一旦黑客突破了組織的防御，在網(wǎng)絡(luò)內(nèi)部移動(dòng)和訪問(wèn)信息就相對(duì)容易，可能會(huì)持續(xù)數(shù)天甚至數(shù)月而未被發(fā)現(xiàn)。這對(duì)于存儲(chǔ)有寶貴的敏感和個(gè)人身份信息的銀行和金融服務(wù)機(jī)構(gòu)來(lái)說(shuō)，是一個(gè)重大隱患。網(wǎng)絡(luò)安全的目標(biāo)是最小化風(fēng)險(xiǎn)和入侵的影響。了解對(duì)手的思維模式和活動(dòng)對(duì)此至關(guān)重要。

這些隱藏在網(wǎng)絡(luò)空間陰影里的黑客們，到底是都是什么樣的人？他們的動(dòng)機(jī)是什么？他們又是如何入侵組織的系統(tǒng)，竊取機(jī)密的數(shù)據(jù)？更重要的是，我們?cè)撊绾斡行Х婪端麄兊墓?

揭秘黑客攻擊的動(dòng)機(jī)

在錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)攻擊世界中，了解驅(qū)使黑客的動(dòng)機(jī)像是破譯一個(gè)復(fù)雜的謎題，而這些動(dòng)機(jī)為他們的活動(dòng)提供了動(dòng)力。安全牛總結(jié)認(rèn)為，黑客發(fā)動(dòng)攻擊的動(dòng)機(jī)主要為經(jīng)濟(jì)利益、黑客行動(dòng)主義、報(bào)復(fù)、奇心和挑戰(zhàn)、間諜活動(dòng)、尋求刺激和社會(huì)認(rèn)可。而經(jīng)濟(jì)利益被普遍認(rèn)為是最大的驅(qū)動(dòng)因素。

最近泄露的Black Basta聊天記錄真實(shí)地展示了黑客的架構(gòu)和日常生活。從這些記錄可以得出結(jié)論，對(duì)很多黑客來(lái)說(shuō)，網(wǎng)絡(luò)犯罪就是一門生意，有目標(biāo)、配額和呼叫模板。不管動(dòng)機(jī)是純粹出于經(jīng)濟(jì)目的，還是其他因素，對(duì)于很多黑客來(lái)說(shuō)，黑客行為只是一份日常工作。

就像任何一份日常工作一樣，黑客一直都在尋求最省力的途徑。這意味著黑客會(huì)尋找最小化努力、最大化產(chǎn)出的機(jī)會(huì)。比如，偵察一個(gè)網(wǎng)站并連接到訪客WiFi，或者直接走進(jìn)一個(gè)組織插入以太網(wǎng)電纜。他們的策略中也有機(jī)會(huì)主義的成分，比如隨機(jī)檢查是否存在易受攻擊的漏洞，或?qū)ふ业痛沟墓麑?shí)（通常是組織內(nèi)部員工）。

"ransomware-as-a-service"(RaaS)是一個(gè)令人不安的一個(gè)新趨勢(shì)。Raas就像一個(gè)市場(chǎng)，可以購(gòu)買被入侵系統(tǒng)訪問(wèn)權(quán)限，或購(gòu)買定制的勒索軟件直接部署到系統(tǒng)中。這個(gè)趨勢(shì)加速黑客活動(dòng)的民主化，大幅擴(kuò)大了網(wǎng)絡(luò)犯罪產(chǎn)業(yè)。這意味著對(duì)于許多處理有價(jià)值數(shù)據(jù)和提供基本服務(wù)的組織來(lái)說(shuō)，遭到入侵只是個(gè)時(shí)間問(wèn)題。

黑客入侵的路徑選擇

一些簡(jiǎn)單平凡的場(chǎng)景，通常是讓黑客獲得了進(jìn)入組織系統(tǒng)的機(jī)會(huì)。例如，黑客可以在BOSS直聘或者前程無(wú)憂上搜索一名員工，生成一個(gè)電子郵件聯(lián)系招聘單位的人力資源部門，聲稱他們支付了過(guò)高的薪酬，并附帶一個(gè)虛假聲明。如果人力資源點(diǎn)擊了附件，黑客就可以訪問(wèn)系統(tǒng)或部署惡意軟件。另一個(gè)例子是在潛伏在組織外面尋找弱點(diǎn)，如一個(gè)實(shí)習(xí)生為測(cè)試設(shè)置的服務(wù)器，或軟件漏洞。諸如零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)和防火墻之類的網(wǎng)絡(luò)安全措施確實(shí)可以延緩黑客入侵網(wǎng)絡(luò)的能力，但一旦進(jìn)入內(nèi)部，組織就相對(duì)脆弱了。

 一旦黑客突破了邊界，標(biāo)準(zhǔn)做法就是打入內(nèi)部(挖掘)，然后橫向移動(dòng)尋找組織的"皇冠上的明珠"：他們最有價(jià)值的數(shù)據(jù)。在金融或銀行機(jī)構(gòu)中，他們的服務(wù)器上很可能有一個(gè)包含敏感客戶信息的數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)本質(zhì)上是一個(gè)復(fù)雜的電子表格，黑客只需點(diǎn)擊"選擇"就可以復(fù)制所有內(nèi)容。在這種情況下，數(shù)據(jù)安全至關(guān)重要，但許多組織將數(shù)據(jù)安全與網(wǎng)絡(luò)安全混為一談。

