网络犯罪分子在技术总监radarOliver Rochford下面飞行的四种方式2020年4月8日（星期三）近年来，随着对手采用一系列技术来确保即使他们的攻击被发现，他们自己也能逃脱侦查并避免被发现，这一挑战在近几年有所扩大惩罚。侦查当然，与追查人类活动相比，威胁是一个截然不同的技术挑战。然而，在尘埃落定之后的某个时刻，例如在事后事件分析期间，某处的某人可能需要知道嫌疑人是谁。尽管我们取得了所有其他进展，而且最近在认定攻击性和网络犯罪行为方面取得了一些成功，但每10万起网络犯罪中，只有3起受到起诉。简单地说，这仍然是一系列尚未解决的问题。我们所取得的许多成功，可以更多地归因于犯罪分子的行动安全失败，而不是任何其他积极的方法。事实上，最近的一些趋势实际上使可靠的归因更加明显有挑战性的造成归属困难的四种网络威胁趋势以下是威胁参与者如何获得和获得攻击能力的四种相关趋势，这些攻击能力在试图可靠地识别工具、技术时导致复杂性增加，网络犯罪即服务经济和供应链，允许网络犯罪分子混合和匹配现成的攻击性网络能力。扩展威胁行为体使用"陆上生活"（LoL）工具来逃避传统的基于签名的安全防御，把他们弄糊涂了活动。而代码重用一直存在于黑客群体中，复制国家级攻击代码已成为近年来的热点可能的。那个降低了对有犯罪动机的经营者的进入壁垒，为技术含量较低的犯罪分子提供了手段，他们只受时间和他们的想象。数字1： 在四个网络威胁趋势三个参与者可以混合和匹配攻击工具，创建可针对各种不同的活动。介于一个专业的网络犯罪工具和服务市场，越来越多地采用"靠土地生活"的技术，企业管理软件下载，以及重复使用从国家情报机构泄露的代码，即使是技术能力最有限的威胁行为体也可以进行高度复杂的犯罪活动。潜在的网络犯罪分子现在有四种主要的攻击工具可供选择，其中三种是全新的或大大增强的。更重要的是，这些威胁参与者可以混合和匹配攻击工具，创建战术上灵活的攻击堆栈，可以针对不同类型的受害者。关了这个架子是一个新兴的、日益专业化的网络犯罪即服务市场（估计16亿美元）提供了一个繁荣的市场微服务、攻击代码和攻击平台。任何有动机、有足够比特币和热情的人都可以成为下一个"网络堂考利昂"。其中许多服务提供24小时的专用帐户管理和专业支持。网络犯罪供应链的商业化提高了网络犯罪即服务供应商的准入门槛，同时也降低了网络犯罪的准入门槛操作员。生活一段时间以来，"生活在陆地上"（LoL）和"无恶意软件"攻击一直呈上升趋势。这些攻击方法之所以如此危险，是因为它们利用标准操作系统工具来进行邪恶的业务，使寻找恶意软件的基于特征的方法无效-包括基于特征的入侵保护系统。这些攻击尤其表明，需要一种方法来解决网络安全问题，而不仅仅是查看正在使用的恶意软件。安全团队不再依赖静态黑名单，而是转向一种更为复杂的方法，即为整个企业中的每个用户和设备学习"正常"。从这个不断发展的基线来看，这种防御方法可以识别并遏制网络威胁的异常活动，所有这些都是真实存在的时间。代码重用和重新利用这是一个新的、前所未有的现象，即网络犯罪分子正在获得情报和国家级攻击密码。黑客总是乞求，借来，以及其他人窃取的代码，包括攻击代码——只有两个值得注意的例子包括Zeus特洛伊木马和RIG exploit kit代码泄漏，它们为当前一代的威胁提供了代码基础。新的和前所未有的是，无论是通过恶意还是无能，网络犯罪分子正在获取情报和国家级攻击代码。导致Wannacry的影子经纪人泄密事件就是这一趋势的一个最近的例子，我们预计这一趋势会加速——尤其是情报部门相互之间积极合作的情况下方法。自定义和定制技术黑客创造自己的工具和研究他们自己的漏洞的做法有着悠久而神圣的传统，随着头条新闻"零日"变得越来越普遍。尤其是国家行为体经常区分攻击运营商和攻击代码开发者，他们能够请求定制和定制的代码和工具，这与网络犯罪即服务市场中复制的模式没什么不同。即使在开发自定义工具时，淘客app原生，威胁参与者也经常集成来自其他人的代码和漏洞各方。图2： 四种主要的攻击工具在确定谁是幕后黑手时，最重要的是能够将所有四种类型的攻击工具结合在一起，构建云服务器，这为依赖模式匹配进行检测的方法提供了进一步的混淆层，同时也给潜在的调查人员造成了额外的混乱。攻击者可以使用这些工具类型的任何组合和变体来创建不同的"Chimera"攻击堆栈，这使得识别真正的操作员变得更加困难。例如，当大多数被评估的TTP都是技术性的，并且来源于工装图3： TTP和归因混淆链结论随着归因挑战的加剧，我们的重点必须转向防御网络攻击他们自己上述四种威胁趋势的结合降低了犯罪动机经营者的进入壁垒。技术含量较低的对手现在能够以以前仅限于最有组织和资金充足的网络犯罪团伙发动攻击。这种情况的变化使得攻击性网络活动的归属更加复杂，网络犯罪的起诉率可能还需要一段时间才能达到足够高的水平抑制性的。如归属的挑战加剧，我们的重点必须转向防御网络攻击本身。你可能永远不知道谁在攻击你，但如果你能成功地挫败各种新的和旧的威胁，你的组织就可以继续作为正常。幸运的是，近年来，防御者发现和应对网络威胁的能力显著提高，感谢人工智能和机器学习的最新发展。现在，超过3500家组织依赖网络人工智能来检测和控制网络威胁，网络云服务器，无论攻击者是使用已有的操作系统工具伪装攻击，还是使用定制的全新技术绕过规则和签名。当一个威胁被识别出来时，人工智能可以通过强制用户或设备的"生活模式"进行自主响应，允许"一切照旧"，同时确保组织受到保护伤害奥利弗罗奇福德·奥利弗是Darktrace的技术总监。他的背景是威胁与脆弱性和安全操作管理。Oliver在安全行业工作了20年，曾在技术支持、SOC管理、渗透测试和研究等多个岗位工作，包括担任Gartner的研究总监。他撰写了德国和荷兰的第1版和第2版《傻瓜黑客》（Hacking for Dummies），大数据前景，并经常在《安全周刊》（Securityweek）、《CSO Online》（CSO Online）和《黑暗》（Dark）等安全出版物上发表阅读。分享在LinkedIn上的FacebookTweetShare发送电子邮件