(图 3.1 中的 3Q15 和 4Q15)，CCM 从 6.1 增加到 16.9。这是一个季度内恶意软件感染率 177%的变化。然后，在下一个季度，CCM 下降到 8.4。是什么导致了这种急剧的增长和下降？微软恶意软件研究人员于 2015 年 10 月在 MSRT 中添加了对一种名为 Win32/Diplugem 的威胁的检测(微软公司)。这个威胁是一个浏览器修改器，后来被安装在很多系统上。当微软在 10 月份在 MSRT 中添加检测功能时，它在 10 月、11 月和 12 月从许多系统中清除了 Diplugem。通常，当新的检测添加到 MSRT 时，它会在第一个月清除大量受感染的系统，第二个月会减少，第三个月会减少。在 2015 年第四季度的三个月中，有许多系统清除了 Diplugem。一旦沼泽在 2015 年 4 季度大部分被排干，感染率在 2016 年第一季度下降了 50%。

当 CCM 从 5.6 增加到 17.8 时，在 2013 年第三季度和第四季度之间也可以看到这种类型的检测峰值(图 3.1 中的 3Q13 和 4Q13)。这是一个季度内恶意软件感染率 218%的变化。2013 年第四季度，MSRT 增加了五个新的检测点。

2013 年 4 季度的检测率峰值是由于在 MSRT 中增加了对名为 Win32/Rotbrow(微软公司)的威胁的检测，这是一个木马家族，可以安装其他恶意软件，如 Win32/Sefnit(微软公司)。在这一检测产生的 CCM 大幅上升后，CCM 在接下来的两个季度回落到较低水平。

为了看看最近一段时间发生了什么，我们将不得不使用恶意软件 er 而不是 CCM，因为微软在 2016 年停止发布 CCM 数据。图 3.2 显示了从 2013 年第一季度(1Q13)开始到 2018 年第四季度(4Q18)的 ER。微软没有公布 2016 年下半年的全球平均 ER，所以我们没有这一时期的数据:

图 3.2:2008-2016 年全球平均遭遇率(er)

2013 年至 2016 年上半年末期间的平均 ER 为 18.81%。这意味着大约 19%运行微软实时反恶意软件的 Windows 系统遇到了恶意软件。几乎所有这些遭遇都可能导致反恶意软件阻止恶意软件的安装。一些较小比例的接触可能导致消毒。

从 2016 年第二季度(2016 年第二季度)到 2017 年第一季度(2017 年第一季度)，ER 下降了 62%，并且没有恢复到正常水平。2017 年和 2018 年，世界范围内的平均 ER 仅为 6%。我还没有看到对这种减少的令人满意的解释，所以它的原因对我来说仍然是个谜。

这让你从全球角度对 Windows 操作系统上的恶意软件趋势有了一个长期的看法。我介绍过的许多 CISOs 和安全团队使用了类似的数据，他们对全球 ER 和 CCM 数字如此之低表示惊讶，因为 Windows 上的恶意软件这些年来产生了很多负面报道。事实上，在我的一些会议演讲活动中，我会问与会者，他们认为在任何给定的时间，世界上感染了恶意软件的 Windows 系统的百分比是多少。与会者的猜测通常会从 80%开始，然后一路向上。如果 CISOs、安全团队和安全专家想要带领他们的组织和行业朝着真正有意义的方向前进，他们需要牢牢地立足于现实。这就是这些数据有用且有趣的原因。

也就是说，我发现地区视角比全球视角更有趣、更有见地。接下来，让我们看看在世界各地不同的地理位置，遭遇和感染恶意软件的情况有何不同。

区域性 Windows 恶意软件感染分析

早在 2007 年，我就开始研究地区性的恶意软件感染率。起初，我研究了相对较小的一组国家，可能有六七个。但随着时间的推移，我们在 SIR 中的工作扩展到提供所有国家(超过 100 个)的恶意软件 CCM 和 er 数据，这些国家有足够的数据来报告具有统计意义的发现。多年来，数据中出现了三组松散耦合的地点:

1. 恶意软件感染率(CCM)始终低于全球平均水平的地点。
2. 恶意软件感染率通常与全球平均水平一致的地点。
3. 恶意软件感染率一直远高于全球平均水平的地点。

图 3.3 举例说明了 2015 年至 2018 年间世界上 ERs 最高和最低的一些地点。虚线代表全球平均 ER，以便您可以看到列出的其他位置与平均值的偏差程度。自从我 10 多年前开始研究这些数据以来，像日本和芬兰这样的国家拥有世界上最低的恶意软件遭遇率和最低的恶意软件感染率。挪威也是 CCM 和 ER 较低的地区之一。爱尔兰是受影响最小地区名单中的新成员。爱尔兰的 CCM 和 ER 通常低于世界平均水平，但不是最低的五六个国家之一。例如，2008 年，全球平均 CCM 为 8.6，而日本为 1.7，爱尔兰为 4.2(微软公司，2009)。人们可能会忍不住想，咄，更低的遭遇率意味着更低的感染率，对吗？有些地方既有低 CCM 又有低 ER。但事实并非总是如此。

随着时间的推移，我已经看到了许多这样的例子:一些地方的 er 很高，但 CCM 却很低，反之亦然。其中一个原因是，并非所有地方都有相同的反恶意软件采用率。这是微软开始免费提供实时反恶意软件的原因之一，现在它作为操作系统的一部分提供。世界上有些地方的反恶意软件采用率低得惊人。如果这些地方被严重感染，它们可能被用作攻击世界其他地方的平台。反恶意软件保护采用率较高的国家/地区可能具有较高的 er，但通常具有较低的 CCM。这是因为实时反恶意软件软件阻止恶意软件安装，从而增加了 ER，并将不太流行的威胁留给 MSRT 来清除，从而降低了 CCM。

图 3.3:最高和最低区域恶意软件遭遇率(er)(微软公司，未标明)

10 年前，巴基斯坦、巴勒斯坦地区、孟加拉国和印度尼西亚等地的 CCM 都远低于全球平均水平(微软公司，2009 年)。但随着时间的推移，这种情况发生了变化，这些地方近年来出现了一些世界上最高的 er。不幸的是，我们无法看到这些国家的 CCM 是否也有所增加，因为微软在 2016 年停止发布 CCM 数据。这些地区 2006 年发布的最新 CCM 见表 3.1 。(微软，2016)。这些地区的 CCM 比全球平均水平高出许多倍，而日本、芬兰和挪威则低得多:

表 3.1:2016 年第一和第二季度最高和最低地区恶意软件感染率(CCM)(微软公司，未注明日期)

此时，您可能想知道为什么恶意软件遭遇率和感染率会有地区差异。为什么日本和芬兰这样的地方感染率总是超低，而巴基斯坦和巴勒斯坦领土这样的地方感染率却非常高？感染率较低的地区正在做的事情是否能让其他地区受益？当我第一次开始研究这些差异时，我假设语言可能是低感染和高感染地区之间的关键差异。例如，日本有一种很难学的语言，因为它与英语、俄语和其他语言有很大不同，所以它可能是潜在攻击者的一个障碍。毕竟，如果受害者不理解您在攻击中使用的语言，那么他们很难使用社会工程成功地攻击受害者。但韩国也是如此，但它在 2012 年拥有世界上最高的 CCM 之一，CCM 在 70 到 93 之间(SIR 中有史以来最高的 CCM 之一)(Rains，检查韩国过山车威胁景观，2013)。

最终，我们试图开发一个模型，用于预测地区恶意软件感染率。如果我们能够预测哪些地方的感染率会很高，那么我们乐观地认为，我们可以帮助这些地方制定公共政策，建立公私合作伙伴关系，从而带来积极的变化。我在微软可信计算部门的一些同事发表了一份专注于这项工作的微软安全情报报告特刊:网络安全风险悖论，社会、经济和技术因素对恶意软件比率的影响 (David Burt，2014)。他们开发了一个模型，使用 3 类 11 个社会经济因素来预测地区恶意软件感染率。类别和因素包括(David Burt，2014 年):

1. 数字接入:
   1. 人均互联网用户
   2. 每百万人的安全网络服务器
   3. 脸书渗透
2. 机构稳定性:
   1. 政府腐败
   2. 法治
   3. 识字率
   4. 政权稳定
3. 经济发展:
   1. 监管质量
   2. 生产力
   3. 人均总收入
   4. 人均国内生产总值

该研究发现，随着发展东亚某大国家增加其公民获得技术的机会，他们的 CCM 也在增加。但是更多的成熟国家增加了他们的公民获得技术的机会，他们的 CCM 减少了。这表明，对于发展东亚某大国家来说，当它们在上述类别中从发展东亚某大国家过渡到更成熟的国家时，存在一个转折点，在这个转折点上，增加技术获取不再增加 CCM 相反，它减少了它。

巴西就是一个在 2011-2012 年间完成这一转变的国家。随着数字接入和机构稳定性类别中一些社会经济因素的一些积极变化，巴西的 CCM 在 2011 年和 2012 年之间从 17.3 下降到 9.9(下降 42%)(David Burt，2014)。

这项研究的另一个细微差别是，CCM 最高和社会经济因素表现最差的地方往往是饱受战争蹂躏的国家，如伊拉克。另一个有趣的见解是，在没有很好的互联网连接的地方，无论是因为它们位于非洲中心的内陆还是长期的军事冲突影响了互联网的可用性和质量，恶意软件都通过 USB 驱动器和其他类型的移动存储介质感染系统；也就是说，当互联网无法帮助攻击者传播他们的恶意软件时，不依赖于网络连接的恶意软件就会盛行。当互联网连接和接入改善时，这些地方的 CCM 往往会增加，直到社会经济条件改善到政府和公私部门伙伴关系开始对该区域的网络安全产生积极影响的程度。冲突和随之而来的贫困会降低技术更新速度，使攻击者更容易利用人类。这是一个非常有趣的研究领域。如果你有兴趣了解更多信息，我在 2015 年微软虚拟 CIO 峰会上的一个名为“网络空间 2025:网络安全 10 年后会是什么样子”的视频会议中谈到了这一点(微软公司，2015 年)。从我录制这段视频到 2025 年，我们已经走过了一半的时间，我认为我们利用这项研究对未来的预测仍然是相关和有趣的。

观察单个国家既有趣又有帮助，因为它揭示了受影响最大和最小的地方发生了什么。我们可以从这些地方的成功和失败中吸取教训。但是，CISOs 通常会询问他们的组织开展业务所在的国家或他们认为攻击来自何处的威胁形势。检查位置组的恶意软件趋势可以轻松识别这些组中的异常。这也有助于确定哪些国家保持较低的恶意软件 ER 和 CCM，尽管其邻国正在与恶意软件作斗争。我们能从这些国家学到什么，并应用到其他地方来改善他们的生态系统？在下一部分，我将向您展示以下几组国家的趋势:

• 中东和北非:人们总是对该地区发生的事情非常感兴趣，尤其是在伊朗、伊拉克和叙利亚。这个数据超级有意思。
• 欧盟 ( 欧盟):欧盟以保持较低的恶意软件感染率而自豪。然而，情况并非总是如此，也并非所有欧盟成员国都是如此。
• 东欧，包括俄罗斯:我接触过的许多首席信息安全官都认为这个地区是世界上大部分恶意软件的源头。但是这些国家自己的恶意软件感染率是什么样的呢？
• 亚洲:人们对东亚某大国、巴基斯坦和印度等地的恶意软件趋势一直很感兴趣。观察东亚、南亚、东南亚和大洋洲的趋势更加有趣。
• 北美和南美:美国和巴西是巨大的市场，总是吸引着人们的兴趣，但是他们的邻居的情况如何呢？

你可能对这些地区不感兴趣。请随意跳到您最感兴趣的地区部分。让我们从威胁的角度来看一下世界上最有趣的地区，中东和北非。

对中东和北非威胁前景的长期看法

作为一个地区，中东和北非多年来遭遇恶意软件的几率和恶意软件感染率都很高。这些年来，我有机会拜访了其中一些地方的 CISOs 和安全团队。我在分析中包括的 14 个地点在 2010 年至 2016 年的 26 个季度中的平均季度恶意软件感染率(CCM)为 23.9，而同期的全球平均水平为 8.7(微软公司，n.d .)。作为一个群体，这些地区的平均 CCM 几乎是世界其他地区的三倍。在 2013 年下半年至 2019 年的 23 个季度中，这些地点的平均季度恶意软件遭遇率为 21.9，而全球平均水平为 12.5。图 3.4 显示了从 2010 年第一季度开始到 2016 年第二季度微软停止发布 CCM 数据(微软公司，未注明日期)为止的这段时间内，该地区几个地方的 CCM。

中东和北非 10 年区域成绩单

• 地区:中东和北非
• 分析中包含的地点:阿尔及利亚、巴林、伊朗、伊拉克、以色列、约旦、科威特、黎巴嫩、阿曼、巴勒斯坦权力机构、卡塔尔、沙特阿拉伯、叙利亚和阿拉伯联合酋长国
• 平均 CCM(2010–2016):23.9(比全球平均水平高 93%)
• 平均 ER(2013–2019):21.9%(比世界平均水平高 55%)

图 3.4:2010 年至 2016 年中东和非洲部分地区的恶意软件感染率(微软公司，未注明日期)

也许随着社会经济因素变得非常不利，恶意软件感染率失控的最极端例子是伊拉克。2013 年第四季度，伊拉克的 CCM 为 31.3，而全球平均水平为 17.8(顺便说一下，这是这五年期间记录的最高全球平均水平)。在 2014 年第一季度，伊拉克的 CCM 增长了 254%，达到 110.7(有史以来最高的 CCM 之一)。在伊拉克的这段时间里，伊拉克政府失去了对费卢杰的控制，落入伊斯兰武装分子手中(半岛电视台，2014 年)。2014 年第一季度，伊拉克暴力事件频发，发生多起自杀和汽车爆炸事件；在议会选举即将到来之际，警察遭到袭击，暴力升级(维基百科)。随着该国经济遭受重创，政府和社会基础逐渐消失在这些极端条件下的黑暗中，恶意软件蓬勃发展。

至少在接下来的两年内，恶意软件感染率仍然是全球平均水平的许多倍，之后我们不再有 CCM 数据。恶意软件遭遇率数据确实表明，伊拉克的 er 在 2017 年下降到低于全球平均水平，然后在 2018 年第四季度和 2019 年正常化，大约是全球平均水平的三倍。er 数据还显示，伊拉克不是该地区 ER 最高的国家，阿尔及利亚、巴勒斯坦权力机构和埃及在 2013 年至 2019 年期间都有较高的 ER:

