如今,威胁参与者有很多种类型,其特点、动机、技能水平和策略各有不同。一些最常见的威胁参与者类型包括黑客活动分子、民族国家行为者、网络犯罪分子、寻求刺激者、内部威胁参与者和网络恐怖分子。
随着网络犯罪的频率和严重程度不断增加,了解这些不同类型的威胁参与者对于提高个人和组织的网络安全越来越重要。
威胁参与者一词含义广泛且相对包罗万象,可以扩展到对网络安全构成威胁的任何个人或团体。威胁参与者经常会被分为不同类型,首要依据通常是攻击动机,复杂程度是次要或不常用的划分依据。
这些个人或团体主要是为了经济利益实施网络犯罪。网络犯罪分子实施的常见犯罪包括勒索软件攻击和网络钓鱼诈骗,这些诈骗会诱骗人们进行转账或泄露信用卡信息、登录凭据、知识产权或其他私人或敏感信息。
国家和政府经常资助威胁参与者,其目的是窃取敏感数据、收集机密信息或破坏其他政府的关键基础设施。这些恶意活动通常包括间谍活动或网络战,并且往往资金雄厚,使得威胁变得复杂且难以检测。
这些威胁参与者利用黑客技术促进政治或社会主张,如传播自由言论或揭露侵犯人权行为。黑客活动主义者相信他们正在推进积极的社会变革,并认为以个人、组织或政府机构为目标来揭露秘密或其他敏感信息是合理的。黑客行动组织的一个著名例子是 Anonymous,这是一个声称倡导互联网言论自由的国际黑客组织。
顾名思义,寻求刺激者主要是为了好玩而攻击计算机和信息系统。有些人想看看他们可以窃取多少敏感信息或数据;其他人希望利用黑客技术更好地了解网络和计算机系统的工作原理。有一类寻求刺激者被称为脚本小子,他们缺乏高级技术技能,却使用已有的工具和技术来攻击易受攻击的系统,主要是为了娱乐或满足个人需求。尽管寻求刺激者并不总是想造成伤害,但他们仍会干扰网络安全,为未来的网络攻击敞开大门,从而造成意想不到的损害。
与大多数其他参与者类型不同,内部威胁参与者并不总是具有恶意意图。有些人由于人为错误损害了公司,例如无意中安装了恶意软件,或者丢失了公司配发的设备,而网络犯罪分子发现并利用这些设备访问网络。但是,恶意内部人员确实存在,例如,心怀不满的员工滥用访问权限窃取数据以获取金钱利益,或者对数据或应用程序造成破坏,以报复自己未能成功升职。
网络恐怖分子出于政治或意识形态动机发起网络攻击,威胁要发起暴力或导致真正的暴力结果。一些网络恐怖分子是民族国家行为者;其他人则自行或代表非政府团体行事。
威胁参与者通常以大型组织为目标;因为这些组织拥有更多资金和更多敏感数据,可以提供最大的潜在回报。
然而,近年来,由于安全系统相对较弱,中小型企业 (SMB) 也成为威胁参与者的常见目标。事实上,针对小型企业的网络犯罪率不断上升,FBI 最近对此表示了担忧,并表示仅 2021 年,小型企业因网络攻击就损失了 69 亿美元,比上一年增加了 64%(ibm.com 外部链接)。
另外,威胁参与者越来越多地以个人和家庭为目标,即使金额较小也依然发动攻击。例如,他们可能闯入家庭网络和计算机系统来窃取个人身份信息、密码和其他潜在有价值的敏感数据。实际上,目前的估计表明,拥有计算机的美国家庭中有三分之一感染了某种恶意软件(ibm.com 外部链接)。
威胁参与者会发动无差别攻击。虽然他们倾向于寻找最有价值或最有意义的目标,但他们也会利用任何网络安全弱点,无论他们在哪里找到它,从而使威胁态势变得越来越代价高昂和复杂。
威胁参与者在执行网络攻击时会部署多种策略,根据其主要动机、资源和预定目标的不同,对某些策略的依赖程度会高于依赖其他策略。
恶意软件是一种破坏计算机或使计算机瘫痪的恶意软件。恶意软件通常通过电子邮件附件、受感染的网站或受感染的软件传播,可以帮助威胁参与者窃取数据、接管计算机系统并攻击其他计算机。恶意软件的类型包括病毒、蠕虫和特洛伊木马病毒,它们伪装成合法程序下载到计算机上。
勒索软件是一种恶意软件,它会锁定受害者的数据或设备,并威胁受害者,除非向攻击者支付赎金,否则数据或设备就会一直被锁定,甚至变成更糟糕的状态。如今,大多数勒索软件攻击都是双重勒索攻击,它们还威胁窃取受害者的数据并将其出售或在线泄露。根据 2023 年 IBM Security X-Force Threat Intelligence 指数,勒索软件攻击占 2022 年所有网络攻击的 17%。
大型游戏狩猎 (BGH) 攻击是大规模、协调一致的勒索软件活动,针对大型组织(政府、大型企业、关键基础设施提供商),这些组织因中断而损失惨重,并且更有可能支付大笔赎金。
