因此,攻击者能够保持很长一段时间不被发现。例如,持续的网络间谍攻击和盗窃机密数据的中位数持续时间为122天。这些发现来自卡巴斯基最新的事件响应分析报告。
因此,攻击者能够保持很长一段时间不被发现。例如,持续的网络间谍攻击和盗窃机密数据的中位数持续时间为122天。这些发现来自卡巴斯基最新的事件响应分析报告。
监控和管理软件能够帮助 IT 部门和网络管理员执行日常任务,例如排除故障和为员工提供技术支持。但是,网络罪犯也可以在针对公司的基础设施进行网络攻击时利用这些合法工具。这些软件允许他们在端点上运行进程,访问和提取敏感信息,绕过旨在检测恶意软件的各种安全控制。
总体来看,对事件响应(IR)案例中匿名数据的分析表明,共有18种不同的合法工具被攻击者滥用,用于实现恶意目的。其中使用最广泛的是 PowerShell(占全部案例的 25%)。这种强大的管理工具可以用于多种目的,从收集信息到运行恶意软件。22% 的攻击中使用了 PsExec。这种控制台应用程序用于在远程端点上启动进程。紧随其后的是 SoftPerfect Network Scanner(14%),它被用来检索网络环境的信息。
对安全解决方案来说,要检测由合法工具发动的攻击更为困难,因为这些行为既可能是有计划的网络犯罪行动的一部分,也可能是常规的系统管理员任务。例如,在持续时间超过一个月的攻击部分,网络事件的中位持续时间为122天。由于未被发现,网络犯罪分子可以收集受害者的敏感数据。
但是,卡巴斯基专家注意到,有时候使用合法软件的恶意行为会很快暴露出来。例如,他们经常被用于进行勒索软件攻击,其造成的损失显而易见。短时间攻击的攻击持续时间的中位数是一天。
“为了避免被检测到,并尽量在被入侵的网络中保持较长时间不被发现,攻击者广泛地使用为正常用户活动、管理员任务和系统诊断而开发的软件。通过这些工具,攻击者能够收集有关企业网络的信息,之后进行横向移动,更改软件和硬件设置,甚至实施某种形式的恶意行为。例如,他们能够使用合法软件加密客户的数据。合法软件还可以帮助攻击者躲避安全分析人员的追踪,因为攻击往往是在损失发生后才被检测到的。由于许多原因,不可能禁用这些工具,但是,正确部署的日志和监控系统将有助于在早期阶段发现网络中的可疑活动和复杂的攻击,”卡巴斯基全球应急响应团队负责人 Konstantin Sapronov 评论说。
为了及时检测和应对此类攻击,除了采取其他措施外,企业或组织应当考虑部署一款具备 MDR 服务的端点检测和响应解决方案。MITRE ATT&CK® 第二轮的评估对包括卡巴斯基 EDR 和卡巴斯基托管保护服务在内的各种解决方案进行了评估,能够帮助客户选择最适合他们组织需求的 EDR 产品。ATT&CK评估的结果证明了将全自动多层安全产品和人工威胁追踪服务相结合的综合解决方案的重要性。
为了最大程度地减少使用远程管理软件入侵基础架构的机会,卡巴斯基还建议采取以下措施:
- 限制通过外部 IP 地址访问远程管理工具。确保远程控制界面只可以通过有线数量的端点进行访问
- 对所有IT系统强制执行严格的密码策略,并部署多因素身份验证
- 遵循为员工提供有限权限的原则,并且仅向需要完整这项工作的员工授予较高权限账户
要了解更多有关卡巴斯基 EDR 详情,请访问官方网站。要阅读事件响应分析报告全文,请点击这里。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球270,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
