网络罪犯的多样化程度几乎和网民的多样性相当，现在，网络犯罪搞得几乎和跨国企业一样，几乎可以对世界上各个角落的用户进行利益挖掘，以网络犯罪这种攻击力量和多样性来看，把它升级为网络战争不是不可能的。

网络对现在社会发展的关键作用已经不可替代，大到军事、政治小到微商，我们已经离不开它了。随着网络的发展，其呈现的犯罪形式也出现了新的变化，刚开始有黑客那会，大约是15年以前吧，大多数网络犯罪都是一种带有炫耀技术的感觉，其出发点就是要让人们觉得，你看我在这里多牛，我可以在这个新的世界里横行霸道，但今天呢？黑客显然更加实际，他们的目标显然是为了获得巨大的经济利益，所有近期银行屡次被攻击也就不新鲜了。卡巴斯基实验室的首席安全研究员David Emm说：“网络犯罪现在的焦点几乎完全集中在了获利上。”

如此以来，就给企业和消费者带来了巨大的网络防护成本。IBM联合 Ponemon Institute 发布报告《2016年数据泄露成本研究：全球分析》，包括美国、欧洲、亚太、中东、南非 等12个国家和地区，383家曾遭遇过数据泄露事件的企业进行调研，根据研究发现，除了澳大利亚和南非，与去年相比，所有国家/地区的总平均成本均有所增加。美国样本的总平均成本最高，价值超过701万美元；德国紧随其后，价值为501万美元。参与本项研究的383家企业的平均数据泄露总成本从2015年的379万美元增加到2016年的400万美元，3年来增加了29%；每条丢失或被盗记录的平均成本目前已超过158美元，3年来增加了15%。这些企业丢失的数据从3000到101500条不等，而且大多数都是收到了恶意攻击。与许多犯罪一样，进行追查的成本已经远远高于损失的成本。

可是网络犯罪可不只是盗窃企业数据这么简单，有时甚至还有诈骗的性质，比如针对企业CEO的网络骗局，通过非法电子邮件链接，诱导财务经理转移巨额资金屡见不鲜，根据FBI的估计，2015年1月以来，以这种形式而造成的的损失已超过31亿美元。

根据来自Gartner的最新预测，2016年全球信息安全产品和服务的开支将达到816亿美元，相比2015年增长7.9%。这么大的增长幅度还要归功于日益严峻的网络安全部威胁和网络安全专业人员的短缺。

大多数互联网犯罪的动机都是受利益的驱动比如偷窃银行信息或知识产权，或通过勒索软件进行敲诈。但是随着网络犯罪的增长，它也已经演化或变异为具有一定特性的组织，这些网络犯罪组织会对不同的机构实施有针对性的威胁。

这些犯罪团体有着不同的作案工具，作案目标和专业手段，只有理解了这些我们才能做出更好的应对。

无组织的的犯罪

卡巴斯基的Emm说：

大部分网络犯罪其实与现实世界里的盗窃或诈骗差不多，这些罪犯会通过发送垃圾邮件或利用僵尸网络对网络进行拒绝服务攻击，或者是诱导你进入一个假冒的支付网页，或者是通过高额回报来让诱惑你投资。

FireEye的全球威胁情报联络员Jens Monrad说：“从最近网络犯罪的增长趋势来看，勒索软件的增长最快，因为通过这种方式可以让受害者自己花钱赎回自己的数据，投资收益率比较高。”

Emm说：“尽管如此，利用最基本的IT安全工具还是能够防止这些犯罪的，比如加密数据，使用反恶意软件技术，并升级最新的补丁。”

有组织犯罪

英国电信(BT) 和毕马威(KPMG) 的最新报告《以攻为守：扰乱数字犯罪 (Taking the Offensive – Working together to disrupt digital crime)》的报告发现，今天，黑客们也有模有样地模仿合法公司创立自己的企业了，人力资源、研发、销售和市场、运营，该有的都有。

复杂高端犯罪不仅改变了现代企业面临的威胁，也引发了地下网络世界的分层，根据目标不同，分化出了3个不同的层次。顶级，是对金融系统发起的高端攻击——比如针对孟加拉央行的网络攻击事件。第二层级，针对的是公司企业和高净值个人的常见攻击。第三层级，我们每个人都有可能是攻击目标。针对每个人的商品化的攻击行动，动辄涵盖千万乃至数亿受害者，损失可从100块到1万块不等。就像任何公司一样，每一层级中，犯罪分子都会衡量风险产出比。