网络钓鱼攻击使用电子邮件、短信、语音消息或虚假网站来欺骗用户共享敏感数据、下载恶意软件或让自己陷入网络犯罪的圈套。网络钓鱼的类型包括
网络钓鱼是社会工程的一种形式,是一类利用恐惧感或紧迫感来操纵人们犯下其他错误的攻击和策略,从而损害他们的个人或组织资产或安全。社会工程可以很简单,例如只是把感染有恶意软件的 U 盘放在容易看到的地方,等着人们捡到并使用它,“哇,捡到一个 U 盘嘿”。也可以很复杂,比如花几个月的时间培养与受害者的远距离恋爱关系,以骗取他们‘最终见面’的机票钱。
由于社会工程利用的是人类弱点而不是技术漏洞,因此有时被称为“人类黑客攻击”。
这种类型的网络攻击的原理是让网络或服务器充满流量,导致用户无法使用。分布式拒绝服务 (DDoS) 攻击会调集分布式计算机网络来发送恶意流量,从而产生一种攻击,这种攻击会更快地淹没目标,并且更难以检测、预防或缓解。
高级持续性威胁 (APT) 是复杂的网络攻击,持续数月或数年,而不是数小时或数天。APT 使威胁参与者能够在不被察觉的情况下在受害者的网络中进行破坏活动,包括渗透计算机系统、进行间谍活动和侦察、提升权限和许可(称为横向移动)以及窃取敏感数据。由于 APT 极其难以检测且执行成本相对较高,因此通常由民族国家行为者或其他资金充足的威胁参与者发起。
后门攻击利用操作系统、应用程序或计算机系统中不受组织网络安全措施保护的漏洞。有时,后门是由软件开发商或硬件制造商创建的,目的是实现升级、漏洞修复或(具有讽刺意味的)安全补丁;有时,威胁参与者使用恶意软件或通过黑客攻击系统自行创建后门。后门允许威胁参与者在不被发现的情况下进入和退出计算机系统。
威胁参与者、黑客和网络犯罪分子这三个术语经常被交替使用,尤其是在好莱坞和流行文化中。但是三者的含义及其彼此之间的关系存在细微的差异。
并非所有威胁参与者或网络罪犯都是黑客。根据定义,黑客是具有破坏网络或计算机系统技术技能的人。但一些威胁参与者或网络犯罪分子并没有采取任何技术性措施,只是留下一个受感染的 U 盘供他人查找和使用,或者发送一封附有恶意软件的电子邮件。
并非所有黑客都是威胁参与者或网络罪犯。例如,一些黑客(称为道德黑客)本质上是假装成网络犯罪分子,帮助组织和政府机构测试其计算机系统是否容易受到网络威胁。
从定义或意图上看,某些类型的威胁参与者并不是网络犯罪分子,但实际上却是。例如,一个寻求刺激者“只是为了好玩”而关闭城镇的电网几分钟,或者一个黑客活动分子以崇高事业的名义泄露并发布政府机密信息,也可能犯下网络犯罪,无论他们是否有意或认为自己是这样。
随着技术变得更加复杂,网络威胁态势也变得更加复杂。为了领先于威胁参与者,组织不断改进其网络安全措施并更加智能地了解威胁情报。组织为减轻威胁参与者的影响(如果不能完全阻止威胁参与者)而采取的一些步骤包括
安全意识培训。由于威胁参与者经常利用人为错误,因此员工培训是一道重要的防线。安全意识培训包括不使用公司授权的设备、正确存储密码、识别和处理网络钓鱼电子邮件的技巧等。
多重身份验证和自适应身份验证。实施多重身份验证(除了用户名和密码之外还需要一个或多个凭据)和/或自适应身份验证(当用户从不同设备或位置登录时需要额外的凭据),可以防止黑客访问用户的电子邮件帐户,即使他们能够窃取用户的电子邮件密码。
企业安全软件。这些解决方案可以帮助安全团队和安全运营中心 (SOC) 检测并拦截所有 IT 基础设施领域(端点、电子邮件、应用程序、网络和云工作负载)中的异常活动或恶意活动。它们包括(但不限于)安全编排、自动化和响应 (SOAR)、安全事故和事件管理 (SIEM) 以及扩展检测和响应 (XDR)。
组织还可以定期执行安全评估来识别系统漏洞。内部 IT 人员通常有能力进行这些审核,但有些公司将其外包给专家或外部服务提供商。定期运行软件更新还可以帮助公司和个人发现并修复计算机和信息系统中的潜在漏洞。
捕捉其他人容易错过的高级威胁。QRadar SIEM 利用分析和人工智能监控威胁情报、网络和用户行为异常,并优先处理需要立即关注和修复的问题。
主动威胁搜寻、持续监控和深入调查威胁只是本已繁忙的 IT 部门所面临的几个优先事项。拥有一支值得信赖的事件响应团队随时待命可以减少您的响应时间,最大限度地减少网络攻击的影响,并帮助您更快地恢复。
IBM 借助来自 800TB 的威胁活动数据、超过 1700 万次垃圾邮件和网络钓鱼攻击的信息,以及来自包含 2.7 亿个端点的网络近 100 万个恶意 IP 地址的声誉数据的洞察,从容防范并消除现代勒索软件的威胁。