多次网络攻击的严重性与应对策略

关键要点

在目前的网络安全环境中，多个攻击者同时对组织展开攻击已成常态。这不仅让事件应对变得复杂，同时也给受害者带来了额外的压力。本文详细探讨了多次攻击的现象及其背后的原因，并提供了八条切实可行的建议，帮助组织降低被多个攻击者侵袭的风险。

研究显示：

目前我们只有轶事证据表明多次攻击事件的上升趋势，但Sophos的事件响应主任Peter Mackenzie指出，这个问题已经影响到越来越多的组织。

多次网络攻击不仅会复杂化事件响应流程，还会给受害者带来诸如多重赎金要求、技术难度等各种压力。以下是我们在白皮书中提炼的八条建议，以帮助组织降低受到多次攻击的风险：

建议 1：更新所有系统
尽管听起来简单，但务必更新所有系统。我们的研究表明，在漏洞披露后，许多加密矿工及由初步访问代理（IAB）部署的后门会最早攻击，因此在漏洞修补前检查组织是否已经受到攻击尤为重要。

建议 2：优先修复关键漏洞
如何及时修复漏洞并优先处理是一个挑战。建议关注两个关键要素：1）影响特定软件堆栈的关键漏洞；2）可能影响技术的高风险漏洞。

建议 3：注意配置管理
配置错误在多次攻击中占主导地位。一旦遭到攻击，需及时修复。确保RDP和VPN端口的安全，必要时应通过VPN或零信任网络访问解决方案。

建议 4：假设其他攻击者已发现你的漏洞
攻击者之间可能存在信息共享，导致同一漏洞遭到多方利用，因此要保持警惕。

建议 5：及时应对正在进行的攻击
在泄露网站上被列出可能招来其他机会主义者。如果受到攻击，需要立即采取措施，以评估数据泄露的情况。

建议 6：勒索软件之间的协作
与以往竞争激烈的态势不同，勒索软件团伙可能在相同网络上共存，甚至可能进行互利协作。

建议 7：攻击者会创造新的后门
攻击者在获取访问权后可能会引入新漏洞或创建新后门，后续攻击者可能轻易利用这些新的访问路径。

建议 8：了解不同攻击者的能力
不同种类的勒索软件其功能和特性各异，可能会影响其他攻击的响应与调查。

在日益竞争激烈的网络威胁环境中，多次攻击的问题很可能会加剧。对于组织而言，快速响应、及时应用补丁、修复配置错误以及检查攻击者可能创建的后门都将变得更加重要。在处理事件时，分析师和响应者也需面临更多复杂因素，如某些勒索软件会删除事件日志，进而影响对以前攻击者迹象的调查。

最终，勒索软件团伙将不得不决定如何看待合作。未来，某些团伙可能会联手合作，而另一些则可能专注于更具竞争性的策略。为了应对这一不确定性，希望本文及我们白皮书的内容能提供有价值的启示。

作者：