一旦黑客突破了組織的防御，在網絡內部移動和訪問信息就相對容易，可能會持續數天甚至數月而未被發現。這對于存儲有寶貴的敏感和個人身份信息的銀行和金融服務機構來說，是一個重大隱患。網絡安全的目標是最小化風險和入侵的影響。了解對手的思維模式和活動對此至關重要。

這些隱藏在網絡空間陰影里的黑客們，到底是都是什么樣的人？他們的動機是什么？他們又是如何入侵組織的系統，竊取機密的數據？更重要的是，我們該如何有效防范他們的攻擊?

揭秘黑客攻擊的動機

在錯綜復雜的網絡攻擊世界中，了解驅使黑客的動機像是破譯一個復雜的謎題，而這些動機為他們的活動提供了動力。安全牛總結認為，黑客發動攻擊的動機主要為經濟利益、黑客行動主義、報復、奇心和挑戰、間諜活動、尋求刺激和社會認可。而經濟利益被普遍認為是最大的驅動因素。

最近泄露的Black Basta聊天記錄真實地展示了黑客的架構和日常生活。從這些記錄可以得出結論，對很多黑客來說，網絡犯罪就是一門生意，有目標、配額和呼叫模板。不管動機是純粹出于經濟目的，還是其他因素，對于很多黑客來說，黑客行為只是一份日常工作。

就像任何一份日常工作一樣，黑客一直都在尋求最省力的途徑。這意味著黑客會尋找最小化努力、最大化產出的機會。比如，偵察一個網站并連接到訪客WiFi，或者直接走進一個組織插入以太網電纜。他們的策略中也有機會主義的成分，比如隨機檢查是否存在易受攻擊的漏洞，或尋找低垂的果實（通常是組織內部員工）。

"ransomware-as-a-service"(RaaS)是一個令人不安的一個新趨勢。Raas就像一個市場，可以購買被入侵系統訪問權限，或購買定制的勒索軟件直接部署到系統中。這個趨勢加速黑客活動的民主化，大幅擴大了網絡犯罪產業。這意味著對于許多處理有價值數據和提供基本服務的組織來說，遭到入侵只是個時間問題。

黑客入侵的路徑選擇

一些簡單平凡的場景，通常是讓黑客獲得了進入組織系統的機會。例如，黑客可以在BOSS直聘或者前程無憂上搜索一名員工，生成一個電子郵件聯系招聘單位的人力資源部門，聲稱他們支付了過高的薪酬，并附帶一個虛假聲明。如果人力資源點擊了附件，黑客就可以訪問系統或部署惡意軟件。另一個例子是在潛伏在組織外面尋找弱點，如一個實習生為測試設置的服務器，或軟件漏洞。諸如零信任網絡訪問(ZTNA)和防火墻之類的網絡安全措施確實可以延緩黑客入侵網絡的能力，但一旦進入內部，組織就相對脆弱了。

 一旦黑客突破了邊界，標準做法就是打入內部(挖掘)，然后橫向移動尋找組織的"皇冠上的明珠"：他們最有價值的數據。在金融或銀行機構中，他們的服務器上很可能有一個包含敏感客戶信息的數據庫。數據庫本質上是一個復雜的電子表格，黑客只需點擊"選擇"就可以復制所有內容。在這種情況下，數據安全至關重要，但許多組織將數據安全與網絡安全混為一談。

組織通常依賴加密來保護敏感數據，但如果解密密鑰管理不當，單靠加密是不夠的。如果攻擊者獲得了解密密鑰，他們就可以立即解密數據，使加密變得毫無用處。還有許多組織錯誤地認為加密可以防止所有形式的數據泄露，但弱密鑰管理、不當實施或側通道攻擊仍可能導致數據被入侵。要真正保護數據，企業必須將強大的加密與安全的密鑰管理、訪問控制，以及令牌化或格式保留加密等技術相結合，從而最大限度地減少入侵的影響。如果解密密鑰存儲在異地，受隱私增強技術(PET)（如令牌化）保護的數據庫對黑客來說是無法讀取的。如果攻擊者無法從為組織提供數據加密和密鑰管理服務的第三方供應商那里獲取密鑰，就無法解密數據，這使得整個過程變得更加復雜，對黑客來形成了重大的阻力。

此外，人工智能（AI）的應用，對黑客的入侵行為帶來顯著的變化。這些變化主要體現在黑客利用AI技術來提高攻擊的效率、隱蔽性和成功率。比如，黑客利用生成式AI技術制造難以識別的個性化釣魚郵件和仿冒網站。這些郵件可以模仿特定個人的語言風格，增加欺騙成功率；黑客還用 AI加速了偵察階段，通過自動搜索和分析目標信息，提高了攻擊的準確性和速度。總而原址，黑客入侵變得更加復雜和難以防御，迫使安全領域也開始采用AI技術來增強防御能力。

如何才能比黑客更聰明

對組織來說，另一個現實是，黑客相對容易逃避檢測。根據IBM的數據，組織平均需要258天才能發現和控制住入侵事件。組織被入侵后甚至可能不是自己發現的，而是被黑客通知，或者是黑客試圖出售被盜數據時而被競爭對手發現并購告知的。IBM的發現表明，盡管258天是7年來的最低值，而且檢測窗口期正在縮短，但這仍然給了黑客相當長的時間在組織系統內逗留。這意味著黑客可以持續訪問新的客戶數據，并了解誰在生態系統中，以入侵組織的供應鏈。

要有效威懾黑客，組織應該著力使攻擊變得更加困難和無利可圖。如果努力和風險超過了潛在收益，攻擊者更有可能轉移到更容易的目標。實施分層的網絡安全措施和零信任框架可以加強防御。然而，銀行和金融機構持有如此寶貴的數據，黑客會更加堅持不懈。為了應對這一點，投資強大的數據保護而不是單純依賴邊界網絡安全是必須的。組織應確保即使攻擊者入侵了系統，敏感數據仍然是安全的——從而使其對網絡犯罪分子毫無用處。

值得一提的是，利用人工智能（AI）來防御黑客攻擊是當前網絡安全領域的一個重要趨勢。AI技術可以幫助識別和應對復雜的網絡威脅，提高對黑客的威懾力，并提高防御效率。比如，AI可以通過分析大量網絡數據，識別出復雜的威脅模式，如加密的惡意軟件或偽裝成正常流量的攻擊；AI可以根據威脅識別結果自動調整防御策略，如阻斷惡意流量或隔離受感染系統；AI技術可以預測未來可能出現的威脅類型，從而提前采取防范措施。

知己知彼，百戰不殆。

想完全阻止黑客進入組織網絡幾乎是不可能的，尤其是隨著網絡犯罪行業日益復雜，他們的技術也越來越先進。我們只有與時俱進，實時了解黑客的最新動態，并制定適當的應對策略，才能最大程度地降低被攻擊的風險,確保組織的數據和系統安全。