多名攻擊者增加了受害者的壓力，使事件響應複雜化
Sophos 最新的 Active Adversary 報告探討了組織被攻擊者多次攻擊的問題
 
關於網路攻擊的可能性有一句老生常談的行業短語：“這不是是否發生的問題，而是何時發生的問題。” Sophos 最近調查的一些事件可能會迫使行業考慮改變這一經驗法則：問題不在於是否，或何時，而是多少次？
 
在安數代理的Sophos X-Ops 發布最新 Active Adversary Playbook 2022中：深入探討了多個攻擊者的問題，以及組織為什麼會多次受到攻擊？並提供了最佳實踐安全指南，以及八個可操作要點，以幫助組織降低成為多個攻擊者受害者的風險：

1. 務必更新所有內容

主要發現，IAB 部署的加密礦工、webshel​​l和後門通常在漏洞被披露時首先出現，而後者通常會嘗試秘密操作，因此你可能認為已經避免了攻擊，而實際上系統已經存在惡意軟體。在後續遇到勒索軟體攻擊時，可能會加劇這種情況。儘早補丁是避免在未來受到攻擊的最佳方式。

2. 優先處理最嚴重的漏洞

2021年披露的漏洞有18,429個，平均每天有超過50個，因此漏洞優先處理相對非常重要。確認優先順序有兩個關鍵要素：1 嚴重影響解決方案推疊的關鍵錯誤；2 嚴重影響組織技術的漏洞。錯誤警報是一項非營利性服務，旨在對高影響錯誤進行早期預警。還建議監視“infosec Twitter”，因為這是首次發佈時討論許多突出漏洞的地方。或者，可以使用CVE趨勢，它會整理來自多個站點的數據以顯示最受關注的漏洞。

3. 注意配置

錯誤配置以及在攻擊後未能修復它們，是多次利用的主要原因。Cryptominer營運商、IAB 和勒索軟體總是在尋找暴露的 RDP 和 VPN 端口，如果確實需要通過 Internet 進行遠端存取、管理，請將其置於VPN、零信任網路存取解決方案之後，該解決方案使用 MFA作為其登錄過程的一部分。

4. 假設其他攻擊者發現了您的漏洞

威脅行為者不會單槍匹馬運作。IAB可能會轉售或重新列出他們的產品，而勒索軟體組織可能會使用多種毒株，因此一個漏洞或錯誤配置可能導致多個威脅參與者試圖攻繫您的網路。

5. 不要慢吞吞地處理正在進行的攻擊

洩漏站點上列出可能會吸引其他機會主義威脅參與者。如果您不幸遭到勒索軟體攻擊，請立即與資安團隊和事件響應提供商一起採取行動，關閉初始入口點並評估哪些數據已洩露，做更廣泛的補救計劃。

6. 勒索軟體與勒索軟體間相互配合

許多威脅行為者傳統上都具有競爭力，以至於互相踢出受感染的系統，今天在涉及加密礦工和一些RAT時仍然如此。但勒索軟體即使其他勒索軟體在同一網路上，它也可能繼續加密文件或者以互利的方式運行，以便一個滲出，另一個加密。

7. 攻擊者打開新的後門

一些攻擊者可能在獲得存取權限後引入更多漏洞，或者創建有意無意的後門（包括安裝合法軟件），隨後的威脅行為者可以利用這些後門。因此，雖然關閉初始感染媒介相對重要，但也得留意，可用於獲取存取權限的其他弱點和錯誤配置，以及可能出現的任何新入口點。

8. 一些攻擊者比其他攻擊者更糟糕

並非所有勒索軟體病毒都是相似的。有些功能或特性可能具有使響應和調查變得更加複雜，這是避免成為多重攻擊受害者的另一個原因。
 
每個組織可能成為目標，而且攻擊者不止一個而是越來越多。從網絡釣魚和金融欺詐，到殭屍網路構建者、惡意軟體交付平台、加密礦工、IAB、數據盜竊、企業間諜活動、勒索軟體等等，如果網路中有一個易受攻擊的入口點，那麼攻擊者很可能正在尋找它，並將最終找到並利用它。
 
安全團隊可以通過監控和調查可疑活動來保護組織。良性和惡意之間的區別並不容易發現。任何環境中的技術，無論是網路環境還是物理環境，都可以發揮很大作用，但僅靠它本身是不夠的。人員經驗和技能以及響應能力是任何安全解決方案的重要組成部分。Sophos與安數科技是您最佳的資安夥伴。
 
了解更多➡Active Adversary Playbook 2022