但犯罪分子到底在这些地下网络世界中操作些什么呢？这些犯罪分子大可被看成是CEO一类冷酷高效的企业家或创业者，在快速进化的黑市中做成交易。那么，犯罪CEO是怎么运营他的公司，又都雇佣些什么人呢？

可将其想做是联邦式的商业模式。你能在其中找到一个核心，因为他们就是有着开发路线、目标和货币化方案的那些人。

在核心领导下，会有很多个小组分担各种具体的任务。有按要求开发漏洞和利用工具的人，也有按时提供DDoS之类攻击界面的。犯罪企业中的其他人会从事钱骡子、变现或洗钱的工作，人员招募、建立并运营呼叫中心的活儿也有专门的人干。

根据欧洲执法机构欧洲刑警组织在其2015年发布的互联网有组织犯罪威胁评估报告可知，互联网已经成为有组织犯罪的主要工具，其中一些组织或许有国家背景的支持。报告还指出，有组织的网络犯罪团体正越来越多地进行长期有针对性的攻击，而不是任意分散的短期攻击。

研究发现，当一个国家开始兴起一种新的技术时，通常需要大约18至24个月才能发现到严重的，有组织犯罪。

毕马威的网络安全实践合伙人George Quigley评论说:“普通公司的挑战之一是网络攻击的水平正变得更加复杂。”

卡巴斯基的Emm也说：

对于与大企业的网络攻击是显而易见的，但是对于小企业来说，有时他们会想，那些黑客凭什么要攻击我呢？我的网络里也没有什么秘密呀，可是他们忘了，他们可能是某个供应链中的一部分，而黑客正是想从他们那里找到突破口。

黑客活动分子

激进分子在互联网上证明自己的行为多年来被称为黑客行动主义。最近，网络示威的密度和成功已经引起业界、政府和军方以及情报界的担心，激进分子的行动可能是个人或团体带有某种特定使命行动。他们的行动可能会针对某个社会问题或政治问题。与大多数网络犯罪分子不同，黑客活动分子并不是从中赚钱，而是为了一定的非盈利性目的。这就意味着他们侵入别人的账户或数据库是为了获得一些其他信息，而非盗窃。比如世界最大的黑客组织“匿名者”黑客组织2015年声称要与极端组织ISIS对抗，保护手无寸铁的人们。他们还警告卡塔尔、土耳其和沙特等国，要求他们停止对极端组织的支持，否则就会遭到报复。另外今年比较活跃的代号“奇异熊”(Fancy Bear)的黑客侵入世界反兴奋剂机构（WADA）资料库，随后在网上泄露了美国奥运运动员的机密医疗档案，并谴责WADA允许这些运动员使用违禁药物。这些组织很明显都不是为了获利，而是为了一定的目的。

恐怖分子

恐怖主义组织对网络威胁的能力依然很低，虽然炒作的十分厉害，但事实上这些组织连最基本的网络设施，网络技术，行动资金都非常缺乏，要想实施大规模的网络恐怖活动，这些条件必不可少，就像美国国家情报局长詹姆斯•克拉珀在去年9月对世界网络威胁的一份评估报告中所写的那样：“恐怖主义同情者有可能会代表恐怖主义组织进行低级别的网络攻击，以便引起媒体注意，但这些威胁其实很小。”

国家支持的黑客

尽管上面提到几种犯罪形式占了网络威胁的大部分，但近年来，国家支持的黑客行动已越来越明显，这种形式的犯罪通常都是采用网络间谍的形式试图窃取政府人员或昂贵的防御项目的数据。而支持这些黑客的政府会花费数百万美元用于躲避其他国家的安全监测，然后对对饭的国防承包商或关键国家基础设施的系统进行监测，通常这些黑客行动要发展许多年。

像黑客活动分子一样，国家支持的黑客团体通常不寻求经济利益。比如通过揭露其他国家的丑闻来寻求本国的战略优势。

2015年4月1日，美国总统奥巴马签署了新的行政命令：任何对美国进行网络攻击的人都将受到行政制裁。

这份总统令中写道：“信息时代使我们拥有愈发便利的高科技，但这同时可以被对手利用给我们带来巨大伤害。科技可以让我们的军队更强大，同样也可以被中国和俄罗斯的黑客利用来攻击我们的国防工程和支持我们军队的系统。国外的政府和犯罪团伙正在不停寻找我们掌控重要基础设施的网络漏洞，包括我们的金融系统和国家电网。伊朗黑客有针对性的攻击了美国银行，朝鲜网络攻击索尼影业、破坏数据并造成数千台电脑的禁用。最近，超过1亿的美国人个人资料泄漏，其中包括信用卡和医疗信息。现在，那些扰乱或劫持我们的计算机网络、偷窃美国公司商业机密或美国公民的个人信息而获利的人，给我们的安全和经济带来了巨大的威胁。从今天起，我们有权冻结他们的财产，让他们在和美国公司的合作时困难重重，限制他们从自己的不正当行为中获益。”

可见随着网络威胁的不断升级、网络攻防对抗的日趋激烈，许多国家已经认识到塑造网络空间、保障网络安全是强化国家竞争力和维护国家安全的重大战略问题。现在美国已经把将网络空间列为与陆、海、空、太空并列的“行动领域”。

如果国家支持的黑客把对手国的电网功率给降低或是进入工业系统中枢把水坝的大门强制打开，那这就由网络犯罪升级到了网络战争。

2006至2010年，著名的震网病毒曾经入侵伊朗核工厂长达五年之久，严重破坏了伊朗核计划。那次入侵的战场只在网络之间，武器也只是软件程序，但它却完全符合最严格的战争定义：它发生于国家之间，它针对军事设施和人员，它企图达到某种政治目。因此，震网病毒被认为是人类第一场网络战争，我们早在2006年就已进入网络战争的时代。

2008年8月，正当举世瞩目的奥运会在北京开幕之际，俄罗斯和格鲁吉亚因南奥塞梯问题兵戎相见，引发了震惊世界的俄格冲突。在俄政府出动军队进行地面和空中作战的同时，一些俄罗斯民众组织了对格鲁吉亚的网络攻击。据报道，任何人都可以从支持 俄罗斯的网站上下载软件和指令，攻击格鲁吉亚的网站，使其无法登录。例如，用户可以访问一个名叫“阻止格鲁吉亚”的网站，从那里下载想要攻击的格鲁吉亚网 站清单，只需输入网址并点击一个名叫“开始阻塞”的图标，就可完成对该网站的攻击。

这次网络攻击威力巨大，效果显著，使格鲁吉亚政府和 新闻媒体的网站几乎全部陷入瘫痪，无论在格境内还是境外都无法访问。西方军事专家认为，俄罗斯 在俄格冲突中不仅赢得了军事上的胜利，而且取得了心理战和舆论战的胜利。格鲁吉亚无法利用网络发布有关作战情况的准确信息，同民众进行有效沟通，而俄罗斯 则在战争中赢得了国内外舆论的支持。

欧洲刑警组织称“关键基础设施系统的管理和运行将继续依赖于网络信息系统和电子数据。对电网和电信的依赖也将继续增加，攻击矢量和攻击面的数量也将因为智能网络的连接程度越来越复杂而难于防御，而对这些网络的保护涉及到大众的安全。”

随着物联网的出现，从恒温器到家庭安全系统的日常用品都可以被网络操控，最近的DDoS就说明了问题。如果您的组织正在受到来自国家支持的黑客攻击，那么保护它们可能非常困难了。

内部威胁

说了这么多，我们都是从外部来分析，那我们组织内部就非常安全吗？

毕马威的网络安全实践合伙人George Quigley警告说：“企业的机密文档共享和对访问权限的控制不当都会让一些别有用心的内部工作人员另做他用，许多企业在受到信息泄露时首先会想到是受到了外部攻击，其实不妨反思一下内部的安全管理。”

网络犯罪界限模糊，难以判定

在现实中，以上这些不同的黑客团体的身份往往是多重的，FireEye的Monrad说：“网络威胁形势正变得日益严峻和复杂。”

但是，卡巴斯基的Emm说：“虽然目的不同，但是大多数网络攻击行为都是以同样的方式开始的，即欺骗受害者点击能够引发安全漏洞的链接或附件。”

在Gartner2016年安全与风险峰会上,Gartner研究副总裁EarlParkins就指出：“2020年,99%的漏洞利用将依旧是安全和IT专业人员已知1年以上的。他同时建议，企业必须致力于修补他们已知存在的漏洞。这些漏洞很容易被忽略,比起事后弥补,修复这些漏洞的代价更低,也更容易。”

可以肯定的是，我们的日常生活对互联网有多依赖，那网络犯罪的潜力就有多大。