什么是威胁参与者?

威胁参与者也称为网络威胁参与者或恶意行为者,是故意对数字设备或系统造成损害的个人或团体。威胁参与者利用计算机系统、网络和软件中的漏洞来实施各种网络攻击,包括网络钓鱼勒索软件恶意软件攻击。

如今,威胁参与者有很多种类型,其特点、动机、技能水平和计策各有不同。一些最常见的威胁参与者类型包括黑客行动主义者、民族国家行为者、网络罪犯、寻求刺激者、内部威胁参与者和网络恐怖分子。

随着网络犯罪的频率和严重程度不断增加,了解这些不同类型的威胁参与者对于提高个人和组织的网络安全越来越重要。

威胁参与者的类型

威胁参与者一词含义广泛且相对包罗万象,可以扩展到对网络安全构成威胁的任何个人或团体。威胁参与者经常会被分为不同类型,首要依据通常是攻击动机,复杂程度是次要或不常用的划分依据。

网络犯罪

这些个人或团体主要是为了经济利益实施网络犯罪。网络罪犯实施的常见犯罪包括勒索软件攻击和网络钓鱼诈骗,这些诈骗会诱骗人们进行转账或泄露信用卡信息、登录凭据、知识产权或其他私人或敏感信息。

民族国家行为者

国家和政府经常资助威胁参与者,其目的是窃取敏感数据、收集机密信息或破坏其他政府的关键基础设施。这些恶意活动通常包括间谍活动或网络战,并且往往资金雄厚,使得威胁变得复杂且难以检测。

黑客活动家

这些威胁参与者利用黑客技术促进政治或社会主张,如传播自由言论或揭露侵犯人权行为。黑客行动主义者相信他们正在推进积极的社会变革,并认为以个人、组织或政府机构为目标来揭露秘密或其他敏感信息是合理的。黑客行动主义组织的一个著名例子是 Anonymous,这是一个声称倡导互联网言论自由的国际黑客组织。

寻求刺激者

顾名思义,寻求刺激者主要是为了好玩而攻击计算机和信息系统。有些人想看看他们可以窃取多少敏感信息或数据;其他人希望利用黑客技术更好地了解网络和计算机系统的工作原理。有一类寻求刺激者被称为脚本小子,他们缺乏高级技术技能,却使用已有的工具和技术来攻击易受攻击的系统,主要是为了娱乐或满足个人需求。尽管寻求刺激者并不总是想造成伤害,但他们仍会干扰网络安全,为未来的网络攻击敞开大门,从而造成意想不到的损害。

内部威胁

与大多数其他参与者类型不同,内部威胁参与者并不总是具有恶意意图。有些人由于人为错误损害了公司,例如无意中安装了恶意软件,或者丢失了公司配发的设备,而网络罪犯发现并利用这些设备访问网络。但恶意内部人员确实存在。例如,心怀不满的员工滥用访问权限窃取数据以获取金钱利益,或对数据或应用程序造成破坏,以报复自己在晋升中被淘汰。

网络恐怖分子

网络恐怖分子出于政治或意识形态动机发起网络攻击,威胁要发起暴力或导致真正的暴力结果。一些网络恐怖分子是民族国家行为者;其他人则自主或代表非政府团体行事。

威胁参与者目标

威胁参与者通常以大型组织为目标;因为这些组织拥有更多资金和更多敏感数据,可以提供最大的潜在回报。

然而,近年来,由于安全系统相对较弱,中小型企业 (SMB) 也成为威胁参与者的常见目标。事实上,针对小型企业的网络犯罪率不断上升,FBI 最近对此表示了担忧,并表示仅 2021 年,小型企业因网络攻击就损失了 69 亿美元,比上一年增加了 64%(ibm.com 外部链接)。

另外,威胁参与者越来越多地以个人和家庭为目标,即使金额较小也依然发动攻击。例如,他们可能闯入家庭网络和计算机系统来窃取个人身份信息、密码和其他潜在有价值的敏感数据。事实上,目前的估计表明,三分之一拥有电脑的美国家庭感染了恶意软件(ibm.com 外部链接)。

