Fortinet威脅情報：釣魚軟體佔了整個中國的殭屍病毒的43%

似乎永遠不在風口上，卻又總是不可或缺的熱點。

這就對是今天網路安全最準確的釋義。在過去的幾年裡，我們看到無數個熱點，不停的輪轉，從雲計算、大資料、物聯網、人工智慧，乃至今年的區塊鏈。有趣的是，無論熱點如何變幻，網路安全卻總是伴隨著各種技術風口，帶來新的挑戰，迎來新的機遇。

必須要承認，在網際網路的世界裡，威脅變得無處不在，在每一年對全球CIO的調查中，網路威脅的關注度也呈逐漸上升的態勢。也因此，催生了威脅情報的誕生。

Gartner對威脅情報已經下過定義，即：“威脅情報是關於IT或資訊資產所面臨的現有或潛在威脅的循證知識，包括情境、機制、指標、推論與可行建議，這些知識可為威脅響應提供決策依據。”

而在著名網路安全專家，Fortinet首席安全戰略官 Derek Manky看來，“應用威脅情報目標是能夠進行防禦、阻斷與響應。”過去的每個季度，Fortinet都會發布最新的全球威脅態勢報告。

我們知道，網路防禦就是一場與網路惡勢力的較量，而威脅情報的意義就是在防禦的同時，做到主動出擊，既是防禦的盾，又是像是進攻的矛。

這份最新的威脅情報告訴我們什麼?

Fortinet最近釋出的全球第二季度威脅態勢報告當中，主要包括對基礎設施的影響，漏洞利用的趨勢，惡意軟體趨勢和殭屍網路趨勢，應該說對很多企業使用者而言，例用這四大威脅報告中足以應對大多數位置的網路威脅。

以漏洞利用趨勢為例，CVE列表中共計103，786個漏洞，5，898個（5。7％）已被利用。 有超過100，000個已知攻擊，讓大多數企業機構無法快速修復漏洞以避免被攻擊。那麼，企業CIO可以針對特定的漏洞和攻擊提前做出預防措施，以避免收到不可彌補的損失。

有意義的是，除了綜合型的威脅情報，Fortinet專門有一個網站（www。fortiguard。com），這裡有不同行業的威脅情報，可以幫助不同行業的CIO提前預知網路威脅的狀況。

在報告當中，我們的確看到了中國許多行業病毒的狀況，“在亞太地區有13%的威脅或者病毒是在中國測出來的，中國病毒行業的威脅，主要來自於科技、交通、物流和製造業方面。” Derek Manky說。

DerekManky表示，中國的網路病毒和亞太其他區域有一定的差別，“比如在亞太區域通常被遠端工具Gh0st Rat 攻擊，而中國主要是殭屍病毒，釣魚軟體和殭屍病毒。此外，在中國還有一個獨一無二的攻擊是中國菜刀（China Chopper）。而釣魚軟體大概佔了整個中國的殭屍病毒的43%，非常令人驚訝。”

很顯然，網路病毒根據各地區經濟情況，網路滲透的情況，體現出明顯的地域特性。所以中國的病毒特點，也跟中國企業的發展狀況是匹配的，如Derek Manky所說，“相比一些企業IT應用比較發達的國家來說，中國企業平均的的IT能力還有待進一步提高，所以網路攻擊集中在製造業等資訊化水平相對不足的行業，而網際網路公司這種技術能力較好一點的企業，相對受到的攻擊較少。”

過去幾年，Fortinet一直倡導要建立不斷演進的威脅情報系統，利用最新的網路安全技術與海量情報的高效分析，實現與安全威脅的與時俱進。同時，可以考慮將威脅情報服務納入決策過程。然後，透過將威脅情報與安全評級服務相結合，提供跨所有安全元件的協同，從而採取更加主動和戰略性的方法來修復漏洞。可以預見，威脅情報的機制對於中國許多數字化轉型程序中的企業會有深遠意義。

FortiGuard Labs是個什麼樣的實驗室?

負責研究全球威脅情報的FortiGuard實驗室，是Fortinet在2000年成立的。該團隊中來自全球200多名的專業研究員與分析師發現最新的網路威脅後展開研究並進行系統保護。在製造、金融、醫療、零售、酒店、教育等行業，保護著全球超過36萬家使用者。

很多Fortinet的安全技術，來自於FortiGuard實驗室的研發成就。

比如，可以進行深度檢測的沙盒技術，為能夠讓它最高程度的攔截網路威脅，Fortinet把沙盒技術和閘道器、防火牆和安全策略，進行了全面的整合，讓其能夠更快的對威脅進行攔截。

再比如，主動式的防禦技術，“在過去六年中，我們開發了AI機器學習的體系，超過120億種可疑程式， 透過計算機的編碼放到沙盒裡進行相關的反病毒技術的研發。”Derek Manky說。

另外在威脅檢測方面，Fortinet有上百項的技術專利，Derek Manky介紹說，“其中有一項專利是關於程式語言，進行威脅病毒的檢測，這個專利的名稱叫CPRL，內容模式識別語言。可以透過人工智慧的分析來寫程式語言，然後檢測新的病毒，這是在過去五年中開發的人工智慧編成的體系。”

同時，Fortinet對零日漏洞的發現能力也是非常強大，截止到2018年第二季度，已經發現了570個新的零日漏洞。Fortinet牽頭組織的CTA威脅情報共享組織，讓業界能夠共享發現的新威脅和漏洞，共同提高網路安全的防護能力。

共享生態，讓威脅情報“活”起來

我們知道，Fortinet在2016年推出了FortinetSecurity Fabric安全架構。這個架構採用了緊密整合的安全技術架構，不僅可以整合到分散式網路中，更以全球共享網路和本地網路威脅情報為核心，提供協調一致的威脅響應，動態適應不斷變化的威脅趨勢。

它最大的特點就是生態共享。Derek Manky表示，“Security Fabric一直在不斷更新變化的過程，我們與合作者進行生態系統，現在有一百多個合作伙伴加入。讓我們的Security Fabric架構能夠與使用者網路的Fabric更好的整合。每一個合作伙伴都有典型的行業應用，比如Nozomi是專注工業網際網路安全領域，特長是識別和檢測出工業網際網路協議中的一些異常，這些異常與我們的裝置和安全技術進行聯動能夠很好的識別和阻擋在工業網際網路中發現的威脅。”

這個例子也告訴我們，安全威脅的資訊共享對安全防禦是非常重要的。所以，Fortinet威脅情報之所以是業界權威，重視生態的力量，強調共享機制絕對是功不可沒的。

此外，Fortinet作為網路威脅聯盟（CTA）的創始成員，Fortinet還是OASIS網路威脅情報（CTI）組織成員，致力於推動協作性威脅情報與資訊共享以促進全球社會安寧與經濟發展。

DerekManky 說，“網路威脅聯盟能起到很好的整合資訊的作用，我們的資訊對情報方面進行很好的分享，我們跟所有的合作者在威脅情報方面進行IOC（失陷主機標識）的整合，全部整合到我們的Security Fabric裡，讓情報不再是死情報，而是可行動的活情報。”

Fortinet 中國技術總監張略也表示，“現在的駭客聯盟起來了，在地下暗網相互之間是聯盟的，所以安全廠商之間的威脅情報必須聯盟起來，我們不僅自己有大量的安全資料，同時也和其他的安全廠商進行合作。”

的確，網路駭客與安全廠商之間始終處於持續的攻與守，當攻擊方變成了聯合統一，那麼也要求防守方能夠協同合作，做到資訊共享，讓網路威脅無從下手。