如果您想保護(hù)系統(tǒng)，您需要了解您在保護(hù)它們來自誰的攻擊。

您將面臨的許多攻擊者將分為幾個不同的群體。這些不同的團(tuán)體通常使用不同的策略、技術(shù)和程序 (TTPs) 來攻擊系統(tǒng)。

確定哪些參與者或參與者組可能針對您的系統(tǒng)可以幫助確定最重要的緩解措施的優(yōu)先級。

腳本小子：

腳本小子是技術(shù)上缺乏經(jīng)驗(yàn)的黑客。他們通常很年輕——甚至是青少年。他們不知道如何編寫自己的代碼或漏洞利用，但可以使用其他人開發(fā)的工具。他們經(jīng)常受到樂趣的驅(qū)使。

他們通常使用網(wǎng)絡(luò)釣魚攻擊、他們在暗網(wǎng)市場上從其他人那里購買的工具或免費(fèi)工具。

網(wǎng)絡(luò)罪犯：

網(wǎng)絡(luò)犯罪分子技術(shù)復(fù)雜，從腳本小子到有組織的幫派，每個成員在網(wǎng)絡(luò)犯罪團(tuán)伙中扮演不同的角色。他們應(yīng)對大多數(shù)數(shù)據(jù)泄露事件負(fù)責(zé)，并且主要受金錢驅(qū)使。他們以 ATM 欺詐（“jackpotting”）、信用卡和禮品卡盜竊、勒索軟件和數(shù)據(jù)盜竊（以及其他攻擊）而聞名。

網(wǎng)絡(luò)犯罪分子最常見的攻擊是大規(guī)模網(wǎng)絡(luò)釣魚活動，因?yàn)檫@些活動可用于分發(fā)勒索軟件或啟用數(shù)據(jù)盜竊。當(dāng)粗心的用戶點(diǎn)擊鏈接或打開附件時，勒索軟件（惡意軟件會鎖定他們的文件，直到他們支付贖金（通常是數(shù)字貨幣））會感染他們的機(jī)器。

或者，網(wǎng)絡(luò)釣魚鏈接可能會詢問用戶的憑據(jù)（用戶名和密碼），然后使用該信息竊取信息或勒索用戶。

像這樣的大規(guī)模網(wǎng)絡(luò)釣魚活動在技術(shù)上非常容易執(zhí)行，并且非常?有利可圖。

防范網(wǎng)絡(luò)罪犯通常比您的“鄰居”更安全，因?yàn)榫W(wǎng)絡(luò)罪犯正在尋找最容易的目標(biāo)。

自動垃圾郵件過濾、電子郵件附件和鏈接掃描以及 DMARC、SPF 和 DKIM 等措施有助于減少發(fā)送給用戶的網(wǎng)絡(luò)釣魚電子郵件的數(shù)量。安全意識計劃還可以幫助用戶識別過濾器遺漏的網(wǎng)絡(luò)釣魚電子郵件并將其報告給您的安全團(tuán)隊。

在過去的幾年里，這種情況發(fā)生了一些變化，因?yàn)榇笮歪鳙C變得越來越流行。

從本質(zhì)上講，這是網(wǎng)絡(luò)犯罪分子選擇一個大型實(shí)體（通常是對停機(jī)時間容忍度低的實(shí)體）作為目標(biāo)并花費(fèi)數(shù)周或數(shù)月的時間攻入目標(biāo)網(wǎng)絡(luò)，特別是尋找高價值資產(chǎn)的時候。

然后，他們將部署勒索軟件，并利用公司無法處理停機(jī)時間來協(xié)商贖金（除了泄露數(shù)據(jù)并利用數(shù)據(jù)泄露的威脅誘使公司支付贖金）。

犯罪分子往往比較老練，優(yōu)先考慮隱身。防御這些群體要困難得多，并且依賴于分層防御（無數(shù)保護(hù)和警報機(jī)制，以保護(hù)系統(tǒng)、檢測入侵和減輕漏洞）。

黑客主義者：

黑客主義者的動機(jī)是問題（政治、經(jīng)濟(jì)、宗教等）。這些演員中有些是獨(dú)唱演員，有些是匿名演員（以對科學(xué)教教堂的一系列攻擊而聞名）等團(tuán)體。

這些組織經(jīng)常使用 DDoS（分布式拒絕服務(wù)）攻擊和網(wǎng)站破壞。DDoS 攻擊是指攻擊者通過大量請求使服務(wù)器不堪重負(fù)，導(dǎo)致服務(wù)器無法處理流量并崩潰（通常使用僵尸網(wǎng)絡(luò)）。當(dāng)一組人刪除當(dāng)前顯示在網(wǎng)站上的消息或圖像并用他們自己的替換它們時，就會發(fā)生網(wǎng)站污損。

黑客活動家通常不會出于金錢或數(shù)據(jù)盜竊的動機(jī)（除非他們認(rèn)為如果數(shù)據(jù)暴露會導(dǎo)致目標(biāo)入罪或使目標(biāo)尷尬），而是希望傳播他們的信息或宣傳他們的原因。

