間諜是一個(gè)對于公眾來說即遙遠(yuǎn)又貼近的詞，無數(shù)的電影、電視將間諜刻畫的神秘并且強(qiáng)大。眾所周知，美俄兩國曾為間諜問題吵得沸沸揚(yáng)揚(yáng)，但實(shí)際上間諜活動(dòng)可能要比我們認(rèn)知的更多。其中，電子間諜相對于傳統(tǒng)間諜來說可能更加恐怖，試想貴公司的數(shù)據(jù)也許正在被外部間諜程序所監(jiān)視，并且還有可能通過這些程序查找并利用你的競爭優(yōu)勢和弱點(diǎn)。

這聽起來也許離你的公司還比較遙遠(yuǎn)，但電子間諜卻是真實(shí)存在的。這是一種陰險(xiǎn)的安全威脅，并且遠(yuǎn)比你可以認(rèn)識到的程度更嚴(yán)重、更普遍。

作為一位IT或安全管理員，你應(yīng)當(dāng)判定貴單位是否受到無法檢測的威脅的攻擊，并且部署充分的技術(shù)和程序上的防衛(wèi)，這些都應(yīng)受到高度重視。

安全專家相信，越來越多的公司正受到源自其它國家的電子間諜的暗中監(jiān)視。這些攻擊的麻煩之處在于其技術(shù)通常都難以借助一般的安全工具檢測。電子間諜設(shè)法在不造成破壞的前提下進(jìn)入系統(tǒng)，以便于能夠在一段時(shí)間內(nèi)持續(xù)地搜集信息。

這些類型的威脅要比無目標(biāo)的攻擊更難以對付，因?yàn)樗鼈兙蛷臎]有普遍到讓安全廠商重視的程度。結(jié)果，安全軟件和檢測已知威脅的其它工具無法確認(rèn)這些威脅。此外，針對某個(gè)特定目標(biāo)的攻擊可被設(shè)計(jì)為繞過所部署的防御組合。發(fā)動(dòng)電子間諜攻擊的間諜們都花了大氣力來防止受害者檢測到威脅。

雖然問題深深地隱藏著，卻真實(shí)而嚴(yán)重。下面我們重點(diǎn)討論三個(gè)問題：誰在從事電子間諜活動(dòng)，他們在尋找什么，為了保護(hù)自己你可以做什么。

電子間諜活動(dòng)有多普遍？觀察家們說，電子間諜正越來越普遍。麥克唐納是一家從事計(jì)算機(jī)安全的公司Gartner的副總裁。他說，75%的企業(yè)曾受到或正在受到?jīng)]有被檢測到的攻擊的感染。由于受到利益的驅(qū)使，這些攻擊避開了傳統(tǒng)的外圍防御和主機(jī)防御。麥克唐納說，擁有敏感信息的任何政府和商業(yè)單位都是目標(biāo)。由于這種間諜活動(dòng)是秘密進(jìn)行的，所以并沒有什么方法可以讓人知道其范圍。

誰在從事間諜活動(dòng)？

即使檢測到了電子間諜活動(dòng)，也很難知道真正的攻擊源。例如，如果你跟蹤了一次攻擊，到了一個(gè)特定的國家，結(jié)果卻發(fā)現(xiàn)這僅僅是一臺受到損害的充當(dāng)代理或中繼的計(jì)算機(jī)！

如今，多數(shù)安全廠商都在基于簽名的檢測設(shè)置中跟蹤威脅，查找已知的部分病毒。但對于有些擁有資金和專門技術(shù)的國家，利用高級代碼及其它的零日漏洞并不困難。

黑客論壇網(wǎng)站，如Hackerforum.com，提供了很多遠(yuǎn)程訪問工具，準(zhǔn)許黑客用簡單幾個(gè)步驟就可以控制一臺電腦，而且還可以聽到和看到用戶的活動(dòng)，用戶卻渾然不知。

網(wǎng)絡(luò)間諜如何滲透進(jìn)入你的系統(tǒng)？

一次典型的有目標(biāo)的攻擊將利用多種弱點(diǎn)，以實(shí)現(xiàn)其最終目標(biāo)：通常就是竊取信息或損害一個(gè)特定的賬戶。通過一個(gè)精心偽造的看起來可信的email就可以使一個(gè)單位的特定賬戶成為目標(biāo)，進(jìn)而悄悄地在用戶電腦上安裝一個(gè)間諜軟件。

有些攻擊可能源自獲取了公共信息并與信息有聯(lián)系的黑客。雖然發(fā)到網(wǎng)上的每一個(gè)信息未必都是敏感的，但是在與網(wǎng)站上的其它數(shù)據(jù)以及其它公司所發(fā)布的其它信息結(jié)合以后，就會(huì)形成一種模式。

如果獲得了用戶的登錄憑證信息或建立了一個(gè)監(jiān)視點(diǎn)，攻擊者就可以利用一個(gè)可從外部訪問的系統(tǒng)的安全或配置漏洞，或者是應(yīng)用程序的安全或配置漏洞。

攻擊者還可以利用眾所周知的或鮮為人知的技術(shù)漏洞。為了訪問真正的敏感信息，他們可求助于行賄等策略。

在一次有針對性的攻擊中，可以直接利用的系統(tǒng)或應(yīng)用程序級的漏洞往往不只一個(gè)。一旦一個(gè)用戶系統(tǒng)或賬戶受到損害之后，整個(gè)環(huán)境都會(huì)逐漸地被掃描一遍，直至實(shí)現(xiàn)攻擊的最終目標(biāo)。

通常，攻擊者將監(jiān)視軟件安裝在不太顯赫的地方和系統(tǒng)中，例如一臺日志服務(wù)器中，因?yàn)樵谶@里傳統(tǒng)的IT安全方法并不查找所謂的入侵。在此，攻擊者收集數(shù)據(jù)并通過FTP等手段發(fā)送出去，由于每次發(fā)送的數(shù)據(jù)量很少，所以并不會(huì)引起正常通信的異常提高。