上周赛门铁克2011大中华区用户大会上赛门铁克公司总裁兼首席执行官恩瑞克·塞伦(Enrique Salem)谈到了安全威胁形势的严峻以及三大IT转型带来的新的安全挑战(相关文章：赛门铁克：用户如何在IT三大趋势中顺利转型)。比特网记者专访了赛门铁克企业信息安全部门高级副总裁Art Gilliland，对目前的威胁环境(攻击者一方的情况)进行了介绍，并认为在日趋复杂和专业化的威胁面前，企业需要构建完整的威胁防御体系。

威胁环境的变化：地下交易市场的出现使威胁更加专业和复杂

Art Gilliland首先介绍了目前威胁环境的重大变化，即过去的黑客希望通过入侵一举成名，但现在黑客窃取信息，并意在牟利。在利益的驱使之下，非法地下交易市场、专业的攻击技术和专业化分工(在这个黑客交易和组织的市场中，每一次入侵，每一个步骤，每一个环节，都会有一些黑客专注在具体的步骤和环节)使得我们面对的威胁日趋严峻。不仅威胁的数量增多，而且攻击工具包的类型也在日益丰富，甚至还有为攻击进行的培训。

一次典型的攻击行动中可以分为这五个步骤：一、再连接：了解你的攻击目标，即对潜在的攻击目标做一些调研和前期的侦查工作。二、发现：创建进入资产的路径图。。三、侵入：获得进入路径四、获取：获取资产的控制权。黑客寻找的目标——“资产”，实际上就是信息。五、返回：盗取或毁坏这些资产。

在这五个步骤中，都有专门的攻击者把这个步骤做完了之后，把他们这个步骤结果卖给下一个步骤的下一个攻击者。如假设攻击目标是赛门铁克，第一步就是对攻击目标的调研和侦查方面，就会有专人去调查赛门铁克详细情况，诸如赛门铁克前20名的高管人员的秘书、下属、个人爱好等等信息，他们会通过各种社交网络，比如Twitter、LinkedIn、Faceboook，调研完了以后，就给高管发一封邮件，让他们看到这个邮件以为是自己的朋友发过来的。做到这一点以后，攻击者将能接近赛门铁克20名高管的资料卖给下一个攻击者，由他来具体执行某一次入侵或者是攻击行为。这样每个步骤都有专门的人来展开攻击并将结果卖给下一环的人，一直做到把信息偷出来，利用这样的信息卖给市场买家，或者用伪造身份卡来进行身份窃取，或者窃取重要计划，或者源代码。

非法市场在衔接每个步骤的交易及其专业攻击工具和信息的交流方面起到了非常关键的作用。

构建完整的威胁防御体系

面对日益复杂的威胁，越早阻止攻击越好。对于企业来说也需要详细的了解哪些地方存在威胁，并根据这些威胁建立完整的防御体系。

下图的黑框表明了一个公司组织机构对其自身面临的风险态势的认识。

(责任编辑：)