破壞總是比建設(shè)容易，傷害必然比愈合簡(jiǎn)單。攻擊者潛入地下小心準(zhǔn)確地突破企業(yè)防線，扎根數(shù)據(jù)存儲(chǔ)不斷吸取重要信息，獲取巨大經(jīng)濟(jì)利益，也總是比企業(yè)構(gòu)筑防線要容易得多。

企業(yè)與網(wǎng)絡(luò)罪犯之間拼的就是軍備。就算不妄想扭轉(zhuǎn)局勢(shì)占據(jù)上風(fēng)，僅僅維持現(xiàn)狀，公司就必須時(shí)常構(gòu)筑防線。

通過(guò)分析深網(wǎng)、駐留時(shí)間，以及二者在網(wǎng)絡(luò)安全勢(shì)力平衡中的角色，可以得出：想要更好地武裝企業(yè)人員，可以采取雇用黑客和提升員工社工/網(wǎng)絡(luò)釣魚培訓(xùn)有效性等防御行動(dòng)。

一、深網(wǎng)黑暗面

出于安全或隱私等多種原因，深網(wǎng)站點(diǎn)主人不在目錄和搜索引擎里索引他們的網(wǎng)頁(yè)屬性。深網(wǎng)論壇的犯罪黑客也規(guī)避網(wǎng)頁(yè)爬蟲機(jī)器人以最小化人們對(duì)他們不法行動(dòng)的感知。(人們通常會(huì)把深網(wǎng)的這個(gè)部分與常被稱作暗網(wǎng)的地下網(wǎng)絡(luò)相混淆。)

犯罪黑客使用深網(wǎng)進(jìn)行隱秘會(huì)談喝防御性惡意軟件的交易。“他們?cè)谏罹W(wǎng)上通過(guò)網(wǎng)絡(luò)協(xié)議加密通信，交易黑客工具包進(jìn)行騷擾性攻擊以掩蓋真實(shí)攻擊。”美國(guó)倫斯勒理工學(xué)院數(shù)據(jù)探索與應(yīng)用研究所所長(zhǎng)詹姆斯·亨徳勒教授說(shuō)道。

網(wǎng)絡(luò)暴徒使用最新漏洞利用包、APT方法和零日漏洞等威脅構(gòu)造真實(shí)攻擊，這些威脅被他們深度保密起來(lái)，企業(yè)無(wú)從知曉，也就無(wú)法組織有效防御。最新的攻擊往往不在深網(wǎng)發(fā)生，因?yàn)楣粽卟辉敢夤蚕磉@些信息。比如說(shuō)，勒索軟件就是極端復(fù)雜的惡意軟件，而這些網(wǎng)絡(luò)罪犯竭盡全力掩蓋其來(lái)源。

深網(wǎng)還是攻擊者售賣盜取信息的市場(chǎng)，這些被盜信息中包括了用戶網(wǎng)上日常習(xí)慣和憑證等。犯罪黑客交易的數(shù)據(jù)涉及誰(shuí)在用哪家銀行、他們的電子郵件如何行文等，這樣罪犯就不僅僅能在那家銀行，還能在任何使用同一用戶名和密碼的場(chǎng)合假扮該用戶。

“

攻擊者只需要找到一個(gè)漏洞就能登堂入室，安全從業(yè)者卻必須知曉、修復(fù)和防護(hù)每一個(gè)漏洞。

除了深網(wǎng)，任何加密機(jī)制都能被犯罪黑客用以進(jìn)行通信，比如加密電話、即時(shí)通訊/非官方通訊(OTR)和密碼。“密碼有可能是明文文本形式，但又不直接顯示誰(shuí)被黑了或者何時(shí)被黑了。目標(biāo)/受害者，以及攻擊所用的載荷類型都會(huì)有自己的代碼名稱。犯罪黑客會(huì)使用這些神秘的代碼交流。”亞速爾網(wǎng)絡(luò)安全公司CEO查爾斯·騰德?tīng)栒f(shuō)。

攻擊者還會(huì)以用過(guò)量信息淹沒(méi)信道的方式相互聯(lián)系，讓其他人無(wú)法從巨量信息中鑒別出有用的部分。“除非你知道自己想找的是什么，否則你完全找不到什么合法交談。”

二、攻擊者是如何獲得駐留時(shí)間的

地下網(wǎng)絡(luò)犯罪早已積累了眾多可用的被盜信息，任何網(wǎng)絡(luò)暴徒都能隨意取用各種各樣的個(gè)人身份信息(PII)和登錄憑證，訪問(wèn)更多的系統(tǒng)，盜取更多憑證，然后從新的企業(yè)受害者身上搜刮可賣數(shù)據(jù)。

