網(wǎng)絡(luò)犯罪分子正在模仿合法的科技生態(tài)系統(tǒng)，尋求更高的效率和利潤：他們將常見的復(fù)雜問題外包;將網(wǎng)絡(luò)攻擊轉(zhuǎn)包;通過一種被稱為“零工經(jīng)濟(jì)”的運(yùn)營商雇傭自由職業(yè)者進(jìn)行攻擊。對這些服務(wù)的需求導(dǎo)致網(wǎng)絡(luò)犯罪服務(wù)提供商如雨后春筍般涌現(xiàn)，以滿足這些需求，并且形成了一種循環(huán)，這種網(wǎng)絡(luò)犯罪服務(wù)的供應(yīng)使網(wǎng)絡(luò)安全問題日益加劇。

網(wǎng)絡(luò)攻擊參與者可以購買惡意軟件、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)釣魚即服務(wù);他們甚至可以很容易地從初始訪問代理那里購買對受害者的攻擊和訪問。這個成熟的市場意味著任何有動機(jī)的參與者都可以購買有效的惡意工具和如何使用它們的說明。

這對防御者來說意味著什么?

由于存在網(wǎng)絡(luò)攻擊者攻擊或勒索受害者的市場，安全事件可能會迅速演變和變化。入侵網(wǎng)絡(luò)的初始攻擊者可能會將訪問權(quán)出售給另一個專門想針對受害者、他們的垂直或地理位置的參與者。

假設(shè)網(wǎng)絡(luò)攻擊者達(dá)到了其技術(shù)能力的極限，并且無法在邊緣服務(wù)器上升級特權(quán)。在這種情況下，他們?nèi)匀豢梢猿鍪墼L問權(quán)限，然后另一個更有能力的網(wǎng)絡(luò)攻擊者可能會進(jìn)入之前的網(wǎng)絡(luò)攻擊者失敗的地方。

在這個新的、專業(yè)化的網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中，單一網(wǎng)絡(luò)攻擊的模塊化特性使識別網(wǎng)絡(luò)攻擊者的目標(biāo)變得更加困難，即使沒有轉(zhuǎn)售或移交訪問權(quán)。網(wǎng)絡(luò)攻擊者參與者可以購買有效的惡意軟件、現(xiàn)成的基礎(chǔ)設(shè)施和網(wǎng)絡(luò)釣魚活動，因此這些工具、基礎(chǔ)設(shè)施和網(wǎng)址不再是安全事件中主動攻擊者的可靠標(biāo)識符。

更難知道網(wǎng)絡(luò)攻擊者的目標(biāo)

邊緣服務(wù)器的攻擊可能導(dǎo)致該服務(wù)器被招募到挖礦池中進(jìn)行加密劫持或進(jìn)入網(wǎng)絡(luò)釣魚或DDoS攻擊。

尋求速戰(zhàn)速決的網(wǎng)絡(luò)攻擊參與者現(xiàn)在可能會使用與技術(shù)領(lǐng)先的多點(diǎn)勒索軟件團(tuán)伙完全相同的工具和方法。在非常接近實現(xiàn)其目標(biāo)之前，很難將這兩者進(jìn)行區(qū)分，因此企業(yè)需要將每個安全事件視為可能是最嚴(yán)重和最危險的事件來處理。

人們觀察到，當(dāng)一個常用的面向互聯(lián)網(wǎng)的軟件出現(xiàn)新的漏洞時，從加密劫持團(tuán)伙到國家支持的APT等多個參與者都會立即采取行動，并配置他們的基礎(chǔ)設(shè)施來瞄準(zhǔn)和攻擊。通過了解當(dāng)前的威脅形勢和存在的威脅情報，企業(yè)可以對最新的威脅做出快速反應(yīng)。

對于企業(yè)安全團(tuán)隊或基礎(chǔ)設(shè)施團(tuán)隊來說，發(fā)現(xiàn)網(wǎng)絡(luò)中本可以修補(bǔ)的漏洞被網(wǎng)絡(luò)攻擊者利用了，可能令人沮喪或懊惱。更糟糕的是發(fā)現(xiàn)網(wǎng)絡(luò)已經(jīng)被破壞，只是因為沒有及時打補(bǔ)丁。

如果多個網(wǎng)絡(luò)攻擊參與者使用相同的工具和方法，即使它們是有效和高效的，那么防御者的機(jī)會確實會從這種新格局中出現(xiàn)，這是可以重點(diǎn)關(guān)注的部分。防御者可以采用常見的工具和戰(zhàn)術(shù)，檢測和識別當(dāng)前流行的網(wǎng)絡(luò)攻擊者行為鏈，并采取行動。

雖然不知道網(wǎng)絡(luò)攻擊者的最終目標(biāo)，但是防御者可以：

• 了解對手——使用威脅情報來及時了解網(wǎng)絡(luò)攻擊者的流行工具、方法和目標(biāo)。當(dāng)前的大趨勢是通過網(wǎng)絡(luò)釣魚或利用外部可訪問的脆弱服務(wù)進(jìn)行初始訪問。

網(wǎng)絡(luò)攻擊者針對目標(biāo)的行動通常是通過依賴攻擊面來實現(xiàn)的，例如，濫用已經(jīng)存在的操作系統(tǒng)工具和使用常見的商品開發(fā)后框架，例如Cobalt Strike、Metasploit和Sliver。攻擊者的共同目標(biāo)是竊取信息、欺詐和勒索。

• 了解弱點(diǎn)——防御者的哪些攻擊表面可能成為攻擊目標(biāo)?未打補(bǔ)丁的網(wǎng)絡(luò)、電子郵件和應(yīng)用服務(wù)器一直是主要的目標(biāo)。盡管如此，即使是網(wǎng)絡(luò)基礎(chǔ)設(shè)施(例如知名品牌的防火墻)，也被發(fā)現(xiàn)含有被網(wǎng)絡(luò)攻擊者利用的漏洞。從防御者的財產(chǎn)到具有價值的資產(chǎn)的攻擊路徑是什么?對敏感信息的訪問是否有適當(dāng)?shù)目刂疲蛘呤欠襁\(yùn)行一個開放的平面網(wǎng)絡(luò)?是否運(yùn)行任何遺留系統(tǒng)、ICS或物聯(lián)網(wǎng)設(shè)備?
• 先發(fā)制人——對這些常用工具、方法和路徑實施先發(fā)制人的檢測和控制，以及對數(shù)據(jù)和功能的訪問控制和限制。監(jiān)控攻擊表面的異?；顒?，實施并關(guān)注基于機(jī)器學(xué)習(xí)的行為檢測，或者獲得托管檢測和響應(yīng)服務(wù)來做到這些。主動教育用戶群，并設(shè)置策略和程序，以明確他們的責(zé)任，并與企業(yè)的技術(shù)控制保持一致。盡快安裝安全補(bǔ)丁。
• 制定事件響應(yīng)計劃——如果企業(yè)擁有威脅情報、自我意識、控制和策略，可以制定一個事件響應(yīng)行動計劃，以便在發(fā)生網(wǎng)絡(luò)攻擊事件時有效應(yīng)對。

雖然在安全事件期間仍然會出現(xiàn)不可預(yù)測的情況，但是如果企業(yè)已經(jīng)完成了大部分網(wǎng)絡(luò)防范工作，那么可以更快地采取行動，然后能夠?qū)Ｗ⒂诓豢深A(yù)測的邊緣情況。