什么是威胁行为者？

无论是由政府支持的团体还是单独行动的个人，都应对所有的网络攻击负责。专家们将这些实施者称为“威胁行为者”。本文介绍了如何识别这些威胁行为者，以及如何保护网络资产免受常见攻击的侵害。

威胁行为者的定义

威胁发起者就是那种试图制造威胁的人/组织。那些故意针对某个组织的网络基础设施和关键数据的恶意个人或团体这些威胁行为者可能会通过网络攻击来破坏网络资产，或者为了牟利而窃取信息。他们可以单独行动，也可以代表犯罪团体或国家进行此类活动。

各种威胁行为人的类型

存在许多类型的网络攻击者。以下列出的任何一种类型都可能是导致针对您公司网络的下一次网络攻击的罪魁祸首。

国家/民族

那些隶属于某个国家的组织，可能会对其他国家或相关企业发动攻击。例如，中国被指控利用网络攻击手段来窃取知识产权。而针对伊朗核设施的网络攻击，很可能就是由美国势力所为。

各国通常会使用……高级持续性威胁（APTs）为了逃避侦查，同时能够长期持续地运作。

犯罪团体

犯罪团伙利用网络攻击手段来突破企业的网络安全措施。这些团伙可能会向企业索要赎金，以换取恢复系统的正常运行或归还数据。他们还可能窃取客户信息进行贩卖。

直到最近，犯罪团伙仍然倾向于在内部组织并实施袭击。不过现在，这种手段已经变得不再那么可行了——因为现在有这样的工具可以轻易地实现这一目标。基于服务的勒索软件套件这使得那些技能较低的网络威胁行为者能够攻击公司的目标，从而增加了与这些犯罪威胁行为相关的事件频率和风险。

恐怖分子

恐怖分子利用网络攻击来破坏数字系统、制造混乱，并在目标人群中引发恐惧情绪。

恐怖组织通常利用社会工程学手段来获取目标的信息。例如，俄罗斯的恐怖组织就使用网络钓鱼手段来获取乌克兰士兵的信息，以便用于实施恐吓行动。

恐怖分子还利用拒绝服务攻击来破坏关键基础设施。医疗领域的机构通常是恐怖分子的常见目标，因此这些机构必须实施严格的安全政策，以有效应对拒绝服务攻击。

黑客激进分子和恶意脚本编写者

黑客行为者是指那些利用网络攻击来推动政治目标或揭露安全漏洞的个人或团体。这些威胁行为者通常会使用代码漏洞来破坏公司的网站，并传播相关的口号或信息。

那些使用脚本攻击技术的攻击者，通常都是喜欢尝试各种网络攻击手段的人。这类威胁行为者之所以这么做，是因为他们渴望取得成功带来的快感，同时也希望证明自己的技术能力。

内部威胁

恶意的内部人员威胁来自组织内部。这些内部人员可能是心怀不满的现任或前员工，他们对上司或公司政策心怀不满。他们可能试图破坏网络资产，或者窃取数据以便出售或交给竞争对手。

内部威胁还包括那些拥有大量权限的用户，但他们并非由某家公司直接雇佣。这类内部威胁的发起者可能是承包商、自由职业者或第三方供应商。

企业参与者

那些试图窃取员工、产品或商业策略等机密信息的竞争对手，同样构成了网络安全的威胁。这些攻击者通常会利用社会工程学手段来针对那些具有高价值的员工。

威胁行为者所针对的目标

安全政策应考虑到与不同威胁行为者相关的风险。不过，这些政策还应对各项风险进行评估。潜在的网络攻击目标这样一来，安全团队就能够保护数据容器、服务器以及工作设备，从而有效应对各种可能的攻击方式。

个人可识别信息（PII）

PII通常是犯罪威胁行为者的主要攻击目标。这类数据属于……识别个体同时，这种机制还允许恶意攻击者构建详细的目标信息。这些目标信息使得网络钓鱼攻击者能够创建出看似真实的电子邮件或虚假的网站，从而诱使目标用户采取他们希望采取的行动。

攻击者通常会窃取个人身份信息，然后将其在暗网上进行销售。数据显示，那些被攻破的LinkedIn账户在暗网上可以以45美元的价格出售。不过，犯罪分子通常还会以几百美元的价格出售数百万封电子邮件。

财务数据

财务数据通常受到严格保护，但对于恶意攻击者来说，这些数据却具有极高的价值。信用卡的密码每根大约价值20美元左右，而网上银行的登录信息则根据账户余额的不同而有所差异，价格在35美元到65美元之间。

受保护的健康信息

由于具有巨大的经济价值，以及存在身份盗窃和欺诈的风险，PHI成为网络攻击者的目标。PHI中包含与保险索赔、治疗情况相关的可识别信息以及健康数据。

知识产权

网络威胁行为者会以知识产权为目标，目的是将其转售或用于个人用途。攻击者可能会窃取开发过程中的代码，以便与竞争对手分享。此外，他们还可能在产品正式上市之前就获取产品的设计图，从而为自己的客户带来竞争优势。

