楔子:“天下熙熙,皆为利来;天下攘攘,皆为利往。” –《史记·货殖列传》
威胁动机的研究,可以使决策者能够更集中地使用其有限的资源进行主动防御,尤其是针对动机明确的对手方,可以通过进一步研究其能力而制定相应的策略和预案。因此,本文对有目的地主动威胁的背后动机进行探讨,即攻击者明确自己攻击对手的出发点,并且有意愿发起主动攻击。
“天下熙熙,皆为利来;天下攘攘,皆为利往。”如果一定要为网络威胁的动机做一个唯一的出发点,那么这个字就是“利”。将利展开,则《尹文子.大道上》记有:“故曰礼义成君子,君子未必须礼义,名利治小人,小人不可无名利”的一段文字把名和利并提。而马克思在《政治经济学批判》中则进一步从哲学角度,提出了经济基础与上层建筑的概念。借助现代管理学的有形资产和无形资产概念,我们则可以把经济基础和上层建筑映射为有形收益和无形收益,从而对网络威胁动机进行分类研究。
有形收益表现为财物,通常是现金或者可以兑换为等值现金的虚拟、有形的物品,网络威胁通常以虚拟物品为主。有形收益和无形收益的区别在于,无形收益无法使用货币进行量化,例如:政治诉求、个人名誉、心理驱动等。笔者认为政治诉求、自尊心、报复心、嫉妒心、正义感、好奇心、戏谑心都可能驱动一个组织或者个人实施网络攻击行为。
以国家力量进行网络攻击的动机,是一个复杂的利益组合,包括数据窃取、设施破坏、虚假新闻等在内的一种或者多种形式,以下统一使用国家利益作为这种复杂利益的表达。个人动机具有多样化和攻击的非持续性、攻击战术和技术复杂度低、能力参差不齐等特点,因此极少有机构对个人网络攻击行为进行长期研究。为了更好的认知不同力量与动机的关系,从国家力量到个人进行如下分类:国家、商业组织、黑客团体、个人。
接下来,根据约300份左右的开源APT情报(本文仅针对动机进行研究,所采用开源情报均为2020年及以前的开源情报),进行伪随机抽样,抽样数量为20份(>7%),结果如下:
通过以上数据,我们可以大胆地总结和推测:
- 黑客组织更关注财物的获取。
- 商业攻击在网络威胁中非常罕见。
- 溯源追踪受到各种原因的影响,悬案很多。
- 在信息窃取这一领域,众多迹象表明往往与国家组织相关联。
- 个人能力所带来的破坏性尚未引起安全组织的足够关注。