图 3.5:2011 年中东和北非地区恶意软件感染率峰值特写(微软公司，未标明日期)

在 2010 年第四季度(2010 年第四季度)和 2011 年第一季度(2011 年第一季度)之间，可以看到另一个更微妙的与社会经济变化相关的 CCMs 区域变化的例子。阿拉伯之春于 2010 年 12 月在该地区开始，这导致了几个地方的动荡时期(维基百科)。一周前，我刚从埃及出差回到美国，在 CNN 上看到我刚刚参观过的一座政府大楼着火，令人不安。内乱和大规模抗议导致该地区几个关键地点的政府领导层发生变化。与此同时，在我收集数据的所有地区，恶意软件感染率都有所上升。通常 CCM 低于全球平均水平的地区，如黎巴嫩、巴勒斯坦权力机构和卡塔尔，CCM 突然高于全球平均水平。这些地区的 CCMs 不会再低于世界平均水平。

随着大规模抗议影响了该地区一些关键地区的经济，犯罪报告急剧增加，政府服务中断，恶意软件猖獗。您可能还想知道 2011 年第一季度卡塔尔恶意软件感染率的大幅上升。在此期间，卡塔尔的蠕虫感染率远高于世界平均水平。像 Rimecud、Autorun 和 Conficker 这样的蠕虫正在成功地感染系统。这三种蠕虫都滥用自动运行功能来传播自己。一旦卡塔尔受感染的系统被消毒，感染率恢复到更正常的范围:

[外链图片转存中…(img-A5QcX0DH-1722479491474)]

图 3.6:2013 年至 2019 年中东和北非地区特定地点的恶意软件遭遇率(er)(微软公司，未标明日期)

中东和北非是一个非常有趣的地区。我可以在这本书里用整整一章来讲述我在这个地区这些年的数据中观察到的事情。从网络安全威胁的角度来看，它仍然是世界上最活跃的地区之一，如果不是最有趣的话。

我们现在将目光转向欧洲的威胁形势。

对欧盟和东欧威胁前景的长期看法

在英国退出欧盟之前，有 28 个主权国家在欧盟 ( 欧盟)。英国退出欧盟事件发生期间，我住在英国，几乎每周都去欧洲大陆拜访那里的西索斯。处于英国退出欧盟、GDPR 的出现、云法案的出台、云计算的日益普及以及对网络安全的高度关注的交汇点是一次非常有趣的经历。我了解了很多欧洲人对很多话题的看法，包括数据隐私和数据主权。我强烈推荐国际经验对个人和职业发展都有好处。

从恶意软件的角度来看，与中东和北非相比，欧盟的感染率通常要低得多。在 2010 年至 2016 年的 26 个季度中，欧盟 28 个地区的平均季度 CCM 为 7.9。同期全球平均 CCM 为 8.7。在 2013 年下半年至 2019 年的 23 个季度中，欧盟的平均季度恶意软件遭遇率为 11.7，而全球平均水平为 12.5。作为一个群体，欧盟的 CCM 和 er 低于全球平均水平。图 3.7 显示了从 2010 年第一季度开始到 2016 年第二季度微软停止发布 CCM 数据时欧盟 28 个地区的 CCM。

欧洲联盟 10 年区域报告卡

• 地区:欧盟
• 分析中包含的地点:奥地利、比利时、保加利亚、克罗地亚、塞浦路斯、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典和英国
• 平均 CCM(2010–2016):7.9(比全球平均水平低 10%)
• 平均 ER(2013–2019):11.7%(比世界平均水平低 7%)；

图 3.7:2010-2016 年欧盟成员国的恶意软件感染率(CCM)(微软公司，未注明日期)

关于这一数据，你可能注意到的第一件事是，在 2010 年、2011 年、2013 年和 2015 年的几个季度中，西班牙是欧盟感染率最高的国家之一。在 2013 年至 2019 年的 23 个季度中，西班牙的 ER 有 16 个季度高于全球平均水平。西班牙面临着非常活跃的威胁；多年来，我看到恶意软件首先出现在西班牙的地方层面，然后成为日益增长的全球威胁。

2010 年，Conficker、Autorun 和 Taterf(微软公司)等蠕虫病毒导致感染率上升。罗马尼亚也是欧盟最活跃的地区之一，有时拥有该地区最高的 CCM 和 ER。

2013 年第四季度(2013 年第四季度)恶意软件感染率的飙升是由于三种依赖于社交工程的威胁，即木马下载程序 Rotbrow 和 Brantall，以及一种名为 Sefnit(微软公司，n.d .)的木马。2015 年第四季度(2015 年第四季度)的 CCM 峰值是由于一种名为 Diplugem(微软公司，n.d .)的浏览器修改器在全球的流行程度上升:

[外链图片转存中…(img-kR1EqLHx-1722479491474)]

图 3.8:2013-2019 年欧盟部分地区的恶意软件遭遇率(er)(微软公司，未注明日期)

德国 ER 在 2014 年第三季度和第四季度出现的激增是由于当时欧洲出现了一些威胁家族，包括 EyeStye(也称为 SpyEye)、Zbot(也称为 Zeus 僵尸网络)、Keygen 和臭名昭著的 BlackHole exploit kit (Rains，微软恶意软件保护中心发布的新威胁报告:EyeStye)。

欧盟中 CCM 和 ERs 一直最低的地方是芬兰和瑞典。芬兰的 CCM 和瑞典的 CCM 都没有超过世界平均水平。瑞典的入学率没有超过世界平均水平，而芬兰的最高入学率仅比世界平均水平高出零点几个百分点。与世界其他地区相比，北欧(包括挪威、丹麦和冰岛)积极的社会经济因素似乎让它们免受恶意软件的侵害:

表 3.2:左:平均 CCM 最高的欧盟地区，2010 年第一季度–2016 年第二季度；右图:平均 CCM 最低的欧盟地区，2010 年第一季度–2016 年第二季度(微软公司，未标明日期)

表 3.3:左图:平均 ER 最高的欧盟地区，3q 13–3q 19；右图:平均 ER 最低的欧盟地区，2019 年第 3 季度–2019 年第 3 季度(微软公司，未注明日期)

当然，当讨论恶意软件时，俄罗斯和他们的东欧邻居总是有很高的兴趣。在我的职业生涯中，我有机会拜访俄罗斯、波兰和土耳其的 CISOs 和网络安全专家。我总是从这个地区的网络安全专家那里学到一些东西，因为这里总是有很多活动。我的经验也告诉我，伊斯坦布尔没有一家不好吃的餐馆！

随着时间的推移，俄罗斯的 CCM 一直徘徊在世界平均水平附近或以下。尽管俄罗斯的 ER 通常高于世界平均水平。俄罗斯在 2013 年和 2015 年遭受了与欧洲其他国家相同的恶意软件感染高峰。

这个地区最活跃的地方是土耳其。土耳其的 CCM 和 ER 一直明显高于世界平均水平。在 2010 年至 2016 年期间，除了一个季度之外，它在所有这些地点的 CCM 最高。在 2016 年下半年乌克兰的 ER 开始超过土耳其之前，土耳其在这些地区的 ER 最高。土耳其面临的威胁与其地处欧亚交汇处一样独特，是由木马、蠕虫和病毒混合驱动的。2014 年，土耳其的 CCM 和 ER 都有大幅增长。有趣的是，2014 年是土耳其的总统选举年(土耳其总理被宣布为 2014 年总统选举的获胜者)，并出现了与拟议的互联网新法规有关的大规模反政府抗议活动(Ece Toksabay，2014)。土耳其的 CCM 和 ER 在 2015 年底和 2016 年也出现了显著的峰值。同样有趣的是，2015 年 6 月举行了大选，在此期间土耳其发生了一系列与 ISIS 相关的爆炸和袭击事件。

在我研究的大部分时间里，爱沙尼亚的 CCM 和 ER 都是最低的，通常都低于世界平均水平。但 2017 年第四季度和 2018 年第二季度的 ER 数据有峰值。在撰写本文时，微软尚未就此发表解释，但我们可以从爱沙尼亚信息系统管理局发布的 2018 年报告(爱沙尼亚共和国信息系统管理局，2018 年)和 2019 年报告(Authority，2019 年)中获得一些想法，这些报告似乎将矛头指向 WannaCry 和 NotPetya 勒索软件活动以及利用未打补丁的漏洞。

选定东欧地点的 10 年区域报告卡

• 地区:选择东欧地区
• 分析中包含的地点:保加利亚、爱沙尼亚、拉脱维亚、斯洛伐克、俄罗斯、土耳其和乌克兰
• 平均 CCM(2010–2016):10.5(比全球平均水平高 19%)
• 平均 ER(2013–2019):17.2%(比世界平均水平高 32%)；

图 3.9:2010 年至 2016 年东欧部分地区的恶意软件感染率(微软公司，未注明日期)

图 3.10:2013 年至 2019 年东欧部分地区的恶意软件遭遇率(er)(微软公司，未注明日期)

表 3.4:左侧:选择东欧地区，平均 CCM，2010 年第一季度–2016 年第二季度；右图:选择东欧地区，平均 ER，3q 19–3q 19(微软公司，未注明日期)

看了欧洲和东欧的情况后，让我们换个话题，研究一下亚洲一些地区的趋势。

对亚洲特定地区威胁形势的长期看法

你知道世界上大约 60%的人口生活在亚洲吗？在我的职业生涯中，我有幸去过几次亚洲，拜访了日本、韩国、新加坡、香港、马来西亚、印度、东亚某大国、菲律宾、澳大利亚、新西兰和许多其他地方的 CISOs 和安全团队。亚洲也有一个有趣的威胁景观，作为一个整体，它有一个明显高于世界平均水平的 er 和 CCM。亚洲几个地方的 CCMs 和 ERs 远高于世界平均水平。巴基斯坦、韩国、印度尼西亚、菲律宾、越南、印度、马来西亚和柬埔寨的 CCM 都远远高于世界平均水平。日本、东亚某大国、澳大利亚和新西兰等地的感染率远低于亚洲其他地区，远低于全球平均水平。

表 3.5:左:亚洲平均 CCM 最高的地区，3 q13–3 q19；右图:平均 CCM 最低的亚洲地区，2019 年第 3 季度–2019 年第 3 季度(微软公司，未标明日期)

[外链图片转存中…(img-SZxJ9ESS-1722479491475)]

表 3.6:左:亚洲平均 ER 最高的地区，3q 13–3q 19；右图:亚洲平均 ER 最低的地区，2019 年第 3 季度–2019 年第 3 季度(微软公司，未注明日期)

亚洲 10 年区域成绩单

• 地区:亚洲
• 分析中包含的地点:澳洲、柬埔寨、东亚某大国、香港特别行政区、印度、印尼、日本、韩国、马来西亚、新西兰、巴基斯坦、菲律宾、新加坡、台湾和越南
• 平均 CCM(2010–2016):10.5(比全球平均水平高 19%)
• 平均 ER(2013–2019):17.2%(比世界平均水平高 32%)；

图 3.11:2010-2016 年亚洲部分地区的恶意软件感染率(CCM)(微软公司，未注明日期)

2012 年第二季度和第四季度，韩国的恶意软件感染率大幅上升。在此期间，韩国的恶意软件感染率是亚洲最高的，甚至高于巴基斯坦，巴基斯坦是世界上威胁最活跃的地区之一。这些感染率飙升是由两类依赖社会工程传播的威胁推动的。其中一个威胁是在韩国大量系统上发现的假冒反病毒软件。请注意，这个峰值只发生在韩国。社会工程通常依靠语言来欺骗用户做出不可信的决定。显然，这个假杀毒软件的韩语版本在当时非常成功。但是这种威胁骗不了很多不会说韩语的人。我记得当时我访问了韩国，以提高公共部门和商业部门组织对该国高恶意软件感染率的认识。我在首尔交谈过的许多人都表示惊讶，甚至不相信这个国家的感染率是世界上最高的。

您可能还注意到 2014 年巴基斯坦的恶意软件感染率急剧上升。在此期间，巴基斯坦和印度尼西亚也是亚洲 er 最高的国家之一。值得注意的是，2014 年巴基斯坦发生了多起暴力事件，包括多起爆炸、枪击和军事行动(维基百科，未注明日期)。

图 3.12:2013-2019 年亚洲部分地区的恶意软件遭遇率(er)(微软公司，未注明日期)

亚洲是如此之大和多样化，以至于我们可以通过将数据细分为子区域来更好地了解这些地区的相对 CCM 和 er。我的分析没有包括每个地区的每个国家，但结果仍然很有趣。大洋洲是亚洲感染率和接触率最低的地区；大洋洲的 CCM 和 er 低于世界平均水平，而亚洲其他地区的 CCM 和 ER 高于世界平均水平。如果没有上述韩国的 CCM 峰值，东亚的 CCM 也可能低于世界平均水平。该数据清楚地表明，南亚遭遇和感染恶意软件的程度明显高于亚洲其他任何地方。这些甚至高于中东和北非的平均 CCM 和 er，分别为 23.9%和 21.9%。

图 3.13:亚洲地区恶意软件感染率(2010-2016 年)和遭遇率(2013-2019 年)(微软公司，未注明日期)

接下来，我们来看看美洲的情况。多年来，我有机会在美国和加拿大生活，与无数的 CISOs 和安全团队会面。我也有机会参观了南美洲不同地方的 CISOs。

对美洲部分地区威胁形势的长期看法

当我检查 2007 年和 2008 年的 CCM 数据时，我可以发现美国的恶意软件感染率高于世界平均水平的时期。但在 2010 年至 2016 年的大部分时间里，美国的 CCM 徘徊在世界平均水平附近或以下。美国的 ER 通常也低于世界平均水平。

过去，美国是攻击者的主要目标，因为美国消费者的系统具有相对较好的互联网连接、相对较快的处理器和大量可用存储，所有这些都可以被攻击者用于非法目的。但随着时间的推移，美国的消费者越来越了解攻击者的策略，供应商开始默认开启新系统的安全功能。随着时间的推移，其他国家的互联网质量有所改善，消费者的电脑系统也是如此。当新的人群上线时，攻击者会跟踪他们，而攻击美国消费者系统的重点会有所减弱。最近，巴西、阿根廷、墨西哥、委内瑞拉和洪都拉斯等地的恶意软件感染率在美洲最高。

美洲 10 年区域成绩单

• 地区:美洲
• 分析中包含的地点:阿根廷、玻利维亚、巴西、加拿大、智利、哥伦比亚、哥斯达黎加、厄瓜多尔、危地马拉、洪都拉斯、墨西哥、尼加拉瓜、巴拿马、巴拉圭、秘鲁、美国、乌拉圭和委内瑞拉
• 平均 CCM(2010–2016):13.4(比全球平均水平高 43%)
• 平均 ER(2013–2019):16.5%(比世界平均水平高 26%)

图 3.14:2010-2016 年美洲部分地区的恶意软件感染率(微软公司，未注明日期)

图 3.15:2013-2019 年美国部分地区的恶意软件遭遇率(er)(微软公司，未注明日期)

表 3.7:左:美洲平均 CCM 最高的地区，2013 年 3 季度–2019 年 3 季度；右图:美洲平均 CCM 最低的地区，2019 年第 3 季度–2019 年第 3 季度(微软公司，未注明日期)

表 3.8:左:美洲平均 ER 最高的地区，3q 13–3q 19；右图:2019 年第 3 季度–2019 年第 3 季度，美国平均 ER 最低的地区(微软公司，未注明日期)

总体而言，美洲的 CCM 和 er 高于全球平均水平。但是，北美、中美洲和南美洲遭遇和感染恶意软件的程度略有不同。虽然我的分析没有包括美洲的所有地点，但是按地区划分数据使得比较它们更容易一些。

图 3.16:美国平均区域恶意软件感染率(2010 年至 2016 年)和遭遇率(2013 年至 2019 年)(微软公司，未注明日期)

我希望你喜欢这次环球旅行。我花了几个月的时间来做这项研究和分析，所以很明显，我发现区域性恶意软件趋势真的很有趣。对于生活在这些地区，尤其是美国以外地区的安全团队来说，可信的区域威胁情报可能很难找到，而恐惧、不确定性和怀疑似乎总是近在咫尺。我来和大家分享一下这个分析得出的一些结论。

区域性 Windows 恶意软件感染分析结论

图 3.17 在一张图表上显示了地区的细分数据，这使得更容易看到世界各地的相对 CCM 和 er 水平。在过去十年中，南亚、东南亚、中东和北非的系统遭遇的恶意软件比世界上任何其他地方都多。这可能是这些地区也是世界上恶意软件感染率最高的主要原因。

这与大洋洲、东亚和欧盟低得多的 er 和 CCM 形成对比。

图 3.17:2013–2019 年全球各地区的平均 CCM 和 ER(微软公司，未注明日期)

这里的表 3.9 列出了全球平均 CCM 和 er 最高的前 10 个地点。同期全球平均 CCM 为 8.7，平均 ER 为 12.5。所有这些地方的 ER 和 CCM 至少是全球平均水平的两倍。

表 3.9:2010 年第一季度至 2016 年第二季度全球 CCM 和 er 最高的地区(微软公司，未注明日期)

这对 CISOs 和企业安全团队意味着什么？

这些年来，我遇到过许多团队，他们封锁来自东亚某大国、伊朗和俄罗斯的所有互联网流量，因为他们认为攻击来自这些国家级 IP 地址范围。根据 CISOs 告诉我的情况，包括美国和英国政府发布的归因报告和媒体报道，许多攻击来自这三个地方这一点似乎毫无疑问。但是，当然，攻击者并不局限于使用他们本国或任何特定国家的 IP 地址范围，所以这不是一个银弹缓解措施。请记住，此类攻击的受害者的系统被用来对其他潜在受害者实现攻击，因此他们的 IP 地址将成为许多攻击的来源。

当系统受到恶意软件的攻击时，其中一些会被用于攻击，包括 DDoS 攻击、驱动下载攻击、水坑攻击、恶意软件托管以及攻击者的其他“项目工作”。因此，一些 CISOs 采取预防措施，阻止来自/发往世界上恶意软件感染率最高的位置的互联网流量。如果您的组织没有在这些地方开展业务，或者在这些地方有潜在的合作伙伴或客户，那么最大限度地减少暴露于这些地方的系统可能会成为恶意软件感染的额外缓解措施。正是因为这个原因，许多组织使用受管防火墙和 WAF 规则。但鉴于我的分析是针对整整十年，为了列出感染最多的地点，这些地点基本上必须具有持续的高感染率。限制信息工作者在互联网上可以访问的地方将减少他们暴露于潜在威胁的数量。

对于居住在这些地方或在这些地方支持运营的安全团队，我希望你们能够利用这些数据，从你们的最高管理层、当地行业和各级政府那里获得对你们网络安全策略的适当支持。使用我在本书序言中写的潜艇类比，地球上没有一个地方比这些地方对潜艇船体的压力更大。

这是一把双刃剑，因为它给这些地方的安全团队带来了更大的压力，但也为他们提供了世界其他地方的组织所不具备的背景和清晰度。使用这些数据来提高网络安全利益相关方社区的意识，并获得成功所需的支持。

我所知道的一些 CISOs 已经使用 CCM 和 ER 数据作为他们组织的基线。他们使用反恶意软件为其 IT 环境开发检测、阻止和杀毒数据。他们将自己环境中的 CCM 和 ER 与微软或其他反恶意软件供应商发布的全球数据进行比较。他们还将他们的 CCM 和 ER 数据点与他们有 IT 运营的国家的区域数字进行比较。这使他们能够比较他们的组织比他们所在国家或全球的普通消费者系统受到的影响更大还是更小。他们的目标是使 CCM 和 er 数字始终低于他们国家的数字，并且低于全球平均水平。他们发现全球和地区恶意软件数据是一个有用的基准，可以确定他们在管理其环境中的恶意软件方面是否做得很好。

从公共政策的角度来看，大洋洲、东亚和欧盟的一些政府似乎有东西可以教给世界其他地区如何控制威胁局面。具体而言，澳大利亚、新西兰、北欧和日本政府应该帮助高感染地区走上正轨。但这并非易事，因为高水平的冲突似乎是影响社会经济因素的潜在因素，而这些因素又与高地区恶意软件感染率有关。解决政府腐败、拥护法治、提高识字率、政权稳定性、监管质量、生产率、人均总收入和人均 GDP 是降低许多地方的恶意软件感染率的首要任务。公共部门的企业首席信息安全官和网络安全领袖可以通过教育本国的公共政策影响者，为更美好的未来做出贡献。

现在，我已经为您提供了对区域性恶意软件遭遇和感染的深入了解，让我们看看不同类别的恶意软件的使用是如何随着时间的推移在全球范围内演变的。冒着听起来像网络安全数据极客的风险，这些数据是我最喜欢的恶意软件相关数据！社会工程是攻击者的主要技术，这份关于攻击者如何使用恶意软件的 10 年观点清楚地说明了这一点。

全球恶意软件演变

了解恶意软件的演变将有助于 CISOs 和安全团队将他们在新闻中读到的歇斯底里放入上下文中。阅读本节时，请记住网络安全的常见疑点。

随着 2003 年和 2004 年初大规模蠕虫攻击的成功，微软在 2004 年 8 月推出了 Windows XP Service Pack 2。其中，Windows XP Service Pack 2 首次在 Windows 操作系统中默认打开了 Windows 防火墙。在此之前，这是一个可选设置，留给客户来打开、配置和测试他们的应用程序。该服务包还首次在 Windows 操作系统中提供了地址空间布局随机化 ( ASLR )和数据执行防止(DEP)(大卫·莱德，2011)。这三个特性削弱了未来试图使用与 SQL Slammer 和 MSBlaster 相同策略的大规模蠕虫攻击的成功。如果有基于主机的防火墙阻止数据包到达端口，则无法利用侦听网络端口的服务中的漏洞。每个系统上漏洞的内存位置可能并不相同，这使得查找和利用漏洞变得更加困难。

在 Windows XP Service Pack 2 发布并被广泛采用 18 个月后，数据显示蠕虫和后门不再受攻击者青睐。如图 3.18 所示，在 2006 年、2007 年和 2008 年，这些类别的恶意软件的检测数量大幅减少。

一种不同类型的蠕虫，一种不仅仅使用未打补丁的漏洞的蠕虫，在 2009 年受到攻击者的欢迎，这是在 Windows 防火墙、ASLR 和 DEP 在 Windows 操作系统中启用 5 年后。

[外链图片转存中…(img-F31Xb8OQ-1722479491477)]

图 3.18:2006–2012 年按威胁类别(包括后门、间谍软件、病毒和蠕虫)列出的检测项占所有报告检测项的基于 Windows 的系统的百分比(微软公司，未注明日期)

一旦蠕虫对大规模攻击不再有效，数据显示，在 2006、2007 和 2008 年，各种可能不需要的软件变得流行起来。你可以在图 3.19 中看到这种显著的增加。正如我在本章前面所描述的，这种类型的威胁通常依靠社会工程进入系统。在此期间，假冒的反病毒软件、假冒的间谍软件检测套件和假冒的浏览器保护程序风靡一时:

图 3.19:2006–2012 年按威胁类别(包括后门、间谍软件、病毒、蠕虫和各种可能不需要的软件)列出的检测数占所有基于 Windows 的系统报告检测数的百分比(微软公司，未注明日期)

随着 2006 年潜在有害软件的使用达到高峰，越来越多的人开始了解它们，检测在 2007 年和 2008 年呈下降趋势。在此期间，数据显示，木马下载器和下载器开始流行。这清楚地反映在图 3.20 中。这类威胁也主要依靠社会工程来破坏系统。他们欺骗用户安装它们，然后将更多的恶意软件解压缩或下载到系统中，以进一步控制攻击者。在此期间，木马下载者和下载者将受害者的系统加入僵尸网络以用于其他类型的攻击并不罕见。

图 3.20:2006 年至 2012 年按威胁类别(包括后门、间谍软件、病毒、蠕虫、各种可能不需要的软件以及木马下载程序和下载程序)列出的检测结果，占所有基于 Windows 的系统报告检测结果的百分比(微软公司，未注明)

随着人们开始了解攻击者对木马下载者和下载者使用的肮脏伎俩，以及反病毒公司专注于根除这一流行的恶意软件类别，数据显示下载者和下载者的受欢迎程度正在下降，而各种木马的检测在 2008 年达到顶峰，并在 2009 年再次达到顶峰。这类威胁也主要依赖于社会工程来取得成功。数据还显示，2007 年至 2011 年间，对密码窃取者和监控工具的检测大幅增加。

蠕虫在 2008 年再度流行，Conficker 向攻击者展示了将三种常见的可疑病毒组合成一种蠕虫的可能性。

从那以后，依靠自动运行功能滥用、脆弱、泄露和窃取密码的蠕虫仍然很流行。在图 3.21 中，请注意从 2009 年开始的缓慢但稳定的利用增长。这一趋势在 2012 年达到顶峰，当时漏洞利用工具包在互联网上风靡一时。此外，请注意，在整个这段时间内，没有大量的勒索软件。当我们在 2012 年底离开这一时期时，图表右上角的类别(木马和潜在不需要的软件)依靠社会工程取得成功。

图 3.21:2006–2012 年按威胁类别、所有类别、所有基于 Windows 的系统报告检测百分比列出的检测(微软公司，未注明日期)

进入 2013 年，微软开始使用 ER 来衡量威胁检测。请注意，2013 年至 2017 年期间使用的衡量标准是 ER，而不是前期使用的检测衡量标准。这些是略有不同的数据点。微软没有公布 2016 年第三季度和第四季度的 ER 数据，因此这一时期的数据存在漏洞。ER 数据证实，杂项木马是 2013 年遇到的最常见的威胁类别。不幸的是，我找不到可能不需要的软件的 ER 的公开数据源，所以它从图 3.22 中消失了。2013 年下半年木马下载者和下载者的 ER 峰值是由三种威胁造成的:Rotbrow、Brantall 和 Sefnit (Microsoft，2014)。

期末，2017 年第四季度，勒索病毒 er 为 0.13%，杂项木马 ER 为 10.10%；相差 195%。虽然勒索软件的 ER 较低，但感染勒索软件的影响可能是毁灭性的。

因此，不要忘记查看风险计算的两个部分，即威胁的概率和影响。这是一个持续到 2019 年最后一个季度的趋势。尽管越来越多的 Windows 漏洞被披露，但微软在 Windows 操作系统的内存安全功能和其他缓解措施方面的投资似乎有助于降低全球 er。如果 ER 是一个指标，恶意软件的提供者似乎从社会工程中获得了坚实的投资回报(T2)。

图 3.22:2013–2017 年报告检测的基于 Windows 的系统上按威胁类别划分的遭遇率(微软公司，未注明日期)

我刚才向您展示的绝大多数数据来自世界各地向微软报告数据的消费者系统。安全团队和网络安全专家应该意识到，消费者系统和企业中的威胁流行程度存在一些差异。研究这些差异很多年了，我可以给你总结一下。从企业环境中报告给微软的数据中可以得出三个有用的见解:

1. Worms: This was typically the number one category of threat in enterprise environments that were reported to Microsoft over the years. This category of malware self-propagates, which means worms can spread quickly and be very difficult to get rid of once they are inside of an enterprise environment. Worms can hide in enterprise IT environments and resurface quickly. For example, they can hide in storage area networks where no anti-virus software has been deployed.

   它们可以隐藏在旧的台式机和服务器映像中，当用于构建新系统时，会将蠕虫重新引入环境中。它们也可以在恢复时从备份中恢复。我认识的许多 CISOs 在最初将 Conficker 这样的蠕虫引入环境后，与它们斗争了多年。

   这些蠕虫通常以三种方式传播:未修补的漏洞、弱密码和社会工程。听起来熟悉吗？他们应该这样做，因为这是五个网络安全常见嫌疑人中的三个。专注于网络安全基础知识将帮助您将蠕虫拒之门外，并遏制已经存在于您环境中的蠕虫。在任何地方部署最新的反恶意软件对阻止这些威胁都很重要。

2. USB 驱动器和其他可移动存储介质:许多威胁(如蠕虫和病毒)通过 USB 驱动器进入企业环境。实现阻止台式机和服务器上 USB 端口访问的策略将防止信息工作者将此类威胁引入您的 IT 环境。将反恶意软件配置为在访问时扫描文件，尤其是可移动介质，也将有助于阻止这些威胁，其中许多威胁是反恶意软件实验室所熟知的，并且已存在多年。

3. Malicious or compromised websites: Drive-by download attacks and watering hole attacks expose Information Workers’ systems to exploits and, if successful, malware. Carefully think about whether your organization really needs a policy that allows Information Workers to surf the internet unfettered. Does everyone in the organization need to get to every domain on the internet, even IP addresses in the countries with, consistently, the highest malware infection rates in the world? Only permitting workers to get to trusted sites that have a business purpose might not be a popular policy with them, but it will dramatically reduce the number of potential threats they are exposed to.

