账号:
密码:
最新动态
 
产业快讯
CTIMES/SmartAuto / 新闻 /
网路攻击平均潜伏时间超过11天 Sophos点名攻击常用五大工具
 

【CTIMES / SMARTAUTO ABC_1 报导】    2021年05月20日 星期四

浏览人次:【2228】

面对网路攻击者的行为,第一线威胁搜寻和事件回应人员应该利用什麽策略、技术和程序(TTP)来防御,是确保网路安全与运作的关键。新一代网路安全技术厂商Sophos今天发表《2021年主动攻击者的剧本》(Active Adversary Playbook 2021)报告,详细介绍在2020年间在外界看到相关作法,也提供2021年初的TTP侦测资料。研究结果表明,攻击者在被发现之前的平均停留时间为11天(264小时),未被发现的最长入侵时间为15个月。81%的事件和间谍软体有关,69%的攻击使用远端桌面通讯协定(RDP)在网路内横向移动。

这份报告的资料是来自Sophos遥测技术,和Sophos Managed Threat Response(MTR)威胁搜寻和分析人员以及Sophos Rapid Response事件回应团队对81次事件的调查和结果。目的是协助安全团队了解攻击者在攻击过程中的行为,以及如何发现和防御网路上的恶意活动。

该报告发现,攻击者被发现之前的平均停留时间为11天,也就是说攻击者在11天之内有264小时可以进行恶意活动,包括横向移动、侦察、凭证倾印、资料外泄和其他行为。其中某些行为可能只需要几分钟或几小时,而且通常是在夜间或非上班时间进行,所以11天足可让攻击者有充裕的时间对企业网路造成损害。值得注意的是,勒索软体攻击的停留时间通常比「隐匿式」攻击要短,因为它们只在??破坏力。

此外,90%的攻击和远端桌面通讯协定(RDP)有关。在所有案例中,有69%的攻击者使用RDP进行内部横向移动。通常保护RDP的安全措施,例如VPN和多因素验证等,往往只着重在防护来自外部的存取,但如果攻击者已存在於网路内部,这些保护都会无效。在主动的人为攻击,例如和勒索软体有关的攻击中,使用RDP进行内部横向移动的情形越来越普遍。

Sophos也发现,受害者网路的前五大工具之间具有关联性。例如,当在攻击中使用PowerShell时,Cobalt Strike占58%,PsExec占49%,Mimikatz占33%,GMER占19%。27%的攻击同时使用了Cobalt Strike和PsExec,而31%的攻击同时使用了Mimikatz和PsExec。同时使用Cobalt Strike、PowerShell和PsExec的组合占所有攻击的12%。这种关联性很重要,因为一旦侦测到,就可以作为即将发生的攻击的预警,或用於确认是否存在作用中的攻击。

Sophos调查的攻击中,81%和勒索软体有关。通常在勒索软体出现後,IT安全团队才会看到攻击,因此Sophos回应的事件大都和勒索软体有关不足为奇。Sophos发现,其他攻击类型还包括仅进行渗透、加密挖矿、银行木马、抹除程式、下载投放程式、渗透测试试/攻击工具等。

Sophos资深安全顾问John Shier表示:「威胁形势变得越来越复杂且多变。在过去的一年中,我们的事件回应人员协助抵挡了超过37个攻击团体发动的攻击,使用的工具超过400种。而且许多工具与IT系统管理员和安全专家用於执行日常工作的相同,因此很难辨识出良性和恶意活动之间的区别。」

他也强调:「由於攻击者在网路中平均躲了11天,并将攻击混在一般正常的IT作业中进行,因此安全团队必须了解哪些警讯应该要注意,以便进行调查。最重要的是,安全部门要记住技术虽然可以完成很多工作,但在当今的威胁形势下,仅靠技术是不够的。人类的经验和回应能力,是任何安全解决方案的重要一环。」

關鍵字: 网路攻击  資安  Sophos 
相关新闻
资拓宏宇云端永续智能方案 打造数位转型新解方
2024 TIE:资策会5G资安技术守护全球网路安全
TXOne Networks新一代Edge工控网路防护方案 新机更新韧体并纳入AI
VicOne深植车用资安DNA再报喜 获TISAX AL3最高等级认证
Fortinet整合SASE突破组织分散管理困境 重塑云端安全的混合未来
comments powered by Disqus
相关讨论
  相关文章
» 光通讯成长态势明确 讯号完整性一测定江山
» 分众显示与其控制技术
» 新一代Microchip MCU韧体开发套件 : MCC Melody简介
» 最隹化大量低复杂度PCB测试的生产效率策略
» 公共显示技术迈向新变革


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8B8CEQFJYSTACUKU
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw