一旦黑客突破了組織的防御，在網(wǎng)絡(luò)內(nèi)部移動和訪問信息就相對容易，可能會持續(xù)數(shù)天甚至數(shù)月而未被發(fā)現(xiàn)。這對于存儲有寶貴的敏感和個人身份信息的銀行和金融服務(wù)機構(gòu)來說，是一個重大隱患。網(wǎng)絡(luò)安全的目標(biāo)是最小化風(fēng)險和入侵的影響。了解對手的思維模式和活動對此至關(guān)重要。

這些隱藏在網(wǎng)絡(luò)空間陰影里的黑客們，到底是都是什么樣的人？他們的動機是什么？他們又是如何入侵組織的系統(tǒng)，竊取機密的數(shù)據(jù)？更重要的是，我們該如何有效防范他們的攻擊?

揭秘黑客攻擊的動機

在錯綜復(fù)雜的網(wǎng)絡(luò)攻擊世界中，了解驅(qū)使黑客的動機像是破譯一個復(fù)雜的謎題，而這些動機為他們的活動提供了動力。安全?？偨Y(jié)認為，黑客發(fā)動攻擊的動機主要為經(jīng)濟利益、黑客行動主義、報復(fù)、奇心和挑戰(zhàn)、間諜活動、尋求刺激和社會認可。而經(jīng)濟利益被普遍認為是最大的驅(qū)動因素。

最近泄露的Black Basta聊天記錄真實地展示了黑客的架構(gòu)和日常生活。從這些記錄可以得出結(jié)論，對很多黑客來說，網(wǎng)絡(luò)犯罪就是一門生意，有目標(biāo)、配額和呼叫模板。不管動機是純粹出于經(jīng)濟目的，還是其他因素，對于很多黑客來說，黑客行為只是一份日常工作。

就像任何一份日常工作一樣，黑客一直都在尋求最省力的途徑。這意味著黑客會尋找最小化努力、最大化產(chǎn)出的機會。比如，偵察一個網(wǎng)站并連接到訪客WiFi，或者直接走進一個組織插入以太網(wǎng)電纜。他們的策略中也有機會主義的成分，比如隨機檢查是否存在易受攻擊的漏洞，或?qū)ふ业痛沟墓麑崳ㄍǔＪ墙M織內(nèi)部員工）。

"ransomware-as-a-service"(RaaS)是一個令人不安的一個新趨勢。Raas就像一個市場，可以購買被入侵系統(tǒng)訪問權(quán)限，或購買定制的勒索軟件直接部署到系統(tǒng)中。這個趨勢加速黑客活動的民主化，大幅擴大了網(wǎng)絡(luò)犯罪產(chǎn)業(yè)。這意味著對于許多處理有價值數(shù)據(jù)和提供基本服務(wù)的組織來說，遭到入侵只是個時間問題。

黑客入侵的路徑選擇

一些簡單平凡的場景，通常是讓黑客獲得了進入組織系統(tǒng)的機會。例如，黑客可以在BOSS直聘或者前程無憂上搜索一名員工，生成一個電子郵件聯(lián)系招聘單位的人力資源部門，聲稱他們支付了過高的薪酬，并附帶一個虛假聲明。如果人力資源點擊了附件，黑客就可以訪問系統(tǒng)或部署惡意軟件。另一個例子是在潛伏在組織外面尋找弱點，如一個實習(xí)生為測試設(shè)置的服務(wù)器，或軟件漏洞。諸如零信任網(wǎng)絡(luò)訪問(ZTNA)和防火墻之類的網(wǎng)絡(luò)安全措施確實可以延緩黑客入侵網(wǎng)絡(luò)的能力，但一旦進入內(nèi)部，組織就相對脆弱了。

 一旦黑客突破了邊界，標(biāo)準做法就是打入內(nèi)部(挖掘)，然后橫向移動尋找組織的"皇冠上的明珠"：他們最有價值的數(shù)據(jù)。在金融或銀行機構(gòu)中，他們的服務(wù)器上很可能有一個包含敏感客戶信息的數(shù)據(jù)庫。數(shù)據(jù)庫本質(zhì)上是一個復(fù)雜的電子表格，黑客只需點擊"選擇"就可以復(fù)制所有內(nèi)容。在這種情況下，數(shù)據(jù)安全至關(guān)重要，但許多組織將數(shù)據(jù)安全與網(wǎng)絡(luò)安全混為一談。