威胁参与者会发动无差别攻击。虽然他们倾向于寻找最有价值或最有意义的目标,但他们也会利用任何网络安全弱点,无论他们在哪里找到它,从而使威胁态势变得越来越代价高昂和复杂。

威胁参与者策略

威胁参与者在执行网络攻击时会部署多种计策,根据其主要动机、资源和预定目标的不同,对某些计策的依赖程度会高于依赖其他计策。

恶意软件

 

恶意软件是一种破坏计算机或使计算机瘫痪的恶意软件。恶意软件通常通过电子邮件附件、受感染的网站或受感染的软件传播,可以帮助威胁参与者窃取数据、接管计算机系统并攻击其他计算机。恶意软件的类型包括病毒、蠕虫和特洛伊木马病毒,它们伪装成合法程序下载到计算机上。

 

了解有关恶意软件的更多信息
勒索软件

勒索软件是一种恶意软件,它会锁定受害者的数据或设备,并威胁受害者,除非向攻击者支付赎金,否则数据或设备就会一直被锁定,甚至变成更糟糕的状态。如今,大多数勒索软件攻击都是双重勒索攻击,它们还威胁窃取受害者的数据并将其出售或在线泄露。根据 2023 年 IBM Security X-Force Threat Intelligence 指数,勒索软件攻击占 2022 年所有网络攻击的 17%。

Big game hunting (BGH) 攻击是相互配合的大规模勒索软件行动,目标是大型组织,包括政府、大型企业和关键基础设施提供商,这些组织会因中断而蒙受巨大损失,更有可能支付巨额赎金。

了解更多有关勒索软件的信息
网络钓鱼

网络钓鱼攻击使用电子邮件、短信、语音消息或虚假网站来欺骗用户共享敏感数据、下载恶意软件或让自己陷入网络犯罪的圈套。网络钓鱼的类型包括:

  • 鱼叉式网络钓鱼,一种针对特定个人或一组个人的网络钓鱼攻击,其邮件看似来自与被攻击目标有关系的合法发件人。
  • 商业电子邮件泄露,即鱼叉式网络钓鱼攻击,从同事的假冒或被劫持的电子邮件帐户向受害者发送欺诈性电子邮件。

  • 鲸鱼网络钓鱼,一种专门针对高级管理人员或公司管理人员的鱼叉式网络钓鱼攻击。
了解有关网络钓鱼的更多信息
社会工程

网络钓鱼是社会工程的一种形式,是一类利用恐惧感或紧迫感来操纵人们犯下其他错误,从而损害他们的个人或组织资产或安全的攻击和计策。社交工程可以很简单,只需将感染了恶意软件的 USB 驱动器放在有人会发现的地方(因为“嘿,免费的 USB 驱动器!”);也可以很复杂,比如花几个月的时间培养与受害者的远距离恋爱关系,以骗取他们的机票钱,这样他们就可以“最终见面”。

由于社会工程利用的是人类弱点而不是技术漏洞,因此有时被称为“人类黑客攻击”。

了解有关社会工程的更多信息
拒绝服务攻击

这种类型的网络攻击的原理是让网络或服务器充满流量,导致用户无法使用。分布式拒绝服务 (DDoS) 攻击会调集分布式计算机网络来发送恶意流量,从而产生一种攻击,这种攻击会更快地淹没目标,并且更难以检测、预防或缓解。

了解有关 DDoS 攻击的更多信息
高级持续威胁

高级持续性威胁 (APT) 是复杂的网络攻击,持续数月或数年,而不是数小时或数天。APT 使威胁参与者能够在不被察觉的情况下在受害者的网络中进行破坏活动,包括渗透计算机系统、进行间谍活动和侦察、提升权限和许可(称为水平运动以及窃取敏感数据。由于 APT 极其难以检测且执行成本相对较高,因此通常由民族国家行为者或其他资金充足的威胁参与者发起。

后门攻击

后门攻击利用操作系统、应用程序或计算机系统中不受组织网络安全措施保护的漏洞。有时,后门是由软件开发商或硬件制造商创建的,目的是实现升级、漏洞修复或(具有讽刺意味的)打安全补丁;有时,威胁参与者使用恶意软件或通过攻击系统自行创建后门。后门允许威胁参与者在不被发现的情况下进入和离开计算机系统。

