你的攻击者会隐藏自己的踪迹

直到最近的几年，大多数公司从不会费心去启用日志文件，或者即便启用了也不会去收集可疑事件发出的警报。时代变了，现在的IT捍卫者如果没有启用日志和每天检查就将被视为失职。

对此，坏蛋们支出新招，转用命令行和脚本命令等技术，这些不太可能被记录在事件日志里，他们或是在完事后会删除日志。一些更高级的攻击者则利用rootkit程序，这些程序对操作系统进行恶意修改，以跳过自己的恶意工具实例的执行。

　　你的攻击者在你的环境中待了多年了

职业犯罪组织从开始潜伏在受害者公司的网络里到被发现的平均时间通常为几个月到几年。我经常与一些公司合作，他们的网络里居然潜伏了多个专业团伙，有的在里面待了长达八年之久。

名声显赫的Verizon数据泄露调查报告常常有报道，指大多数内部泄露是从外部发现的。而在大多数情况下，之所以这样是因为外部的这一家被攻陷多年后，在取证调查时会发现自己的数据或攻击者是来自或被发往另一家作为一个中转站的公司。

我给几个客户做过咨询项目，坏蛋在公司待了超长时间，以至于恶意软件成了公司黄金映像的一部分，即是说，每一个新电脑都含恶意软件。我见过木马程序在一家公司流传多年并被放行，原因是IT人员以为这个木马程序是个必用的软件组件，以为是同一组织内的另一个组放置的。黑客大爱这一类的假设。

　　你的攻击者不怕被逮住

曾几何时，网络钓鱼者进入你的公司，窃取金钱或信息后就会尽快消失。快进快出，被逮住、被指证、被起诉的机会就小。

而今天的攻击者可能身处国外，你的法律管不着，拘捕令没有用。你甚至可以(通过法律证据)在地方当局指认黑客公司、黑客和物理地址，但可能什么也不会发生。

过去10年里，有人在受到攻击时常常请我去做补救，大多数情况下，黑客被发现后并不会跑掉。可以肯定，他们不想被发现，但一旦被发现后，他们却会更自由更大胆，好像限制被取消了一样。

到最后，补救就是一个猫捉老鼠的游戏，老鼠却占尽优势。第一，你并不知道他们攻陷了什么，也不知道他们有多少种方法可以再回来。而这些全都是因为某人打开了一个针对性钓鱼电子邮件。

　　你可以做什么

补救的第一步是要教育所有的员工，让他们知道针对性钓鱼攻击的新现实。大家都知道旧式网络钓鱼电子邮件是什么样子，错别字满篇、可以轻易得到的几百万美金的承诺等等，这些已无须太担心的了。要向员工解释新的针对性钓鱼电子邮件，告诉他们针对性钓鱼电子邮件是出自职业罪犯之手，告诉他们职业罪犯知道如何将电邮做得像是来自被同事信任的人。

应该有人告诉员工，在点击运行程序或打开不明文件时要先用别的方法(如电话或即时通讯)确认。随时确认在今时今日要成为日常核实工作的一部分。要告诉员工随时报告任何可疑的东西。如果他们不小心运行了什么，而后来觉得值得怀疑就应该及时报告。不要觉得被愚弄了是件丢人和尴尬的事，这一点很重要。要让他们知道，由于攻击太复杂，任何人今天都可能被骗，即便是安全专家也不例外。

许多公司会不断用假冒的钓鱼手法来测试他们的员工。这样做时应该使用复杂的网络钓鱼电子邮件模板，不要用类似以往的网络钓鱼做法。要持续地测试每个员工，直到很容易被骗的员工达到很低的比例。如果做法的当，这样做可以使你的员工质疑任何来历不明的、要求输入个人资料的电子邮件以及在执行程序时更加小心。如果最后员工开始质疑你的合法邮件，这是个可喜的现象，说明教育计划成功了。

最后，如果针对性钓鱼的做法不幸在你的公司得逞了，这时可以利用真实的网络钓鱼电子邮件以及被骗员工的现身说法(如果他们非常受欢迎和值得信任)，以针对今天的针对性钓鱼环境对其他人进行教育。这种发生在前线和中心的教训应该受到欢迎。

预防的关键是要让大家认识到，今时今日的针对性钓鱼电子邮件与过去的事不可同日而语。

(责任编辑：安博涛)