組織通常依賴加密來保護敏感數(shù)據(jù)，但如果解密密鑰管理不當(dāng)，單靠加密是不夠的。如果攻擊者獲得了解密密鑰，他們就可以立即解密數(shù)據(jù)，使加密變得毫無用處。還有許多組織錯誤地認為加密可以防止所有形式的數(shù)據(jù)泄露，但弱密鑰管理、不當(dāng)實施或側(cè)通道攻擊仍可能導(dǎo)致數(shù)據(jù)被入侵。要真正保護數(shù)據(jù)，企業(yè)必須將強大的加密與安全的密鑰管理、訪問控制，以及令牌化或格式保留加密等技術(shù)相結(jié)合，從而最大限度地減少入侵的影響。如果解密密鑰存儲在異地，受隱私增強技術(shù)(PET)（如令牌化）保護的數(shù)據(jù)庫對黑客來說是無法讀取的。如果攻擊者無法從為組織提供數(shù)據(jù)加密和密鑰管理服務(wù)的第三方供應(yīng)商那里獲取密鑰，就無法解密數(shù)據(jù)，這使得整個過程變得更加復(fù)雜，對黑客來形成了重大的阻力。

此外，人工智能（AI）的應(yīng)用，對黑客的入侵行為帶來顯著的變化。這些變化主要體現(xiàn)在黑客利用AI技術(shù)來提高攻擊的效率、隱蔽性和成功率。比如，黑客利用生成式AI技術(shù)制造難以識別的個性化釣魚郵件和仿冒網(wǎng)站。這些郵件可以模仿特定個人的語言風(fēng)格，增加欺騙成功率；黑客還用 AI加速了偵察階段，通過自動搜索和分析目標(biāo)信息，提高了攻擊的準確性和速度?？偠?，黑客入侵變得更加復(fù)雜和難以防御，迫使安全領(lǐng)域也開始采用AI技術(shù)來增強防御能力。

如何才能比黑客更聰明

對組織來說，另一個現(xiàn)實是，黑客相對容易逃避檢測。根據(jù)IBM的數(shù)據(jù)，組織平均需要258天才能發(fā)現(xiàn)和控制住入侵事件。組織被入侵后甚至可能不是自己發(fā)現(xiàn)的，而是被黑客通知，或者是黑客試圖出售被盜數(shù)據(jù)時而被競爭對手發(fā)現(xiàn)并購告知的。IBM的發(fā)現(xiàn)表明，盡管258天是7年來的最低值，而且檢測窗口期正在縮短，但這仍然給了黑客相當(dāng)長的時間在組織系統(tǒng)內(nèi)逗留。這意味著黑客可以持續(xù)訪問新的客戶數(shù)據(jù)，并了解誰在生態(tài)系統(tǒng)中，以入侵組織的供應(yīng)鏈。

要有效威懾黑客，組織應(yīng)該著力使攻擊變得更加困難和無利可圖。如果努力和風(fēng)險超過了潛在收益，攻擊者更有可能轉(zhuǎn)移到更容易的目標(biāo)。實施分層的網(wǎng)絡(luò)安全措施和零信任框架可以加強防御。然而，銀行和金融機構(gòu)持有如此寶貴的數(shù)據(jù)，黑客會更加堅持不懈。為了應(yīng)對這一點，投資強大的數(shù)據(jù)保護而不是單純依賴邊界網(wǎng)絡(luò)安全是必須的。組織應(yīng)確保即使攻擊者入侵了系統(tǒng)，敏感數(shù)據(jù)仍然是安全的——從而使其對網(wǎng)絡(luò)犯罪分子毫無用處。

值得一提的是，利用人工智能（AI）來防御黑客攻擊是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的一個重要趨勢。AI技術(shù)可以幫助識別和應(yīng)對復(fù)雜的網(wǎng)絡(luò)威脅，提高對黑客的威懾力，并提高防御效率。比如，AI可以通過分析大量網(wǎng)絡(luò)數(shù)據(jù)，識別出復(fù)雜的威脅模式，如加密的惡意軟件或偽裝成正常流量的攻擊；AI可以根據(jù)威脅識別結(jié)果自動調(diào)整防御策略，如阻斷惡意流量或隔離受感染系統(tǒng)；AI技術(shù)可以預(yù)測未來可能出現(xiàn)的威脅類型，從而提前采取防范措施。

知己知彼，百戰(zhàn)不殆。

想完全阻止黑客進入組織網(wǎng)絡(luò)幾乎是不可能的，尤其是隨著網(wǎng)絡(luò)犯罪行業(yè)日益復(fù)雜，他們的技術(shù)也越來越先進。我們只有與時俱進，實時了解黑客的最新動態(tài)，并制定適當(dāng)?shù)膽?yīng)對策略，才能最大程度地降低被攻擊的風(fēng)險,確保組織的數(shù)據(jù)和系統(tǒng)安全。