每当曝出一起网络攻击事件，受影响的公司总是都会用到“复杂性”（Sophisticated）一词来对攻击进行描述。而每每听到“复杂性”一词 时，信息安全界的许多人都不以为然，认为这种描述只不过是夸大其词而已。这种怀疑精神源于有史以来的众多安全事件，根据这些事件的细节显示，攻击者获得入 口的方法只不过是使用了非常普遍、甚至是常规、而且本来应该能够得到防御的方法（例如SQL注入、暴力破解、网络钓鱼、密码复用、众所周知的旧漏洞等 等）。

发生安全事件的企业，其公关团队使用“复杂性”一词，只不过是在试图传达一种假象，那就是公司没有做错任何事情，没有什么事情是为了防御本来该做而没做的，因为攻击没有可预见性，或无法通过传统的方法进行防御，而且他们将一如既往地“重视安全”——所以请不必起诉，更不必停止购物， 甚至关闭账户。

这种混淆视听的方法之所以屡试不爽，究其原因，是因为整个信息安全领域对于如何来定义“复杂性”攻击缺乏一种书面形式的共识。但一般而方以下五种特性还是具备安全界的共识的。

1、攻击者明确知道他们将要攻击的应用，并且收集过与攻击目标相关的情报。

2、攻击者利用收集来的情报，对攻击目标特定点进行攻击，而不是在网络上随便找一个系统进行攻击。

3、攻击者绕过了包括入侵防御系统（IPS）、加密机制、多重身份验证、反病毒软件、气隙网络等在内的多层强有力的防御机制。

4、攻击者多点联合出击不达目的誓不罢休。攻击中可能会用到零日漏洞，但这并不代表其复杂性。攻击中一定会使用一些讨巧的或特别的技术。

5、如果攻击中使用了恶意软件，那恶意软件必须是使用最新的防病毒软件、有效载荷识别软件或其他终端安全软件无法检测出来的。

当然以上描述还可以有所改进，不过如果一个攻击呈现出大部分或所有的这些特性，那它完全就可以被认为是“复杂性”攻击了。如果未呈现这些特征，而公关仍然使用了“复杂性”一词，那我们就有理由对此持保留意见了。

－－－

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛！