最近,SolarWinds攻击事件说明了高级持久性攻击者是如何长期隐藏在网络中而不被发现的。由于时间、机会和投资,攻击者已经深入组织,试图保持隐蔽并进一步推进其目标。
组织必须知道在检测到数据泄露后该怎么做,准备应对计划以阻止更多的恶意活动。在此,我们将深入了解攻击者如何应对事件响应,以及安全团队如何阻止攻击者进一步嵌入组织内部。
攻击者如何反击事件响应措施
在攻击者意识到被动措施的情况下,他们通常会加速实现其最终目标,例如渗透知识产权或执行勒索软件。高级攻击者可能部署了多个工具集,并改用其他手段进行活动,以降低响应者的可见度。攻击者还通过泄露电子邮件通信来监控响应者的通信。
考虑到攻击者在发现事件响应参与后可能会加速或改变路线,受影响的实体应该拥有当前的、经过测试的响应手册以及事件响应流程,以高效地应对漏洞,从而减少攻击者的反应时间。
他们如何潜伏在系统中
攻击者在成功进入环境后,会设法通过多种入口途径实现持久性,如后门、创建合法管理员账户或安装远程控制软件。这就消除了每次想要获得访问权时利用漏洞或人员的要求。获得未来进入环境的多种选择,加强了攻击者的立足点和能力,即使在事件响应团队发现和干预后,他们也会返回。受影响的实体应该实施有效的网络和端点监控,以识别异常情况并做出相应的反应。
他们如何躲避检测
高级攻击者会经常试图通过使用合法软件来生存,这些软件往往不会触发防病毒或端点检测和响应技术。这些软件类型通常被称为Living Off The Land Binaries,或LOLBins,可以是攻击者用来实现其目标的任何合法软件。例如,系统管理员通常使用PuTTY套件来完成日常任务,并且通常包含在标准客户端桌面构建中。虽然这为系统管理员提供了方便,但它也是一套工具,攻击者可以用来建立SSH会话,从暂存服务器上收集更多的工具,并四处移动数据,所有这些都是通过加密的渠道。一些高级攻击者通过在端点上使用提供给他们的工具来完成他们的活动,而不需要将恶意代码引入环境中。
他们如何在安全的情况下利用后门返回
后门的范围可以从端点上安装的代码到新的管理员账户。端点上的持久机制通常是服务、计划任务、注册表 "运行 "键,甚至是用户配置文件启动文件夹内的条目。如果远程访问是可用的,或者远程控制软件的安装没有被阻止的话,他们也可以利用被入侵或恶意创建的账户来保留远程访问。
事件响应团队如何应对攻击者的技术
事件应对不一定由一个小组负责,应开展准备活动,以提高任何安全应对能力。如果安全小组内部不具备事件应对的专门知识,请第三方专家参与也是可行的。
核心事故应对团队将牵头负责。然而,他们应该呼吁企业内部的关键部门和技术所有者增加可视性、经验和知识的层次。利用相关业务部门内的现有技术和其他人员的知识将使发现异常活动和软件或代码的工作变得更加容易。
在任何安全事件发生之前,都可以开展一些标准活动,为更高效、更快速的响应铺平道路。虽然不同的企业和不同的事件会有所不同,但这个动态活动清单可能包括以下內容。
- 尽可能查明、评估和最终利用带外通信平台(不在内部托管或不在受影响实体拥有或管理的网络上的通信渠道)以减少威胁行为体拦截信息的风险。对这些通信渠道的访问应仅在批准的基础上进行,并可进行审计。
- 在任何安全事件发生之前,开发和测试事件应对流程和手册。这些流程和手册应包括关键部门和技术所有者,他们可以被要求协助响应者并处理常见的网络安全事件。
- 允许列出在业务环境中被认为可以接受的软件。所有的例外情况都应在批准前要求正式申请、审查和签字。
- 制定身份和访问管理政策,定义最小权限原则,以减少不必要的用户权限。反过来,这也减少了数据删除、损坏或更改的风险(不管是无意的还是恶意的,或被入侵账户使用特权访问的风险)。
- 开发一个标准端点构建,仅包含跨所有业务单元所需的最低限度软件。超出此范围的软件将由允许列表和允许列表申请流程覆盖。
- 网络分段,以实现对特定受影响区域的监控或关闭。
安全团队必须准备好在违规事件发生后该怎么做,无论是自己还是在专家第三方的帮助下,以防止攻击者的进一步破坏。通过了解攻击者如何对抗事件响应团队,组织可以更好地识别攻击的警告信号,并制定行动计划,迅速做出反应。