CrowdStrike报告称攻击者的突破时间正在增加

日期: 2019-02-26 作者:Mekhala Roy翻译:邹铮 来源:TechTarget中国 英文

根据CrowdStrike公司最新研究显示,黑客通常需要更长时间才能在受害者的环境中实现横向移动,但来自某个地区的攻击者仍然在以非常快的速度​执行攻击。

CrowdStrike的2019年全球威胁报告《Adversary Tradecraft and the Importance of Speed》分析了被称为“突破时间”的指标。这个指标最早出现在CrowdStrike的2018年全球威胁报告中,突破时间是指从攻击者最开始感染端点机器到开始在网络中横向移动的时间窗口。根据CrowdStrike在2018年收集的遥测数据显示,在2018年,在跨所有地区的所有入侵活动中,攻击者的整体平均突破时间为4小时37分钟,该供应商表示“与2017年的1小时58分钟相比,突破时间大幅增加”。

CrowdStrike公司OverWatch和安全响应副总裁Jennifer Ayers表示:“突破时间的增加是一件好事,可能有多种因素可能导致这种增长,包括移动速度较慢的攻击者的入侵活动增加。在某些情况下,有些攻击者可能会有不同的团伙执行不同的职能,因此可能存在延迟。”

Ayers补充说,同时,企业正在部署有效的端点安全技术来检测入侵。

CrowdStrike表示,突破时间是一个重要指标,因为它有助于评估攻击者的操作能力,并且还可表明入侵活动演变成更严重的攻击前企业有多长时间来响应。Ayers称,这个短暂的时间窗口对于企业检测和应对入侵者至关重要,并且,这也说明速度是阻止攻击行为的重要因素。

Ayers称:“作为一名防御者,你必须比攻击者更快,你需要可见性,你需要强大的工具,你需要有有效的流程,以便你能够在识别威胁后立即阻止或修复。”

CrowdStrike的报告还根据地区对攻击者的突破时间进行了排名。虽然在2018总体突破时间增加,但俄罗斯攻击者的平均突破时间仅为18分49秒。根据其报告称,朝鲜的平均突破时间为2小时20分14秒。

来自中国的攻击者的平均突破时间为4小时26秒,而伊朗黑客需要超过5小时,网络罪犯平均花费近10个小时在受害者网络中蔓延。

Ayers建议公司采用“1-10-60”的规则来应对复杂的网络威胁。

她表示:“‘1-10-60’的方法是指,在一分钟内检测到威胁,10分钟进行调查,并在60分钟内进行修复或至少做到最好。总的来说,我们仍然在非常努力地致力于为行业以及我们的客户提供更好的识别、更好的可视性和更快的响应技术。”

根据该报告称,网络安全防御者应该注意可能正在进行攻击的早期预警信号,并通过机器学习和人工智能实时提供的背景和行为分析来有效地发现和预防攻击。

无恶意软件的攻击

CrowdStrike报告发现,尽管恶意软件仍然是初步渗透的主要方法,但在2018年,媒体、技术、学术、医疗保健和能源等行业看到无恶​​意软件攻击的急剧增加。

Ayers称:“我们看到在无恶意软件攻击中脚本技术的使用显着增加,攻击者使用PowerShell、运行命令、使用Java脚本,并使用Windows操作系统中存在的很多本机脚本工具来下载他们的第二或第三阶段有效载荷,执行有效载荷,依此类推。”

她指出,攻击者还在继续转向防御规避方法,例如依靠本地技术,即利用目标系统上已有的合法工具来实现攻击目标。

云服务提供商Atlantic.Net公司首席执行官Marty Puranik称,无恶意软件攻击正变得越来越流行,因为现代安全工具可有效地检测可疑文件并允许潜在受害者修复威胁,从而降低利用写入磁盘文件的恶意软件的有效性。

Puranik在电子邮件采访中称:“无恶意软件攻击不需要使用可被检测到的文件(例如仅保留进程内存),攻击者将利用这种攻击形式来感染机器并入侵网络。而对于泄漏的登陆凭证方面,AI解决方案或算法解决方案可能很有效,这些解决方案可以常规方式监测所使用的凭证(例如发起的IP +时区+正在使用的机器/移动设备的类型)。如果凭证没有任何特征,则可能锁定有问题的机器或限制攻击者可入侵网络范围。”

Gartner公司分析师Avivah Litan认为,企业需要一种分层安全方法,而不应只是关注端点和网络中的异常和可疑事件。

Litan称:“他们还需要分析用户行为和用户帐户级别的活动,并跨多个锚点/实体类型关联异常活动,例如端点、网络、数据、文件、用户、用户帐户级别等。他们还需要进行控制和检测,专门查找在内存中执行的无恶意软件攻击。”

生物识别安全供应商ThumbSignIn公司产品副总裁Aman Khanna表示,与传统的恶意软件攻击一样,大多数无恶意软件攻击通常也是通过欺骗毫无戒心的用户执行某些操作来建立起初的立足点。

Khanna称:“这意味着持续教育用户是最重要的防御手段之一,让他们知道并警惕社会工程攻击。”

最后,企业应该执行严格的安全政策,包括保持操作系统和浏览器的更新、部署最新安全性、删除不必要的软件、关闭宏和插件的自动执行。

“大型猎杀”的兴起

CrowdStrike全球威胁报告发现,2018年网络犯罪最突出的趋势是“大型猎杀”的持续增长。CrowdStrike的Ayer解释说,“大型猎杀”是指结合有针对性入侵战略针对大型企业部署勒索软件的做法。

根据该报告指出,这些复杂的活动通常包括经过充分测试的侦察、交付和横向移动TTP。该报告发现,BOSS SPIDER(Samas,SamSam)、INDRIK SPIDER(Dridex)和GRIM SPIDER(Ryuk)等网络犯罪分子都在这些勒索活动中获得了巨额利润。

TCE Strategy公司首席执行官Bryce Austin说:“网络罪犯发现,他们过去追求的2000美元到50,000美元都不值一提。更有针对性的攻击远远超过10万美元,因为,很多企业有时别无选择,只能付钱。”

为了抵御此类攻击,Austin建议企业在尝试从备份恢复服务器之前将服务器完全脱机。

他指出:“备份恢复必须在断开互联网和内部网络的情况下完成。”

他还建议企业在其所有计算机和服务器保留至少有30%的可用磁盘空间。

Austin称:“勒索软件通常让磁盘运行空间不足,并且在那之后所有加密数据都会永久丢失,甚至网络罪犯也无法将其恢复。”

Gartner公司Litan建议公司雇用威胁情报和网络威胁猎人,他们知道如何寻找并找到攻击者,以阻止他们其企业进行攻击。

Litan称:“简而言之,企业应该在企业边界外寻找攻击准备或执行的证据来预防攻击,以避免对他们的企业造成威胁。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Mekhala Roy
Mekhala Roy

Mekhala Roy是SearchCIO和SearchCompliance网站编辑助理。 她于2015年在Gatehouse Media担任自由撰稿人之后加入TechTarget。具有丰富的编辑和写作经验。 她还拥有两个文学硕士学位:一个来自东北大学的新闻学,另一个来自加尔各答大学的英语文学。Mekhala Roy也是一个狂热的跑步者和徒步旅行者。

翻译

邹铮
邹铮

相关推荐