犯罪黑客可以去大型數(shù)據(jù)轉(zhuǎn)儲(chǔ)網(wǎng)站，輸入用戶名，然后找出那個(gè)人是否在被盜數(shù)據(jù)庫(kù)中或是某場(chǎng)數(shù)據(jù)泄露事件的一部分。由于人們通常會(huì)重用口令，如果受害者沒(méi)有修過(guò)口令，攻擊者還能用這些憑證登錄其他更多網(wǎng)站，得到更多信息。

攻擊者還能很容易地在物聯(lián)網(wǎng)上找到可供他們最終登入企業(yè)的漏洞。犯罪黑客利用Shodan之類聯(lián)網(wǎng)設(shè)備搜索引擎來(lái)查詢地理位置和IP地址信息，搜尋哪些地方是脆弱點(diǎn)可供利用的。

手握大量漏洞和脆弱點(diǎn)，攻擊者便可靈活應(yīng)用零日、黑客工具包、惡意軟件、加密通信、被盜憑證等維持駐留時(shí)間，在有人阻止他們之前盡可能多地滲漏出大多數(shù)數(shù)據(jù)。攻擊者要么一次偷運(yùn)一點(diǎn)點(diǎn)數(shù)據(jù)以便不被發(fā)現(xiàn)，要么將數(shù)據(jù)緩存在企業(yè)內(nèi)部其他地方更長(zhǎng)時(shí)間再一次性秘密駝出來(lái)。無(wú)論哪種方式，攻擊者都收獲頗豐。

三、網(wǎng)絡(luò)安全實(shí)力的平衡轉(zhuǎn)變

犯罪黑客和安全人士之間的實(shí)力平衡明顯傾向于攻擊者一方。每次添加新軟件或軟件更新，總會(huì)突然爆出新漏洞。攻擊者只需要找到一個(gè)漏洞就能登堂入室，安全從業(yè)者卻必須知曉、修復(fù)和防護(hù)每一個(gè)漏洞。

大多數(shù)攻擊都從成功的網(wǎng)絡(luò)釣魚或其他社會(huì)工程方法開(kāi)始，意味著企業(yè)需要尋找讓員工培訓(xùn)更為精準(zhǔn)、清晰和有效的方法，產(chǎn)生更為深遠(yuǎn)的結(jié)果。有些公司設(shè)置了相關(guān)系統(tǒng)，讓IT部門可以從內(nèi)部發(fā)起虛假網(wǎng)絡(luò)釣魚攻擊，向員工和各級(jí)主管報(bào)告成功攻擊，教育員工：只要不是100%確定郵件合法，那你的績(jī)效考核可能也就到此為止了。公司采取此類辦法強(qiáng)化網(wǎng)絡(luò)釣魚表征信號(hào)識(shí)別和避免防御失敗的重要性，是因?yàn)檎心紗T工與網(wǎng)絡(luò)犯罪作斗爭(zhēng)和阻止攻擊者侵入公司，都有很長(zhǎng)的路要走。

企業(yè)需要鼓勵(lì)員工在確實(shí)點(diǎn)開(kāi)了釣魚郵件的時(shí)候立即上報(bào)，以便IT/安全團(tuán)隊(duì)可以盡早控制/隔離攻擊。這是比單純懲罰員工的錯(cuò)誤點(diǎn)擊行為更為積極的另一個(gè)選擇。

而在進(jìn)攻方面，企業(yè)需要在網(wǎng)絡(luò)安全挑戰(zhàn)上應(yīng)用有經(jīng)驗(yàn)的、有能力的、知情的黑客思維。這些專業(yè)人士可以專注于諸如犯罪黑客社區(qū)對(duì)話之類的攻擊數(shù)據(jù)的源頭，基于犯罪黑客常用端口(如31337)和相應(yīng)策略實(shí)時(shí)監(jiān)視帶外流量。

這些白帽子黑客可以幫助企業(yè)堵住漏洞循環(huán)，響應(yīng)并控制攻擊，在與網(wǎng)絡(luò)犯罪的戰(zhàn)爭(zhēng)中保持積極主動(dòng)。

堵住社會(huì)工程攻擊的漏洞絕不容易，委托白帽子加固網(wǎng)絡(luò)安全亦是如此，但這也是信息安全從業(yè)者打擊網(wǎng)絡(luò)犯罪義不容辭的責(zé)任。