網(wǎng)絡犯罪即服務 (CCaaS) 初始只是幾個黑客在非法平臺上出售零日漏洞和用戶憑據(jù)，隨著大量非法資金的注入使該市場逐漸發(fā)展成了“專業(yè)化”的商業(yè)實體。CCaaS市場能夠為犯罪分子提供各種服務，包括出售受害者的身份憑證，以及為犯罪分子提供匿名基礎設施托管服務。

[[422338]]

網(wǎng)絡犯罪逐漸“輕資產(chǎn)”

現(xiàn)如今，攻擊者可以利用微服務和現(xiàn)成的解決方案開發(fā)定制的工具鏈、定制攻擊并復用各種犯罪活動(例如加密貨幣挖掘、銀行憑證盜竊、勒索軟件或DDoS租賃服務)。他們可租用所需的一切，從基礎設施到受害者網(wǎng)絡的訪問權(quán)限。

混合著不同技術(shù)的模塊化有效攻擊手段，意味著我們面臨的網(wǎng)絡威脅更嚴峻。這些犯罪服務的客戶可以方便快捷地訪問新的攻擊、漏洞利用和規(guī)避技術(shù)，“創(chuàng)新”在整個網(wǎng)絡攻擊生態(tài)系統(tǒng)中迅速擴散。這為網(wǎng)絡犯罪經(jīng)營者提供了高度的敏捷性和適應性，并且往往具備企業(yè)和公共機構(gòu)難以追趕的先發(fā)優(yōu)勢。比如今天因受感染而發(fā)送垃圾郵件的系統(tǒng)，被修改后明天就可以傳播惡意軟件或加密文件。

犯罪服務的復雜程度也有所提高，與防御自動化(SOAR)相對的攻擊自動化技術(shù)也在迅速發(fā)展，自助服務和交鑰匙部署變得普遍，并且同樣可以提供“保質(zhì)保量”的企業(yè)服務水平協(xié)議。攻擊者通過加密貨幣既可發(fā)動復雜的網(wǎng)絡入侵活動，甚至攻擊關鍵基礎設施。

現(xiàn)存的攻擊工具的濫用也使網(wǎng)絡攻擊的溯源變得更復雜，太多攻擊團伙使用CCaS市場產(chǎn)品服務，甚至很多國家黑客為了隱藏身份也在此市場上交易，幕后黑手更難追查。

網(wǎng)絡犯罪“成熟度”提高

CCaaS市場和經(jīng)濟發(fā)展趨勢與合法市場的發(fā)展趨同，犯罪分子在開展攻擊前也會對受害者開展專業(yè)的針對性分析和調(diào)查。Conti勒索軟件團伙的“內(nèi)鬼”最近泄露的信息表明，攻擊者甚至會研究潛在目標的營收情況來確定勒索贖金金額。

如果犯罪分子能主動避免破壞關鍵基礎設施和醫(yī)院等重要目標，是個好消息。但其理由并非出于利他主義或社會良知，而是為了避免成為全民公敵，失去收容他們的民族國家的保護。因此醫(yī)院、關鍵基礎設施、石油和天然氣行業(yè)、國防工業(yè)、非營利公司和政府部門等其他行業(yè)都是犯罪分子的目標。

網(wǎng)絡犯罪商業(yè)化是柄雙刃劍

盡管CCaaS使網(wǎng)絡犯罪更加泛濫，但對于防御者來說仍有希望，因為更多的犯罪分子正在使用相同的工具。

犯罪分子可能會受益于成熟和專業(yè)的供應鏈，但該供應鏈正在開始整合和標準化。這使得網(wǎng)絡攻擊基礎模塊的數(shù)量減少，很大程度上抵消了犯罪分子通過混搭不同網(wǎng)絡犯罪服務，來重新利用和侵入基礎設施的能力。使用同種攻擊模塊且操作安全性差的犯罪團伙一旦有人泄密，整個團伙都會被暴露。即使沒有已知的指標，安全人員也可以有效地檢測此類攻擊，而不是專注于分析行為和技術(shù)。

正如攻擊者正在對托管服務提供商等目標進行大型狩獵，從而能夠一次攻擊多個受害者一樣，執(zhí)法部門也越來越關注CCaaS 供應商，以便能夠觀察和收集整個犯罪群體的證據(jù)。所以，如果“管理不當”，網(wǎng)絡犯罪即服務供應鏈對犯罪分子的風險將與供應鏈對企業(yè)的風險一樣大。網(wǎng)絡安全行業(yè)正在轉(zhuǎn)向面向威脅和零信任的安全態(tài)勢，企業(yè)只要確保擁有安全解決方案以提供對所有關鍵攻擊向量的充分覆蓋，就能有效抵御網(wǎng)絡犯罪即服務和日益復雜的攻擊者的威脅。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文