网络攻击成为了一项长期的活动

也许在2015年所发生的最有趣、最出名、同时也最令人震惊的安全事件是针对美国人事管理局(OPM)的袭击。数以百万计的政府雇员，美国军事人员，以及曾接受过背景调查和安全检查的政府承包商的个人资料均被盗。在一个典型的数据泄露事件中，攻击者以组织机构为目标是因为他们希望获得该组织机构所拥有的相关数据信息。而在此次OPM被黑客攻击的案例中，攻击者所希望的并不仅仅只是为了简单的获取到这些数据信息记录，同时更是为了获得对攻击目标个人的背景信息。

“此次OPM 被黑客攻击事件有助于我们了解企业员工是我们最大的安全隐患...是企业安全管理链条上最薄弱的环节。”Micro Focus公司的安全产品组合解决方案策略经理Renee Bradshaw说。

网络恶意攻击活动的方法遵循一个模式：在社会工程领域瞄准一个目标的转包商，窃取凭据以获得网络访问。在一个系统培植恶意软件并创建一个后门。然后就可以持续几个月从该该系统窃取数据而不被发现了。在OPM所实施的糟糕的安全管理措施是相当“令人震惊”的，“包括一致的漏洞扫描和双因素认证的缺失，以及不合时宜的补丁管理。”Bradshaw说。

OPM被黑客攻击事件还凸显了企业社会工程的脆弱性。政府雇员和承包商现在已经开始接受安全意识培训课程，以了解网络钓鱼和其他社交媒体的安全威胁。

　　漏洞失控

在2015年夏天，一项反黑客团队攻击的活动让人们大开了眼界。一家总部设在米兰的公司开发监控软件，并向世界各地的政府机构销售。该公司依靠“零日漏洞”(zero-day)开发软件，其很难被检测到，还可以拦截通信。彼时，一个未知的人发布超过400GB数据被黑客团队盗取，包括电子邮件通信、商业文件和源代码，安全研究人员在Adobe Flash Player中发现了三款不同的零日漏洞的概念证明。尽管Adobe 公司尽可能快地进行了漏洞的修补，网络罪犯分子也能够快速创造漏洞，并使用它们进行大规模的攻击。“在国家和私人的层面上，零日攻击的积聚对我们每一个人都是危险的。当面临这些类型的漏洞时，我们不能坐视不管。”安全咨询公司Rook Security的安全运营负责人Tom Gorup说。

不向产品供应商报告这些漏洞的存在，并对程序实施修补意味着其他人也可能会找到相同的bug。如果这些漏洞一直存在，就代表着其终究会被人发现。而如果是黑客最先发现这些漏洞，一旦漏洞被公开，每个人都处于危险中。零日攻击不像物理武器，其原来的所有者能够控制其如何及何时使用。而一旦这样的武器落入黑客之手，就具有毁灭性的后果。

“我们需要重新调整我们在网络防御方面的努力，并加大主动进攻的力度。”Gorup说。

　　政府服务泄露太多信息

在政府机构所遭遇的网络攻击中，美国国税局遭黑客侵袭可能算是损失较小的事件了。只有10万名美国纳税人通过该漏洞被暴露了他们的信息，这显著低于OPM被攻击所导致的2150万人受影响的程度。攻击者通过受害人的姓名、地址和社会安全号码获取了他们诸如收入、雇主名称和家属等详细信息。

更独特的是，袭击者使用合法的服务伪造基本的个人身份信息，然后利用这些资料成功申报一些假的退税。同样的方法也被用于机动车辆的在线更新服务部门或县级资产评估网站。通过这些服务获得的信息，使得黑客进行身份盗取变得更容易。而且，攻击者利用这些偷来的数据有50%的成功率。BeyondTrust公司的技术副总裁Morey Haber指出。

“有很多类似于国税局这样的网站，包括国家级、地方级、以及联邦政府的相关机构网站。而国税局仅仅只是易于攻击的目标之一，而且还有其他更多易于攻击的政府机构服务网站。”Haber说。

(责任编辑：安博涛)