防御規避：針對企業端點攻擊使用的主要策略

思科檢查了MITER ATT＆CK數據，以提出企業安全人員應重點關注的威脅載體。

威脅形勢處于不斷發展的狀態，企業參與者難以跟上頻繁的漏洞披露，安全更新和零日事件的接二連三的威脅。

分析人士估計，到2021年，將有350萬個網絡安全崗位無法勝任，因此現有的安全專業人員不僅需要應對看似永無止境的網絡攻擊，而且可能不得不在人手不足的情況下這么做——更不用說COVID-19造成的破壞了。有一些工具可以幫助您緩解壓力。基于自動掃描器，人工智能（AI）和機器學習（ML）的算法和軟件，可以管理端點安全性和風險評估，提供實時威脅數據的源等。

還存在諸如MITER ATT＆CK之類的框架，該框架提供了免費的知識庫，可用于編譯在當前實際攻擊中觀察到的策略和技術。

思科已在一份新報告中檢查了此數據存儲庫，該報告描述了針對企業端點和網絡的當前攻擊趨勢。

周一，思科發布了基于MITER ATT＆CK分類以及組織在特定時間范圍內通過公司安全解決方案接收警報的組織所經歷的危害指標（IoC）的數據集。

據該公司稱，在2020年上半年，無文件威脅是針對企業的最常見攻擊媒介。無文件攻擊包括進程注入，篡改注冊表以及諸如無文件特洛伊木馬程序Kovter之類的威脅。Poweliks，一種代碼注入器，在合法進程的支持下運行；和Divergent，無文件的Node.js惡意軟件。

其次是雙重用途工具，包括Metasploit，PowerShell，CobaltStrike和Powersploit。合法的滲透測試工具（例如Metasploit）總體上對網絡安全有好處，但不幸的是，網絡攻擊者也可能濫用這些解決方案來獲取犯罪收益。

諸如Mimikatz（一種合法的身份驗證和憑據管理系統）之類的工具排在第三位-武器化的軟件轉向憑據填充攻擊。

思科表示，在2020年上半年，這些攻擊媒介約占觀察到的嚴重性IoC的75％。

如果將這些威脅應用于MITER ATT＆CK分類，則這意味著在所有IoC警報中57％會出現防御逃避，執行力占41%。

由于現代惡意軟件通常會包含混淆，移動和隱藏技術-以及發射有效載荷和篡改現有流程的能力-這不足為奇，并且IoC可能涉及多個整體分類。

思科指出：“例如，使用雙重用途工具建立持久性的攻擊者可以通過在受感染的計算機上下載并執行憑據轉儲工具或勒索軟件來跟進。”

但是，當涉及到嚴重嚴重性警報時，最重要的三類-規避防御，執行和持久性-進行了改組。

在嚴重程度嚴重的攻擊中，執行力搶走了逃避防御的頭把交椅，突增了14％，使IoC警報總數達到了55％。防御規避下降了12％，降至45％，而持久性，橫向移動和憑證訪問分別猛增了27％，18％和17％。

此外，某些分類完全不在列表中，或僅占關鍵IoC警報的不到百分之一，其中包括初始訪問，權限提升和發現（也稱為偵察），揭示了針對關鍵攻擊的重點轉移與總體IoC相比。

為了防御高級威脅，Cisco建議管理員使用組策略或白名單來執行文件，并且如果組織需要雙重使用工具，則應實施臨時訪問策略。此外，應經常監視端點之間建立的連接。