攻擊者不斷發展,不斷開發他們在攻擊中使用的工具、戰術和程序(TTP)。在當今的網絡安全格局中,各種規模和行業的企業都發現自己面臨著專業網絡犯罪組織、高級持續性威脅(APT)組織甚至有國家背景的攻擊者,所有這些攻擊者都在利用比以往更快的攻擊方法。

除了復雜的TTP和有組織的網絡犯罪即服務模式之外。企業還面臨著活躍威脅迅速演變成全面事件的考驗。在網絡安全和網絡攻擊中,速度是需要注意的關鍵指標,因為它決定了攻擊或防御是否成功。

本文討論了現代攻擊的速度指標、攻擊方法,以及企業安全團隊如何在自己的檢測和響應過程中爭分奪秒。

攻擊時效性越來越快

在過去的幾年里,攻擊技術發生了巨大的變化,變得更智能、更快、更先進。當企業使用最新的軟件和工具來推進他們的業務時,攻擊者也在做同樣的事情來改進他們的攻擊方法。

勒索軟件攻擊

根據M-Trends報告,全球平均攻擊時間,即攻擊開始的時間到被檢測到的時間正在逐年縮短。

2022年的平均時間僅為16天,因為攻擊者在進入系統后花費的時間更少。近些年,針對全球企業的勒索軟件攻擊數量激增,則很好地說明了為什么平均攻擊時間在下降。

雖然檢測和響應能力的提高在一定程度上減少了攻擊時間,但勒索軟件的流行也是主要推手,因為其目標是所有垂直行業的受害者。鑒于其在相對較短的攻擊時間內具有較高的盈利潛力,勒索軟件攻擊對攻擊者來說是非常有利可圖的,考慮到相應的保護措施也在提高,其在頻率和危害程度上繼續升級迭代。

Drive-By 下載攻擊

顧名思義,Drive-By 下載是隱蔽的、快速的,而且往往在受害者察覺之前就發生了。這種類型的網絡攻擊是由攻擊者在受害者不知情或不同意的情況下用惡意軟件攻擊受害者的設備。這通常發生在他們訪問一個受感染的網站或點擊嵌入在電子郵件或廣告中的惡意鏈接時。然后,該攻擊利用網絡瀏覽器、插件或操作系統中的漏洞,使惡意軟件能夠自動下載并在受害者的設備上執行。Drive-By 下載只需與受害者進行最低限度互動,便可以傳播惡意軟件、竊取敏感信息和獲得未經授權訪問權限。

大規模掃描漏洞

研究人員發現,有一個新的CVE在被披露后15分鐘后,攻擊者就開始利用其在互聯網范圍內對易受攻擊的終端進行大規模掃描。攻擊者持續監控供應商公告和軟件更新渠道,以獲取有關漏洞的最新公告,以及他們可以在下一次攻擊中利用的概念證明。通常,這些新的漏洞為他們提供了執行遠程代碼執行(RCE)和訪問公司網絡的功能。

對于許多組織來說,補丁管理是一項持續的艱巨任務,需要安全團隊努力跟上各種操作系統中所有最新的安全威脅和漏洞。由于執行這些互聯網范圍的掃描不需要什么專業的技能,即使是剛入門的攻擊者也能利用,有時甚至把他們的掃描結果賣給更需要的人。

零日漏洞

攻擊者利用零日漏洞的速度越來越快,有研究人員指出,利用時間是安全從業者的關鍵指標。在過去三年中,從漏洞披露到已知漏洞被利用的時間快速縮短,從2020年的30%的漏洞在一周內被利用到2022年的56%在一天內被利用。零日漏洞最常被用來為勒索軟件組織提供初始訪問權限。

現成工具的可用性不斷提高

除了APT組織,成熟的勒索軟件組織和國家支持的攻擊者外,由于隨時可用的現成黑客工具越來越多,剛入行的攻擊者也可以向企業發起攻擊。這些工具,包括漏洞利用工具包、信息竊取器、掃描器、密碼破解器和攻擊模擬工具,在論壇和暗網市場上很常見,大大降低了網絡攻擊的門檻。

隨著現成攻擊工具市場不斷擴大,幾乎沒有任何技術專長的攻擊者現在都能夠快速找到并購買預先存在的腳本,對計算機系統和網絡發動攻擊。

攻擊生命周期

盡管網絡攻擊者行動迅速,但企業還是有辦法先行一步,保護其關鍵數據和系統。了解攻擊者在攻擊前和攻擊期間的行動方式,可以讓防御者采取正確的防護措施。

計劃階段——在攻擊行動之前,攻擊者將選擇他們的目標,并努力確定其操作的可利用方面。這指的是任何唾手可得的成果,例如未修補的漏洞、錯誤配置、未受保護設備上的管理用戶等。

初始攻擊——基于計劃階段的發現,攻擊者根據受害者設備的漏洞自定義攻擊技術。

枚舉階段——一旦進入系統,攻擊者將快速移動到系統內部,了解其當前權限的限制,并估計他們開始橫向移動所需的權限。在這一階段,時間至關重要,因為攻擊者開始建立攻擊立足點并升級他們的訪問。

橫向攻擊——利用盜取的新證書,攻擊者能夠深入到受影響的系統中。此時,他們的主要目標是傳播他們的惡意軟件/工具集,泄漏和加密數據。

攻擊完成——在刪除或攻擊備份和本地文件后,攻擊者準備勒索受害者。

基于網絡攻擊生命周期,攻擊和枚舉階段為網絡防御者開展防御提供了一個契機。在這些初始階段,攻擊者還沒有深入滲透到受攻擊的網絡中,也沒有進入正常的網絡流量。如果攻擊者設法進入橫向攻擊階段,檢測就會變得更具挑戰性。攻擊者使用規避策略來避免被發現,將自己深深地嵌入網絡中。在這一階段,攻擊者最常用的是離地攻擊(living-off-the-land)技術,利用環境中已經存在的合法程序和工具來加強其攻擊能力。

由于攻擊和橫向移動之間的時間跨度隨著攻擊技術變得更加復雜而迅速縮短,網絡防御者的主要目標是專注于在枚舉階段檢測攻擊跡象,并在造成重大攻擊之前將其隔離。

緩解措施

然而,應對這樣的挑戰往往超出了安全團隊的資源范圍,安全團隊的任務是對大量警報和非上下文事件數據進行手動分類。這就是為什么自動、人工智能驅動的EDR和XDR解決方案是安全團隊必須使用的工具。

像SentinelOne Singularity這樣的現代安全工具不僅能自主處理已知的惡意軟件攻擊(從檢測到緩解),甚至在勒索軟件攻擊成功的情況下回滾,而且還能為事件響應者提供情境化數據,以應對有針對性的攻擊。

通過Singularity XDR等工具的自動上下文匯聚功能,IR團隊可以利用聚合事件信息的洞察力,將從多個工具和服務收集的所有相關數據組合到一個“事件”中,而無需添加額外的工具或更多的人。

雖然功能強大,但這些工具可以通過托管檢測和響應服務進行補充,以獲得更高級別的安全性。全球各地的組織都依賴于SentinelOne的管理檢測和響應(MDR)服務——Vigilance Response,以阻止攻擊者在攻擊中進行橫向攻擊。利用SentinelOne Singularity, Vigilance Respond能夠即時防御網絡攻擊,并全天候監控客戶環境,尋找高級威脅,并提供更快的平均響應時間(MTTR)率。

軟件 信息安全 網絡安全 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接