1.1　当前的威胁形势

随着持续在线连接的普及和当今可用技术的进步，利用这些技术不同方面的威胁正在迅速演变。任何设备都容易受到攻击，随着物联网（Internet of Things，IoT）的发展，这成了现实。2016年10月，针对DNS服务器发起了一系列分布式拒绝服务（Distributed Denial-of-Service，DDoS）攻击，导致一些主要的Web服务（如GitHub、PayPal、Spotify、Twitter等）停止工作[1]。据SonicWall称，利用物联网设备的攻击呈指数级增长，2018年共检测到3270万次物联网攻击，其中的一次攻击是VPNFilter恶意软件。此恶意软件在物联网相关攻击期间被利用来感染路由器并捕获和渗漏数据。

这是可能发生的，因为世界各地有大量不安全的物联网设备。虽然使用物联网发动大规模网络攻击是新鲜事物，但这些设备中的漏洞并不新奇。事实上，它们的存在已经有很长一段时间了。2014年，ESET报告了73000个使用默认密码的无保护安全摄像头[2]。2017年4月，IOActive发现有7000台易受攻击的Linksys路由器正在使用中，但该公司表示可能还有多达100000台路由器暴露于此漏洞之下[3]。

首席执行官（Chief Executive Officer，CEO）甚至可能会问：家用设备中的漏洞与我们公司有什么关系？这时首席信息安全官（Chief Information Security Officer，CISO）应该准备好给出答案，因为CISO应该更了解威胁形势，以及家庭用户设备可能如何影响该公司需要实施的整体安全策略。答案来自两个简单的场景：远程访问和自带设备（Bring Your Own Device，BYOD）。

虽然远程访问并不是什么新鲜事，但远程员工的数量正在呈指数级增长。根据盖洛普（Gallup）的数据，43%的受雇美国人报告说，他们至少花了一段时间远程工作[4]，这意味着他们正在使用自己的基础设施来访问公司的资源。让这个问题变得更加复杂的是，允许在工作场所使用自带设备的公司数量不断增加。请记住，安全实施自带设备有多种方法，但自带设备方案中的大多数故障通常都是由于规划和网络架构不佳而导致实施不安全[5]。

前面提到的所有技术的共同点是什么？它们需要由用户操作，而该用户仍然是最大的攻击目标。人类是安全链中最薄弱的一环，因此，钓鱼邮件等旧威胁仍在上升。这是因为它们从心理上引诱用户点击某些东西（如文件附件或恶意链接）。一旦用户执行了这些操作之一，他们的设备通常会受到恶意软件的危害或被黑客远程访问。2019年4月，IT服务公司Wipro Ltd最初受到网络钓鱼活动的威胁，该活动是导致许多客户数据泄露的重大攻击的第一步。这正好表明，即使在所有安全控制措施到位的情况下，网络钓鱼活动仍然可以这么有效。

网络钓鱼活动通常被用作攻击者的入口点，并从入口点处通过其他威胁方式来利用系统中的漏洞。

利用钓鱼电子邮件作为攻击入口点的威胁日益增长的一个例子是勒索软件。FBI报告称，仅在2016年的前三个月，因勒索软件支付的金额就高达2.09亿美元[6]。根据趋势科技（Trend Micro）的预测，勒索软件的增长将在2017年趋于平稳；然而，攻击方法和目标将更加多样化[7]。

图1-1突出显示了这些攻击与最终用户之间的关联。

图1-1　攻击与最终用户之间的关联

图1-1显示了最终用户的四个入口点，所有这些入口点都必须对其风险进行识别，并进行适当的控制。场景如下所示：

·内部部署和云之间的连接（入口点①）

·自带设备和云之间的连接（入口点②）

·公司设备和内部部署之间的连接（入口点③）

·个人设备和云之间的连接（入口点④）

请注意，这些是不同的场景，但都由一个实体关联：最终用户。所有场景中的公共元素通常都是网络犯罪分子的首选目标，如图1-1所示，网络犯罪分子访问了云资源。

在所有场景中，还有一个不断出现的重要元素，那就是云计算资源。现实情况中不能忽视的一个事实是，许多公司都在采用云计算。绝大多数公司刚开始都是采用混合方案进行云计算，其中基础设施即服务（Infrastructure as a Service，IaaS）是它们的主要云服务。其他一些公司可能会选择将软件即服务（Software as a Service，SaaS）用于某些解决方案。例如，入口点②所示移动设备管理（Mobile Device Management，MDM）。你可能会争辩说，高度安全的组织可能没有云连接。这当然是可能的，但从商业角度来看，云的采用正在增长，并将慢慢主导大多数部署场景。

内部安全至关重要，因为它是公司的核心，也是大多数用户访问资源的地方。当组织决定通过云提供商扩展其内部部署基础设施以使用IaaS（入口点①）时，公司需要通过风险评估评估此连接的威胁以及应对这些威胁的对策。

最后一个场景描述（入口点④）可能会让一些持怀疑态度的分析师颇感兴趣，主要是因为他们可能不会立即看到这个场景与公司资源有什么关联。是的，这是一台个人设备，与内部资源没有直接连接。但是，如果此设备被泄露，则在以下情况下，用户可能会危及公司的数据：

·从此设备打开公司电子邮件。

·从此设备访问企业SaaS应用程序。

·如果用户对他的个人电子邮件和公司账户使用相同的密码[8]，这可能会通过暴力破解或密码猜测导致账户泄露。

实施技术安全控制可以帮助减轻针对最终用户的某些威胁。然而，主要的保障是通过持续教育开展安全意识培训。

用户将使用其凭据与应用程序交互，以便使用数据或将数据写入位于云或内部部署的服务器。其中凭据、应用程序和数据都有一个独特的威胁环境，必须加以识别和处理。我们将在接下来的小节中介绍这些领域。