一旦黑客突破了组织的防御,在网络内部移动和访问信息就相对容易,可能会持续数天甚至数月而未被发现。这对于存储有宝贵的敏感和个人身份信息的银行和金融服务机构来说,是一个重大隐患。网络安全的目标是最小化风险和入侵的影响。了解对手的思维模式和活动对此至关重要。
这些隐藏在网络空间阴影里的黑客们,到底是都是什么样的人?他们的动机是什么?他们又是如何入侵组织的系统,窃取机密的数据?更重要的是,我们该如何有效防范他们的攻击?
揭秘黑客攻击的动机
在错综复杂的网络攻击世界中,了解驱使黑客的动机像是破译一个复杂的谜题,而这些动机为他们的活动提供了动力。安全牛总结认为,黑客发动攻击的动机主要为经济利益、黑客行动主义、报复、奇心和挑战、间谍活动、寻求刺激和社会认可。而经济利益被普遍认为是最大的驱动因素。
最近泄露的Black Basta聊天记录真实地展示了黑客的架构和日常生活。从这些记录可以得出结论,对很多黑客来说,网络犯罪就是一门生意,有目标、配额和呼叫模板。不管动机是纯粹出于经济目的,还是其他因素,对于很多黑客来说,黑客行为只是一份日常工作。
就像任何一份日常工作一样,黑客一直都在寻求最省力的途径。这意味着黑客会寻找最小化努力、最大化产出的机会。比如,侦察一个网站并连接到访客WiFi,或者直接走进一个组织插入以太网电缆。他们的策略中也有机会主义的成分,比如随机检查是否存在易受攻击的漏洞,或寻找低垂的果实(通常是组织内部员工)。
"ransomware-as-a-service"(RaaS)是一个令人不安的一个新趋势。Raas就像一个市场,可以购买被入侵系统访问权限,或购买定制的勒索软件直接部署到系统中。这个趋势加速黑客活动的民主化,大幅扩大了网络犯罪产业。这意味着对于许多处理有价值数据和提供基本服务的组织来说,遭到入侵只是个时间问题。
黑客入侵的路径选择
一些简单平凡的场景,通常是让黑客获得了进入组织系统的机会。例如,黑客可以在BOSS直聘或者前程无忧上搜索一名员工,生成一个电子邮件联系招聘单位的人力资源部门,声称他们支付了过高的薪酬,并附带一个虚假声明。如果人力资源点击了附件,黑客就可以访问系统或部署恶意软件。另一个例子是在潜伏在组织外面寻找弱点,如一个实习生为测试设置的服务器,或软件漏洞。诸如零信任网络访问(ZTNA)和防火墙之类的网络安全措施确实可以延缓黑客入侵网络的能力,但一旦进入内部,组织就相对脆弱了。
一旦黑客突破了边界,标准做法就是打入内部(挖掘),然后横向移动寻找组织的"皇冠上的明珠":他们最有价值的数据。在金融或银行机构中,他们的服务器上很可能有一个包含敏感客户信息的数据库。数据库本质上是一个复杂的电子表格,黑客只需点击"选择"就可以复制所有内容。在这种情况下,数据安全至关重要,但许多组织将数据安全与网络安全混为一谈。
组织通常依赖加密来保护敏感数据,但如果解密密钥管理不当,单靠加密是不够的。如果攻击者获得了解密密钥,他们就可以立即解密数据,使加密变得毫无用处。还有许多组织错误地认为加密可以防止所有形式的数据泄露,但弱密钥管理、不当实施或侧通道攻击仍可能导致数据被入侵。要真正保护数据,企业必须将强大的加密与安全的密钥管理、访问控制,以及令牌化或格式保留加密等技术相结合,从而最大限度地减少入侵的影响。如果解密密钥存储在异地,受隐私增强技术(PET)(如令牌化)保护的数据库对黑客来说是无法读取的。如果攻击者无法从为组织提供数据加密和密钥管理服务的第三方供应商那里获取密钥,就无法解密数据,这使得整个过程变得更加复杂,对黑客来形成了重大的阻力。
此外,人工智能(AI)的应用,对黑客的入侵行为带来显著的变化。这些变化主要体现在黑客利用AI技术来提高攻击的效率、隐蔽性和成功率。比如,黑客利用生成式AI技术制造难以识别的个性化钓鱼邮件和仿冒网站。这些邮件可以模仿特定个人的语言风格,增加欺骗成功率;黑客还用 AI加速了侦察阶段,通过自动搜索和分析目标信息,提高了攻击的准确性和速度。总而原址,黑客入侵变得更加复杂和难以防御,迫使安全领域也开始采用AI技术来增强防御能力。
如何才能比黑客更聪明
对组织来说,另一个现实是,黑客相对容易逃避检测。根据IBM的数据,组织平均需要258天才能发现和控制住入侵事件。组织被入侵后甚至可能不是自己发现的,而是被黑客通知,或者是黑客试图出售被盗数据时而被竞争对手发现并购告知的。IBM的发现表明,尽管258天是7年来的最低值,而且检测窗口期正在缩短,但这仍然给了黑客相当长的时间在组织系统内逗留。这意味着黑客可以持续访问新的客户数据,并了解谁在生态系统中,以入侵组织的供应链。
要有效威慑黑客,组织应该着力使攻击变得更加困难和无利可图。如果努力和风险超过了潜在收益,攻击者更有可能转移到更容易的目标。实施分层的网络安全措施和零信任框架可以加强防御。然而,银行和金融机构持有如此宝贵的数据,黑客会更加坚持不懈。为了应对这一点,投资强大的数据保护而不是单纯依赖边界网络安全是必须的。组织应确保即使攻击者入侵了系统,敏感数据仍然是安全的——从而使其对网络犯罪分子毫无用处。
值得一提的是,利用人工智能(AI)来防御黑客攻击是当前网络安全领域的一个重要趋势。AI技术可以帮助识别和应对复杂的网络威胁,提高对黑客的威慑力,并提高防御效率。比如,AI可以通过分析大量网络数据,识别出复杂的威胁模式,如加密的恶意软件或伪装成正常流量的攻击;AI可以根据威胁识别结果自动调整防御策略,如阻断恶意流量或隔离受感染系统;AI技术可以预测未来可能出现的威胁类型,从而提前采取防范措施。
知己知彼,百战不殆。
想完全阻止黑客进入组织网络几乎是不可能的,尤其是随着网络犯罪行业日益复杂,他们的技术也越来越先进。我们只有与时俱进,实时了解黑客的最新动态,并制定适当的应对策略,才能最大程度地降低被攻击的风险,确保组织的数据和系统安全。