   由于其业务的性质，这种缓解措施不会对每个组织都有效，但我敢说，与目前使用它的组织相比，它将对更多的组织有效。仔细考虑您的员工是否真的有必要无拘无束地访问互联网和包含外语内容的网站，以及安全团队是否可以做出一些具有较高缓解价值且对工作效率影响较小或为零的更改。受管出站代理规则、IDS/IPS 和浏览器白名单都是有帮助的控件。

当然，补丁，补丁，补丁！当他们所依赖的潜在漏洞被修补时，驱动下载攻击就不起作用了。这就是那些每季度或每半年打一次补丁的组织真正遭受损失的地方；他们允许他们的员工带着他们知道有成百上千公开漏洞的系统去互联网上的任何地方。可能会出什么问题？

全球恶意软件演变结论

该恶意软件类别数据向我们表明，恶意软件的提供者在尝试最初危害系统时，实际上仅限于几种选择。利用未打补丁的漏洞仅在有限的时间内是一种可靠的方法，但这并不能阻止攻击者在安全更新可用后多年内试图利用旧的漏洞。蠕虫随着攻击者的流行而变化，需要技术技能来开发。但是一个主要的策略是社会工程。当其他四个网络安全常见嫌疑人不可行时，许多攻击者会试图使用良好的老式社会工程。

尽管我刚刚与你分享了所有的恶意软件数据，一些网络安全专家仍然断言反恶意软件对企业来说是不值得的。让我们深入探讨一下这个论点，看看它是否站得住脚。

大辩论-反恶意软件解决方案真的值得吗？

请允许我就反恶意软件的功效发表我的看法。多年来，我听到一些网络安全专家在行业会议上嘲笑反恶意软件解决方案的功效，并建议组织不要费心使用这种解决方案。他们倾向于通过指出反恶意软件无法检测和清除所有威胁来证明这一观点。这是真的。他们还指出，反恶意软件解决方案本身可能存在漏洞，这些漏洞可能会增加而不是减少攻击面。这也是事实。由于反恶意软件软件通常可以访问操作系统的敏感部分及其扫描的数据，因此它们可能是攻击者的有效目标。一些反恶意软件供应商甚至被指控利用其产品拥有的系统访问特权，提供对系统的非法访问(Solon，2017)。其他供应商被指控不当分享其产品收集的信息(Krebs on Security，2017)。

但是请记住，恶意软件供应商每周都会制造出百万种独特的恶意软件威胁。随着世界各地的反恶意软件实验室获得这些威胁的样本，他们给他们的客户接种疫苗。因此，虽然反恶意软件解决方案无法保护组织免受所有威胁，尤其是新的和正在出现的威胁，但它可以保护组织免受数亿已知威胁的侵害。另一方面，如果他们不运行反恶意软件解决方案，他们将无法抵御这些威胁。使用最近的数据进行风险计算，我想你会发现运行反恶意软件是一件很容易的事情。对于企业而言，未能从值得信赖的供应商处运行最新的反恶意软件是重大疏忽。

并非所有反恶意软件产品都是平等的。以我的经验来看，反恶意软件供应商的水平取决于他们的研究和响应实验室中的研究人员、分析师和支持人员。供应商最大限度地减少误报，同时为现实世界的威胁提供最佳的响应时间和检测，这对安全团队非常有帮助。要根据这些指标比较产品，请查看 AV-Test 和 AV Comparatives 的第三方测试结果。反恶意软件实验室社区几十年来一直在讨论测试他们产品的最佳方式。

在过去，争论的焦点集中在如何根据产品测试所针对的恶意软件样本的收集来歪曲测试结果。例如，如果某个特定的实验室非常擅长检测 root kit，并且测试包括更多的 root kit 样本，那么该反恶意软件产品的得分可能会高于平均水平，即使它在检测其他类别的威胁方面低于平均水平。反之亦然——如果测试不包括 rootkit 或包括很少的 rootkit，产品的得分可能低于平均水平。由于反恶意软件测试不能包括每一个已知的恶意软件样本，由于现实世界的资源限制，无论他们测试什么样本都会影响被测试产品的得分。一些反恶意软件实验室认为，这迫使他们在其产品中继续检测不再流行的旧威胁，而不是让他们专注于客户更有可能遇到的当前和新兴威胁。相反的观点是，反恶意软件解决方案应该能够检测到所有威胁，不管它们当前的流行程度如何。随着更好的测试、更多的竞争者以及检测、阻止和消除威胁的新方法的出现，测试和行业继续发展。许多供应商通过利用试探法、行为分析、人工智能、ML 和云计算等方法，使他们的产品远远超出了简单的基于签名的检测系统。

我对恶意软件、反恶意软件解决方案和全球 Windows 威胁形势的马拉松式讨论到此结束。我觉得我只是触及了表面，但我们还有很多其他有趣的话题要讨论！在我们结束本章之前，让我分享一些与使用威胁情报相关的最佳实践和提示。

威胁情报最佳实践和提示

我想给你一些关于如何识别好的威胁情报和可疑的威胁情报的指导。在发表了近十年来业界最好的威胁情报报告之一(好吧，我承认我有偏见)之后，我学到了一些东西，我将在这里与您分享。本指南的主题是了解您的威胁情报供应商使用的方法。

如果他们不告诉你他们的方法是什么，那么你不能相信他们的数据。此外，要真正了解特定威胁情报是否或如何帮助您的组织，唯一的方法是了解其数据源以及用于收集和报告数据的方法；如果没有这种背景，威胁情报可能会分散注意力，并且与帮助相反。

技巧 1——数据源

始终了解您正在使用的威胁情报数据的来源，以及相关供应商如何解读这些数据。如果数据的来源是未知的，或者供应商不共享数据的来源，那么你就不能相信它和基于它的解释。例如，一个供应商声称 85%的系统已经被特定的恶意软件家族成功感染。但是，当您深入研究用于做出这一声明的数据来源时，会发现使用该供应商在线恶意软件清理器网站的系统中有 85%感染了所提到的恶意软件。请注意，“所有系统的 85%”是从“使用在线工具的所有系统的 85%”中戏剧性地推断出来的

此外，该在线工具仅以美国英语提供，这意味着不会说英语的消费者不太可能使用它，即使他们知道它的存在。最后，您发现供应商的桌面防病毒检测工具在发现系统感染了威胁时会建议用户使用在线工具进行杀毒。供应商这样做是为了让客户意识到他们的超级棒的在线工具是可用的。这扭曲了数据，因为从桌面防病毒工具转到在线工具的 100%的用户都已经知道感染了该威胁。这些年我都数不清见过多少次这样的特技了。始终深入数据源，了解数据对您的实际意义。

技巧 2——时间段

在使用威胁情报时，了解数据的时间范围和时间段非常重要。数据和见解是在几天、几周、几个月、几个季度还是几年内提供的？这个问题的答案将有助于提供理解情报所需的背景。对你的组织来说，几天的事件可能比几年的长期趋势有更大的不同。

异常通常会保证不同于已建立模式的风险处理。此外，根据供应商在其报告中使用的时间段，从威胁情报数据中得出的结论可能会发生显著变化。

让我为您提供一个示例场景。假设一个供应商正在报告在给定的时间段内他们的产品中有多少漏洞被披露。如果数据是定期连续报告的，比如每季度一次，趋势看起来真的很糟糕，因为大幅度增加是明显的。但是，与使用连续季度报告趋势不同，当将当前季度与去年同期进行比较时，趋势看起来要好得多；与去年同期相比，本季度的漏洞披露实际上可能有所减少。这给供应商带来了积极的影响，尽管漏洞披露逐季增加。

另一个潜在的危险信号是，当您看到供应商报告的数据不是正常时间段的数据时，例如每月、每季度或每年。相反，他们使用几个月的时间，这似乎有点随意。如果时间周期不规则或者使用它的原因不明显，那么应该用威胁情报来记录合理性。如果不是，询问供应商他们为什么选择时间段。有时，你会发现供应商使用特定的时间段，因为这使他们的故事更具戏剧性，获得更多的关注，如果这是他们的议程。或者，所选择的时间段可能有助于通过最小化数据变化来淡化坏消息。了解为什么要在特定的时间范围和时间段内报告数据，将使您对数据的可信度以及向您提供数据的供应商的议程有所了解。

技巧 3——识别炒作

我见过的组织在使用威胁情报时犯的最大错误之一是接受他们的供应商关于其数据的范围、适用性和相关性的声明。例如，一家威胁情报供应商发布数据称，在特定时间段内，100%的攻击都涉及社会工程或利用了特定的漏洞。这种说法的问题是，世界上没有人能看到 100%的攻击，时期。

他们必须无所不知，才能看到世界各地同时发生的所有攻击，包括所有操作系统和云平台、所有浏览器和应用程序。类似地，声称 60%的攻击是由特定的 APT 组织实现的也没有帮助。除非他们对 100%的攻击有所了解，否则他们无法可信地声称其中 60%的攻击有什么特征。声称所有攻击的特征或子集需要所有攻击的知识，即使提到特定的时间段、特定的位置和特定的攻击媒介，也是不可能或不可信的。威胁情报的一个很好的试金石是问自己，供应商必须无所不知才能做出这样的声明吗？在这种情况下，了解数据源和时间段将有助于您消除宣传，并获得情报可能具有的任何价值。

很多时候，发布数据的供应商不会在他们的威胁情报报告中直接做出这样的声明，但是为了引起人们的注意，在标题中报告新情报的方式会被概括或变得更具戏剧性。不要责怪威胁情报供应商报道新闻的方式，因为这通常超出了他们的控制范围。但如果他们直接提出这样的主张，就要认识到这一点，并适当调整你头脑中的语境。许多年来，我经常在世界各地的头条上谈论和写关于威胁的文章，但我们总是非常小心，不要超越数据支持的结论。要做出更大胆的声明，需要全知全能。

技巧 4——对未来的预测

我相信你已经看到一些供应商对未来的威胁形势做出了预测。一些威胁情报供应商喜欢使用的一个技巧与时间段有关。假设我要发布一份关于过去 6 个月的威胁情报报告。当这一时期的数据收集完毕，报告撰写完成并发表时，可能已经过去了一两个月。现在，如果我在这份报告中对未来进行预测，我有一两个月的数据可以告诉我自报告期结束以来发生了什么。

如果我的预测是基于数据告诉我们已经发生的事情，那么报告的读者会认为我实际上准确预测了未来，从而强化了我们比任何人都更了解威胁形势的观点。了解相对于预测所关注的时间段的预测时间将有助于您确定预测和结果的可信度，以及做出预测的供应商的可信度。记住，对未来的预测都是猜测。

技巧 5——供应商的动机

信任是信誉和品格的结合。您可以利用这两个因素来判断您的供应商是否值得信赖。数据源、时间尺度、时间段和对未来的预测的透明度可以帮助供应商证明他们是可信的。他们的动机反映了他们的性格。他们是希望作为可信赖的顾问与您的组织建立关系，还是他们的兴趣仅限于金融交易？在构建网络安全计划时，这两种类型的供应商都有一席之地，但了解哪种供应商属于每一类可能会有所帮助，特别是在与事件响应相关的活动中，当压力增大时。当你需要真正的帮助时，知道你可以依靠谁是很重要的。

这些是我 10 年来发布威胁情报报告的经验，可以提供给你的建议和窍门。同样，这里最重要的一点是理解您所使用的威胁情报的方法和数据源，这一点不是可选的。最后一点建议:不要使用不符合这个标准的威胁情报。IT 行业有太多的恐惧、不确定性和怀疑，以及太多的复杂性。你需要选择听取谁的建议。

我希望你喜欢这一章。信不信由你，这种类型的数据越来越难找到。好消息是，威胁情报正越来越多地被集成到网络安全产品和服务中，这意味着保护、检测和响应威胁比以往任何时候都更容易、更快。

章节总结

这一章需要大量的研究。我试图向您提供对威胁形势的独特的长期观点和一些有用的背景。我将试着总结一下本章的要点。

恶意软件利用网络安全通常的嫌疑人来初步危害系统；这些包括未打补丁的漏洞、安全错误配置、脆弱、泄露和被盗的密码、内部威胁和社会工程。其中，社交工程是攻击者最喜欢的战术，利用社交工程的恶意软件类别的持续高流行率就是证明。恶意软件也可以在最初的危害之后被用于进一步的攻击者目标。

一些成功的恶意软件家族在发布后会很快影响世界各地的系统，而另一些则在发展成全球威胁之前先成为区域性威胁。一些威胁局限于某个地区，因为它们依靠特定的非英语语言来欺骗用户安装它们。不同地区遇到恶意软件的几率和感染率不同。微软进行的研究表明，一些社会经济因素，如国内生产总值，可能会影响这些差异。冲突和随之而来的社会经济条件异常严重的地区，通常会有更高的恶意软件遭遇率和感染率。

关注网络安全基础知识，解决网络安全常见的疑点，将有助于减轻恶意软件的威胁。此外，运行来自可信供应商的最新反恶意软件解决方案将有助于阻止大多数恶意软件的安装，并对受感染的系统进行杀毒。阻止信息工作者访问没有合法商业目的的互联网区域，有助于防止在这些区域暴露于恶意软件和受损系统。

