威脅橫移時間減少67%;終端EDR覆蓋率僅30% | 微步一周薦讀
勒索軟件
勒索即服務大行其道,威脅橫移時間減少67%
根據SearchSecurity報道,Crowdstrike發布了一份2021威脅狩獵報告,指出威脅的突破時間,也就是在同一網絡內從一臺受感染主機橫向移動到另一臺所需要的時間,減少了67%。
報告顯示,過去半年的平均突破時間為1小時32分鐘,低于2020年的4小時37分鐘,而2019年的突破時間則只有1小時58分鐘。平均突破時間的變化,反映了攻擊者和防守方之間的技術交鋒。
平均突破時間減少的原因,一方面是勒索軟件攻擊者的攻擊目標,從個人轉向了更大的組織;另外則是勒索軟件即服務的出現,使得攻擊者可以直接購買攻擊工具,更容易、更快速地進入環境,行動更加迅速。
對此,企業最好在勒索軟件攻擊的第一步做好防范,在初始訪問權限階段常用的供應鏈入侵、釣魚攻擊與漏洞利用手段上進行保護與安全加固。
在橫移之前防勒索,簽名+流量檢測+蜜罐
Forrester分析師指出,檢測與響應能為企業免遭勒索提供額外的一層保護。要在勒索軟件在系統內橫移之前進行防御,可采取三種有效的檢測方法:
首先,基于簽名的勒索軟件檢測,能將樣本hash與已知簽名進行比較,提供對環境中文件的快速靜態分析。基于簽名的勒索軟件檢測技術在已知威脅方面很有用,但很難識別更新的惡意軟件。
其次,基于行為的檢測方法。通過歷史數據檢測新行為,將最新的行為與平均行為基線進行比較,尋找攻陷指標,具體可以通過文件系統更改,流量分析和API調用方式進行檢測。
最后一種是基于欺騙的檢測,最典型的就是創建一個蜜罐,將文件存儲庫或者服務器打造成誘餌。普通用戶一般不會接觸該服務器,如果檢測到活動,很可能是一次攻擊。
其他安全
容器技術發展迅猛,虛擬環境網絡安全成新的問題
以容器為基礎的微服務快速發展,且被廣泛應用。不過傳統安全措施,已無法很好滿足當前虛擬環境的安全防護需求。根據informa報道,2020年12月,云安全廠商Prevasio 針對托管在Docker hub的400萬臺容器,發現51%存在嚴重漏洞,13%包含高影響漏洞。在容器鏡像中檢測到挖礦、黑客工具以及包含勒索軟件等不同的惡意軟件。所有分析的鏡像中,只有20%不存在已知漏洞。;
這種情況下,托管容器的基礎設施安全性就非常重要。除了正確配置編排系統之外,嚴密安全的訪問Docker節點或者Kubernetes的權限也起著非常重要的作用。另外,經典的NGFW系統無法有效控制虛擬集群網絡中的流量,但在集群內運行特定的NGFW工具能夠做到這一點,因為它本質上是監控傳輸中的數據的容器。
如果企業考慮容器安全解決方案,在選擇供應商之前,不僅需要了解自身組織的特定要求以及目標狀態,能否覆蓋整個應用程序生命周期、能否經得起嚴格的合規要求、能否阻止未知漏洞、是否會減慢開發速度等也需要作為重要的考慮因素。
2021年上半年物聯網攻擊猛增,涉及竊取數據、加密貨幣挖掘、僵尸網絡
從智能手表到智能家居配件,物聯網設備已成為我們日常生活必不可少的一部分,物聯網安全問題也日益凸顯。研究人員發現,2021年前6個月,針對物聯網(IOT)設備的網絡攻擊增長超1倍多。
Threatpost報道,從卡巴斯基共享的數據來看,其檢測到超過15億次物聯網攻擊,高于半年前的6.39億次,攻擊者的主要目的各不相同,包括竊取個人或者企業數據、挖掘加密貨幣,或者在傳統的DDOS攻擊基礎上將智能設備添加到僵尸網絡。
為預防物聯網攻擊,企業需盡快安裝固件更新、更改預安裝密碼,最好是包括大小寫、數字、字符的復雜密碼、設備出現異常行為立即重啟等,同時也可考慮保護物聯網生態系統安全解決方案。
防釣魚郵件攻擊,讓員工成為第一道防線
我們總說人是安全最薄弱的環節,其實人也是企業安全建設的第一道防線。據HelpNet Security報道,根據安全廠商F-Secure針對2021年上半年全球組織員工舉報的20萬封郵件的分析,用戶舉報電子郵件最常見的原因是可疑鏈接,比例為59%;54%的員工舉報郵件是因為發件人不正確或者不相關的發件人,37%舉報是覺得疑似垃圾郵件,34%則是懷疑其在郵件中采用社會工程學進行舉報,7%的用戶舉報是因為可疑附件。
自動分析發現33%的郵件屬于釣魚郵件;人工分析發現63%的郵件在嘗試釣魚,發現釣魚郵件的員工占到三分之一。
所以企業在進行安全建設過程中,周期性的安全培訓,釣魚演練等員工釣魚郵件防范還有很大空間,且投入產出比較高。
僅30%的終端被EDR覆蓋,端點檢測和流量檢測亟待結合
2013年Gartner分析師提出終端檢測與響應(EDR)這個概念。因其具備機器學習驅動的行為分析,相比傳統防病毒軟件,能夠幫助主機增強對已知和未知攻擊者策略的防御,被各大企業競相追逐。
不過近期有Gartner分析師表示,EDR工具對檢測攻擊與搜索歷史非常關鍵,但目前只有30%的終端具有EDR功能。
基于安全與合規性角度,許多公司目前還在使用基于簽名的IDS技術作為EDR的替代補償手段,但僅僅依靠這種方式進行防御,會留下重大的安全漏洞,包括僅限于已知威脅的基于簽名的檢測、大量容易出錯的報警、缺乏對未知威脅的基于行為的檢測、錯過加密流量、漏掉橫移與失陷后的活動、整體工作流耗時等。
事實上,最需要增加的安全彌補層是流量檢測技術。通過流量檢測這種非常有效的方式,能夠被動了解到所有進出終端好的、壞的以及危險的流量。
