威胁行为者是针对特定目标发动攻击的个人或组织, 典型地使用一种特殊的风格来试图获得恶名. 威胁行为者是一个宽泛的术语,指的是那些试图对公司声誉造成损害的人, 财务状况, 和/或整体安全态势.
弗雷斯特的一个播客指出 威胁行为者和人工智能(AI)之间的新兴联系, 详细介绍了威胁行为者如何越来越多地使用人工智能来创建非常有说服力的假身份,从而导致组织采取潜在的破坏性行动.
为什么顶级威胁参与者总是以大型企业组织为目标,这已经不是什么秘密了:它们比中小型企业更有钱. 追求更大的目标风险更大, 但风险越大, 经济回报就越大.
威胁参与者可能以小型企业为目标的唯一原因可能是该组织是与大型组织相关联的供应链中的供应商——威胁参与者的实际目标. 话虽如此, 一些行业仍然是威胁行为者的主要目标是金融, healthcare, 和药品.
这些都是一流的垂直行业,拥有一些蓝筹品牌,威胁行为者梦想从中获得数百万甚至数十亿美元的利润. 这些品牌采用健壮的 安全操作中心(soc) 来保护他们的敏感数据, 因此,对于那些追求如此崇高目标的威胁行为者来说,门槛定得很高.
威胁行为者的动机首先是金钱. 但是威胁行为者赚钱的方式是什么呢? 通过出售信息. 因此,当威胁行为者试图破坏时,数据成为主要目标. 让我们来看看金钱和一些不那么引人注目的动机是如何让一个威胁演员盯着大奖的.
如前所述, 医疗保健和金融服务等受到严格监管的行业的公司是世界上最富有的公司之一. 如果威胁行为者能够破坏此类公司的安全协议, 奖金可能是一笔惊人的数目.
当员工或承包商寻求获得潜在经济利益的方法,或对他们工作的公司或合作伙伴怀恨在心时,就会出现内部威胁. 这可能是最麻烦的员工窃取客户数据的形式, 公司的专有财务信息, or 身份和访问管理(IAM) 工具-密码, encryption keys, etc. -卖给坏演员.
Ransomware 攻击者是否利用恶意代码或行为来劫持公司的数据, 其最终目标是迫使企业支付赎金以归还被盗数据. 然而,一个安全组织永远不可能对勒索软件攻击完全无懈可击, 他们可以采取措施保护自己的 攻击表面 或者减轻这种攻击的影响.
正如世界最近所经历的那样, 过去十年来,国家支持的威胁行为者对全球选举和政治活动的影响呈指数级增长. 这些类型的威胁行为者正在寻求通过利用人工智能影响选举和目标国家的投票公民, social media, 以及与投票过程本身相关的电子设备.
虽然我们已经讨论了某些类别的活动以及引发威胁行为者采取行动的动机, 现在让我们来看看目前大规模运作的威胁行为者类型的一些更严格的定义.
这些威胁行为者可能直接受雇于某一国家政府的一个部门,也可能来自某一国家政府雇用的有组织犯罪实体. 他们通常拥有深厚的资源,他们的集体动机遍及各个领域.
因为相对于小团体和个人而言,民族国家行为体得到了非常好的资助, 对于其他国家和商业行业来说,他们可能是特别可怕的对手. 国家支持的恶意网络活动可能对一个国家的国家安全和经济造成毁灭性影响.
根据美国国立卫生研究院(NIH), “网络恐怖主义行为涉及利用互联网和其他形式的信息和通信技术进行威胁或造成人身伤害,以通过威胁或恐吓获得政治或意识形态权力."
在世界各地的州和联邦政府的基本服务方面尤其如此. 如果一群网络恐怖分子有正当动机, 以电网等基本服务为目标, 医院基础设施, 城市管理服务可能会产生毁灭性的影响.
黑客积极分子——或黑客积极分子——在发动攻击时通常不受经济利益的驱使. In this way, 它们与开源项目密切相关,同样受到它们所吸引的人才的限制. 因为任何人都可以为开源项目做出贡献,所以他们的资源似乎是无限的, 但在现实中,黑客组织有一项艰巨的任务,那就是说服人们免费为他们工作.
出于这个原因, 黑客活动分子通常不像其他类型的威胁参与者那样表现出操作的复杂程度. 黑客主义组织通常没有实际的 attack path 发动攻击时, 因此,他们完全可以尝试低开销的攻击,这些攻击的针对性较低,更具机会性.
网络犯罪是, perhaps, 当人们想到有人通过互联网攻击公司时,最常见的威胁行为者原型. 许多网络罪犯不仅对获取个人信息感兴趣,而且还寻找可以卖给出价最高的人的公司信息.
他们部署勒索软件来劫持数据,实施社会工程和/或 钓鱼式攻击, 并将寻找可利用的网络漏洞,试图获取对公司有价值的信息, 另一个威胁组织,或者两者兼而有之.
Of course, 不同类型的威胁行为者会有不同的策略, techniques, 和程序(TTPs)来实现他们的最终目标. 现代的威胁行为者组织正在寻找方法来延长对组织的控制, 这给知名度较高的公司带来了一种噩梦般的场景.
Remember, “威胁行为者”一词可以包括许多不同类型的犯罪者,他们在企业网络上实施了许多不同类型的犯罪行为. 但是SOC分析师和从业者可以利用一些常见的策略来成功地挫败网络罪犯.
安全意识培训 可以包含许多不同主题的网络防御方法, 但这种教育项目的总体目的是培训那些不从事网络安全工作的员工.
无论是对员工进行恶意软件教育, 桌面安全, 无线网络, or phishing, 企业领导者应该了解建立安全意识培训计划的内容, get involved, 并在整个过程中提供反馈.
企业网络有许多组成部分.“很多都是数字化的,但可能有更多的物理组件——或者 endpoints ——比你想象的要多. 网络安全 围绕组织的物理和云环境构建防御和攻击框架的深入实践是什么.
网络安全进程可以包括审查活动目录组, 启用多因素身份验证(MFA), 保持一个强大的 云安全态势. 同时, 一个网络的强度取决于它最弱的端点(笔记本电脑), 移动设备, servers, etc.). 因为端点上的漏洞可能正是威胁行为者需要破坏网络并开始横向移动的最终目标.
要求员工或系统用户通过多个验证步骤验证他们的身份是一种最佳实践,以确保他们实际上不是冒充有权访问网络的人的威胁行为者.
IAM协议在用户与本地或基于云的服务器和应用程序之间实现安全层. IAM组件包括密码管理, 安全策略的实施, MFA, 和/或访问监控和警报.