到目前为止，我们已经研究了两种重要威胁的长期趋势，即漏洞和恶意软件。在下一章中，我们将探究攻击者使用互联网的方式以及这些方式是如何随着时间的推移而演变的。

参考

1. 半岛电视台(2014 年 1 月 4 日)。伊拉克政府失去对费卢杰的控制。检索自半岛电视台网站:www . al Jazeera . com/news/middle east/2014/01/Iraq-government-loses-control-fallu Jah-20141414625597514 . html
2. 权威，R. O. (2019)。爱沙尼亚信息系统管理局 2019 年度网络安全评估。爱沙尼亚共和国信息系统管理局。
3. AV-测试研究所(2017 年)。2016/2017 年度 AV-TEST 安全报告。德国马格德堡:AV 测试研究所
4. AV-Test Institute (2018)。2017/2018 年度 AV-TEST 安全报告。德国马格德堡:AV 测试研究所
5. AV-Test Institute(2019 年 4 月)。2018/2019 年度 AV-TEST 安全报告。德国马格德堡:AV 测试研究所。检索自 AV-Test:T3】https://www . AV-Test . org/file admin/pdf/Security _ Report/AV-Test _ Security _ Report _ 2018-2019 . pdfT5】
6. AV-测试研究所(2020 年 4 月)。关于 AV-TEST 研究所。从 AV-Test:中检索
7. AV-测试研究所(2020 年 4 月)。 AV-Test 恶意软件统计。从 AV-Test 中检索:【https://www.av-test/en/statistics/malware/】
8. AV-测试研究所(2020 年 4 月)。国际形象和出版物。检索自 AV-Test Institute:www . AV-Test . org/en/about-the-Institute/publications/
9. 戴维·伯特，P. N. (2014 年)。网络安全风险悖论，微软安全情报报告特别版。微软。检索自:T3】https://query . prod . CMS . rt . Microsoft . com/CMS/API/am/binary/REVrozT5】
10. 大卫·莱德，F. S. (2011 年)。SDL 进度报告。微软。检索自:T3【http://download . Microsoft . com/download/c/e/f/cefb 7 BF 3-de0c-4d CB-995 a-C1 c 69659 BF 49/sdlprogressreport . pdfT5】
11. ECE Toksabay(2014 年 2 月 22 日)。警察向伊斯坦布尔反政府抗议活动发射催泪瓦斯。检索自路透社:www . Reuters . com/article/us-turkey-抗议/警察-消防-催泪瓦斯-at-伊斯坦堡-反政府-抗议-idUSBREA1L0UV20140222
12. 凯泽，g .(2020 年 1 月 4 日)。Windows by the numbers:Windows 10 恢复向无止境的统治地位进军。检索自英国计算机世界:www . computer world . com/article/3199373/windows-by-numbers-windows-10-continues-to-食人-windows-7.html
13. 凯泽湾(未标明)。Windows by the numbers:Windows 10 恢复向无止境的统治地位进军。检索自计算机世界英国:www . Computer World . com/article/3199373/windows-by-numbers-windows-10-continues-to-食人-windows-7.html
14. 克雷布斯论安全(2017 年 8 月 17 日)。碳排放:过度共享漏洞让安全供应商重新成为焦点。检索自 Krebs on Security:krebsonsecurity . com/2017/08/carbon-emissions-over sharing-bug-puts-Security-vendor-back-in-spot light/
15. 莱登，j .(未注明)。微软发布 Blaster 清理工具。从注册中检索:www . The Register . co . uk/2004/01/07/Microsoft _ releases _ blaster _ clean up _ tool/
16. 微软(2014 年)。微软安全情报报告第 16 卷。检索自微软安全情报报告第 16 卷:T3&https://go.microsoft/fwlink/p/?linkid=2036139【clcid = 0x 409&culture = en-us&country = usT5】
17. 微软(2016 年 12 月 14 日)。微软安全情报报告。微软安全情报报告第 21 卷。检索自微软安全情报报告第 21 卷:T3&https://go.microsoft/fwlink/p/?linkid=2036108【clcid = 0x 409&culture = en-us&country = usT5】
18. 微软公司(2019 年 4 月 8 日)。*微软安全情报报告卷。*检索自微软安全情报报告第六卷:T3】https://go.microsoft/fwlink/p/?linkid=2036319&cl cid = 0x 409&culture = en-us&country = usT5】
19. 微软公司(2015 年)。虚拟专属:网络空间 2025:10 年后网络安全会是什么样子？微软。检索自:channel 9 . msdn . com/Events/Virtual-CIO-Summit/Virtual-CIO-Summit-2015/Virtual-EXCLUSIVE-Cyberspace-2025-What-will-Cyberspace-Look-Like-in-10-Years
20. 微软公司(2016 年 7 月 7 日)。微软安全情报报告第二十卷。检索自微软安全情报报告第 20 卷:T3&https://go.microsoft/fwlink/p/?linkid=2036113【clcid = 0x 409&culture = en-us&country = usT5】
21. 微软公司(2017 年 8 月 17 日)。微软安全情报报告第 22 卷。检索自微软安全情报报告第 22 卷:T3&https://go.microsoft/fwlink/p/?linkid=2045580【clcid = 0x 409&culture = en-us&country = usT5】
22. 微软公司(2018)。微软安全情报报告第 23 卷。检索自微软安全情报报告第 23 卷:T3&https://go.microsoft/fwlink/p/?linkid=2073690【clcid = 0x 409&culture = en-us&country = usT5】
23. 微软公司(2019 年 8 月 10 日)。行业协作计划。检索自微软:docs . Microsoft . com/en-us/windows/security/threat-protection/intelligence/cyber security-industry-partners
24. 微软公司(2019 年 8 月 13 日)。修补远程桌面服务中新的蠕虫漏洞(CVE-2019-1181/1182) 。检索自微软安全响应中心博客:msrc-Blog . Microsoft . com/2019/08/13/patch-new-worm able-vulnerabilities-in-remote-desktop-services-CVE-2019-1181-1182/
25. 微软公司。双插描述。检索自微软安全情报:www . Microsoft . com/en-us/wdsi/threats/malware-encyclopedia-description？name = Win32/Diplugem&threat id =T5】
26. 微软公司。 DirectAccess 。检索自微软公司:docs . Microsoft . com/en-us/windows-server/remote/remote-access/direct access/direct access
27. 微软公司。微软如何识别恶意软件和可能不需要的应用程序。检索自微软公司:docs . Microsoft . com/en-us/windows/security/threat-protection/intelligence/criteria
28. 微软公司。恶意软件遭遇率。从微软安全情报报告中检索:【https://www.microsoft/securityinsights/Malware】T3T5】
29. 微软公司。微软安全情报报告。从 Microsoft Security 检索
30. 微软公司。十多年来对威胁形势的报道。检索自微软公司:www . Microsoft . com/en-us/security/operations/security-intelligence-report
31. 微软公司。彼佳描述。检索自微软安全情报:www . Microsoft . com/en-us/wdsi/threats/malware-encyclopedia-description？Name=Ransom:DOS/Petya。a&threat id =-2147257025T5】
32. 微软公司。通过更新远程桌面服务来防止蠕虫(CVE-2019-0708) 。检索自微软安全响应中心博客:msrc-blog . Microsoft . com/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-CVE-2019-0708/
33. 微软公司。使用 Windows 恶意软件删除工具删除特定的流行恶意软件。检索自微软公司:support . Microsoft . com/en-us/help/890830/remove-specific-populate-malware-with-windows-malware-remo
34. 微软公司。使用 Windows 恶意软件删除工具删除特定的流行恶意软件。检索自微软公司:support . Microsoft . com/en-us/help/890830/remove-specific-populate-malware-with-windows-malware-remo # covered
35. 微软公司。 Reveton 描述。检索自微软安全情报:www . Microsoft . com/en-us/wdsi/threats/malware-encyclopedia-description？Name=Ransom:Win32/Reveton。t！lnk&threat id =-2147285370T5】
36. 微软公司。 Rotbrow 描述。检索自微软安全情报:www . Microsoft . com/en-us/wdsi/threats/malware-encyclopedia-description？name = win32 % 2 frot browT5】
37. 微软公司。显著性描述。检索自微软安全情报:www . Microsoft . com/en-us/wdsi/threats/malware-encyclopedia-description？name = Virus % 3a win32 % 2f salityT5】
38. 微软公司。序列号描述。检索自微软安全情报:www . Microsoft . com/en-us/wdsi/threats/malware-encyclopedia-description？name = Win32/sef nitT5】
39. 微软公司。智能屏幕:常见问题解答。检索自微软公司:support . Microsoft . com/en-GB/help/17443/windows-internet-explorer-smart screen-FAQ
40. 微软公司。 Taterf 描述。检索自微软安全情报:www . Microsoft . com/en-us/wdsi/threats/malware-encyclopedia-description？name = Win32/Taterf&threat id =T5】
41. 微软公司。关于冲击波蠕虫及其变种的病毒警报。检索自微软公司:support . Microsoft . com/en-us/help/826955/virus-alert-about-the-blaster-worm-and-its-variants
42. NIST(未标出)。 CVE-2019-0708 详情。从国家漏洞数据库中检索到:【https://nvd.nist.gov/vuln/detail/CVE-2019-0708】
43. t . rains(2011 年 6 月 27 日)。防御自动运行攻击。检索自微软官方安全博客:www . Microsoft . com/Security/Blog/2011/06/27/defending-against-autorun-attacks/
44. t . rains(2013 年 9 月 24 日)。审视韩国过山车般的威胁形势。检索自微软官方安全博客:www . Microsoft . com/Security/Blog/2013/09/24/examining-Koreas-roller coaster-threat-landscape/
45. 雷恩，t .(未注明)。新的微软恶意软件保护中心威胁报告发布:EyeStye 。检索自微软官方安全博客:www . Microsoft . com/Security/Blog/2012/07/20/new-Microsoft-malware-protection-center-threat-report-published-eyes tye/
46. 爱沙尼亚共和国信息系统管理局(2018 年)。爱沙尼亚信息系统管理局:2018 年度网络安全评估。爱沙尼亚共和国信息系统管理局。检索自:T3【https://www . RIA . ee/sites/default/files/content-editors/kuberturve/RIA-CsA-2018 . pdfT5】
47. o .梭伦(2017 年 9 月 13 日)。美国政府因担心间谍活动而禁止机构使用卡巴斯基软件。摘自《卫报》:www . The Guardian . com/technology/2017/sep/13/us-government-bans-Kaspersky-lab-Russian-spuring
48. 土耳其总理被宣布赢得总统选举(2014 年 8 月 10 日)。摘自纽约时报:www . nytimes . com/2014/08/11/world/Europe/Erdogan-Turks-premier-wins-president-election . html？_ r = 0/
49. 美国国土安全部。关键基础设施部门。检索自 https://www.dhs.gov/cisa/critical-infrastructure-sectors
50. 维基百科(未注明)。 2014 年在伊拉克。从 Wikipedia 检索:【https://en.wikipedia/wiki/2014_in_Iraq】
51. 维基百科(未注明)。 2014 年巴基斯坦。从 Wikipedia 检索:【https://en.wikipedia/wiki/2014_in_Pakistan】
52. 维基百科(未注明)。下一代安全计算基础。从 Wikipedia 检索:en . Wikipedia . org/wiki/Next-Generation _ Secure _ Computing _ Base
53. 维基百科(未注明)。阿拉伯之春的时间线。从 Wikipedia 检索:【https://en.wikipedia/wiki/Timeline_of_the_Arab_Spring】*

四、基于互联网的威胁

在过去的 25 年里，攻击者学会了利用互联网来破坏受害者的 IT 环境，实现他们的非法目标并满足他们的动机。CISOs 和安全团队可以通过研究攻击者如何使用互联网来制定网络安全策略。在这一章中，我们将看看攻击者使用互联网的一些方法，以及这些方法是如何随着时间的推移而演变的。

在本章中，我们将探讨以下主题:

• 网络钓鱼攻击
• 偷渡式下载攻击
• 恶意软件托管网站

让我们从典型攻击模式的剖析开始。

介绍

在前两章中，我深入分析了漏洞披露和恶意软件的数据和趋势。这两种类型的威胁不断被攻击者利用，试图危害世界各地的组织和消费者。随后，这些威胁所代表的风险由企业主动管理。但是，攻击者提供武器的方式是多种多样的，无论是利用漏洞还是为攻击者提供非法后门的恶意软件。

在这一章中，我们将看看攻击者用来攻击受害者的一些方法；理解这些与理解漏洞和恶意软件是如何演变的一样重要。

到目前为止，我们已经研究过的威胁有可能使攻击者危及应用、客户端、服务器、消费者和物联网设备、路由和交换设备以及企业所依赖的其他系统。无论这些攻击的目的是伤害大量的组织和消费者，还是针对特定的组织，攻击者都将使用网络安全通常的嫌疑人来初步危及 IT 系统。提醒一下，这些包括:

• 未修补的漏洞
• 安全错误配置
• 脆弱、泄露和被盗的凭据
• 社会工程
• 内部威胁

攻击者很少坐在他们试图入侵的系统的键盘前。绝大多数攻击者都是通过网络进行远程攻击，而不是通过互联网。互联网让小企业与大型跨国公司竞争，同样，它也让个人和小团体攻击大量消费者和世界上最大的组织。

现在让我们看一个典型的攻击模式，作为攻击者如何学会利用互联网的例子。

典型的攻击

在这个虚构的例子中，攻击者实际位于澳大利亚，而攻击的目标受害者总部位于美国的。攻击者的动机是利润，他们试图从他们的目标组织那里窃取有价值的信息并出售。

目标受害者有一辆 CISO 和一个安全小组。攻击者对受害者周边的持续漏洞扫描显示，他们精通漏洞管理，因为面向互联网的系统上的漏洞被快速有效地修补。在对受害者组织做了一些研究后，攻击者决定使用多管齐下的方法来初步危害该组织。

攻击者总是以这样或那样的方式成功，利用社会工程欺骗非技术业务人员做出可以利用的糟糕的信任决策。在这种情况下，不良信任决策是指受害者决定打开电子邮件中的附件或单击 URL，降低系统的安全设置，打开防火墙端口，或采取其他使攻击者更容易受害的操作。在这种情况下，攻击者将使用两种不同的策略来尝试破坏一些信息工作者的笔记本电脑，目标是访问他们的电子邮件收件箱。这两种策略都将利用电子邮件作为传递机制，并依靠社会工程和草率的安全缓解措施来取得成功。

第一种策略是使用公司网站向攻击者确定为在公司财务部门工作的特定个人发送钓鱼电子邮件。很快就获得了攻击者想要攻击的人的电子邮件地址列表。网络钓鱼电子邮件的目的是欺骗一个或多个目标信息工作者共享他们的 Office 365 凭据，然后攻击者可以使用这些凭据访问他们的电子邮件收件箱。

第二种策略是向相同的信息工作者发送包含恶意链接的电子邮件，这些链接指向一个恶意下载站点。如果信息工作者上钩并点击该链接，他们的 web 浏览器会将他们带到一个恶意网页，这将使他们面临浏览器和操作系统漏洞的多次利用。如果他们的客户端没有完全安装补丁，攻击者很有可能能够在他们的系统上安装后门，这可能允许他们获得访问受害者笔记本电脑的特权，并最终访问他们的电子邮件。

当然，如果攻击者真的获得了访问受害者笔记本电脑的特权，那么除了电子邮件之外，他们或许还能收获各种其他有价值的信息。示例包括本地存储在笔记本电脑上的文档、联系人列表、社交网络帐户的访问权限、软件许可证密钥、费用和信用卡信息、银行信息和凭据、可用于身份盗窃的个人信息等。如果笔记本电脑被动地由 IT 部门管理，它可能会被用来存储非法资料，加入僵尸网络，并用于攻击其他目标。例如，它可能被用于垃圾邮件和网络钓鱼活动、托管驱动下载攻击、托管恶意软件、广告点击欺诈、DDoS 攻击或攻击者决定进行的任何“项目工作”。

此外，攻击者可以出售或交易他们窃取的任何信息，包括帐户凭证。他们向其提供该信息的罪犯可能位于更靠近受害者的位置，并且更积极地利用该信息来最大化他们的利润和/或对受害者的损害。

