以国防工业、军队为攻击目标的俄罗斯黑客组织APT28攻击最早可以追溯到2007年，而在上个月又有媒体曝出，该组织再度现身，在英国注册企业租用服务器，使用虚假身份、虚拟专用网络以及难以追踪的支付系统……如今，黑客大公司重要数据被盗窃，政府网站、非政府组织遭受网络攻击变得日益频繁，规模也与日俱增。或许，不知道什么时候，你已经被黑客盯上了。

“网络攻击手段变化多端，从勒索软件到物联网僵尸，从利用网络漏洞攻击到APT（持续性威胁）攻击，从勒索软件到物联网僵尸到钓鱼欺诈，网络犯罪愈发严重。”亚太反病毒研究者联盟(AVAR)主席Allan Dyer说。在此背景下，反病毒行业正在不断通过机器学习、主动防御、联动防御、信息共享等技术手段，来应对这些网络犯罪行为，多措并举应对严峻挑战。

　　（图片来源于网络）

部分涉黄、涉赌类移动应用已被通知下架

如今，移动应用正在不断普及。有数据显示，在下载量方面，2016全年移动应用下载量超900亿，其中iOS应用商店和Google Play中的下载量增长超130亿。

市场扩大，随之而来的问题也日益明显。继上个月工信部曝出第三季度抽查的31款违规App应用之后，日前国家计算机病毒应急处理中心又发布了近期通过对互联网监测，发现的存在于移动应用发布平台中的8款违法有害移动应用。

“缺乏统一的管理规范，市场应用众多但安全标准不统一，移动应用缺乏规范化的安全标识，用户无法清晰明了获知应用是否安全，移动安全风险已经影响到了国家信息安全。”在日前举办的第二十届亚洲反病毒大会（AVAR 2017）上，国家计算机病毒应急处理中心常务副主任陈建民这样分析移动应用面临的挑战。

陈建民表示，他们从去年6月份对全国应用进行检测，发现恶意软件占据很大一部分，流氓软件中窃取个人隐私情况达95%以上；手机应用木马病毒问题也十分严峻；盗版应用也非常普遍。另外，平台对属地存在问题分析发现，北京、广东、福建等地问题严重，这与属地运营商较多有一定关系，“一些约信类、赌博类、彩票类的App与儿童游戏都普遍存在问题，一些学习类App涉黄情况多，已通知运营商进行下架处理。”陈建民说。

多数物联网设备初始安装阶段漏洞明显

今年下半年，名为“BlueBorne”蓝牙漏洞给亿万蓝牙设备带来了安全风险。受害者只要开启蓝牙模式，攻击者不需要进行蓝牙配对以及任何设置，就可以完全侵入蓝牙，并且基本上影响包括智能手机、笔记本电脑、电视、汽车等所有使用蓝牙连接的装置。

“它不是一个漏洞，而是八个蓝牙漏洞，其中四个处于高危险级别。‘BlueBorne’非常强大，它可以攻击苹果iOS、Android、Windows和Linux等系统。”微步在线高级研究员杨晋说。

当前，物联网设备的数量正在成倍增长。市场研究机构Gartner预测，2017年全球物联网设备数量将达到84亿台，2020年这一数字将增至208亿台。然而，IoT（物联网）安全问题已经成为万物互联途中的软肋。2015年乌克兰电力系统遭攻击造成大面积停电；去年10月黑客利用全球十多万台智能设备，对美国进行史上最大规模的DDoS（拒绝访问服务）攻击，导致美国东海岸出现大面积断网。这些以往出现在科幻片中的场景，正在一步步成为现实。

罗马尼亚网络安全公司比特梵德（Bitdefender）的安全团队对来自不同厂商的25款物联网设备进行深入研究，发现在初始安装阶段，至少有三分之二种类型的漏洞存在；此外，在该阶段某些设备可以在任何时候都可能由外部攻击者触发。

