如果您想保護系統，您需要了解您在保護它們來自誰的攻擊。

您將面臨的許多攻擊者將分為幾個不同的群體。這些不同的團體通常使用不同的策略、技術和程序 (TTPs) 來攻擊系統。

確定哪些參與者或參與者組可能針對您的系統可以幫助確定最重要的緩解措施的優先級。

腳本小子：

腳本小子是技術上缺乏經驗的黑客。他們通常很年輕——甚至是青少年。他們不知道如何編寫自己的代碼或漏洞利用，但可以使用其他人開發的工具。他們經常受到樂趣的驅使。

他們通常使用網絡釣魚攻擊、他們在暗網市場上從其他人那里購買的工具或免費工具。

網絡罪犯：

網絡犯罪分子技術復雜，從腳本小子到有組織的幫派，每個成員在網絡犯罪團伙中扮演不同的角色。他們應對大多數數據泄露事件負責，并且主要受金錢驅使。他們以 ATM 欺詐（“jackpotting”）、信用卡和禮品卡盜竊、勒索軟件和數據盜竊（以及其他攻擊）而聞名。

網絡犯罪分子最常見的攻擊是大規模網絡釣魚活動，因為這些活動可用于分發勒索軟件或啟用數據盜竊。當粗心的用戶點擊鏈接或打開附件時，勒索軟件（惡意軟件會鎖定他們的文件，直到他們支付贖金（通常是數字貨幣））會感染他們的機器。

或者，網絡釣魚鏈接可能會詢問用戶的憑據（用戶名和密碼），然后使用該信息竊取信息或勒索用戶。

像這樣的大規模網絡釣魚活動在技術上非常容易執行，并且非常?有利可圖。

防范網絡罪犯通常比您的“鄰居”更安全，因為網絡罪犯正在尋找最容易的目標。

自動垃圾郵件過濾、電子郵件附件和鏈接掃描以及 DMARC、SPF 和 DKIM 等措施有助于減少發送給用戶的網絡釣魚電子郵件的數量。安全意識計劃還可以幫助用戶識別過濾器遺漏的網絡釣魚電子郵件并將其報告給您的安全團隊。

在過去的幾年里，這種情況發生了一些變化，因為大型狩獵變得越來越流行。

從本質上講，這是網絡犯罪分子選擇一個大型實體（通常是對停機時間容忍度低的實體）作為目標并花費數周或數月的時間攻入目標網絡，特別是尋找高價值資產的時候。

然后，他們將部署勒索軟件，并利用公司無法處理停機時間來協商贖金（除了泄露數據并利用數據泄露的威脅誘使公司支付贖金）。

犯罪分子往往比較老練，優先考慮隱身。防御這些群體要困難得多，并且依賴于分層防御（無數保護和警報機制，以保護系統、檢測入侵和減輕漏洞）。

黑客主義者：

黑客主義者的動機是問題（政治、經濟、宗教等）。這些演員中有些是獨唱演員，有些是匿名演員（以對科學教教堂的一系列攻擊而聞名）等團體。

這些組織經常使用 DDoS（分布式拒絕服務）攻擊和網站破壞。DDoS 攻擊是指攻擊者通過大量請求使服務器不堪重負，導致服務器無法處理流量并崩潰（通常使用僵尸網絡）。當一組人刪除當前顯示在網站上的消息或圖像并用他們自己的替換它們時，就會發生網站污損。

黑客活動家通常不會出于金錢或數據盜竊的動機（除非他們認為如果數據暴露會導致目標入罪或使目標尷尬），而是希望傳播他們的信息或宣傳他們的原因。

防范這些攻擊需要掃描面向公眾的網站是否存在漏洞，擁有事件響應團隊（和事件響應計劃！），并采取適當的保護措施來緩解流量高峰（例如 Amazon Shield for AWS）。

內部威脅：

內部威脅可以大致分為兩組：惡意內部人員和意外內部人員。

• 惡意內部人員是那些被外部人員破壞或決定從組織中竊取以謀取私利的人。對被解雇或錯過升職感到憤怒并想要報復的人，或者試圖竊取內幕交易信息的人都是惡意內幕人士。
• 意外的內部人員包括那些點擊網絡釣魚鏈接（并且他們的帳戶遭到入侵）、錯誤配置數據庫或不小心將敏感信息發送給錯誤的人的人。

無論內部人員的動機如何，它們都會對任何組織構成最?危險的?威脅之一。內部威脅的主要關注點應該是數據盜竊，因為信息通常是這類攻擊的目標。

防御內部威脅應主要由安全意識驅動。人們希望提供幫助，這是黑客通過社會工程攻擊來獲取信息的特征。

安全計劃通常使用安全培訓、安全冠軍計劃和意識倡議來教育員工了解這種威脅。此外，全面監控內部網絡的異常行為（通常使用用戶行為分析）可以幫助您識別和緩解內部威脅。

民族國家攻擊者：

2018 年，民族國家的攻擊者只對所有數據泄露事件負責（Verizon 數據泄露報告）。然而，他們通常訓練有素，資金充足，并且非常積極。

與內部人員（通常沒有訓練有素）或網絡犯罪分子（通常沒有動機攻擊特定目標）不同，一旦民族國家攻擊者（也稱為 APT 或高級持續威脅）針對您的組織，他們不太可能停止，直到他們滲透到組織中。

這些類型的攻擊者通常是受雇于世界各地情報機構的受薪雇員。民族國家的目標因國家而異，但通常旨在推進國家的政治和經濟目標。

這些攻擊者以一系列策略（任何有助于他們危害您的組織的策略）而聞名，但眾所周知，他們使用魚叉式網絡釣魚攻擊、自定義惡意軟件和零日攻擊。

與想要快速將資產貨幣化的網絡犯罪分子不同，民族國家的攻擊者通常會尋求對您的基礎設施的長期訪問。他們將盡最大努力悄悄地（并通過多個入口點）獲得初始訪問權限，然后悄悄地通過您的網絡，盡可能多地進行映射。這樣，他們就不太可能被抓到，更有可能找到他們的目標，并在不被抓到的情況下泄露數據。

防范這些組織取決于整個組織的強大安全基礎（例如補丁和漏洞管理計劃、安全意識計劃、監控和檢測以及有效的事件響應等），以及更高級的保護（例如威脅情報，它可以幫助您識別可能針對您的組織的威脅參與者）。

為什么以我的組織為目標的攻擊者類型很重要？

由于資源不是無限的，因此每個安全程序都需要優先考慮某些保護而不是其他保護，并且不能有效地防御所有攻擊。他們也可能根據業務需求實施控制的能力有限。

一個有效的安全團隊在推薦安全工具時需要選擇如何明智地利用他們的影響力。

鑒于此，如何選擇優先控制哪些控制的一種理念是執行“威脅建模”。

在非常高的級別上，威脅建模旨在確定組織最有價值的資產（或“皇冠上的珠寶”）并識別最有可能攻擊組織的威脅參與者（按高級類型，甚至特定組）。這還可能涉及確定組織可能遇到哪些攻擊或攻擊類型。

此信息可以幫助安全團隊確定哪些控制對他們的環境最有效，并將提供最大的成本保護。然后，團隊可以為他們的環境優先考慮最重要的安全措施，并最好地利用有限的資源和有限的影響力來保護他們的環境免受他們最有可能面臨的威脅。

原文鏈接：https://www.freecodecamp.org/news/types-of-hackers/

作者：Megan Kaczanowski

版權歸原作者所有，侵刪