安全公司卡巴斯基在最新发布的事件响应报告中表示,攻击者入侵企业和政府网络的三大策略包括暴力破解密码、利用未修补的漏洞以及通过恶意电子邮件进行社会工程。
最糟糕的现实是,攻击者正在继续使用以前见过的策略来入侵企业网络,然后使用可识别的工具来侦察并获取对目标系统的高级访问权限,之后他们通常会释放勒索软件、窃取数据或实施其他犯罪计划。特别是对于勒索软件攻击而言,入侵到文件被强制加密的时间可能只需几个小时,或者几天。
在很多情况下,受害者还未来及针对入侵进行调查,实际的损害就已经发生了。在报告中,卡巴斯基表示,虽然其负责的53%的事件响应调查是在检测到可疑活动后启动的,但仍有高达37%的事件响应调查是在文件已被强制加密后启动的,7%是在已发生数据泄露后启动的,甚至有3%是在发生资金损失后启动的。
不过,幸运的一点是,对于一些公司来说,大约10%的调查结果被证实是误报——例如,来自网络传感器、端点保护产品或可疑数据泄漏的可疑活动被证实为非恶意的。
攻击者的首要目标
然而,对于其余非误报的入侵行为而言,1/3的入侵导致勒索软件感染——表明这种类型的攻击已经变得十分普遍——而15%会导致数据泄露,这也可能与勒索软件攻击者窃取数据以试图迫使受害者支付赎金有关。此外,11%的入侵导致攻击者保持对网络的持续访问,这意味着他们可能是在为后续攻击做准备。
卡巴斯基表示,勒索软件攻击者使用了几乎所有常见的初始访问场景。从理论上讲,以暴力破解开始的攻击很容易被检测到,但在实践中,只有一小部分在产生影响之前被识别了出来。
为什么犯罪分子会针对不同的部门?主要动机包括勒索软件(黄色)、数据泄露(灰色)、窃取资金(绿色)和广义的“可疑活动”(橙色)。政府部门没有显示数据泄漏,可能是因为政府个人身份信息较多的系统通常由电信和IT提供商托管。
挑战:旧日志、意外证据破坏
在近一半的案例中,对于攻击者究竟是如何闯入的问题,仍然是未解之谜。
卡巴斯基表示,我们在55%的案例中确定了初始向量,还有近一半仍是未解之谜。造成这种情况的原因包括不可用的日志、受害组织(非)故意销毁证据以及供应链攻击等等。
攻击工具
在MITRE攻击框架的不同阶段使用的工具(来源:卡巴斯基)
安全团队面临的一个挑战是,攻击者正继续依赖IT团队可以合法使用的大量工具。而且在许多情况下,攻击者还使用可免费获得的易于访问且非常有效的攻击性工具。
卡巴斯基表示,几乎一半的事件案例包括使用现有的操作系统工具,如LOLbins——指的是攻击者可能转向恶意使用的合法操作系统二进制文件——以及来自GitHub的知名攻击工具——例如Mimikatz、AdFind、Masscan以及Cobalt Strike等专门的商业框架。
基本防御:回归基础
为了阻止攻击者使用此类工具,卡巴斯基建议防御者“实施规则以检测对手使用的广泛工具”,并尽可能“消除内部IT团队使用类似工具”,并测试组织的安全运营中心发现、跟踪和阻止使用此类工具的速度和有效性。
该报告提出的另一项重要建议是,消除已知漏洞,并尽可能通过实施双因素身份验证加大攻击者访问难度,促使许多攻击者将目光投向别处。
卡巴斯基表示,在其调查的所有可识别初始向量的入侵事件中,有13%可以追溯到受害者尚未修补的产品中存在已知漏洞。而且大多是2020年最常被利用的主要漏洞。
卡巴斯基表示,当攻击者准备实施他们的恶意活动时,他们希望找到一些容易实现的途径,例如具有众所周知的漏洞和已知漏洞的公共服务器。仅实施适当的补丁管理策略就可以将沦为受害者的可能性降低30%,而实施强大的密码策略则能够将可能性降低60%。
建议组织拥有强大的密码策略、广泛使用多因素身份验证——特别是对于具有管理级别访问权限,以及远程桌面协议和VPN连接的帐户——以及强大的漏洞管理程序已经是老生常谈的事情了。但是,这些基础信息安全计划的普遍缺失提醒人们:为了更有效地防御网络攻击,许多组织还需要回归根本,从夯实基础做起。
本文翻译自:
https://www.bankinfosecurity.com/top-initial-attack-vectors-passwords-bugs-trickery-a-17527