信息來源:51cto
威脅的多樣化和復雜性已經(jīng)突破了IT安全專業(yè)人員在各個垂直領域中保護各種規(guī)模組織的極限。網(wǎng)絡安全技能的短缺已經(jīng)達到了歷史最高水平,53%的組織承認他們遭受了這個缺口。
在技術(shù)匱乏的情況下,91%的安全專業(yè)人士認為大多數(shù)組織都很容易遭受重大的網(wǎng)絡攻擊,94%的人認為網(wǎng)絡罪犯在網(wǎng)絡安全專業(yè)人士面前占了上風。這些擔憂讓49%的IT安全專業(yè)人員夜不能寐,特別是在IT和安全團隊遭受破壞、警報疲勞、安全工具不足和整個基礎設施缺乏可見度的情況下。
盡管組織面臨的一些最大威脅包括蠻力、密碼竊取器、未修補的漏洞和其他基于網(wǎng)絡的端點攻擊,但電子郵件也是IT和安全團隊的主要關注點。金融、c級市場營銷和人力資源是魚叉式網(wǎng)絡釣魚郵件的主要目標,高級管理人員違反的安全規(guī)則最多(占57%)。
組織面臨主要安全威脅
針對組織的一些最大的威脅和攻擊,無論規(guī)模大小和行業(yè)垂直,都會涉及Internet的公開服務,如RDP、SSH、SMB、HTTP。根據(jù)Bitdefender遙測的數(shù)據(jù)顯示,對RDP服務的暴力攻擊占所有基于網(wǎng)絡攻擊的65%以上。網(wǎng)絡罪犯經(jīng)常探查面向Internet的服務和RDP連接端點,以便讓組織外部的人遠程撥號。一旦進入目標機器,他們試圖刪除安全解決方案,并手動部署勒索軟件或橫向移動工具等威脅,旨在滲透和破壞基礎設施中的其他機器。
如果沒有正確配置和保護,RDP可以作為組織內(nèi)的網(wǎng)關,有效地使威脅參與者訪問敏感的內(nèi)部資源。暴力破解密碼是一種方法,因為網(wǎng)絡罪犯使用試錯的方式獲取用戶密碼或其他憑證等信息,甚至向服務器發(fā)送多個分布式請求,以尋找一對有效的憑證。網(wǎng)絡罪犯還試圖利用RDP服務中未修補的漏洞來執(zhí)行遠程代碼執(zhí)行,并控制這些網(wǎng)關。例如,Microsoft RDP服務中最近出現(xiàn)的一個蠕蟲式安全缺陷允許攻擊者遠程控制脆弱的系統(tǒng)(BlueKeep - CVE-2019-0708),這是威脅行動者用來危害組織的最新的此類攻擊載體之一。
這些類型的攻擊與行業(yè)無關——組織只需要持有一個公開的服務器。如果成功,攻擊者可以在基礎設施中橫向移動,并危及其他服務器或端點,以確保持久性、訪問和竊取高度機密的數(shù)據(jù),甚至部署破壞性威脅來削弱組織或掩蓋他們的蹤跡。
威脅行動者還喜歡通過SQL或命令注入針對web服務器的攻擊,因為它們可以在機器上啟用遠程代碼執(zhí)行功能,并將其用作組織內(nèi)的網(wǎng)關或橫向移動中樞。
SMB攻擊也成為威脅行動者常用的攻擊策略,因為這些SMB服務器通常位于基于Windows域的網(wǎng)絡架構(gòu)上,允許所有員工從這些網(wǎng)絡共享中復制文檔。因此,通過諸如EternlBlue或DoublePulsar之類的攻擊來破壞這些SMB服務器,可以讓攻擊者利用它們作為入侵組織、橫向移動、搜索其他高價值主機,甚至可以從暴露共享的網(wǎng)絡中遠程調(diào)度計算機上的任務。
Active Directory泄露也是網(wǎng)絡犯罪分子的首要任務。最近的調(diào)查甚至顯示,威脅參與者可以在不到兩小時內(nèi)成功入侵一個組織的廣告服務器。這個網(wǎng)絡犯罪團伙利用一家金融機構(gòu)雇員打開的一份有問題的電子郵件附件,成功地破壞了基礎設施中選定的機器,在基礎設施中悄悄移動,并部署了持久性和橫向移動工具。當網(wǎng)絡犯罪團伙專注于瞄準和損害特定的垂直領域時,他們對這些基礎設施的工作方式、關鍵評估可能位于何處以及公司可能擁有何種網(wǎng)絡安全防御有著深入的了解。
大多數(shù)攻擊都是使用免費的開源工具進行的,這意味著網(wǎng)絡罪犯的進入門檻很低。然而,威脅參與者要實施高針對性的攻擊,需要先進的網(wǎng)絡知識和自定義工具來執(zhí)行APT(高級持續(xù)威脅)。
組織需要集中部署和使用網(wǎng)絡攻擊防御技術(shù)來識別和分類網(wǎng)絡行為,這些行為可能包括橫向移動、惡意軟件感染、web服務攻擊、僵尸網(wǎng)絡或TOR/Onion連接導致的惡意流量,甚至密碼或敏感數(shù)據(jù)泄露導致的隱私泄露。
用網(wǎng)絡攻擊防御來避免漏洞
行為技術(shù)、多事件關聯(lián)和網(wǎng)絡分析正在增加組織避免破壞和數(shù)據(jù)盜竊的機會。為應對威脅提供規(guī)范建議的應急響應方案是IT安全的未來,并有助于解決困擾行業(yè)的嚴重安全技能短缺問題。
不阻塞網(wǎng)絡流量的自動化、實時網(wǎng)絡流量檢測和預防技術(shù)可以以流模式掃描數(shù)據(jù),在出現(xiàn)數(shù)據(jù)包變形的第一個跡象時就能阻止威脅。這意味著惡意流量甚至不會到達本地應用程序或計算機,從而在任何有效負載著陸之前有效地阻止攻擊。
網(wǎng)絡攻擊防御技術(shù)使用專有和第三方IoC(妥協(xié)指標)提要提供的事件關聯(lián)引擎,可以識別和分類可疑的網(wǎng)絡行為。此外,在學習網(wǎng)絡流量的正常行為時,使用一些機器學習算法來識別特定的攻擊向量——例如協(xié)議或設備特定的異常檢測——可以幫助組織在網(wǎng)絡層抵御威脅。
此外,能夠?qū)⑦@種基于網(wǎng)絡的威脅情報與EDR(端點檢測和響應)功能集成在一起,可以幫助組織保護整個網(wǎng)絡,讓它們能夠看到從網(wǎng)絡到操作系統(tǒng)的整個技術(shù)堆棧。更重要的是,集成了EDR功能的網(wǎng)絡防御技術(shù)可以發(fā)現(xiàn)復雜事件,同時支持從MITRE檢測新的橫向運動。這讓組織可以全面了解它們在整個基礎設施中的整體網(wǎng)絡安全狀況。
網(wǎng)絡攻擊防御技術(shù)可以在攻擊鏈的早期檢測和阻止新類型的威脅,同時使用簽名和基于行為的機器學習關聯(lián)多個攻擊向量。將網(wǎng)絡攻擊防御功能添加到您的庫中,可以通過提前一步處理大量的攻擊威脅和載體來改善您的整體安全狀態(tài)。