这种类型的攻击太典型了。它涉及五个网络安全常见疑点中的三个，包括社会工程、未打补丁的漏洞和被盗凭证。现在让我们仔细看看这些方法，它们是如何工作的，它们到底有多受欢迎。为此，我将利用行业领导者多年来发布的威胁情报和数据。让我们先来看看网络钓鱼。

网络钓鱼攻击

社会工程是世界各地攻击者的主要策略。网络钓鱼是两个网络安全常见嫌疑人的交集；社会工程和弱密码、泄露密码和被盗密码。历史上许多最大的数据泄露都始于网络钓鱼攻击。简而言之，网络钓鱼是一种社会工程策略，攻击者试图诱骗受害者与他们共享机密信息。攻击者使用电子邮件、网站和广告诱使人们披露账户凭证、个人详细信息、信用卡和金融账户信息等。受害者披露的信息可能被用于非法访问在线账户、进行非法金融交易、窃取受害者的身份等目的。

一些攻击者为他们的网络钓鱼攻击撒下一张不加选择的大网，以诱捕尽可能多的人，从而增加成功的几率。一些攻击者将他们的网络钓鱼活动集中在一个行业或一组目标上。鱼叉式网络钓鱼用于将攻击集中在个人身上，可能是因为他们可以获得攻击者想要的信息或财富。

通常，在攻击者成功侵入信息工作者的系统后，受害者自己的联系人列表被用来攻击他们的朋友、家人、同事和业务联系人。例如，一旦受害者的社交网络帐户遭到破坏，攻击者就可以使用受害者的帐户与受害者的社交网络进行通信。由于通信似乎来自可信来源，受害者社交网络中的其他人很容易被通过受害者帐户共享的网络钓鱼电子邮件和网站所欺骗。攻击者并不局限于攻击其目标的公司帐户，他们还会设法破坏信息工作者的个人系统，因为他们知道这些系统通常可以远程访问公司资产。安装键盘记录器或其他类型的恶意软件来自动从受害者的系统中收集数据是很常见的。

网络钓鱼攻击可能涉及多个技术组件，包括受害者的客户端和用于攻击受害者的基础设施。例如，发送网络钓鱼邮件的电子邮件服务器或托管网络钓鱼页面的 web 服务器。通常，这些电子邮件服务器和 web 服务器托管在合法的系统上，这些系统已经被入侵，并随后被用于网络钓鱼活动。僵尸网络是被非法远程控制的潜在大型受损系统网络，通常用于网络钓鱼活动。将受损系统用于网络钓鱼活动基础设施可降低攻击者的成本，保护他们的身份，并帮助他们达到其他方式无法达到的规模。网络钓鱼工具包的存在使得几乎任何人都可以轻松发起网络钓鱼攻击。

让我们仔细看看钓鱼网站托管在哪里，它们的受害者在哪里。首先，认识到这个问题的严重性很重要。就数量而言，网络钓鱼和木马(正如我在第三章、威胁格局的演变-恶意软件中讨论的)是攻击者使用最多的战术。到底有多少钓鱼网站？

网络钓鱼网站的良好数据来源是互联网搜索引擎和网络浏览器。毕竟，谷歌和必应一直在为互联网上的数十亿网页编制索引，这样搜索就能产生快速、准确的结果。此外，数百万人使用谷歌 Chrome 和微软网络浏览器上网。浏览器允许用户报告可疑或完全不安全的网站。谷歌和微软在他们的浏览器和搜索引擎中使用功能来寻找钓鱼网站、恶意软件托管网站和其他类型的恶意网站。然后，他们通过将不断更新的恶意 URL 和 IP 地址列表集成到他们的产品和服务中，帮助他们的产品和服务用户避开他们发现的恶意网站。除其他服务外，浏览器和搜索引擎都可以在用户试图访问已知的恶意网站(如钓鱼网站)时发出警告。这就产生了谷歌和微软定期发布的恶意网站数据。

例如，谷歌寻找恶意网站的技术被称为安全浏览。谷歌是这样描述它的:

“谷歌的安全浏览技术每天检查数十亿个网址，寻找不安全的网站。每天，我们都会发现数以千计的新的不安全网站，其中许多都是已经被入侵的合法网站。当我们检测到不安全的网站时，我们会在谷歌搜索和网络浏览器中显示警告。您可以搜索查看当前访问某个网站是否有危险。

—(谷歌，2020 年)

2019 年，谷歌的安全浏览平均每周检测到 32，677 个新的钓鱼网站。该体积反映在图 4.1 中。可能影响新网络钓鱼网站数量的因素包括采用社会工程策略的人数、网络钓鱼工具和其他有助于攻击的自动化工具(如僵尸网络)的可用性、持续的低运营成本以及可接受的成功率。

图 4.1:2019 年谷歌安全浏览按周检测到的钓鱼网站数量(谷歌，2020)。Google 和 Google 徽标是 Google LLC 的注册商标，经许可使用。

谷歌、微软和许多其他组织都试图让消费者和企业更容易报告钓鱼网站。当报告或检测到网络钓鱼网站时，会采用法律和技术流程来关闭这些恶意网站。

根据谷歌公布的数据(谷歌，2020)，在截至 2015 年第四季度的六年半时间里，这一过程似乎将互联网上的钓鱼网站数量控制在 20 万个以下。然后在 2015 年第四季度，钓鱼网站的数量开始增长，并且一直没有消退。2020 年 4 月，谷歌报告称，安全浏览已经检测到超过 180 万个钓鱼网站(谷歌，2020)。从 2015 年 8 月到 2020 年 4 月，互联网上的钓鱼网站数量增长了近 1000%。这种急剧增长在很大程度上体现在图 4.2 中，该图提供了从 2017 年第一季度(17 年第一季度)到 2020 年第一季度(2010 年第一季度)之间每个季度钓鱼网站的平均数量。

图 4.2:2017-2020 年(Google，2020)各季度 Google 安全浏览识别的钓鱼网站平均数量。Google 和 Google 徽标是 Google LLC 的注册商标，经许可使用。

随着时间的推移，网络钓鱼电子邮件的数量也在增加。钓鱼邮件的一个重要数据来源是大规模电子邮件服务，如微软 Office 365 和谷歌 Gmail 等，它们接收和过滤全球企业客户的钓鱼请求。微软报告称，2018 年发送给使用 Office 365 的收件人的钓鱼电子邮件数量大幅增加:

“微软每月在 Office 365 中分析和扫描超过 4700 亿封电子邮件，以发现网络钓鱼和恶意软件，这为分析师提供了关于攻击者趋势和技术的大量见解。2018 年 1 月至 12 月，网络钓鱼邮件的入站电子邮件份额增加了 250%。”

—(微软公司，2019 年)

微软表示，2018 年钓鱼邮件的高峰期是 11 月，其中 0.55%的入站邮件是钓鱼邮件；这相当于一个月内有 25.85 亿封钓鱼电子邮件(微软公司，2019 年)。

2019 年 7 月似乎是 2018/2019 时间段内水平最高的月份，在微软全球分析的电子邮件总量中，检测到 0.85%的钓鱼电子邮件。假设同样的每月 4700 亿电子邮件消息量，这相当于一个月 39.95 亿个网络钓鱼电子邮件消息。当然，还有许多其他内部和在线电子邮件服务会收到大量网络钓鱼电子邮件，但这些数字中并未包含这些内容。

例如，2019 年 8 月，谷歌透露，它每天阻止 1 亿封钓鱼邮件:

“谷歌每天拦截的大约 1 亿封网络钓鱼邮件分为三大类:针对不同个人的高针对性但低数量的鱼叉式网络钓鱼，“仅针对几十人的精品网络钓鱼”，以及针对成千上万人的自动化批量网络钓鱼。”

—(佩戈罗，2019 年)

平均每月大约有 30 亿封网络钓鱼邮件，与微软大致相当。网络钓鱼电子邮件的数量和活跃的网络钓鱼网站的数量使网络钓鱼攻击者最广泛使用的战术。大多数网络钓鱼电子邮件都包含一个指向网络钓鱼网站的超链接。“超过 75%的网络钓鱼邮件包含指向网络钓鱼网站的恶意网址.”(微软公司，2018)。网络钓鱼电子邮件通常试图利用流行的体育和社交活动、危机情况、冲突、销售和机会的提供，以及过期账单、银行账户问题和包裹运输故障的索赔，来利用受害者的情绪并制造一种紧迫感。网络钓鱼者会利用任何话题来吸引潜在受害者的注意力，迫使他们采取行动，最终导致错误的信任决策和信息泄露。

网络钓鱼攻击的常见目标包括在线服务、金融网站、社交网站、电子商务网站等等。反网络钓鱼工作组 2019 年第四季度的网络钓鱼活动趋势报告表明，SaaS/网络邮件(30.80%)、支付(19.80%)和金融机构(19.40%)是本季度最常受到网络钓鱼攻击的目标行业(2019 年第四季度网络钓鱼活动趋势报告，2020 年)。

同样值得注意的是，报告指出:

“针对社交媒体目标的网络钓鱼在今年每个季度都有所增长，在 2019 年期间翻了一番。”

—(网络钓鱼活动趋势报告，2019 年第四季度，2020 年)

钓鱼网站可以托管在世界上的任何地方。一些位置的钓鱼网站比其他位置更集中。表 4.1 显示了微软安全情报报告(SIR)多卷(v19、v21、v22、v23)中公布的钓鱼网站高于平均浓度的位置，可在 www.microsoft/sir下载。反映的时间段包括 2015 年第一季度(1Q15)、2015 年上半年(1H15)、2016 年上半年(1H16)、2017 年 3 月、2017 年下半年(2H17)。

表 4.1:2015 -2017 年高于平均浓度的钓鱼网站位置(微软公司，2015-2017 年)

你会注意到有些地方不止一次出现在这个列表上，比如保加利亚、印度尼西亚、南非和乌克兰。2015 年第一季度，与全球平均水平差距最大的是保加利亚，该国的钓鱼网站数量是平均水平的近 20 倍。

回想一下从第三章、到 2017 年下半年，印尼的恶意软件感染率几乎是全球平均水平的三倍。在某些情况下，大量被入侵的系统可以部分解释为什么印度尼西亚有这么多钓鱼网站。保加利亚和乌克兰也有类似的情况，尽管他们在那段时间没有印度尼西亚那么高的恶意软件感染率和遭遇率。

但是，并不总是这样，有更多被入侵系统的位置也有更高水平的恶意网站。事实上，这有太多的例外，不能称之为规则。例如，以表 4.1 中 2016 年上半年(1H16)钓鱼网站数量最多的地点为例。这些地方包括乌克兰、南非和澳洲。在此期间，南非的恶意软件感染率(CCM)是全球平均水平的近两倍；每 1，000 台互联网主机中钓鱼网站的数量也几乎是全球平均水平的两倍。然而，乌克兰和澳大利亚的数字与南非不一致。他们都拥有高于平均水平的钓鱼网站，但恶意软件感染率低于平均水平:

图 4.3:比较每 1，000 台互联网主机中钓鱼网站数量最多的位置的恶意软件感染率(微软公司，2016 年)

反钓鱼工作组发布的 2019 年第四季度的更多数据发现，最多钓鱼网站的国家代码顶级域名(ccTLD)包括巴西、英国、俄罗斯和印度(钓鱼活动趋势报告 2019 年第四季度，2020 年)。有趣的是，根据微软公布的数据，巴西和俄罗斯的恶意软件遭遇率仅比 2019 年第四季度的全球平均水平高 1%或 2%，英国远低于平均水平(微软公司，2020 年)。但是，我们没有这一时期的恶意软件感染率数据，因此很难对这些位置中托管钓鱼网站的受损系统数量得出结论。从历史上看，巴西和印度的恶意软件感染率相对较高，而俄罗斯和英国则没有。

显然，要得出真正的结论，还需要更多的数据。但是看起来网络钓鱼者并不依赖于大量受损系统的可用性来建立相对大量的网络钓鱼站点。

无论攻击者在哪里托管他们的网络钓鱼操作，组织都希望减少这些攻击。接下来，让我们讨论一些企业可以用来管理网络钓鱼攻击的缓解措施。

减少网络钓鱼

钓鱼网站过去比现在更容易被用户识别。如果一个网页要求您提供凭据或机密信息，但没有使用 HTTPS 保护传输中的数据(web 浏览器中缺少合法的锁图标表明了这一点)，那么您为什么要在该页面中键入任何内容呢？但是这不再是识别钓鱼网站的有效方法，正如反钓鱼工作组在他们的研究中发现的:

“但到 2019 年底，74%的钓鱼网站都在使用 TLS/SSL”

—(网络钓鱼活动趋势报告，2019 年第四季度，2020 年)

减轻网络钓鱼攻击既容易又困难。例如，通过强制要求使用多因素认证 ( MFA )可以在很大程度上缓解试图窃取凭证的网络钓鱼攻击。根据微软进行的研究:

“你的密码不重要，但 MFA 重要！根据我们的研究，如果您使用 MFA，您的帐户受到危害的可能性会降低 99.9%以上。”

-(2019 年哭泣)

要求第二个身份验证因素可以大大降低与弱密码、泄露密码和被盗密码相关的风险。如果攻击者在网络钓鱼攻击中成功诱骗用户公开他们的凭据，但访问帐户需要另一个因素，如物理访问令牌、座机或移动电话，则凭据本身不会让攻击者访问帐户。当然，这并不能阻止攻击者试图在数百个在线金融和电子商务网站上使用这些窃取的凭据，押注用户多次使用相同凭据的可能性；他们的脚本在几秒钟内就可以获得泄露和被盗的凭据。跨帐户重复使用相同的密码仍然太常见，但可以通过在任何地方利用 MFA 来大大减轻这种情况。

但是正如我在前面的章节中提到的，MFA 并不是到处都可用，特别是在有几十年遗留应用程序的企业环境中。即使 MFA 可用，接受它的消费者和企业比例也低得惊人。CISOs 和安全团队应该在任何地方大力支持 MFA，因为它非常有效。

还要记住，至少高级管理人员应该在任何地方都使用 MFA，并且应该是最后一个不受 MFA 政策约束的人；毕竟，他们是商业邮件泄露和其他社会工程攻击的主要目标。让高管们过得更轻松的方法是，在减轻对他们的攻击的安全策略和控制上给他们例外，这是不明智的，实际上是给攻击者的礼物。

我见过的一个有效工具是风险接受信，它被用于高管要求安全策略的例外情况。一份风险接受函或风险确认函记录了与安全政策例外相关的风险已向管理层解释，他们理解这些风险，并代表整个组织接受这些风险。

