破坏总是比建设容易，伤害必然比愈合简单。攻击者潜入地下小心准确地突破企业防线，扎根数据存储不断吸取重要信息，获取巨大经济利益，也总是比企业构筑防线要容易得多。

企业与网络罪犯之间拼的就是军备。就算不妄想扭转局势占据上风，仅仅维持现状，公司就必须时常构筑防线。

通过分析深网、驻留时间，以及二者在网络安全势力平衡中的角色，可以得出：想要更好地武装企业人员，可以采取雇用黑客和提升员工社工/网络钓鱼培训有效性等防御行动。

一、深网黑暗面

出于安全或隐私等多种原因，深网站点主人不在目录和搜索引擎里索引他们的网页属性。深网论坛的犯罪黑客也规避网页爬虫机器人以最小化人们对他们不法行动的感知。(人们通常会把深网的这个部分与常被称作暗网的地下网络相混淆。)

犯罪黑客使用深网进行隐秘会谈喝防御性恶意软件的交易。“他们在深网上通过网络协议加密通信，交易黑客工具包进行骚扰性攻击以掩盖真实攻击。”美国伦斯勒理工学院数据探索与应用研究所所长詹姆斯·亨徳勒教授说道。

网络暴徒使用最新漏洞利用包、APT方法和零日漏洞等威胁构造真实攻击，这些威胁被他们深度保密起来，企业无从知晓，也就无法组织有效防御。最新的攻击往往不在深网发生，因为攻击者不愿意共享这些信息。比如说，勒索软件就是极端复杂的恶意软件，而这些网络罪犯竭尽全力掩盖其来源。

深网还是攻击者售卖盗取信息的市场，这些被盗信息中包括了用户网上日常习惯和凭证等。犯罪黑客交易的数据涉及谁在用哪家银行、他们的电子邮件如何行文等，这样罪犯就不仅仅能在那家银行，还能在任何使用同一用户名和密码的场合假扮该用户。

攻击者只需要找到一个漏洞就能登堂入室，安全从业者却必须知晓、修复和防护每一个漏洞。

除了深网，任何加密机制都能被犯罪黑客用以进行通信，比如加密电话、即时通讯/非官方通讯(OTR)和密码。“密码有可能是明文文本形式，但又不直接显示谁被黑了或者何时被黑了。目标/受害者，以及攻击所用的载荷类型都会有自己的代码名称。犯罪黑客会使用这些神秘的代码交流。”亚速尔网络安全公司CEO查尔斯·腾德尔说。

攻击者还会以用过量信息淹没信道的方式相互联系，让其他人无法从巨量信息中鉴别出有用的部分。“除非你知道自己想找的是什么，否则你完全找不到什么合法交谈。”

二、攻击者是如何获得驻留时间的

地下网络犯罪早已积累了众多可用的被盗信息，任何网络暴徒都能随意取用各种各样的个人身份信息(PII)和登录凭证，访问更多的系统，盗取更多凭证，然后从新的企业受害者身上搜刮可卖数据。

犯罪黑客可以去大型数据转储网站，输入用户名，然后找出那个人是否在被盗数据库中或是某场数据泄露事件的一部分。由于人们通常会重用口令，如果受害者没有修过口令，攻击者还能用这些凭证登录其他更多网站，得到更多信息。

攻击者还能很容易地在物联网上找到可供他们最终登入企业的漏洞。犯罪黑客利用Shodan之类联网设备搜索引擎来查询地理位置和IP地址信息，搜寻哪些地方是脆弱点可供利用的。

手握大量漏洞和脆弱点，攻击者便可灵活应用零日、黑客工具包、恶意软件、加密通信、被盗凭证等维持驻留时间，在有人阻止他们之前尽可能多地渗漏出大多数数据。攻击者要么一次偷运一点点数据以便不被发现，要么将数据缓存在企业内部其他地方更长时间再一次性秘密驼出来。无论哪种方式，攻击者都收获颇丰。

三、网络安全实力的平衡转变

犯罪黑客和安全人士之间的实力平衡明显倾向于攻击者一方。每次添加新软件或软件更新，总会突然爆出新漏洞。攻击者只需要找到一个漏洞就能登堂入室，安全从业者却必须知晓、修复和防护每一个漏洞。

大多数攻击都从成功的网络钓鱼或其他社会工程方法开始，意味着企业需要寻找让员工培训更为精准、清晰和有效的方法，产生更为深远的结果。有些公司设置了相关系统，让IT部门可以从内部发起虚假网络钓鱼攻击，向员工和各级主管报告成功攻击，教育员工：只要不是100%确定邮件合法，那你的绩效考核可能也就到此为止了。公司采取此类办法强化网络钓鱼表征信号识别和避免防御失败的重要性，是因为招募员工与网络犯罪作斗争和阻止攻击者侵入公司，都有很长的路要走。

企业需要鼓励员工在确实点开了钓鱼邮件的时候立即上报，以便IT/安全团队可以尽早控制/隔离攻击。这是比单纯惩罚员工的错误点击行为更为积极的另一个选择。

而在进攻方面，企业需要在网络安全挑战上应用有经验的、有能力的、知情的黑客思维。这些专业人士可以专注于诸如犯罪黑客社区对话之类的攻击数据的源头，基于犯罪黑客常用端口(如31337)和相应策略实时监视带外流量。

这些白帽子黑客可以帮助企业堵住漏洞循环，响应并控制攻击，在与网络犯罪的战争中保持积极主动。

堵住社会工程攻击的漏洞绝不容易，委托白帽子加固网络安全亦是如此，但这也是信息安全从业者打击网络犯罪义不容辞的责任。

作者：佚名

来源：51CTO