網(wǎng)絡(luò)犯罪分子正在模仿合法的科技生態(tài)系統(tǒng)，尋求更高的效率和利潤(rùn)：他們將常見(jiàn)的復(fù)雜問(wèn)題外包;將網(wǎng)絡(luò)攻擊轉(zhuǎn)包;通過(guò)一種被稱(chēng)為“零工經(jīng)濟(jì)”的運(yùn)營(yíng)商雇傭自由職業(yè)者進(jìn)行攻擊。對(duì)這些服務(wù)的需求導(dǎo)致網(wǎng)絡(luò)犯罪服務(wù)提供商如雨后春筍般涌現(xiàn)，以滿(mǎn)足這些需求，并且形成了一種循環(huán)，這種網(wǎng)絡(luò)犯罪服務(wù)的供應(yīng)使網(wǎng)絡(luò)安全問(wèn)題日益加劇。

網(wǎng)絡(luò)攻擊參與者可以購(gòu)買(mǎi)惡意軟件、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)釣魚(yú)即服務(wù);他們甚至可以很容易地從初始訪問(wèn)代理那里購(gòu)買(mǎi)對(duì)受害者的攻擊和訪問(wèn)。這個(gè)成熟的市場(chǎng)意味著任何有動(dòng)機(jī)的參與者都可以購(gòu)買(mǎi)有效的惡意工具和如何使用它們的說(shuō)明。

這對(duì)防御者來(lái)說(shuō)意味著什么?

由于存在網(wǎng)絡(luò)攻擊者攻擊或勒索受害者的市場(chǎng)，安全事件可能會(huì)迅速演變和變化。入侵網(wǎng)絡(luò)的初始攻擊者可能會(huì)將訪問(wèn)權(quán)出售給另一個(gè)專(zhuān)門(mén)想針對(duì)受害者、他們的垂直或地理位置的參與者。

假設(shè)網(wǎng)絡(luò)攻擊者達(dá)到了其技術(shù)能力的極限，并且無(wú)法在邊緣服務(wù)器上升級(jí)特權(quán)。在這種情況下，他們?nèi)匀豢梢猿鍪墼L問(wèn)權(quán)限，然后另一個(gè)更有能力的網(wǎng)絡(luò)攻擊者可能會(huì)進(jìn)入之前的網(wǎng)絡(luò)攻擊者失敗的地方。

在這個(gè)新的、專(zhuān)業(yè)化的網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中，單一網(wǎng)絡(luò)攻擊的模塊化特性使識(shí)別網(wǎng)絡(luò)攻擊者的目標(biāo)變得更加困難，即使沒(méi)有轉(zhuǎn)售或移交訪問(wèn)權(quán)。網(wǎng)絡(luò)攻擊者參與者可以購(gòu)買(mǎi)有效的惡意軟件、現(xiàn)成的基礎(chǔ)設(shè)施和網(wǎng)絡(luò)釣魚(yú)活動(dòng)，因此這些工具、基礎(chǔ)設(shè)施和網(wǎng)址不再是安全事件中主動(dòng)攻擊者的可靠標(biāo)識(shí)符。

更難知道網(wǎng)絡(luò)攻擊者的目標(biāo)

邊緣服務(wù)器的攻擊可能導(dǎo)致該服務(wù)器被招募到挖礦池中進(jìn)行加密劫持或進(jìn)入網(wǎng)絡(luò)釣魚(yú)或DDoS攻擊。

尋求速戰(zhàn)速?zèng)Q的網(wǎng)絡(luò)攻擊參與者現(xiàn)在可能會(huì)使用與技術(shù)領(lǐng)先的多點(diǎn)勒索軟件團(tuán)伙完全相同的工具和方法。在非常接近實(shí)現(xiàn)其目標(biāo)之前，很難將這兩者進(jìn)行區(qū)分，因此企業(yè)需要將每個(gè)安全事件視為可能是最嚴(yán)重和最危險(xiǎn)的事件來(lái)處理。

人們觀察到，當(dāng)一個(gè)常用的面向互聯(lián)網(wǎng)的軟件出現(xiàn)新的漏洞時(shí)，從加密劫持團(tuán)伙到國(guó)家支持的APT等多個(gè)參與者都會(huì)立即采取行動(dòng)，并配置他們的基礎(chǔ)設(shè)施來(lái)瞄準(zhǔn)和攻擊。通過(guò)了解當(dāng)前的威脅形勢(shì)和存在的威脅情報(bào)，企業(yè)可以對(duì)最新的威脅做出快速反應(yīng)。

