攻击者目标选择

2021年7月5日

关于Kaseya攻击是否利用了0day漏洞的讨论正在进行中。虽然在讨论补丁管理策略时这是个有趣的问题，但我认为在理解攻击者思维方面，目标选择比这更重要。简而言之，在目标选择方面，攻击者已经领先防御者近30年。

1994年初，CERT宣布攻击者正在SunOS主机上植入网络窃听工具——“嗅探器”，并利用这些工具收集密码。安全社区知道但CERT公告未提及的是这些嗅探器的战略部署位置：ISP运营的主要以太网段。在那个交换式以太网尚未成为标准的时代，以太网是单一域；每台主机都能看到每个数据包。这对网络监控很有利——对秘密窃听也很有利。所有安全人员都理解这个等式的两边，但攻击者意识到骨干链路比普通站点网络提供更多收集有用密码的机会。

快进到2003年，Sobig.f病毒出现。用一篇回顾性文章的话说，“整个Sobig家族非常重要，因为这是垃圾邮件和病毒融合的转折点。” 再次说明，被黑计算机可用于盈利并不是新想法，但防御者意识到现实世界中已经发生这种转变时为时已晚。

几年后，信用卡支付处理商遭到攻击，最著名的是Heartland支付系统。这是大多数人不知道存在的行业领域——收费和支付不是由银行处理吗？但攻击者知道，并盯上了这类公司。

当前的恶意软件运营者再次领先一步，盯上了SolarWinds和Kaseya等网络基础设施公司。这给了他们杠杆：攻击一家公司；渗透数千家。回报可能是情报，如SolarWinds黑客攻击，也可能是财务上的，如Kaseya。而且勒索软件实施者显然非常有策略：

网络责任保险有个问题：它可能让你更容易受到勒索软件攻击。当网络犯罪分子瞄准网络保险公司时，他们就能获得被保险客户名单，然后网络犯罪分子可以利用这一点要求与公司保险限额相匹配的赎金。

攻击者甚至利用时机：

去年八月出现的DarkSide体现了这种新类型。它基于仔细的财务分析或从公司电子邮件中收集的信息选择目标。例如，它在Tantleff某个客户将文件转移到云端且没有干净备份的脆弱周内发动了攻击。

防御者面临的挑战是识别下一个高价值目标可能是什么。很多防御都是保护我们认为的高价值系统，但我们评估价值的方式并不总是与攻击者相同。下一个目标会是什么？