攻击者会努力掩盖自己的行踪

直到几年之前，大多数企业还完全不必对自己的日志文件太过重视，或者说即使进行处理，他们也不会进行刻意收集并对其中的可疑事件发出警告。不过时代已经不同，如今IT防御者们如果没能启用日志检查并将其纳入日常工作，那么将被视为一种严重的失职。

恶意人士能够利用各类技术，例如命令行与脚本命令，对日志记录加以应对，从而显著降低其被事件日志记录工具发现的可能性。其甚至有可能直接在肆虐之后将日志文件全部删除。一部分水平高超的攻击者还会利用工具包程序，从而通过对操作系统的恶意篡改来跳过包含其恶意工具执行痕迹的一切实例。

　　攻击者已经在我们的环境当中潜伏多年

专业犯罪团伙潜伏在受害者网络内部的平均时间——也就是从入侵成功到被发现的时长——通常为数个月甚至数年。我接触过的一些企业就面临着这样的状况，其内部环境已经遭到多个犯罪组织的侵入，而潜伏期最长的一个已经在这里游荡了八年。

根据权威性极高的《Verizon数据泄露调查报告》所言，大部分内部数据泄露事故都是由外部合作方首先发现的。在大多数情况下，这是因为外部合作方自身也已经遭到到多年入侵，而在其取证调查过程中发现其数据、攻击者位置或者中继点来源于另一家公司。

我曾经向多位客户提供过咨询服务，他们纷纷表示恶意人士已经在其网络内部肆虐多年，甚至恶意软件的植入已经成为该公司习以为常的状况——每一台新计算机在引入后都会瞬间染上恶意软件。我还见过一些木马以及恶意程序多年来一直随意传播，因为IT人员始终认为其属于组织内部某些部门的必要软件组件。好吧，这种愚蠢的假设肯定是黑客们的最爱。

　　攻击者根本不怕东窗事发

曾几何时，钓鱼攻击者会快速潜入我们的企业，窃取资金或者重要信息，而后立刻人间蒸发。快进、快出，尽可能缩短作案时间，这意味着其被捕获、识别以及起诉的可能性也会被降至最低。

如今的攻击者往往身处国外，在那里我们的法律管辖权以及定罪权全部无法生效。我们甚至可以利用法律证据来揪出黑客犯罪团伙、其中的成员乃至他们活动的物理位置——但也就这样了，我们的执法权对他们根本不起作用。

在过去十年我所经历过的大多数攻击活动当中，黑客们即使被发现了也不会挣扎逃脱。当然，他们会尽量避免自己被抓获，但一旦东窗事发，他们只会更公然、更嚣张地组织入侵——我们的现有制裁手段在他们面前真的非常无力。

时至今日，在这场猫鼠游戏当中，老鼠一方已经彻底了全部主动权。起初我们意识不到他们的侵入活动，也不清楚他们能够以多少种方式实现突破——毕竟安全事故的源头很可能只是某位员工不小心打开了恶意邮件。而最终，即使我们掌握了一切证据，仍有很大机率只能自认倒霉。

　　我们能够做些什么

防范工作需要先以培训起步，即教育员工关于网络钓鱼攻击的最新现实情况。相信每个人都已经了解到那种充斥着大量拼写错误以及不切实际的奖励承诺的老套钓鱼邮件，但现在这已经不再是我们的关注重点。我们要向员工解释新型钓鱼邮件的精妙之处，告诉他们专业犯罪团伙很清楚该如何调整自己的攻击手段，从而让恶意邮件看起来就像由同事等受信对象发来的合法信息一样。

接下来，员工应当意识到在其点击并运行邮件内可执行文件或者打开任何未知文档之前，必须首先进行单独确认(例如通过电话或者即时通信机制)。如今快速确认已经应该成为尽职性调查的必要组成部分。另外，提醒员工在发现任何可疑状况时及时汇报。如果他们不小心做出了任何事后看起来较为可疑的操作，那么也需要马上向技术部门发出通知。最重要的就是从心理层面消除员工在被愚弄之后产生的耻辱感与尴尬心态。要让他们知道，任何人——包括经验丰富的安全专家——都有可能被欺骗，这一切都要归结于当下极端复杂的攻击手段。

很多企业正在积极通过模拟网络钓鱼对员工的应对能力进行测试。不过需要提醒各位的是，这些测试应该尽量使用复杂度更高的邮件模板，而非过去那样拙劣不堪的老套路。另外，我们还需要对个别员工进行针对性测试，从而将易受愚弄的员工比例控制在较低水平。通过这种方式，员工将能够在面对任何要求其提供登录凭证或者程序执行权限时首先向技术部门询问。总而言之，让员工在面对合法邮件时也保持怀疑的态度将标志着我们的培训已经取得了喜人的进度。

最后，如果已经有网络钓鱼攻击在企业内部成功起效，那么请利用该钓鱼邮件以及受害员工的证词(如果他们值得信任且愿意作证的话)来帮助其他企业更深刻地理解当下的网络钓鱼环境。任何能够带来新启示以及新经验的经历都值得在各行业当中广泛共享。

总结起来，要想真正抵御住日益演进的入侵行为，我们必须让企业中的每位成员意识到如今的网络钓鱼邮件在表现形式上已经完全不同于以往。与时俱进、紧跟形势，这才是最理想的攻击应对之道。

原文标题：10 reasons why phishing attacks are nastier than ever

(责任编辑：安博涛)