勒索软件的三件套：漏洞利用、被盗凭证、网络钓鱼

2022 年 12 月，美国网络安全与基础设施安全局 （CISA）警告称，攻击者常采用五种初始攻击途径，包括卡巴斯基和 Mandiant 指出的那三种，以及外部远程服务（比如 VPN 和远程管理软件），还有第三方供应链攻击（也称为可信关系）。

卡巴斯基在报告中称，网络钓鱼,勒索软件,供应链攻击,网络安全防御,DDOS攻击防御,CC攻击防御，大多数攻击非快即慢：快速攻击会在数天之内就破坏系统并加密数据，而慢速攻击指的是攻击者往往在几个月里逐渐深入网络，或许进行网络间谍活动，然后部署勒索软件或发出勒索信。

作为卡巴斯基全球应急响应小组的负责人，Sapronov 表示：“如果缺乏某种形式的应用或行为监控，就更难以检测对公开应用的漏洞利用和对合法凭证的利用，导致攻击者能在系统内驻留更长时间。”

“应用监控没有得到足够的重视。”Sapronov 称，“此外，攻击者采用漏洞利用方法时，他们需要通过更多步骤来达成自己的目标。”

漏洞利用是首要初始访问途径，容易带来快速勒索软件攻击或长期间谍活动

建议：跟踪漏洞利用趋势

了解攻击者可能会采用的常见攻击方法有助于让防御人员做到心中有数。例如，公司应当持续重视已经有野生漏洞利用程序的那些漏洞。Mandiant 金融犯罪分析首席分析师 Kennelly 表示，关注威胁生态系统的变化，公司就能确保自己为可能的攻击做好准备。

Kennelly 称：“由于攻击者可以迅速武器化漏洞利用代码来支持入侵活动，了解哪些漏洞正遭积极利用，知道漏洞利用代码是否公开，摸清特定补丁或修复策略是否有效，就可以轻松避免企业陷入应对一个或多个活跃入侵的境地。”

但要避免过于重视防范特定的初始访问途径，因为攻击者会不断适应防御，Kennelly 补充道。

“特定时间里最常见的特定感染途径不应大幅改变企业的防御态势，因为攻击者会不断调整自己的攻击活动，持续重用任何经验证的有效途径。”Kennelly 表示，“任何特定攻击途径的流行程度下降并不意味着其构成的威胁显著降低 —— 例如，靠网络钓鱼获得访问权限的入侵占比缓慢下降，但许多大型威胁团伙仍在使用电子邮件。”

在预防勒索软件入侵方面，之前防御把给出了诸多的防御措施，包括策略、网络安全企业管理、防火墙、信任机制、高防御服务器等等都是防的三件套。