組織通常依賴加密來(lái)保護(hù)敏感數(shù)據(jù)，但如果解密密鑰管理不當(dāng)，單靠加密是不夠的。如果攻擊者獲得了解密密鑰，他們就可以立即解密數(shù)據(jù)，使加密變得毫無(wú)用處。還有許多組織錯(cuò)誤地認(rèn)為加密可以防止所有形式的數(shù)據(jù)泄露，但弱密鑰管理、不當(dāng)實(shí)施或側(cè)通道攻擊仍可能導(dǎo)致數(shù)據(jù)被入侵。要真正保護(hù)數(shù)據(jù)，企業(yè)必須將強(qiáng)大的加密與安全的密鑰管理、訪問(wèn)控制，以及令牌化或格式保留加密等技術(shù)相結(jié)合，從而最大限度地減少入侵的影響。如果解密密鑰存儲(chǔ)在異地，受隱私增強(qiáng)技術(shù)(PET)（如令牌化）保護(hù)的數(shù)據(jù)庫(kù)對(duì)黑客來(lái)說(shuō)是無(wú)法讀取的。如果攻擊者無(wú)法從為組織提供數(shù)據(jù)加密和密鑰管理服務(wù)的第三方供應(yīng)商那里獲取密鑰，就無(wú)法解密數(shù)據(jù)，這使得整個(gè)過(guò)程變得更加復(fù)雜，對(duì)黑客來(lái)形成了重大的阻力。

此外，人工智能（AI）的應(yīng)用，對(duì)黑客的入侵行為帶來(lái)顯著的變化。這些變化主要體現(xiàn)在黑客利用AI技術(shù)來(lái)提高攻擊的效率、隱蔽性和成功率。比如，黑客利用生成式AI技術(shù)制造難以識(shí)別的個(gè)性化釣魚(yú)郵件和仿冒網(wǎng)站。這些郵件可以模仿特定個(gè)人的語(yǔ)言風(fēng)格，增加欺騙成功率；黑客還用 AI加速了偵察階段，通過(guò)自動(dòng)搜索和分析目標(biāo)信息，提高了攻擊的準(zhǔn)確性和速度。總而原址，黑客入侵變得更加復(fù)雜和難以防御，迫使安全領(lǐng)域也開(kāi)始采用AI技術(shù)來(lái)增強(qiáng)防御能力。

如何才能比黑客更聰明

對(duì)組織來(lái)說(shuō)，另一個(gè)現(xiàn)實(shí)是，黑客相對(duì)容易逃避檢測(cè)。根據(jù)IBM的數(shù)據(jù)，組織平均需要258天才能發(fā)現(xiàn)和控制住入侵事件。組織被入侵后甚至可能不是自己發(fā)現(xiàn)的，而是被黑客通知，或者是黑客試圖出售被盜數(shù)據(jù)時(shí)而被競(jìng)爭(zhēng)對(duì)手發(fā)現(xiàn)并購(gòu)告知的。IBM的發(fā)現(xiàn)表明，盡管258天是7年來(lái)的最低值，而且檢測(cè)窗口期正在縮短，但這仍然給了黑客相當(dāng)長(zhǎng)的時(shí)間在組織系統(tǒng)內(nèi)逗留。這意味著黑客可以持續(xù)訪問(wèn)新的客戶數(shù)據(jù)，并了解誰(shuí)在生態(tài)系統(tǒng)中，以入侵組織的供應(yīng)鏈。

要有效威懾黑客，組織應(yīng)該著力使攻擊變得更加困難和無(wú)利可圖。如果努力和風(fēng)險(xiǎn)超過(guò)了潛在收益，攻擊者更有可能轉(zhuǎn)移到更容易的目標(biāo)。實(shí)施分層的網(wǎng)絡(luò)安全措施和零信任框架可以加強(qiáng)防御。然而，銀行和金融機(jī)構(gòu)持有如此寶貴的數(shù)據(jù)，黑客會(huì)更加堅(jiān)持不懈。為了應(yīng)對(duì)這一點(diǎn)，投資強(qiáng)大的數(shù)據(jù)保護(hù)而不是單純依賴邊界網(wǎng)絡(luò)安全是必須的。組織應(yīng)確保即使攻擊者入侵了系統(tǒng)，敏感數(shù)據(jù)仍然是安全的——從而使其對(duì)網(wǎng)絡(luò)犯罪分子毫無(wú)用處。

值得一提的是，利用人工智能（AI）來(lái)防御黑客攻擊是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)重要趨勢(shì)。AI技術(shù)可以幫助識(shí)別和應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)威脅，提高對(duì)黑客的威懾力，并提高防御效率。比如，AI可以通過(guò)分析大量網(wǎng)絡(luò)數(shù)據(jù)，識(shí)別出復(fù)雜的威脅模式，如加密的惡意軟件或偽裝成正常流量的攻擊；AI可以根據(jù)威脅識(shí)別結(jié)果自動(dòng)調(diào)整防御策略，如阻斷惡意流量或隔離受感染系統(tǒng)；AI技術(shù)可以預(yù)測(cè)未來(lái)可能出現(xiàn)的威脅類型，從而提前采取防范措施。

知己知彼，百戰(zhàn)不殆。

想完全阻止黑客進(jìn)入組織網(wǎng)絡(luò)幾乎是不可能的，尤其是隨著網(wǎng)絡(luò)犯罪行業(yè)日益復(fù)雜，他們的技術(shù)也越來(lái)越先進(jìn)。我們只有與時(shí)俱進(jìn)，實(shí)時(shí)了解黑客的最新動(dòng)態(tài)，并制定適當(dāng)?shù)膽?yīng)對(duì)策略，才能最大程度地降低被攻擊的風(fēng)險(xiǎn),確保組織的數(shù)據(jù)和系統(tǒng)安全。