3.1 威胁的演化路径

就像黄、绿、蓝三原色能够幻化出无穷的色彩，构造出七彩斑斓的自然世界一样，前面提到的威胁要素就像这样的基础变量一样，它们随着时间、环境的变化不断演化，形成了今天我们不得不面对的无法穷尽的“威胁宇宙”。

然而，看似无穷又无序的威胁集合，当我们用某种方法对其进行分解时，威胁会呈现出一些规律性的特征，我们现在就沿着威胁的演化路径来看看（如图3-1所示）。

整个威胁路径会沿着威胁要素→威胁技术→威胁利用→威胁后果这样的脉络发展，即威胁要素会产生威胁技术，各种威胁技术融合会产生典型的威胁利用场景，不同的威胁利用场景会造成不同的威胁后果。

安全的使命，就是要不断地了解威胁技术，与典型的威胁利用场景对抗，最终防止或消除这些威胁造成的后果。

恶意软件的体系化发展产生了病毒技术，入侵的体系化发展产生了黑客攻击技术，漏洞的存在孕育了漏洞利用技术。

威胁技术在不同时间、不同环境的应用，就产生了各种威胁利用的安全事件。对目前出现的所有安全事件进行归类，大致可以归为十种威胁利用形态，图3-1中按照出现的大致时间顺序进行了排序。其中病毒攻击（Virus）、黑客入侵（Hack）、互联网诈骗（Internet Fraud）可以被大致认为是单一技术应用而产生的威胁利用形态，如病毒技术的直接应用就导致了病毒攻击，黑客技术的直接应用导致了黑客入侵和互联网诈骗。

而网络空间攻击（DDoS/CC）、挂马与钓鱼（Fishing）、高级可持续威胁（APT）、勒索病毒攻击（Ransomware）、挖矿木马（Coin Miner）、供应链威胁（Supply Chain Threat）这六种威胁利用形态则是以上威胁技术的综合利用产生的结果，由于会产生极大的经济利益或政治利益，这六种威胁利用形态往往是团队协作的产物，属于复杂的或高级的威胁利用形态。

从威胁技术向威胁利用形态的射线图可以看出，绝大多数的威胁利用形态都与病毒技术和黑客技术有关，因此在绝大多数情况下，安全问题就演变成了如何与病毒、黑客进行有效对抗的问题。

上面提到的这十种威胁利用形态最终产生了六种威胁后果：系统与网络资源占用、系统被控制、系统被破坏、信息泄露、信息劫持和人身伤害。如果我们从威胁利用维度看，比如病毒攻击往往会诱发系统与网络资源占用、系统被控制、系统被破坏、信息泄露等多种风险，而网络空间攻击则只会产生系统与网络资源占用这一种后果。

如果从威胁后果维度看，系统与网络资源占用、系统被控制、系统被破坏、信息泄露这四类威胁后果是由多种威胁利用形态导致的，而其中导致信息泄露和系统被控制的威胁利用种类最多。

虽然互联网诈骗早期只是造成个人经济损失，但是近年来由于互联网诈骗事件泛滥导致了“人身伤害”这样的严重后果，造成了恶劣的社会影响，因此防欺诈迅速成长为一个新的产业形态。

综上可以看出，威胁路径图是一个很好的分析威胁事件和判断安全产品的工具。比如大部分人看到信息泄露，就会理解为数据安全问题，甚至数据安全厂商也会打着防止信息泄露的旗号。其实数据安全解决的是如何防止企业内部网络中的密级数据外泄，而黑客通过漏洞利用导致网站数据被盗窃这种情况不属于数据安全的范畴。

通过威胁路径图我们可以看到，信息泄露后果是由病毒攻击、黑客入侵、挂马与钓鱼、高级可持续威胁、网站拖库、供应链威胁等多种威胁利用形态产生的，每种威胁利用形态的解决方法是不同的，因此可以说，某种安全产品具备防信息泄露的能力，但是市场上不会出现通过单一的产品就能解决信息泄露问题的安全解决方案。

通过对这些威胁的分解与分析，能够清晰地看到威胁的全过程，但是从实际已经发生的情况来看，病毒与黑客这两个变量是“威胁宇宙”里最主要的两极，也因此产生了两大技术与文化流派。 F9ridqBodU233oRLJpXfWsdm6rZ2//YSvFoLwZ3+K+hTGyZSQzoRQYl7zZwMbzYe