这些风险接受书应定期由 CISO、高级管理人员以及潜在的董事会进行审查，以确保系统性长期风险没有被不当接受。当面对这些信件时，想要安全策略例外的管理人员通常会在最后一刻暂停，一旦他们有时间思考对他们的组织和职业生涯的潜在后果。最终，许多这样的高管谨慎地决定不要求安全策略例外。

当然，网络钓鱼不仅限于凭证盗窃。攻击者使用网络钓鱼来欺骗人们披露他们本来不会共享的信息。MFA 不能缓解这些类型的攻击。在这些情况下，最好的缓解方法就是教育。培训信息工作者识别潜在的网络钓鱼攻击和其他社会工程策略并非万无一失，但可能非常有效。一些组织干脆拒绝批准旨在培训其信息工作者识别网络钓鱼攻击的网络钓鱼练习。这些组织的管理层在这些决策上对他们的员工不利；毕竟，这种决策的唯一受益者是攻击者，他们以从未接受过社会工程培训的信息工作者为猎物。

面对不支持这种类型培训的管理团队，CISOs 拥有的工具之一是风险管理。根据我的经验，为管理团队量化风险的首席信息安全官有更大的成功机会；这有助于把他们的努力放在上下文中，即使没有什么坏事发生。记住风险是概率和影响的结合。事实上，历史上大多数最大、最引人注目的数据泄露都始于网络钓鱼电子邮件，这有助于传达风险。我在本章中提供的钓鱼邮件的数量和钓鱼网站的数量也是如此。数据告诉我们，每天至少有 1 亿封网络钓鱼电子邮件被发送，总数可能是这个数字的倍数。此外，每周(至少)有数万个新的活跃网络钓鱼网站上线。结合您自己组织的网络钓鱼数据，量化信息工作者收到网络钓鱼电子邮件和访问受损网站的概率、数量和频率。

然后制定一些量化的影响评估，从没有影响(因为网络钓鱼电子邮件在发送给信息工作者之前已被过滤),到成功的妥协(涉及数据泄露和随后的声誉损害以及组织的法律责任)。这些数字可以使培训人们识别社会工程攻击的决定不那么抽象，更容易与管理团队已经管理的其他风险进行比较。

还要考虑一下你组织的信息工作者是否真的需要无拘无束地访问互联网。他们真的需要访问位于最多钓鱼网站的地方的网站吗？允许一个组织中的每个人在互联网上到处走动，真的有合法的业务需求吗？的。com 域通常比任何其他通用顶级域有更多的钓鱼网站–如果组织中的每个人都不能访问国家代码顶级域中的任何网站，这还不够吗？国家代码顶级域中的钓鱼网站数量通常是全球平均水平的两到三倍。将这些域中具有合法商业目的的站点列入白名单，并阻止从公司管理的资产到其他站点的连接，这似乎可以减少访问国家代码顶级域中托管的网络钓鱼站点的机会。采用主动管理的网页过滤解决方案可以使这种缓解相对容易。

现在让我们来看看攻击者在我们的典型攻击示例中使用的第二种策略，即驱动下载攻击。

偷渡式下载攻击

虽然网络钓鱼攻击处于社会工程和脆弱、泄露和被盗密码的交叉点,但偷渡式下载攻击处于社会工程和未打补丁的漏洞的交叉点。驾车攻击通常是由攻击者使用社会工程来欺骗用户访问恶意网站。他们可以通过几种方式做到这一点，包括通过电子邮件，在线广告，在网页和社交网络帖子的评论部分放置恶意网站的链接，以及许多其他策略。有时，攻击者危害一个合法的网站，并利用它来主持偷渡式下载攻击；网站越受欢迎，对攻击者越有利，因为这增加了他们成功危害尽可能多的系统的机会。

让恶意网站的潜在受害者处于攻击者的控制之下是攻击的第一步。下一步是利用受害者系统上未打补丁的漏洞。为此，攻击者将试图运行嵌入了 URL 的脚本，或者他们将使用内嵌框架 ( IFrame )来加载另一个用户不知道的 HTML 文档页面。Iframes 有合法的用途，这使得区分好的和恶意的 Iframes 变得很复杂。攻击者会在他们的恶意网页上放置像素大小的 IFrames，这样用户就看不到它们了。当加载这些 HTML 文档时，它们可以运行脚本来检测受害者的操作系统和浏览器版本，选择和下载这些版本的常见漏洞的相应利用，并最终下载和安装其他恶意软件，使攻击者非法控制受损系统。这种恶意的 IFrames 可以被放置在合法网站的网页上。这意味着使用未完全修补的系统访问受信任的网站，可能会导致系统受损，攻击者可以远程控制该系统，使用勒索软件使其瘫痪，等等。

如图 4.4 所示，在 2012 年 7 月至 2020 年 1 月期间，互联网上发现的驾车下载页面数量最多的是在 2013 年，在微软必应搜索引擎索引的每 1000 个网址中发现超过一个驾车下载页面。然而，更最近，2018 年和 2019 年，全球平均每 1000 个网址中分别有 0.09 个和 0.08 个恶意网站。这是 2013 年和 2019 年之间驾车下载网站数量的 173%的差异。图 4.4 中的数据整理自微软的安全情报报告和交互式微软安全情报报告(www.microsoft/securityinsights/Driveby)。

图 4.4:2012 年至 2020 年间微软 Bing 搜索引擎索引的每 1，000 个 URL 的浏览下载页面，发布于《微软安全情报报告》第 14 卷至第 21 卷(微软公司，2012 年至 2017 年)(微软公司，2020 年)

驱动下载攻击中使用的组件可以是分布式的，由几个不同的远程系统托管。运行的脚本可以托管在不同的“重定向器”服务器上，用于利用未打补丁的漏洞的攻击可以托管在单独的攻击服务器上，最终下载到受害者系统的恶意软件可以托管在单独的恶意软件托管服务器上。以这种方式分发路过式下载攻击的组件为攻击者提供了几个优势。它使攻击者更加敏捷，能够快速调整他们的攻击。这有助于他们优化攻击，并使其更难找到和拆除攻击者使用的所有组件。

随后，用于托管偷渡式下载攻击组件的基础架构分布在世界各地。表 4.2 和表 4.3 分别提供了 2018 年和 2019 年微软必应搜索引擎索引的每 1000 个网址中驾车下载网址数量最高的地点(微软公司，2020)。

在这些地区，路过式下载页面的集中程度明显高于全球平均水平:

表 4.2:2018 年驾车下载网站数量最多的地点(微软公司，2020 年)

表 4.3:2019 年驾车下载网站数量最多的地点(微软公司，2020 年)

2019 年阿曼每 1000 个网址的下载页面数量不是一个错别字。根据微软公布的数据，在阿曼，每 1000 个网址中有 687.3 个路过下载网址，平均跨越 2019 年的 12 个月(微软公司，2020)。这比世界平均水平高出 8591.25 倍。

2019 年 11 月，微软报告称，必应在阿曼找到的每 1000 个网址中，就有 1251.94 个路过下载网址(微软公司，2020)。这表明当时在这个国家代码顶级域名 ( ccTLD )中有非常高的“路过式”下载 URL 集中度。

尽管这可能是数据中的一个简单错误，但可能有另一个不那么平庸的解释。阿曼的 ccTLD 为. om。攻击者可能会注册并使用该 ccTLD 中的域名来捕捉键入.om而非的 web 浏览器用户。考虑到人们经常会犯输入google.om而不是google、输入apple.om而不是apple这样的小错误，这个假设似乎是合理的。每天有多少人会犯这样的错误？这似乎足以引起利用驾车下载网站的攻击者的注意。这是一些网络安全研究人员在 2016 年报告的内容。近三年后的 2019 年最后一个季度，这种战术还会被广泛使用吗？

据 Endgame 安全研究人员称，中东国家阿曼的顶级域名(。om)正被域名抢注者利用，他们已经在。美国公司和服务的 om 后缀，如花旗银行、戴尔、Macys 和 Gmail。Endgame 上周发现了这一点，并报告称有几个团体在发起域名抢注运动。

—(2016 年春天)

减轻偷渡式下载攻击

这些攻击往往依靠未打补丁的漏洞来获得成功。攻击者利用库进行他们的偷渡式下载攻击。研究表明，攻击者在单个路过式 URL 上利用了 1 到 20 次攻击。如果这些漏洞试图利用的潜在漏洞被修补，这些攻击就不会成功。因此，一个运行良好的漏洞管理程序将减轻驱动下载攻击。

此外，防止暴露于恶意网站(如偷渡式下载网站)也很有帮助。考虑允许信息工作者和系统管理员自由访问互联网是否必要，是否值得冒这个风险。为什么他们需要访问？例如，om ccTLD 或任何其他可能没有合法商业理由访问的 ccTLD 域？利用主动管理的网络过滤服务会有所帮助；阻止没有明确商业目的的公司资产访问部分互联网也会有所帮助。

不要允许系统管理员使用 web 浏览器从处理任何事情的服务器或重要的系统访问互联网。安全访问工作站或特权访问工作站应用于服务器管理，以限制重要系统的风险。在这种系统上浏览公共互联网上的网站应该被严格禁止，并通过技术控制来防止。

运行来自可信反恶意软件供应商的最新反恶意软件也是一种有效的缓解措施。驱动下载攻击通常会导致恶意软件被下载到受害者的系统中。如果反恶意软件软件检测到利用企图并阻止这种恶意软件的下载和安装，就可以避免潜在的灾难。

我提到过，攻击者通常会将驱动下载攻击的组件分布在位于世界各地的不同基础设施中。现在让我们仔细看看恶意软件分发站点，它们可以被用作驱动下载攻击的一部分，或者被用来向受害者发送采用其他策略的恶意软件。

恶意软件托管网站

我们已经看到，恶意网站(如钓鱼网站和驾车下载网站)的主要数据来源是互联网搜索引擎和流行的网络浏览器。这些数据来源还可以让我们一窥互联网上的恶意软件托管网站。我说是一瞥，因为事情可能会变化得非常快，因为许多攻击者已经变得善于掩盖他们的踪迹，并很难找到他们用于攻击的基础设施。记住，没有人是全知的。

随着时间的推移，我们可以将一系列数据快照整合在一起，让我们对威胁形势有一个初步了解。通常，在研究人员能够收集、分析、理解和处理这些数据之前，情况已经发生了变化。

这就是机器学习 ( ML )和人工智能 ( AI )能够并且正在提供帮助的地方——搅动大量复杂的数据集，比人类手动完成这项工作快得多。当然，攻击者在过去几年里一直忙于寻找方法来击败利用 ML 和 AI 的系统(微软 Defender ATP 研究团队，2018 年)。

但让我们先来看看谷歌在恶意软件托管网站上公布的一些数据。他们对恶意软件托管网站有独特的看法，因为他们运营着世界上最受欢迎的互联网搜索引擎。谷歌在他们通过安全浏览服务找到的恶意软件托管网站上发布数据。他们对此的描述如下:

“恶意软件可以隐藏在许多地方，即使是专家也很难判断他们的网站是否被感染。为了找到被入侵的网站，我们扫描网络并使用虚拟机来分析网站，我们发现有信号表明网站已经被入侵。”

—(谷歌，2020 年)

谷歌提供了从 2007 年 1 月至今的“攻击网站”数据。从这些数据来看，他们发现的托管恶意软件最多的攻击网站是在 2012 年 11 月。2012 年 11 月 11 日那一周，谷歌的安全浏览服务在互联网上发现了 6192 个攻击网站(谷歌，2020)。另一个值得注意的高峰是从 2013 年 9 月 15 日开始的一周，当时发现了 5，282 个攻击网站(Google，2020)。这些相对较大的数字在最近有所减少。2018 年至 2019 年期间，安全浏览识别的最高攻击网站数量为 379 个，2020 年 1 月至 4 月期间，30 个攻击网站似乎是任何单周识别的最高数量(谷歌，2020 年)。像驾车下载网站一样，恶意软件托管网站的数量似乎已经随着时间的推移而减少。

谷歌还提供了对这些恶意软件托管网站所在位置的洞察。在截至 2020 年 4 月 8 日的季度中，恶意软件托管网站最多的地区包括东亚某大国、波兰和匈牙利。

所有被扫描的网站中有 2%托管恶意软件(Google，2020)。被扫描网站中有 1%托管恶意软件的地区包括澳大利亚、印度尼西亚、泰国、越南、印度、南非、土耳其、保加利亚、罗马尼亚、乌克兰、捷克共和国、斯洛伐克、奥地利、意大利、法国、葡萄牙、瑞典、巴西和阿根廷(Google，2020)。在此期间，美国、英国、加拿大、俄罗斯和其他国家的这一比例都不到 1%(Google，2020)。

微软在多卷《微软安全情报报告》中发布的恶意软件托管网站数据从不同的角度提供了不同的快照。微软的数据包括他们提供的各种版本的网络浏览器中来自 SmartScreen 过滤器的数据。根据该数据，2016 年上半年发现的恶意软件托管站点数量显著增加，如图 4.5 中的图所示。这些是现有的最新数字:

图 4.5:微软安全情报报告第 13–23 卷(微软公司，2012–2017)中报告的每 1，000 台互联网主机的恶意软件分布站点

恶意软件分发网站的另一个数据来源是乌尔豪斯(【https://urlhaus.abuse.ch/statistics/】)。URLhaus 收集恶意软件托管网站的网址，并与谷歌安全浏览等分享。根据他们的网站，他们的目的如下:

“URLhaus 是由 abuse.ch 运营的一个项目，项目的目的是收集、跟踪和共享恶意软件 URL，帮助网络管理员和安全分析师保护他们的网络和客户免受网络威胁。”

—(乌尔豪斯，2020 年)

根据 URLhaus 公布的数据，在 2020 年 4 月 10 日至 2020 年 5 月 7 日期间，每天都有数百个，有时数千个独特的恶意软件托管 URL 被提交(URLhaus，2020)。美国和东亚某大国的托管网络最常出现在他们的顶级恶意软件托管网络列表中(URLhaus，2020)。

我们可以从数据中得出的一个结论是，恶意软件托管网站比钓鱼网站更常见。例如，根据微软公布的数据，在 2015 年至 2017 年期间，平均每 1000 台互联网主机有 5.0 至 9.1 个钓鱼网站，如表 4.1 所示；如图 4.5 中的数据所示，2015 年至 2017 年间，每 1000 台互联网主机的恶意软件托管站点的平均数量为 20.1 个。

随后，侧重于减轻网络钓鱼攻击，但不包括偷渡式下载攻击和恶意软件分发站点的网络安全策略可能会遗漏对更高可能性威胁的缓解措施。现在，让我们考虑一些可以减轻恶意软件传播的方法。

