1.4.2　威胁形势的转变

2016年，新一波攻击也获得了主流关注。当时CrowdStrike报告称，其在美国民主党全国委员会（Democratic National Committee，DNC）网络中发现了两个独立的俄罗斯情报部门对手[19]。

报告称，他们发现了两个俄罗斯黑客组织（Cozy Bear（也被归类为APT29）和Fancy Bear（APT28））在DNC网络中的证据。Cozy Bear并不是这类攻击的新行为者，因为有证据表明[20]，它们是2015年通过鱼叉式网络钓鱼攻击五角大楼电子邮件系统的幕后黑手。一些专家倾向于笼统地称其为数据即武器，因为其目的是窃取可用来对付被攻击党派的信息。

私营部门不应忽视这些迹象。根据卡耐基国际和平基金会（Carnegie Endowment for International Peace）发布的一份报告，金融机构正成为攻击的主要目标。2019年2月，美国的多个信用机构成为鱼叉式网络钓鱼运动的目标，附有PDF文档（当时用VirusTotal执行病毒检查结果是干净的）的电子邮件被发送给这些信用机构的官员，但电子邮件正文包含一个指向恶意网站的链接。尽管威胁行为者的身份尚不清楚，但有人猜测，这只是另一起类似的攻击案件。值得一提的是，全球金融行业都面临风险。2019年3月，Ursnif恶意软件攻击了日本的银行。Palo Alto发布了对日本Ursnif感染的详细分析，可以概括为两大阶段：

（1）受害者会收到一封带有附件的网络钓鱼电子邮件。一旦用户打开电子邮件，系统就会感染Shiotob（也称为Bebloh或URLZone）。

（2）一旦进入系统，Shiotob就开始使用HTTPS与命令和控制（C2）进行通信。从那时起，它将不断接收新命令。

因此，确保持续安全监控非常重要，确保至少能够利用图1-4中所示的三种方法。

图1-4　基于传统警报系统、行为分析和机器学习的持续安全监控

这只是企业开始在威胁情报、机器学习和分析方面进行更多投资以保护资产的原因之一。本书将在第13章更详细地介绍这一点。

话虽如此，这也让我们认识到检测只是拼图中的一部分；你需要勤奋，以确保你的组织在默认情况下是安全的，换句话说，你已经做好了准备而且保护了资产，培训了人员并不断增强了安全态势。