“‘智能攻击’就是寻找安全链中最薄弱的环节。”对于物联网安全威胁的演变，NewSky Security资深研究员Ankit Anubhav举例说，他们发现了一个病毒样本的新变种，首先会尝试通过使用已知密码表控制设备的简单方式；如果不成功，将运行两个已知的漏洞来获得对物联网的控制，尝试将一个物联网变为僵尸网络。

大数据、人工智能将是网络安全治理关键

“传统的网络安全防御技术已无法抗衡新的安全威胁，大数据与人工智能是网络安全治理的关键。”在卡巴斯基的卡巴斯基实验室反欺诈负责人看来，现在越来越多的安全厂商开始使用机器学习（ML）的恶意软件检测模型，这些探测器的建设基本管道通常是一样的，都是收集的数据集的良性和恶意样本，训练一个分类器预测正确的标签，使用该模型的积极预测来检测新的恶意软件。

迈克菲公司移动恶意软件研究员Daisuke Nakajima表示，基于机器学习（ML）的恶意软件检测，可以实现对已知的和未知的恶意样本的高检测率，但它也可能带来潜在的更高的误报率。“为解决这一问题，一种结合机器学习、传统特征码和网络信用的实用模型。”

“利用人工智能助力网络威胁防御。”微软（中国）CSO邵江宁认为，当今革命性的AI（人工智能）技术和基于数据驱动的业务模式创新，催生了许多新的产品形态和服务内容。为了应对威胁进化的速度和复杂性，需要不断增强产品的安全免疫功能，包括先进和智能化的恶意代码检测和防御性解决方案，积极探索并利用人工智能特别是机器学习来提升全平台的安全能力。

“安全问题实际上是信息的不对称，第三方测评机构的产品和服务的作用将日益扩大，我们应更加关注企业用户的需求。”国际知名信息安全测评机构赛可达实验室主任宋继忠认为，利用技术创新加大对安全产品的反勒索功能，对于AI和大数据应用的有效性进行检测验证；测试也应尽可能模拟真实环境，且必须是持续的、实时的验证过程。

网络安全认知须上升到更高层面

网络空间已经成为继陆地、海洋、天空、外空之外的“第五空间”，网络攻击规模、程度也越来越大。“最近一两年里，面对黑客组织带来的攻击威胁，给网络安全行业人员带来的压力也越来越大。”从业多年的邵江宁这样感叹。本次反病毒大会由赛可达实验室联合国家计算机病毒应急处理中心、亚洲反病毒研究者联盟共同主办，40多位权威安全专家以“对抗日益严重的网络犯罪”为主题，围绕“APT、攻击代码和威胁情报分析、大数据和AI”等热门话题展示讨论。

“数字时代，个人、企业、政府变得更加息息相关，对网络安全的认知要上升到更高的层面。”腾讯副总裁马斌认为，伴随着互联网与现实世界的不断融合，网络安全领域的研究要实现思维升级，网络安全人才的培养也要实现知识升级，网络安全概念的普及要实现认知进化，开放、共享、共建数字经济时代的网络安全。

近年来，国家计算机病毒应急处理中心主要以发现、收集我国流行的计算机病毒，对计算机病毒进行解剖、分析，并向公安部等提交病毒疫情分析报告。“我们坚持的思路就是‘建立警企联动处置机制，携手共建移动应用安全’绿色生态圈。”陈建民表示，相关部门完善国家移动互联网应用安全管理中心官方网站，建立移动互联网应用安全管控平台，发起移动互联网应用安全与版权联盟，发挥行业自律的功能，推行移动互联网安全应用标识。

比如，通过构建管控平台可以针对全国超300家应用市场进行7×24小时全天候的检测，并收录1700多万个手机App,其中存在恶意样本的近120万个，已对其进行入库分析；每天对主流商店检测，发现问题App移动商店令其5日内进行下架处理，否则将移交到属地公安机关进行处理。另外，移动互联网安全标识的推出也可以有效减免预审查环节，节约成本，提高应用市场整体的安全形象，减少应用市场有关应用的发放和推广的风险，有效规避上架非法应用的风险，提高整体应用市场的安全性。