技术的发展在提供便利的同时也带来了风险，近几年企业因网络攻击造成的损失愈发严重，且未来的威胁形势并不会变得更好，有一句戏称可以说入木三分：未来，只有两种企业，一种是已经被攻击的企业，另一种是即将被攻击的企业。

对企业来说最好的防御就是主动出击，了解网络威胁现状，从而更有针对性的对企业薄弱点进行防御。

在日前赛门铁克发布的第21期《互联网安全威胁报告》(ISTR)中指出，2015年新型恶意软件达4.3亿个，同比增长了36%。威胁数量的激增和程度的加剧态势并没有让人们更为警醒，反而趋于麻木；而这种现象是非常令人担忧的，只会给攻击者以更多的机会来获取利益。在这里，我们提醒企业应积极从威胁报告中获取有价值的信息，以期在网络攻防战中掌握主动权。

　　ISTR主要调查发现

在第21期ISTR中，有几个需要特别重视的发现，需给予重点关注。

零日漏洞。2015年每周即现一个新型零日漏洞，攻击者从浏览器和网站插件漏洞中谋取暴利，且由于零日漏洞的巨大价值，催生出满足零日漏洞需求的市场。

个人信息数据泄露。在2015年，全球共发生9次大型数据泄露事件，已公开的身份信息泄露数量高达4.29亿，且很多公司并未完全公开其数据泄露情况。而实际发生的泄露信息量将达5亿以上。

安全漏洞。2015年网站每天会遭遇超过100万个网页攻击，因管理员未能及时安装最新补丁，约75%的网站存在安全漏洞，这使得攻击者得以不断利用网站中的漏洞来感染更多用户。

钓鱼攻击。在2015年，曾遭受过攻击的大型企业再次遭受攻击，针对员工所进行的鱼叉式网络钓鱼攻击数量增加55%，且不论企业类型，均面临网络安全风险。

勒索软件。2015年勒索软件增长35%，攻击者利用加密实施网络犯罪，且由针对传统PC电脑用户蔓延至智能手机、Mac和Linux系统用户，任何联网设备均会成为攻击者目标。

“技术支持”诈骗。技术支持诈骗依从电话致电给受害者演进为诱骗受害者向诈骗攻击者主动致电，在2015年，赛门铁克共阻拦1亿次“技术支持”诈骗类攻击。

　　企业用户如何应对？

攻击者是没有假期的，且攻击者手段照比以往更为复杂，企业应采取更多方法实施安全防护。

首先，在部署安全解决方案方面，应该采用高级威胁智能解决方案，以及时发现入侵行为并迅速做出响应；

其次，应部署多层端点安全防护、网络安全防护、加密、身份验证等高效的技术，同时与托管安全服务商进行合作，以增强企业IT团队的防御能力；

再次，保持良好的安全框架以应对突发的攻击，企业可以考虑与第三方开展长期合作，强化危机管理；

最后(也是企业最容易忽略的一块)，企业应为所有员工提供模拟培训，建立相关的指南和流程，以保护个人和企业设备上的敏感数据，确保企业员工具备有效对抗网络威胁的必要技能。

巨大的利益驱动只会让网络威胁形势变得更加严峻，对于企业来说，保护网络安全即便是困难重重也是要下大力气投入的方面，只有安全得到了保障，企业业务发展才能更无后顾之忧。

(责任编辑：安博涛)