网络军备竞赛还在继续。如今,网络罪犯和网络间谍再次转移目标,他们成功避开大多数公司和政府机构经过多年研究开发出来的网络安全对策。面对操作系统的切实改进以及网络安全性的提升,网络攻击者锁定两个新的攻击目标,以便逃避防火墙、杀毒软件、甚至防入侵工具的监控。这两个新目标是:易被误导的用户和专门定制的应用软件。这是一个重大转变,因为网络攻击者过去只是将目标锁定于大众软件的漏洞和缺陷上。
情景1:一个中等规模但涉及敏感问题的联邦机构的首席信息安全官发现,他的电脑正在向位于中国的电脑发送数据。他就是今年“Top 20”(20大网络安全问题)的受害者之一,这是一种称为鱼叉式网络钓鱼攻击(spear-phishing)的新型网络攻击。一旦入侵成功,攻击者就能利用受害者的电脑进入其所在机构的系统,并为所欲为。
情景2:数百名高官和企业家因为访问了某个受到病毒感染的政治智囊团的网站,导致他们的电脑系统瘫痪。由于罪犯(或某国)在他们的电脑中嵌入了按键记录器,从而在他们登陆个人银行账户、股票交易账户以及雇主的电脑时,能够获取他们的用户名和密码,并将这些数据发送到国外的电脑中。从而导致银行存款丢失,股票账户金额损失,他们公司/组织的服务器处于危险之中,敏感数据被复制并发给外人。有些电脑被安装了后门,而且现在还在那里。
情景3:由于网站开发商在编制程序时的错误,导致一家医院的网站处于危险之中。敏感的病人病例记录被盗取。当攻击者确认他们得到这些数据之后,这家医院就不得不向他们支付勒索费,或者任由这些病例数据在互联网上肆意传播。
情景4:一个中学生访问了一个激活了其老版本的播放器的网站,她从来没有对这个播放器进行过更新。她只是访问了这个网站,其他什么都没做,当她打开网页时,播放器就开始自动播放。攻击者这时在她的电脑里嵌入按键记录器。然后她的父亲使用这台电脑登陆了银行账户。攻击者从而就获取了他的用户名和密码,并取走了账户上所有的钱(当然银行后来偿还了他的损失)。美国执法官员对这笔钱的去向进行追踪,最后发现这笔钱流入一个雇用人体炸弹暴徒的恐怖主义组织的账户。
所有这些情景都源自真实事件。为避免受害者感到尴尬,我们对事件细节进行了修改,将多个攻击组织在一起。现在,每天都有成千上万的此类网络安全事件发生,几千万台电脑曾受到攻击。
1
2
3
4
下一页>>
