近年来，安全事件逐渐成为媒体的宠儿，尤其是个人信息泄露、银行资金窃取和IoT 设备的攻击利用事件 牵动着众人的眼球。在公众关注度方面，从近两年的百度指数就能看出，“个人信息泄露”和“黑客”等关键词的整体日均值都在历史中高位波动，网络安全和信息安全已经不仅仅是一个技术问题，而是关乎普罗大众的民生问题。

与此同时，安全厂商的视角也在慢慢变化。从RSA 近年的主题上看，2016 年的“Connect to Protect”，2017 的“Power of OpportUNITY”到2018 年的“Now Matters”，同时，关键词也从往年的威胁情报、人工智能到今年的应急响应和威胁狩猎，可以看出，安全厂商们不再满足于概念性的奔走呼号，联动防御和破除孤岛已成共识，在多年的技术积累上厚积薄发，真真正正化被动为主动，切切实实关注落地实效和响应时效。

漏洞发现，攻击利用和应急响应，是攻防双方角力的主战场。兵者诡变，从去年的臭名昭著的Wannacry 事件到后来的WannaMine和Smominru，永恒之蓝漏洞相继被用在勒索软件和挖矿僵尸网络中，攻击的目标和攻击的手段在变，唯一不变的是攻击者对利益的诉求。兵贵神速，安全的战役，难就难在防御者如何才能在攻防条件不对等的情况下，快速地跟进形势，扩充自己的武器库和提前布局。孙子曰“知彼良知，胜乃不殆；知天知地，胜乃不穷”。威胁情报的

核心正是一个“知”字，从数据到信息到知识，这几年来的落地实践逐渐让安全厂商能够从海量的攻击数据、基础数据和外部情报中，去伪存真，抽丝剥茧，对攻击者个体能够形成多个剖面的详尽刻画，同时对攻击者群体能够快速提取共性及关联，构建出网络空间的深层感知体系。

据绿盟威胁情报中心观测，近20% 的攻击源发起过多种类型的攻击，其攻击类型的转换时序满足攻击链逐步深入的特性，例如百分之五十的Web 攻击者会在随后尝试更为复杂的漏洞利用攻击。僵尸主机也有相当部分具备蠕虫的特性，在被感染后相继进行扫描和漏洞利用操作，快速补充僵尸军团的新生力量。同时，不同类型的攻击资源存在复用的情况，例如发起恶意扫描的攻击源，其中的44% 在之后成为垃圾邮件源。一方面可以看出，攻击者较为关注自身的攻击成本，尽可能榨干获取的肉鸡价值。另一方面也可以看出，时间成本和规模效应也是攻击者关心的重点。

从攻击流量来看，挖矿病毒、蠕虫和木马等类型的恶意软件的活跃数量在2月下旬到3 月上旬期间均有一定程度的回落或在低位徘徊，当时正逢新春佳节，一定程度上说明监测范围内的大部分攻击者应为华人。另一方面，比特币价格的持续萎缩似乎并没有影响攻击者对加密货币的投机偏好，挖矿类恶意程序在春节过后持续升温，其活跃状况暗合加密货币的涨跌趋势。在各类挖矿病毒中，针对门罗币的WannaMine 尤为活跃，在挖矿活动中占比超过70%。Palo AltoNetworks 研究1 也表明门罗币是恶意程序最为青睐的币种，5% 的门罗币经由恶意程序开采出来。