网络犯罪即服务 (CCaaS) 初始只是几个黑客在非法平台上出售零日漏洞和用户凭据,随着大量非法资金的注入使该市场逐渐发展成了“专业化”的商业实体。CCaaS市场能够为犯罪分子提供各种服务,包括出售受害者的身份凭证,以及为犯罪分子提供匿名基础设施托管服务。
网络犯罪逐渐“轻资产”
现如今,攻击者可以利用微服务和现成的解决方案开发定制的工具链、定制攻击并复用各种犯罪活动(例如加密货币挖掘、银行凭证盗窃、勒索软件或DDoS租赁服务)。他们可租用所需的一切,从基础设施到受害者网络的访问权限。
混合着不同技术的模块化有效攻击手段,意味着我们面临的网络威胁更严峻。这些犯罪服务的客户可以方便快捷地访问新的攻击、漏洞利用和规避技术,“创新”在整个网络攻击生态系统中迅速扩散。这为网络犯罪经营者提供了高度的敏捷性和适应性,并且往往具备企业和公共机构难以追赶的先发优势。比如今天因受感染而发送垃圾邮件的系统,被修改后明天就可以传播恶意软件或加密文件。
犯罪服务的复杂程度也有所提高,与防御自动化(SOAR)相对的攻击自动化技术也在迅速发展,自助服务和交钥匙部署变得普遍,并且同样可以提供“保质保量”的企业服务水平协议。攻击者通过加密货币既可发动复杂的网络入侵活动,甚至攻击关键基础设施。
现存的攻击工具的滥用也使网络攻击的溯源变得更复杂,太多攻击团伙使用CCaS市场产品服务,甚至很多国家黑客为了隐藏身份也在此市场上交易,幕后黑手更难追查。
网络犯罪“成熟度”提高
CCaaS市场和经济发展趋势与合法市场的发展趋同,犯罪分子在开展攻击前也会对受害者开展专业的针对性分析和调查。Conti勒索软件团伙的“内鬼”最近泄露的信息表明,攻击者甚至会研究潜在目标的营收情况来确定勒索赎金金额。
如果犯罪分子能主动避免破坏关键基础设施和医院等重要目标,是个好消息。但其理由并非出于利他主义或社会良知,而是为了避免成为全民公敌,失去收容他们的民族国家的保护。因此医院、关键基础设施、石油和天然气行业、国防工业、非营利公司和政府部门等其他行业都是犯罪分子的目标。
网络犯罪商业化是柄双刃剑
尽管CCaaS使网络犯罪更加泛滥,但对于防御者来说仍有希望,因为更多的犯罪分子正在使用相同的工具。
犯罪分子可能会受益于成熟和专业的供应链,但该供应链正在开始整合和标准化。这使得网络攻击基础模块的数量减少,很大程度上抵消了犯罪分子通过混搭不同网络犯罪服务,来重新利用和侵入基础设施的能力。使用同种攻击模块且操作安全性差的犯罪团伙一旦有人泄密,整个团伙都会被暴露。即使没有已知的指标,安全人员也可以有效地检测此类攻击,而不是专注于分析行为和技术。
正如攻击者正在对托管服务提供商等目标进行大型狩猎,从而能够一次攻击多个受害者一样,执法部门也越来越关注CCaaS 供应商,以便能够观察和收集整个犯罪群体的证据。所以,如果“管理不当”,网络犯罪即服务供应链对犯罪分子的风险将与供应链对企业的风险一样大。网络安全行业正在转向面向威胁和零信任的安全态势,企业只要确保拥有安全解决方案以提供对所有关键攻击向量的充分覆盖,就能有效抵御网络犯罪即服务和日益复杂的攻击者的威胁。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】