對(duì)于企業(yè)安全團(tuán)隊(duì)或基礎(chǔ)設(shè)施團(tuán)隊(duì)來(lái)說(shuō)，發(fā)現(xiàn)網(wǎng)絡(luò)中本可以修補(bǔ)的漏洞被網(wǎng)絡(luò)攻擊者利用了，可能令人沮喪或懊惱。更糟糕的是發(fā)現(xiàn)網(wǎng)絡(luò)已經(jīng)被破壞，只是因?yàn)闆](méi)有及時(shí)打補(bǔ)丁。

如果多個(gè)網(wǎng)絡(luò)攻擊參與者使用相同的工具和方法，即使它們是有效和高效的，那么防御者的機(jī)會(huì)確實(shí)會(huì)從這種新格局中出現(xiàn)，這是可以重點(diǎn)關(guān)注的部分。防御者可以采用常見(jiàn)的工具和戰(zhàn)術(shù)，檢測(cè)和識(shí)別當(dāng)前流行的網(wǎng)絡(luò)攻擊者行為鏈，并采取行動(dòng)。

雖然不知道網(wǎng)絡(luò)攻擊者的最終目標(biāo)，但是防御者可以：

• 了解對(duì)手——使用威脅情報(bào)來(lái)及時(shí)了解網(wǎng)絡(luò)攻擊者的流行工具、方法和目標(biāo)。當(dāng)前的大趨勢(shì)是通過(guò)網(wǎng)絡(luò)釣魚(yú)或利用外部可訪問(wèn)的脆弱服務(wù)進(jìn)行初始訪問(wèn)。

網(wǎng)絡(luò)攻擊者針對(duì)目標(biāo)的行動(dòng)通常是通過(guò)依賴(lài)攻擊面來(lái)實(shí)現(xiàn)的，例如，濫用已經(jīng)存在的操作系統(tǒng)工具和使用常見(jiàn)的商品開(kāi)發(fā)后框架，例如Cobalt Strike、Metasploit和Sliver。攻擊者的共同目標(biāo)是竊取信息、欺詐和勒索。

• 了解弱點(diǎn)——防御者的哪些攻擊表面可能成為攻擊目標(biāo)?未打補(bǔ)丁的網(wǎng)絡(luò)、電子郵件和應(yīng)用服務(wù)器一直是主要的目標(biāo)。盡管如此，即使是網(wǎng)絡(luò)基礎(chǔ)設(shè)施(例如知名品牌的防火墻)，也被發(fā)現(xiàn)含有被網(wǎng)絡(luò)攻擊者利用的漏洞。從防御者的財(cái)產(chǎn)到具有價(jià)值的資產(chǎn)的攻擊路徑是什么?對(duì)敏感信息的訪問(wèn)是否有適當(dāng)?shù)目刂?，或者是否運(yùn)行一個(gè)開(kāi)放的平面網(wǎng)絡(luò)?是否運(yùn)行任何遺留系統(tǒng)、ICS或物聯(lián)網(wǎng)設(shè)備?
• 先發(fā)制人——對(duì)這些常用工具、方法和路徑實(shí)施先發(fā)制人的檢測(cè)和控制，以及對(duì)數(shù)據(jù)和功能的訪問(wèn)控制和限制。監(jiān)控攻擊表面的異?；顒?dòng)，實(shí)施并關(guān)注基于機(jī)器學(xué)習(xí)的行為檢測(cè)，或者獲得托管檢測(cè)和響應(yīng)服務(wù)來(lái)做到這些。主動(dòng)教育用戶(hù)群，并設(shè)置策略和程序，以明確他們的責(zé)任，并與企業(yè)的技術(shù)控制保持一致。盡快安裝安全補(bǔ)丁。
• 制定事件響應(yīng)計(jì)劃——如果企業(yè)擁有威脅情報(bào)、自我意識(shí)、控制和策略，可以制定一個(gè)事件響應(yīng)行動(dòng)計(jì)劃，以便在發(fā)生網(wǎng)絡(luò)攻擊事件時(shí)有效應(yīng)對(duì)。

雖然在安全事件期間仍然會(huì)出現(xiàn)不可預(yù)測(cè)的情況，但是如果企業(yè)已經(jīng)完成了大部分網(wǎng)絡(luò)防范工作，那么可以更快地采取行動(dòng)，然后能夠?qū)Ｗ⒂诓豢深A(yù)測(cè)的邊緣情況。