今日企業對於網路資安絕對不能心存僥倖，因為只要被駭客找到一個小小破口，就可能危及企業存亡。不過在企業強化駭客防禦的同時，其實不妨從另一個角度看看駭客對資安防護有何看法。

澳洲資訊分析軟體公司 Nuix 在 2016 年拉斯維加斯舉行的 DEFCON 駭客大會上做了一份名為「 The Black Report」(黑色報告) 的調查。這份調查的對象不是企業決策者、IT 主管或資安系統管理員，而是駭客。

全新觀點

這份調查令資安界耳目一新，因為絕大多數的研究都是以 IT 人員為對象，當然這也很重要，但若能從駭客的角度來看待資安這件事，倒也是個不錯的觀點。

除了訪問網路駭客之外，The Black Report 還訪問了專門從事滲透測試工作的人員。根據其中一位測試人員表示，他們所做的事情，基本上與駭客無異，只不過他們的工作是合法的。這份問卷調查總共訪問了 70 位駭客與滲透測試人員 (後者亦稱為「白帽駭客」)。

以前曾經當過駭客、但目前擔任 Rhino Security Labs 評估總監的 Hector Monsegur 接受 TechTarget 的訪問時表示，這類調查絕對有其必要，因為這樣能夠發掘一些不論對個人或企業都有所幫助的資安細節。

「駭客通常能在短短的 24 小時內強行入侵。」

Monsegur 向 TechTarget 表示：「能夠發掘 [駭客和滲透測試] 人員的想法以及他們突破資安防線的經驗，是不錯的第一步。縱然 DEFCON、Black Hat、HackInTheBox 等等的研討會提供了不錯的管道讓研究人員發表漏洞相關的資訊、方法與技巧，但事實上，絕大多數人根本不知如何取得這些內容，甚至不知道這些內容存在。」

四個來自網路犯罪集團的令人訝異的發現

這種另類研究還有一項好處是有機會看看駭客的想法與 IT 專業人士及其他企業受害者的想法有何落差。

Nuix 資安長 Chris Pogue 表示：「了解歹徒的想法和作法相當重要，防守的一方越能掌握狀況，就越能做好準備。」

我們發現某些觀點和大家以往對網路資安策略的想法互相牴觸，以下是一些令人訝異的研究發現：

1. 入侵所需的時間越來越短：一項最令人訝異的數據是，今日駭客入侵目標系統所需的時間相當短。根據 Nuix 指出，企業大約要過了 250 至 300 天之後才會發覺自己發生資料外洩，但是駭客通常能在短短的 24 小時內強行入侵並偷走資料。事實上，這項調查還發現，大約有三分之一受害企業從未發現自己受到攻擊。Pogue 總結說：「企業必須從人員和技術雙重管道下手，來提升資料外洩的偵測和矯正能力。」
2. 某些傳統的防護已經失效：這項調查也發現，儘管一般人都信賴像防火牆和防毒產品這類傳統的防護技術，但駭客表示這些防護幾乎不影響他們的攻擊速度。所幸，端點防護證實還能夠發揮阻礙駭客的效果。
3. 駭客並非每次都使用相同的伎倆：一般人認為駭客一旦發現某項伎倆得逞，就會持續使用相同的攻擊方法，但其實不然。該調查發現，50% 以上的網路駭客在面對每個新的目標時都會更換手法。這表示駭客有可能使用我們從未見過的方法，因此那些針對過去攻擊手法的防護根本阻擋不了新式的攻擊。此外，這也會讓企業遭到零時差漏洞攻擊的機會增加。
4. 漏洞攻擊套件並不如專家想像的那樣受到歡迎：同樣令研究人員訝異的一點是，漏洞攻擊套件並非歹徒用來策動攻擊的首選工具。事實上，多數的駭客 (72%) 都是利用社交工程技巧先蒐集情報再策動攻擊，僅有 3% 的攻擊會使用商用軟體工具和漏洞攻擊套件。絕大部分駭客偏愛開放原始碼工具 (60%) 或客製化工具 (21%)。

繼續閱讀