网络犯罪分子正在模仿合法的科技生态系统，寻求更高的效率和利润：他们将常见的复杂问题外包;将网络攻击转包;通过一种被称为“零工经济”的运营商雇佣自由职业者进行攻击。对这些服务的需求导致网络犯罪服务提供商如雨后春笋般涌现，以满足这些需求，并且形成了一种循环，这种网络犯罪服务的供应使网络安全问题日益加剧。

网络攻击参与者可以购买恶意软件、基础设施和网络钓鱼即服务;他们甚至可以很容易地从初始访问代理那里购买对受害者的攻击和访问。这个成熟的市场意味着任何有动机的参与者都可以购买有效的恶意工具和如何使用它们的说明。

这对防御者来说意味着什么?

由于存在网络攻击者攻击或勒索受害者的市场，安全事件可能会迅速演变和变化。入侵网络的初始攻击者可能会将访问权出售给另一个专门想针对受害者、他们的垂直或地理位置的参与者。

假设网络攻击者达到了其技术能力的极限，并且无法在边缘服务器上升级特权。在这种情况下，他们仍然可以出售访问权限，然后另一个更有能力的网络攻击者可能会进入之前的网络攻击者失败的地方。

在这个新的、专业化的网络犯罪生态系统中，单一网络攻击的模块化特性使识别网络攻击者的目标变得更加困难，即使没有转售或移交访问权。网络攻击者参与者可以购买有效的恶意软件、现成的基础设施和网络钓鱼活动，因此这些工具、基础设施和网址不再是安全事件中主动攻击者的可靠标识符。

更难知道网络攻击者的目标

边缘服务器的攻击可能导致该服务器被招募到挖矿池中进行加密劫持或进入网络钓鱼或DDoS攻击。

寻求速战速决的网络攻击参与者现在可能会使用与技术领先的多点勒索软件团伙完全相同的工具和方法。在非常接近实现其目标之前，很难将这两者进行区分，因此企业需要将每个安全事件视为可能是最严重和最危险的事件来处理。

人们观察到，当一个常用的面向互联网的软件出现新的漏洞时，从加密劫持团伙到国家支持的APT等多个参与者都会立即采取行动，并配置他们的基础设施来瞄准和攻击。通过了解当前的威胁形势和存在的威胁情报，企业可以对最新的威胁做出快速反应。

对于企业安全团队或基础设施团队来说，发现网络中本可以修补的漏洞被网络攻击者利用了，可能令人沮丧或懊恼。更糟糕的是发现网络已经被破坏，只是因为没有及时打补丁。

如果多个网络攻击参与者使用相同的工具和方法，即使它们是有效和高效的，那么防御者的机会确实会从这种新格局中出现，这是可以重点关注的部分。防御者可以采用常见的工具和战术，检测和识别当前流行的网络攻击者行为链，并采取行动。

虽然不知道网络攻击者的最终目标，但是防御者可以：

• 了解对手——使用威胁情报来及时了解网络攻击者的流行工具、方法和目标。当前的大趋势是通过网络钓鱼或利用外部可访问的脆弱服务进行初始访问。

网络攻击者针对目标的行动通常是通过依赖攻击面来实现的，例如，滥用已经存在的操作系统工具和使用常见的商品开发后框架，例如Cobalt Strike、Metasploit和Sliver。攻击者的共同目标是窃取信息、欺诈和勒索。

• 了解弱点——防御者的哪些攻击表面可能成为攻击目标?未打补丁的网络、电子邮件和应用服务器一直是主要的目标。尽管如此，即使是网络基础设施(例如知名品牌的防火墙)，也被发现含有被网络攻击者利用的漏洞。从防御者的财产到具有价值的资产的攻击路径是什么?对敏感信息的访问是否有适当的控制，或者是否运行一个开放的平面网络?是否运行任何遗留系统、ICS或物联网设备?
• 先发制人——对这些常用工具、方法和路径实施先发制人的检测和控制，以及对数据和功能的访问控制和限制。监控攻击表面的异常活动，实施并关注基于机器学习的行为检测，或者获得托管检测和响应服务来做到这些。主动教育用户群，并设置策略和程序，以明确他们的责任，并与企业的技术控制保持一致。尽快安装安全补丁。
• 制定事件响应计划——如果企业拥有威胁情报、自我意识、控制和策略，可以制定一个事件响应行动计划，以便在发生网络攻击事件时有效应对。

虽然在安全事件期间仍然会出现不可预测的情况，但是如果企业已经完成了大部分网络防范工作，那么可以更快地采取行动，然后能够专注于不可预测的边缘情况。