网络基础设施

许多恶意攻击者会将目标对准关键的网络基础设施，从而让网站和工作负载无法正常运行。DDoS攻击会摧毁网络服务器，导致目标企业出现停机问题，进而造成经济损失。

基础设施攻击通常与勒索软件团伙有关。这些犯罪组织会使相关的基础设施无法正常运行，直到目标支付一定的赎金为止。

云基础设施

大约44%使用云技术的公司都遭遇过网络安全漏洞。常见的攻击目标包括云管理基础设施、SaaS应用程序以及云存储系统。

与云相关的网络威胁可能具有极大的破坏性，因为企业通常会在云容器中存储大量数据。API漏洞利用、凭证填充攻击以及配置错误等问题都可能导致大规模的数据泄露。

国有资产

一些威胁行为者将他们的攻击目标定位在战略防御系统或政府资产上。这些攻击可能针对军事后勤系统、相关设备，或者为政府供应链提供服务的承包商。

网络威胁行为者的作案手法

威胁行为者有多种方式来造成伤害，而潜在的网络威胁则不断演变。威胁行为者的作案手段包括：

网络钓鱼/社会工程学

攻击者利用被窃取的个人数据或公开可用的信息，来发送有针对性的电子邮件、短信、社交媒体帖子或书面信件。

网络钓鱼邮件是最常见的网络攻击形式，每个组织都必须做好检测和应对这些邮件的准备。这些邮件会误导收件人。鼓励他们采取冒险的行动。比如，点击恶意链接或下载包含恶意软件的附件。

当目标采取所需的行动时，攻击者就可以植入恶意软件、收集数据，并发起进一步的网络攻击。

勒索软件

勒索软件是一种恶意软件的变种。在目标支付赎金之前，会锁定那些至关重要的系统。勒索软件可以影响任何经济领域，但最常见的是在制造业或医疗保健行业。这些机构无法承受长时间的停机时间或数据泄露带来的损失。

攻击者通常会利用电子邮件钓鱼手段来发起勒索软件攻击。不过，一些技术高超的攻击者可能会使用漏洞利用工具，或者利用不安全的无线网络或远程桌面协议来实施攻击。

成就/功绩

成就/功绩针对脆弱的代码进行修复/改进那些连接到公共互联网的应用程序都可能成为攻击目标。攻击目标可能包括各种操作系统、网络应用程序、浏览器，或是用于协作的工具——只要是通过互联网连接到的任何东西，都有可能受到攻击。

那些不良分子不断发现我们使用的应用程序中的新安全漏洞。他们利用这些漏洞来植入恶意软件，或者获取网络访问权限以窃取数据。各国政府也利用这些漏洞作为传输手段，来实施高级持续性威胁，从而进行监控或破坏网络。

许多漏洞都是因为……而产生的。未打补丁的应用程序因此，安全政策需要定期进行更新。

分布式拒绝服务攻击（DDoS）

DDoS攻击用网络流量来淹没目标网络这会导致大量的系统停机时间，同时还可能使网络面临二次攻击的威胁。

威胁行为者通常采用“分布式”策略来发起DoS攻击。他们控制着各种设备，并将这些设备相互连接在一起。僵尸网络僵尸网络能够利用计算资源，从而帮助隐藏DoS攻击的源头。这样一来，这些攻击就变得更加难以被探测到。

来自内部的威胁

内部威胁利用用户的权限攻击者可以利用这些权限来访问敏感资源并窃取数据。企业通常会给用户过多的权限，但却无法及时撤销这些临时授予的特权。这样一来，用户就可以利用这种机会来访问那些本应被禁止的资源。

密码攻击

认证系统是威胁行为者进入网络的重要入口。很多时候，威胁行为者会窃取或购买凭证来访问网络资源。更复杂的攻击方式则涉及……凭证填充用来猜测密码的。

密码填充机制之所以有效，是因为几乎有80%的人会在多个账户上使用相同的密码。此外，许多人还会使用一些细微的密码变体。攻击者可以尝试成千上万种不同的密码组合，直到找到合适的密码为止。

供应链攻击

一些威胁行为者利用数字供应链的优势为了实现最大的影响，供应链攻击往往针对那些与许多企业客户有业务往来的云服务提供商。随着云计算的普及，这类攻击也日益增多。

例如，在2024年，云存储供应商Snowflake报告称，其客户数据库遭受了多起攻击。最终，包括Santander、Advance AutoParts和Ticketmaster在内的各种企业都承认自己受到了这些攻击的影响。

威胁行为者的例子

在现实生活中，那些实施威胁行为的家伙到底长什么样呢？情况其实相当复杂，正如Snowflake的攻击案例所显示的那样。

安全官员认为，这些攻击是由一个人实施的。Alexander Moucka利用了那些认证设置不当的Snowflake账户，然后使用现成的InfoStealer软件从165个账户中提取了客户数据。

Moucka独自工作，但她属于一个在Telegram和Discord上活跃的群体——这个群体的名称叫做“Com”。Com是一个松散的犯罪团体，负责实施各种网络犯罪活动。

其他威胁行为者则更为有组织性。例如……