各路专家谈攻击服务AAS已经做得风生水起 外媒称中国在暗网购买肉鸡

在防守方大谈软件定义一切SDX (Software Defined X)的时候，攻击方也在大搞一切皆服务XaaS (X-As-A-Service)，而且做地风生水起。针对DDoS（分布式拒绝服务）与恶意软件（包括勒索软件）等的AAS产品借助于攻击工具包公开出售，大大降低了犯罪市场准入门槛，同时有可能催生攻击外包、利润分赃的黑产链。

各类攻击服务AAS降低了网络犯罪的准入门槛

Micro Focus公司战略副总裁Geoff Webb表示，工业化的流程与唾手可得的工具扩大了犯罪市场，非技术人员—或者说任何人—都可以进入数字犯罪市场。

还有各种超级便宜的工具包。Webb认为，“无论是快速破解密码的能力，还是找到目标公司、进入其内部查探业务位置及所运行业务的能力，亦或是按小时租赁发动DDoS攻击的能力，都大大降低了市场进入成本。”

这些工具包的存在意味着即使是毫无技术的犯罪分子也可以方便地租赁或购买到所需的能力和知识。“这些能力和知识已经工业化，为人熟知，易于理解。攻击者可对任何有漏洞的目标发动攻击，并根据目标实际情况修改工具。”Webb补充说。

只要一点儿小钱，几乎任何人都能够“利用看似强大的系统、未修改的管理账户进行权限提升或SQL注入攻击”。

Webb认为，这些攻击之所以成功是因为组织未有效实施基本的控制措施。

各类攻击服务AAS有可能催生攻击任务外包 攻击利润分赃不是不可能

技术更为熟练的黑客会使用Webb所称的“解剖刀”攻击。发动这种攻击的黑客一般由国家资助，为政府组织卖力。“他们使用非常复杂的技术攻入网络，”Webb说。

当前，这类AAS攻击工具包的兴起为行业带来了重创。Webb表示，“缓解措施并不比以前复杂，但应对这种规模的攻击对组织来说是个挑战。”

Palo Alto Networks（PAN）公司的高级威胁情报经理Scott Simkin认为，这些攻击之所以得以自动化，攻击工具包“功”不可没。“界面漂亮，操作简单，轻触按钮，便可感染网站，他们找出漏洞，传播恶意软件，不需要任何专业知识就可以进行利用。”

攻击者不再需要专门的全套技能利用这些攻击。“这些人以前可能只会在现实世界进行不法行为，从未想过通过互联网获利，”Simkin补充说。

若传统的犯罪分子以前所未有的方式向网络犯罪世界迁移，又会如何影响企业安全呢？

“攻击工具包与自动化攻击造就了功能完善的RaaS（勒索软件即服务），攻击者付款购买后便可以发动间谍软件攻击，分享利润。攻击者若外包这个超前概念，当属创新之举，”Simkin说。

攻击服务的兴起让攻击数量直线上升 但也让防护方的视野更加聚焦

既然可以方便地获取各种资源，攻击数量自然直线上升。Simkin说：“为了解析事件，防御方需要分析更多的数据、告警等，以确定采取什么行动。”

因此，预防被重提日程。Simkin表示，首要方法是像过去一样聚焦预防而不是检测与响应。

他还说：“预防是重中之重，正确部署系统与防护策略，便可先发制人，而无需疲于应付攻击者。自始至终，防护方应考虑将预防放在首位。”

既然攻击门槛在降低，“我们就应该提升安全行业的门槛。业内共识是共享情报，这会使全行业受益，”Simkin如是说。

Simkin还表示，AAS可用性持续提升的势头不会停止，“在未来12到24个月内，AAS业务仍会呈上升趋势。企业应将目光聚焦于预防以及如何为此类预防提供支撑。”

JASK公司首席执行官Greg Margin认为，此类业务的成功“缩小了安全团队需关注的威胁规模，市场集中在不到10个供应商手中，总体来说，恶意软件数量减少，但攻击数量增多。”

根据Martin的观点，这些攻击工具包即使无法提供政府级恶意软件，仍具有很大的危险性，因为本质上提供了进入网络的通道。

从事此类活动的人群中，不少人出售了其对可入侵机器的访问权限。Martin说：“他们在暗网上做广告，俄罗斯或中国的黑客只需要花费5美元、10美元或20美元就可以购买到这样的权限。价格之所以低廉是因为这类工具易于检测。”

大家都看好共享威胁情报这条路

在攻击量不断增长的情况下，AI（人工智能）可望助人类一臂之力。“如何将最优秀的人类集中到这场战役并教会机器发挥出最优秀分析师30%的能力？机器不需要休息，而人类不行，所以需要更多地求助于自动化，正如攻击者所做的一样，”Martin说。

Martin的这番话与前面所说的“情报共享可使全行业受益”的观点不谋而合。“这就好像全村人保护你一人。要了解恶意软件新版本何时发布以及所支持的活动，他们需要走出自己的小圈子，共享信息，通过ISAC组织或情报团体进行协作，”Martin进一步阐释道。

Parameter Security创始人Dave Chorister认为，攻击者技能要求越来越低并不是什么新鲜提法。他说：“从企业安全角度看，威胁没变，变化的是实际遭到攻击的数量。”

企业都应该有数据备份，“勒索软件充其量也就小打小闹，不涉及以绕过已部署安全控制措施为目标的复杂攻击过程，除非是DDoS攻击。”

Chorister表示，即使可以用较低价格获取或租用较大的僵尸网络导致严重的断网事件，“我还从未从可信渠道听说攻击者通过DDoS获得访问权限的。这种风险并不大。”

本地备份数据以及分割网络都可以较好地防止此类攻击。“但是复制不等于备份。使用DropBox或Google Drive的话，只是复制，而不是备份。”

Chorister认为，基本的安全控制措施有很好的防范效果。“这的确让人忧心。风险无处不在，因为犯罪分子总会租用或编写工具发动攻击。我们须保护好自己的环境，绝不为勒索软件支付赎金。”

勒索攻击是最容易防护的攻击，Chorister说，“如果不得不支付赎金，就当做是对缺乏备份的惩罚吧。”