威胁参与者、网络罪犯和黑客

威胁参与者黑客网络犯罪分子这三个术语经常被交替使用,尤其是在好莱坞和流行文化中。但是三者的含义及其彼此之间的关系存在细微的差异。

  • 并非所有威胁参与者或网络罪犯都是黑客根据定义,黑客是具有破坏网络或计算机系统技术技能的人。但一些威胁参与者或网络罪犯并没有采取任何技术性措施,只是留下一个受感染的 U 盘让他人发现和使用,或者发送一封附有恶意软件的电子邮件。
     

  • 并非所有黑客都是威胁参与者或网络罪犯。例如,一些黑客(称为道德黑客)本质上是假装成网络罪犯,帮助组织和政府机构测试其计算机系统是否容易受到网络威胁。

  • 从定义或意图上看,某些类型的威胁参与者并不是网络罪犯,但实际上却是。例如,一个寻求刺激者“只是为了好玩”而关闭城镇的电网几分钟,或者一个黑客行动主义者以崇高事业的名义泄露并发布政府机密信息,也可能形成网络犯罪,无论他们是否有意或认为自己是这样。

 

领先于威胁参与者

随着科技变得更加复杂,网络威胁态势也变得更加复杂。为了领先于威胁参与者,组织不断改进其网络安全措施并更加智能地了解威胁情报。组织为减轻威胁参与者的影响(如果不能完全阻止威胁参与者)而采取的一些步骤包括:

  • 安全意识培训。由于威胁参与者经常利用人为错误,因此员工培训是一道重要的防线。安全意识培训包括不使用公司授权的设备、正确存储密码、识别和处理网络钓鱼电子邮件的技巧等。
     

  • 多重身份验证和自适应身份验证。实施多重身份验证(除了用户名和密码之外还需要一个或多个凭据)和/或自适应身份验证(当用户从不同设备或位置登录时需要额外的凭据),可以防止黑客访问用户的电子邮件帐户,即使他们能够窃取用户的电子邮件密码。

  • 端点安全解决方案。这些解决方案包括用于检测和阻止已知恶意软件和病毒的防病毒软件,以及端点检测和响应 (EDR) 解决方案等工具,后者使用人工智能 (AI) 和分析技术帮助安全团队检测传统端点安全软件无法拦截的威胁并采取应对措施。

  • 网络安全科技。基础网络安全科技是防火墙,它可以阻止可疑流量进入或离开网络,同时允许合法流量通过。其他科技包括入侵防御系统 (IPS),用于监控网络中是否存在潜在威胁并采取行动予以阻止,以及网络检测和响应 (NDR),它使用 AI、机器学习和行为分析来帮助安全专业人员检测和自动应对网络威胁。

组织还可以定期执行安全评估来识别系统漏洞。内部 IT 人员通常有能力进行这些审核,但有些公司将其外包给专家或外部服务提供商。定期运行软件更新还可以帮助公司和个人发现并修复计算机和信息系统中的潜在漏洞。

相关解决方案
X-Force 事件响应团队

主动威胁搜寻、持续监控和深入调查威胁只是 IT 部门繁忙工作中的几个优先事项。拥有一支值得信赖的事件响应团队随时待命,可以缩短企业的响应时间,最大限度地减少网络攻击的影响,并有助于企业更快地恢复。

探索 X-Force 事件响应
勒索软件防御解决方案

为防范并消除现代勒索软件的威胁,IBM® 对 800TB 威胁活动数据、超过 1,700 万次垃圾邮件和钓鱼攻击的信息,以及包含 2.7 亿个端点的网络近 100 万个恶意 IP 地址的声誉数据进行了洞察分析。

探索勒索软件防范解决方案
采取后续步骤

IBM 网络安全服务提供咨询、集成和托管安全服务以及进攻和防御功能。我们将全球专家团队、专有技术及合作伙伴技术相结合,共创量身定制的安全计划来管理风险。

深入了解网络安全服务 订阅 Think 时事通讯