網絡犯罪分子是指那些故意從事網絡惡意活動的個人或團體。通過黑客攻擊、網絡釣魚等手段意圖破壞我們的系統、網絡或數據。他們的動機多樣，包括經濟利益、政治意識形態、怨恨、復仇等等。

　　近年來，網絡安全威脅呈現爆炸式增長。IBM的威脅情報報告將網絡釣魚、利用公開應用和利用遠程服務列為三種最常見的攻擊或威脅手段。在這些安全威脅所帶來的后果中，五個最嚴重的分別是敲詐勒索、數據盜竊、憑證竊取、數據泄露和品牌聲譽受損，超過40%的影響與數據直接相關。

　　但正如該報告中所述，網絡犯罪的數量和惡意破壞者的規模是根據不完善的數據估算的。由于網絡犯罪分子的類別差異、數據集零散且類型繁多以及信息不透明等因素，實際的網絡犯罪數量和規模一定遠超報告所顯示的數量。

　　在主要的垂直行業中，制造業、金融服務和保險業以及專業和消費者服務行業受到的攻擊最多。消費行業中的敏感個人身份信息(PII)數據在想要通過數據牟利的威脅者眼中就是一塊“肥肉”。而制造業的流程和供應鏈一旦中斷，就會導致重大經濟損失，使得勒索的威脅程度急劇上升。

　　根據世界經濟論壇的預測，到2025 年，網絡犯罪造成的損失將達到10.5萬億美元，包括對商業部門的威脅行為和對關鍵公共基礎設施發起的協同攻擊所造成的影響。因此，網絡安全，特別是數據保護受到企業高管和政府領導人的高度重視。

　　網絡犯罪的類型和示例

　　我們可以將網絡犯罪分子的行為和動機分為三個方面：訪問途徑、目標行動和影響。

　　訪問途徑指網絡犯罪分子獲得系統或資源訪問權限的途徑。最常見的途徑是通過電子郵箱發送魚叉式網絡釣魚郵件，此類郵件通常附有一個惡意軟件附件或嵌入外部惡意軟件的鏈接。人類因此成為整條安全鏈中最薄弱的環節，也是網絡犯罪分子訪問系統和網絡的首選途徑。

　　第二大常見的訪問途徑是利用公開應用。網絡應用讓我們能夠越來越方便地訪問那些必要但高度敏感的信息，如手機銀行、醫療記錄、企業信息等。企業和政策制定者仍需要在訪問數據和服務的便捷性、服務的敏感性，以及訪問途徑的規模和數量之間取得平衡。軟件漏洞或配置錯誤都可能導致對公眾開放的應用被入侵。被入侵的應用通常包括網絡和應用服務器，或是無意中暴露在互聯網上的數據庫和網絡服務。

　　一旦網絡圍著犯罪分子通過初始訪問途徑獲得訪問權限后，就會利用這一優勢獲得更多的資源訪問權限或采取行動。最常見的行動包括安裝惡意軟件(后門和勒索軟件)、訪問服務器和遠程工具以及入侵商業電子郵件。勒索軟件攻擊的目標并不局限于個人或企業數據，還可能包括破壞企業的網絡服務，比如身份驗證、授權、虛擬計算、存儲和網絡等。2019年，勒索軟件的平均部署時間為兩個月，到2021年僅為四天，縮短了94%。網絡犯罪不僅在數量上明顯增長，其利用漏洞和獲取大量敏感數據的速度也變得更快。

　　基因檢測公司23andMe是2023年重大數據泄露事件的受害者之一，其690萬用戶的血統信息遭遇泄露。這家提供客戶DNA信息的基因檢測公司表示，數據泄露是由于客戶重復使用密碼造成的。這使得黑客通過使用其他公司數據泄露事件中公開的密碼，對受害者的賬戶進行暴力破解。雖然有人會說，可以通過應用的身份驗證服務和暫時中止賬戶，檢測出密碼暴力破解行為以阻止網絡犯罪分子，但這可能會在無意中導致賬戶受到攻擊的用戶無法使用服務。雖然重復使用密碼是用戶造成的問題，但可公開訪問的應用，尤其是那些可能暴露敏感數據的應用還是應該強制使用雙重身份驗證來防范此類暴力破解攻擊。

　　另一個受害者是英國皇家郵政服務。2023年1月發生的一起勒索軟件攻擊導致向英國境外發送信件或包裹的工作中斷數月，還致使敏感數據被盜，包括技術信息、人事和員工紀律處分記錄、工資和加班費明細，甚至一名員工的新冠疫苗接種記錄。

　　對澳大利亞來說，不僅2022年是個多事之秋，Optus以及Medibank Private和AHM都遭遇了重大的數據泄露事件。2023年也并非風平浪靜，Latitude financial的數據泄露事件備受關注。此次數據泄露事件涉及約1400萬條記錄，包括Latitude客戶的駕照和護照號碼。

　　2023年，中國的數據泄露事件也頻頻發生。2月，中國廈門某科技公司信息系統被黑客攻擊，超百萬條用戶信息泄露。通過售賣這些個人信息，黑客團伙非法非法獲利約40萬元。同年8月，南昌某高校發生大量數據泄露案件，當地警方對校方處以85萬元罰款。

　　數據泄露事件中絕大多數被盜的信息都是個人身份信息，這些信息包含了姓名、地址、社保賬號、駕照、護照、醫療數據、信用卡和密碼等。被盜的信息會被網絡犯罪分子掛到暗網或其他論壇上出售，以對目標實施進一步的行動。

　　所以這就是為什么管理機構、監管部門和政策制定者要對個人身份信息的存儲和處理進行高度監管，并出臺歐盟《通用數據保護條例》(GDPR)、美國《加州消費者隱私法案》(CCPA)和《健康保險可攜性和責任法案》(HIPAA)等法律。

　　雖然部分數據泄露事件可能是因為企業未能遵守法規和政策規定而造成的，但更多數據泄露事件是由于網絡犯罪分子悄無聲息地獲得了用戶賬戶或服務訪問權限。后者只有通過異常行為或者當網絡犯罪分子向個人或企業發出錢財勒索要求時才能發現。

　　隨著訪問途徑的增加以及企業的日益分散和復雜化，檢測異常行為變得越來越困難。行為模型越來越依賴于機器學習(ML)模型，以用于從大量數據中檢測出復雜模式。例如，安全信息事件管理 (SIEM)系統越來越多地使用從復雜的互聯系統和設備網絡中收集的實時數據和特征工程。這就要求對實時數據進行采集、過濾和引導，以實現異常檢測。這通常包含時序特征工程、規范化數據、利用網絡或地理位置數據來豐富數據，以及識別和跟蹤首次發生的相關事件等措施。針對復雜網絡和系統的協同攻擊可能會持續很長時間，而且網絡犯罪分子會設法獲得寶貴的信息來加強未來攻擊的“火力”。

　　總結

　　數據和數據相關服務的訪問途徑數量及價值正在增加，隨之增加的還有網絡攻擊的數量。如果不能抵御這些攻擊，就可能會導致后續代價高昂的補救工作、關鍵流程中斷、不可挽回的品牌形象受損以及行業監管機構的罰款。

　　企業必須在及時提供數據服務訪問權限的需求與防御網絡犯罪分子之間取得平衡。另外，檢測合法用戶的異常行為也至關重要，因為這些異常行為可能表明該賬戶已被入侵。限制數據和系統的訪問權限、記錄訪問或試圖訪問系統的情況將發揮越來越重要的作用。利用不斷發展的ML模型近乎實時地做到這一點，將成為企業在未來保護自身安全的一項基本能力。