CompTIA Security+ SY0-701 2.1 学习指南:了解威胁行为者
发布: (2026年1月20日 GMT+8 08:49)
7 min read
原文: Dev.to
Source: Dev.to
在网络安全领域,识别攻击来源与阻止攻击本身同样关键。本指南探讨 威胁行为者——即导致安全事件的实体。通过分析它们的属性、动机和手段,安全专业人员能够更好地预判风险并实施有效防御。
1. 定义威胁行为者
威胁行为者是导致影响他人安全事件的实体。由于他们的行为通常会产生负面后果,常被称为 恶意行为者。
威胁行为者的属性
| 属性 | 描述 |
|---|---|
| 位置 | 内部(组织内部)或外部(组织外部)。 |
| 资源与资金 | 巨额预算(例如政府) vs. 有限手段(例如单独的业余爱好者)。 |
| 技术成熟度 | 从使用现成工具的非专业行为者到开发定制漏洞和软件的高度成熟行为者。 |
| 现实世界对比 | 小偷类比: • 脚本小子 – 一个青少年尝试打开门看看是否未锁。 • 有组织犯罪 – 一个专业的抢劫团队,拥有蓝图、专用工具和逃跑司机。 • 国家级 – 一个外国情报机构使用高科技监控和专用设备渗透高安全金库。 |
Source: …
2. 威胁行为者概况
CompTIA SY0‑701 考试要求了解特定类别的威胁行为者。以下是源材料中确定的主要类型。
国家行为体
- 定义 – 受政府资助的实体或政府部门,致力于国家安全。
- 技术水平 – 非常高;他们雇佣精英开发者来制造高级攻击。
- 资源 – 广泛;由整个国家的预算和基础设施支持。
- 动机 – 国家安全、政治利益、数据外泄或军事目标(例如,破坏公共设施或金融系统)。
- 关键概念 – 高级持续性威胁(APT):持续且复杂的攻击,常同时在多个地点发起。
- 示例 – Stuxnet 蠕虫,美国和以色列合作开发,旨在摧毁核离心机。
技能不足的攻击者
- 亦称 – “脚本小子”。
- 技术水平 – 低;他们使用他人编写的脚本或工具,却不理解底层代码。
- 资源 – 有限;通常缺乏充足的资金。
- 动机 – 攻击的刺激感、服务中断或数据外泄。
- 方法 – 使用公开资源寻找“最简入口”;若脚本失效,他们缺乏修改技能。
黑客行动主义者
- 定义 – “Hacktivist” = 黑客 + 活动家;受政治或哲学意识形态驱动。
- 技术水平 – 高;通常是非常有才华的技术人员。
- 资源 – 有限,尽管有些会进行筹款以支持其事业。
- 动机 – 为表达立场而破坏组织、篡改网站以传播信息,或向公众泄露私人文件。
- 位置 – 通常在外部,但可能尝试获取内部立足点。
内部威胁
内部威胁是最难检测的行为者之一,因为他们已经拥有组织的合法访问权限。
- 技术水平:中等——他们的优势在于对机构的了解;知道敏感数据所在位置以及如何绕过特定安全控制。
- 资源:利用组织自身的资源。
- 动机:对公司的报复或个人经济利益。
- 防范:在招聘过程中进行彻底审查是降低此风险的关键。
有组织犯罪
(后续内容请参见第 2 部分)
auto,format=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F08j4dzdodeewe4jxk3p3.png)
这是一支专业化的黑客组织,成员协同合作以实现共同目标。
- 成熟度: 高 – 他们通常拥有类似企业的结构,设有专门的角色(黑客、漏洞管理者、数据出售者,甚至为勒索软件受害者提供客服)。
- 资源: 丰富 – 通过非法活动的利润获得资金。
- 动机: 纯粹的金钱收益。
Shadow IT
Shadow IT 指组织内部的个人或部门在未获得 IT 部门知情或批准的情况下使用硬件或软件。
- 成熟度: 低至有限 – 通常是非技术员工,为了绕过 IT 官僚流程而加快工作。
- 资源: 受限于部门预算或个人信用卡用于云服务的支出。
- 风险: 由于绕过“变更控制”和官方安全策略,他们往往缺乏备份,使组织面临意外的安全漏洞。
3. 威胁行为者的比较概述
了解网络攻击背后的谁和为什么与了解如何同样重要。通过对威胁行为者进行分类,安全专业人员可以从被动防御转向主动防御——针对攻击者可能带来的特定复杂程度和资源,定制防御措施。
如果你是一个威胁行为者,你今天最容易绕过贵组织的哪项防御措施?