北京，2016年4月21日，賽門鐵克公司發布第 21 期《互聯網安全威脅報告》，揭示當前網絡罪犯的組織化轉型——通過采取企業實踐并建立專業的犯罪業務來提高對企業和消費者的攻擊效率。全新的專業性網絡攻擊正在覆蓋整個攻擊者生態系統，不僅進一步擴大針對企業和消費者的威脅范圍，同時助推在線犯罪的增長。

賽門鐵克大中華區安全解決方案技術部、安全產品、安全咨詢服務技術總監羅少輝表示：“當前，高級犯罪攻擊組織開始仿效國家級水平的攻擊者。這些攻擊組織擁有廣泛的資源和高技術成員，使他們的攻擊效率非常高。這些攻擊者不僅能夠在工作日對企業進行攻擊，還能夠利用周末和節假日發動攻擊。賽門鐵克發現，一些級別低的攻擊者甚至能夠通過創建呼叫中心，來提高欺詐活動的影響范圍。”
　　高級的專業網絡犯罪組織往往最先利用零日漏洞進行攻擊，或將漏洞在開放市場上出售給級別低的攻擊者從而獲得暴利。賽門鐵克發布的最新報告中指出，在2015年內發現的零日漏洞是上一年的2倍，數量高達54個，與2014年相比增長125%，再創歷史新高，這再次證明了零日漏洞在暴利的目標性攻擊活動中扮演著重要的角色。與此同時，惡意軟件也正在以驚人的速度增長，在2015年，賽門鐵克共發現4.3億個新型惡意軟件變體，這證明了專業網絡罪犯正在利用龐大的資源，嘗試破壞企業防御并進入企業網絡。
       在2015年，失竊或丟失的個人信息記錄超過5億條
　　數據泄露正在不斷地對企業造成無法預估的威脅影響。在2015年，大型企業平均受到三次以上的攻擊。賽門鐵克發現，去年大型數據泄露事件達到創紀錄的9起，公開報道的單次最大數據泄露事件造成了1.91億條信息記錄的泄露。雖然已公開的身份泄露數量高達4.29億，但是選擇不公開所丟失記錄數量的企業增加了85%。賽門鐵克保守估計，如果計入未報告的信息泄露數量，實際泄露的個人記錄量將超過5億條。
　　羅少輝表示：“在數據泄漏事件發生后，選擇不公布關鍵信息的企業數量明顯增長，這是一個讓人極為不安的趨勢。透明度對于網絡安全至關重要。如果隱藏網絡攻擊的全部影響，企業將會更難評估安全風險和改進安全狀況，這非常不利于企業對未來的攻擊進行全面的防御。”
     “加密”已經成為網絡攻擊者挾持企業與個人用戶關鍵數據的攻擊手段
　　在2015年，勒索軟件呈現出持續演進的勢態。加密勒索軟件擁有更大的破壞力，去年的攻擊數量增長了35%。更具有攻擊性的加密勒索軟件可以將受害者的所有數字內容加密，威脅受害者支付贖金。今年，勒索軟件的攻擊范圍從個人電腦蔓延至智能手機、Mac和Linux系統。網絡罪犯不斷尋找聯網設備來進行挾持，并要求受害者支付贖金，企業將會是下一個目標。
　　網絡詐騙者通過卑劣的手段，讓用戶不得不主動進行聯系來支付贖金
　　隨著網絡生活日漸頻繁，越來越多的攻擊者利用現實和數字世界的交互來牟取利益。在2015年，賽門鐵克看到許多過去的詐騙形式‘重現江湖’，例如，網絡罪犯利用虛假‘技術支持’的詐騙方式在去年增長了200%。但與過去不同的是，詐騙罪犯如今通過向智能手機和類似設備發送虛假的警告消息，使用戶主動致電給攻擊者所運行的呼叫中心，從而上當購買虛假的服務。
　　隨著攻擊者不斷變換攻擊手段，企業和消費者應該采取多種方法來實現安全防護。賽門鐵克網絡安全建議：
       對于企業：
　　● 部署安全解決方案：用戶應該部署高級威脅智能解決方案，及時發現入侵信號并做出快速響應。
　　● 采用強大的安全態勢：部署多層端點安全防護、網絡安全防護、加密、強大且有效的身份驗證，采用擁有高信譽的技術。賽門鐵克建議企業用戶與托管安全服務提供商合作，增強IT團隊的防御能力。
　　● 為最壞的情況做好準備：事件管理可以確保用戶的安全框架得到優化，并具備可測量和可重復性，以及幫助用戶吸取教訓，從而改善安全態勢。賽門鐵克建議企業用戶考慮與第三方專家開展長期合作，從而強化危機管理。
　　● 提供長期且持續的教育和培訓：為所有員工提供模擬培訓，建立有關的指南和流程，以保護個人和企業設備上的敏感數據。賽門鐵克建議企業用戶定期評估內部的調查團隊，進行實戰演練，確保企業擁有有效對抗網絡威脅的必要技能。
       對于消費者：
　　● 使用強大的密碼：為賬戶設置獨特且強大的密碼。賽門鐵克建議用戶每三個月更換一次密碼，并且不要重復使用同樣的密碼。此外，賽門鐵克還建議用戶使用密碼管理器來進一步保護自己的重要信息。
　　● 在點擊前慎重考慮：打開有風險的附件可能會導致將惡意軟件安裝到系統中。賽門鐵克建議用戶不要查看、點擊或復制來源不明的電子郵件附件。
　　● 擁有保護意識：與事后解決相比，保持安全防護更加重要。賽門鐵克建議用戶使用防病毒軟件、防火墻、瀏覽器保護以及可抵御網絡威脅的安全防護解決方案。
　　● 警惕‘恐嚇軟件’：聲稱免費、破解或盜版的軟件更容易使用戶受到惡意軟件的攻擊。社交工程攻擊和勒索軟件會讓用戶誤以為自己的電腦受到了攻擊，這些惡意程序會建議用戶購買無用的軟件或要求直接付費以清除威脅。
　　● 擁有保護個人數據的意識：用戶在線分享個人信息十分容易受到社交工程的攻擊。賽門鐵克建議用戶減少在社交網絡和其他平臺上分享登錄信息、出生日期和寵物姓名等個人信息，確保個人數據的安全。
　　總結：隨著交付方式的多樣化，例如微信支付、比特幣等，零日漏洞、網站釣魚攻擊、身份信息泄露、漏洞、DDoS攻擊、勒索軟件增加，而且呈現產業化、升級較快，對于企業安全和個人安全都造成了非常大的威脅！