防范這些攻擊需要掃描面向公眾的網(wǎng)站是否存在漏洞，擁有事件響應(yīng)團(tuán)隊（和事件響應(yīng)計劃！），并采取適當(dāng)?shù)谋Ｗo(hù)措施來緩解流量高峰（例如 Amazon Shield for AWS）。

內(nèi)部威脅：

內(nèi)部威脅可以大致分為兩組：惡意內(nèi)部人員和意外內(nèi)部人員。

• 惡意內(nèi)部人員是那些被外部人員破壞或決定從組織中竊取以謀取私利的人。對被解雇或錯過升職感到憤怒并想要報復(fù)的人，或者試圖竊取內(nèi)幕交易信息的人都是惡意內(nèi)幕人士。
• 意外的內(nèi)部人員包括那些點(diǎn)擊網(wǎng)絡(luò)釣魚鏈接（并且他們的帳戶遭到入侵）、錯誤配置數(shù)據(jù)庫或不小心將敏感信息發(fā)送給錯誤的人的人。

無論內(nèi)部人員的動機(jī)如何，它們都會對任何組織構(gòu)成最?危險的?威脅之一。內(nèi)部威脅的主要關(guān)注點(diǎn)應(yīng)該是數(shù)據(jù)盜竊，因?yàn)樾畔⑼ǔＪ沁@類攻擊的目標(biāo)。

防御內(nèi)部威脅應(yīng)主要由安全意識驅(qū)動。人們希望提供幫助，這是黑客通過社會工程攻擊來獲取信息的特征。

安全計劃通常使用安全培訓(xùn)、安全冠軍計劃和意識倡議來教育員工了解這種威脅。此外，全面監(jiān)控內(nèi)部網(wǎng)絡(luò)的異常行為（通常使用用戶行為分析）可以幫助您識別和緩解內(nèi)部威脅。

民族國家攻擊者：

2018 年，民族國家的攻擊者只對所有數(shù)據(jù)泄露事件負(fù)責(zé)（Verizon 數(shù)據(jù)泄露報告）。然而，他們通常訓(xùn)練有素，資金充足，并且非常積極。

與內(nèi)部人員（通常沒有訓(xùn)練有素）或網(wǎng)絡(luò)犯罪分子（通常沒有動機(jī)攻擊特定目標(biāo)）不同，一旦民族國家攻擊者（也稱為 APT 或高級持續(xù)威脅）針對您的組織，他們不太可能停止，直到他們滲透到組織中。

這些類型的攻擊者通常是受雇于世界各地情報機(jī)構(gòu)的受薪雇員。民族國家的目標(biāo)因國家而異，但通常旨在推進(jìn)國家的政治和經(jīng)濟(jì)目標(biāo)。

這些攻擊者以一系列策略（任何有助于他們危害您的組織的策略）而聞名，但眾所周知，他們使用魚叉式網(wǎng)絡(luò)釣魚攻擊、自定義惡意軟件和零日攻擊。

與想要快速將資產(chǎn)貨幣化的網(wǎng)絡(luò)犯罪分子不同，民族國家的攻擊者通常會尋求對您的基礎(chǔ)設(shè)施的長期訪問。他們將盡最大努力悄悄地（并通過多個入口點(diǎn)）獲得初始訪問權(quán)限，然后悄悄地通過您的網(wǎng)絡(luò)，盡可能多地進(jìn)行映射。這樣，他們就不太可能被抓到，更有可能找到他們的目標(biāo)，并在不被抓到的情況下泄露數(shù)據(jù)。

防范這些組織取決于整個組織的強(qiáng)大安全基礎(chǔ)（例如補(bǔ)丁和漏洞管理計劃、安全意識計劃、監(jiān)控和檢測以及有效的事件響應(yīng)等），以及更高級的保護(hù)（例如威脅情報，它可以幫助您識別可能針對您的組織的威脅參與者）。

為什么以我的組織為目標(biāo)的攻擊者類型很重要？

由于資源不是無限的，因此每個安全程序都需要優(yōu)先考慮某些保護(hù)而不是其他保護(hù)，并且不能有效地防御所有攻擊。他們也可能根據(jù)業(yè)務(wù)需求實(shí)施控制的能力有限。

一個有效的安全團(tuán)隊在推薦安全工具時需要選擇如何明智地利用他們的影響力。

鑒于此，如何選擇優(yōu)先控制哪些控制的一種理念是執(zhí)行“威脅建?！薄?/p>

在非常高的級別上，威脅建模旨在確定組織最有價值的資產(chǎn)（或“皇冠上的珠寶”）并識別最有可能攻擊組織的威脅參與者（按高級類型，甚至特定組）。這還可能涉及確定組織可能遇到哪些攻擊或攻擊類型。

此信息可以幫助安全團(tuán)隊確定哪些控制對他們的環(huán)境最有效，并將提供最大的成本保護(hù)。然后，團(tuán)隊可以為他們的環(huán)境優(yōu)先考慮最重要的安全措施，并最好地利用有限的資源和有限的影響力來保護(hù)他們的環(huán)境免受他們最有可能面臨的威脅。

原文鏈接：https://www.freecodecamp.org/news/types-of-hackers/

作者：Megan Kaczanowski

版權(quán)歸原作者所有，侵刪