减轻恶意软件的传播

合法网站受到威胁，然后被用来传播恶意软件，这可能会给消费者和组织带来许多不良后果。因此，运营网站的组织了解并关注网络安全基础知识非常重要。回想一下第一章、成功的网络安全策略的要素，网络安全基础是网络安全策略的一部分，其重点是减少网络安全常见的疑点。网络安全的常见嫌疑包括未打补丁的漏洞、安全错误配置、薄弱、泄露和被盗的凭证、内部威胁和社会工程。管理网络安全基础对于防止网站成为恶意软件分发网站至关重要。每个在互联网上建立网站的人都必须承担这个责任。

搜索因特网寻找恶意软件分发站点的厂商和组织通常会联系他们发现分发恶意软件的站点的网站管理员。根据谷歌公布的关于他们通知活动的数据，他们在 2020 年 1 月 12 日这一周通知的网站管理员的平均响应时间是 20 天；这是自 2014 年 7 月 20 日(谷歌，2020 年)那一周以来的最低平均响应时间。数据显示，典型的平均响应时间为 60 或 90 天(Google，2020)。

鉴于这些数据，行动的呼吁是明确的。如果您的组织在互联网上运营网站，您的组织有责任关注滥用报告。审查公司资产的滥用报告不是 IT 人员应该在业余时间做的事情；它应该是每个企业治理过程的一部分。

在互联网上运营一个网站的利害关系在于积极管理网络安全基础知识，并在一段负责任的时间内对滥用报告进行监控和采取行动。如果一个组织不愿意做这些事情，它应该帮大家一个忙，关闭它的网站。

在联网系统上运行可信供应商提供的当前反恶意软件解决方案也是一种有效的缓解方法。但是请记住，一旦攻击者成功地破坏了系统，他们通常会试图破坏反恶意软件解决方案。反恶意软件供应商知道这一点，并使攻击者更难做到这一点。但是，一旦攻击者获得了系统或系统管理员的访问权限，他们就拥有了该系统，这使得防止系统安全防御受损变得更加困难。出于这个原因，我喜欢定期进行离线反病毒扫描。例如，微软提供 Windows Defender Offline，它将扫描系统，而不使用活动操作系统的内核。Windows Defender Offline 被烘焙到 Windows 10 中，可以通过从 DVD 或 USB 驱动器运行的下载来用于旧版本的 Windows(微软公司，2020 年)。

当然，对于使用云的组织来说，他们可以简单地每隔几个小时关闭系统并自动重建它们。像这样的短命系统给攻击者提供了很少的时间来利用受损的系统。

然而，即使在短暂的环境中，运行良好的漏洞管理程序和反恶意软件解决方案也是有用的。我将在第八章、云——安全和合规性的现代方法中进一步讨论这一点。

但是现在，让我们看看本章开始时典型攻击模式的最后阶段，一些典型的攻击后活动。

妥协后——僵尸网络和 DDoS 攻击

一旦系统最初被网络安全的常见嫌疑人之一(如我们在本章中讨论的未打补丁的漏洞和/或社会工程)攻破，任何有价值的信息都会从受害者的系统中被窃取，以供出售或交易。此时，攻击者完全控制了他们已经入侵的系统。很多时候，受害者的系统被招募到僵尸网络中，并被用来执行他们的运营商想要的任何非法项目，包括 DDoS 攻击。

关于僵尸网络，它们如何运作，以及它们通常参与的项目，有很多可以写的。事实上，整本书都致力于僵尸网络。我不会试图在这里重复这些。但我确实想简单提一下这个话题的几件事。

不言而喻，僵尸网络多年来已经获得了很多关注。当我在微软工作的时候，微软数字犯罪部门(T0)与执法部门和行业专家(T4)合作，瓦解了一些最大的僵尸网络。这项工作有助于大幅减少互联网上的垃圾邮件，并降低这些僵尸网络向其运营商提供的攻击能力。其中一些僵尸网络由数十万或数百万被入侵的系统组成，每天能够发送数百亿封垃圾邮件和网络钓鱼电子邮件。Rustock 和 Waledac 就是这种僵尸网络的两个例子。为了做到这一点，DCU 不得不将这个问题作为一个新的法律挑战来处理，他们寻求并获得了对这些僵尸网络所使用的域和物理基础设施的法律控制(Jones，2011)。

攻击者会从他们完全控制的系统中取走任何有价值的东西，包括缓存的凭据。多年来，在互联网上发现了大量泄露和被盗凭据的列表(Solomon，2017)。如果被入侵的系统或帐户已经过身份验证并授权访问环境中的其他系统，攻击者也将有可能访问和控制这些系统，从而加剧对组织的损害。

加快检测和恢复活动可以减少攻击者控制这些资产的时间，从而可能减少他们对其他受害者造成的损害，并可能减少与恢复和恢复正常运营相关的成本。威胁情报可以帮助组织识别与已知僵尸网络命令和控制基础设施通信的系统。攻击者知道这一点，并一直在公共网站托管和云环境中托管他们的一些基础设施，以努力在合法的网络流量中隐藏他们的操作。

僵尸网络多年来被用于的非法目的之一是分布式拒绝服务 ( DDoS )攻击。现代 DDoS 攻击使用复杂的技术用网络流量压倒他们的目标，从而剥夺了合法使用受害者托管的服务。

DDoS 攻击能有多大？迄今为止最大的有记录的攻击发生在 2018 年 2 月，当时攻击者对 GitHub 发起了攻击。据说这种 DDoS 攻击的峰值为每秒 1.35 太字节(TBps)，相当于每秒超过 1.26 亿个数据包(Kottler，2018)。这种攻击使用了一种新的方法，即滥用不安全的 memcached 实例。这种方法使攻击者能够将他们的攻击放大 51，000 倍；换句话说，攻击者每发送 1 个字节的网络流量，就有多达 51，000 个字节(51 KB)被发送到他们的目标。这使得攻击者能够通过大量的 UDP 流量来破坏 GitHub 的网络容量，从而中断了该网站近 10 分钟的网络连接。

历史书上的 DDoS 攻击也许不那么复杂，但更有趣，那就是 2007 年对爱沙尼亚关键基础设施的攻击。一些人把这次袭击归咎于俄罗斯(Anderson，2007)。这很有趣的原因是，也许它给了我们一个在未来网络战冲突中会发生什么的预览。同时发生的动态和在线攻击压倒了发动物理和逻辑战争的能力。但那是另一本书的主题！

当然，并不是所有的 DDoS 攻击都需要那么大或者创新才能有效。但是组织可以选择帮助他们减轻这种攻击。有许多供应商提供 DDoS 保护服务，其中一些包括 AWS Shield、Amazon CloudFront、Google Cloud Armor、Microsoft Azure DDoS Protection、Cloudflare、Akamai 等。除了保护服务，云还提供了可用于在 DDoS 攻击期间根据需要自动扩展基础设施的技术(亚马逊网络服务，2019 年 12 月)。

总而言之，关键是要关注网络安全基础，这样你的系统才不会成为僵尸网络的一部分，被用来攻击无数其他组织和消费者。正如我们将在第五章、中讨论的，网络安全策略、投资检测和响应能力将帮助组织最大限度地减少与僵尸网络相关的损失和成本，以及它们给互联网带来的灾难。

章节总结

本章主要讨论基于互联网的威胁。我们研究了网络钓鱼攻击、驾车下载攻击和恶意软件分发站点。如此多的攻击利用了社会工程学，CISOs 和安全团队必须花费时间和资源来缓解它。例如，每周都有数万个新的网络钓鱼站点连接到互联网，每个月都有数十亿封网络钓鱼电子邮件发送给潜在的受害者。

历史上托管高于平均水平的网络钓鱼站点的位置包括保加利亚、乌克兰和印度尼西亚。大多数网络钓鱼电子邮件包含一个指向网络钓鱼网站的链接(微软公司，2018 年)，大多数网络钓鱼网站利用 HTTPS (SSL/TLS)(网络钓鱼活动趋势报告，2019 年第四季度，2020 年)。启用 MFA 后，帐户被破坏的可能性几乎降低了 100%(Weinert，2019)。针对信息工作者的反社会工程培训也是一种有效的缓解方法。

偷渡式下载攻击利用未打补丁的漏洞在用户不知情的情况下安装恶意软件。2019-2020 年，驾车 URL 的数量从 2013 年的峰值大幅减少到目前的低水平。根据微软发布的数据，阿曼的 ccTLD 在 2019 年托管了比全球平均水平多 8591 倍的偷渡式下载网站(微软公司，2020 年)。这可能表明攻击者正在使用.om域攻击在域中键入错误 URL 的用户。运行良好的漏洞管理程序和运行来自可信供应商的最新反恶意软件可以有效地缓解偷渡式下载。

恶意软件托管网站在互联网上比钓鱼网站更常见。随后，侧重于减轻网络钓鱼攻击，但不包括偷渡式下载攻击和恶意软件分发站点的网络安全策略可能会遗漏对更高可能性威胁的缓解措施。

受到网络钓鱼攻击、偷渡式下载和其他恶意网站危害的系统最终可能会加入僵尸网络，并被用于攻击其他组织和消费者，包括参与 DDoS 攻击。

这就是我们对基于互联网的威胁的看法。接下来，在第五章、网络安全策略中，我们将研究组织可以用来缓解这些威胁的网络安全策略。

参考

1. 亚马逊网络服务(2019 年 12 月)。AWS DDoS 弹性最佳实践。从亚马逊网络服务检索:D1 . AWS static . com/whites/Security/DDoS _ White _ paper . pdf
2. 新泽西州安德森(2007 年 5 月 14 日)。针对爱沙尼亚的大规模 DDoS 攻击；俄罗斯指责。检索自 Ars Technica:Ars Technica . com/information-technology/2007/05/massive-DDOS-attacks-target-爱沙尼亚-俄国-被告/T5】
3. 谷歌(2020 年 5 月)。谷歌安全浏览。检索自谷歌透明报告:T3】https://Transparency Report . Google . com/safe-browsing/overview？不安全=数据集:0；系列:恶意软件、网络钓鱼；开始:1148194800000；end:1587279600000&Lu =不安全
4. 谷歌(2020 年 5 月)。安全浏览网站状态。从谷歌透明报告中检索:【https://transparencyreport.google/safe-browsing/search?】T3HL = enT5】
5. 谷歌(2020 年 5 月 9 日)。恶意软件源自何处。检索自谷歌透明报告:Transparency Report . Google . com/archive/safe-browsing/malware？autonomous _ scan _ history = systemId:18779；dataset:0&Lu = global _ malware&global _ malware = time:qT5】
6. 琼斯 j .(2011 年 3 月 17 日)。微软拿下 Rustock 僵尸网络。检索自微软:www . Microsoft . com/security/blog/2011/03/17/Microsoft-take-down-of-rustock-botnet/
7. 科特勒，s .(2018 年 3 月 1 日)。2 月 28 日 DDoS 事件报告。从 GitHub 博客中检索到:【https://github.blog/2018-03-01-ddos-incident-report/】
8. 微软公司(2012-2017 年)。微软安全情报报告。雷蒙德:微软公司。
9. 微软公司(2012-2017 年)。微软安全情报报告第 14–21 卷。雷蒙德:微软公司。
10. 微软公司(2015-2017)。微软安全情报报告第 19–23 卷。雷蒙德:微软公司。检索自:T3【www.microsoft/sir】T5
11. 微软公司(2016)。微软安全情报报告第 21 卷。雷蒙德:微软公司。检索自:T3】https://query . prod . CMS . rt . Microsoft . com/CMS/API/am/binary/re 2 gqwiT5】
12. 微软公司(2018)。微软安全情报报告第 23 卷。雷蒙德:微软公司。检索自:T3【https://query . prod . CMS . rt . Microsoft . com/CMS/API/am/binary/rwt 530T5】
13. 微软公司(2019)。微软安全情报报告第 24 卷。雷蒙德:微软公司。检索自:T3】https://info . Microsoft . com/ww-landing-M365-SIR-v 24-Report-ebook . html？lcid = en-usT5】
14. 微软公司(2020 年 5 月 8 日)。路过式下载页面。从微软检索到:【https://www.microsoft/securityinsights/Driveby】T3T5】
15. 微软公司(2020 年 5 月 15 日)。使用 Microsoft Defender Offline 帮助保护我的电脑。检索自微软:T3】https://support . Microsoft . com/en-us/help/17466/windows-defender-offline-help-protect-my-PCT5】
16. 微软公司(2020 年 5 月 8 日)。恶意软件遭遇率。从微软检索到:【https://www.microsoft/securityinsights/Malware】T3T5】
17. 微软防御者 ATP 研究团队(2018 年 8 月 9 日)。保护保护者:强化机器学习防御敌对攻击。检索自微软:www . Microsoft . com/security/blog/2018/08/09/protecting-the-protector-hardening-machine-learning-defenses-against-adversarial-attacks/
18. Pegoraro 河(2019 年 8 月 9 日)。我们不断受到钓鱼邮件的困扰，谷歌刚刚揭示了原因。检索自 Fast Company:www . Fast Company . com/90387855/we-keep-falling-for-phishing-email-and-Google-just-discovered-why
19. (2020) 网络钓鱼活动趋势报告 2019 年第四季度。反网络钓鱼工作组。检索自docs . apwg . org/reports/apwg _ trends _ report _ Q4 _ 2019 . pdf
20. h .所罗门(2017 年 12 月 11 日)。在黑暗网络上发现的 14 亿份被盗凭证的可搜索数据库。从加拿大 IT 世界检索:www . itworld Canada . com/article/searchable-database-of-1-40 亿-stocked-credentials-found-on-dark-web/399810
21. t .春天(2016 年 3 月 14 日)。域名抢注者瞄准 Mac 用户。‘om’域名骗局。检索自 Threatpost:Threatpost . com/typosquaters-target-apple-MAC-users-with-new-om-domain-scam/116768/T5】
22. 乌尔豪斯(2020 年 5 月 9 日)。关于。从乌尔豪斯检索到:T3【https://urlhaus.abuse.ch/about/】T5】
23. 乌尔豪斯(2020 年 5 月 9 日)。统计。从乌尔豪斯检索到:T3【https://urlhaus.abuse.ch/statistics/】T5】
24. a . weinert(2019 年 7 月 9 日)。你的 Pa $ $字不重要。检索自微软公司:tech community . Microsoft . com/T5/azure-active-directory-identity/your-pa-word-does-t-matter/ba-p/731984 #

本文标签： 网络安全恶意策略趋势软件