網(wǎng)絡(luò)安全公司SafeBreach近期發(fā)布了最新版本的“黑客秘笈”（Hacker’s Playbook）報告，報告指出許多組織機構(gòu)仍難以應(yīng)對最常見的滲透、數(shù)據(jù)滲漏和橫向移動攻擊方式。

3400種攻擊研究結(jié)果

SafeBreach公司為用戶提供一個持續(xù)性安全驗證平臺，采用集中管理系統(tǒng)，結(jié)合完整的黑客入侵網(wǎng)絡(luò)方法“秘笈”，從中心位置管理分布式網(wǎng)絡(luò)的入侵模擬器，模擬器能夠在現(xiàn)實世界中扮演虛擬黑客的角色，通過持續(xù)模擬攻擊活動與違規(guī)行為的方式測試企業(yè)的防御能力。

在此次發(fā)布的黑客秘笈第三版中，SafeBreach公司分析了2017年1月至11月期間所獲得的約1150萬次自動化模擬數(shù)據(jù)。相關(guān)模擬活動涉及超過3400種攻擊方法——包括漏洞利用工具包以及用于暴力破解及證書收集的惡意軟件——可幫助企業(yè)明確發(fā)現(xiàn)攻擊者被哪些保護因素所阻止，又在哪些場景下順利完成入侵。

勒索軟件、銀行木馬攻擊依然很有效

在對惡意軟件所采用的前五大滲透方法進行分析后，該公司發(fā)現(xiàn)超過55%的攻擊嘗試獲得了成功。在SafeBreach的模擬過程中，臭名昭著的惡意軟件家族——包括利用SMB的WannaCry勒索軟件以及依靠HTTP的Carbanak（Anunak）銀行木馬——分別在模擬中獲得了63.4%與59.8%的“好成績”。

其它流行的滲透方法還包括將惡意可執(zhí)行文件打包在CHM、VBS以及JavaScript文件當中。這種作法將幫助攻擊者騙過最終用戶以及高級掃描工具，其成功率普遍在50%到61%之間。

企業(yè)內(nèi)部惡意軟件掃描能力差

一旦攻擊者得以接入目標企業(yè)的網(wǎng)絡(luò)，其將能夠利用多種方法進行橫向移動。各類最為常見的橫向移動方法（全部采用某種惡意軟件或漏洞利用手段）在SafeBreach的模擬當中獲得了65%到70%的成功比例。此類攻擊相對較高的成功率證明：企業(yè)往往未能實施適當?shù)姆指羁刂茩C制。一旦防護外圍被攻破，網(wǎng)絡(luò)內(nèi)部不再具備惡意軟件掃描能力，而攻擊者將能夠輕松由一臺設(shè)備移動到其它設(shè)備。

攻擊者數(shù)據(jù)滲漏常用端口

在數(shù)據(jù)滲漏方面，涉及MySQL查詢、TLS、SSL、HTTP POST以及HTTP GET的方法擁有40%到57%的成功率。而最常見的目標端口分別為123（NTP）、443（HTTPS）以及80（HTTP）。

結(jié)論：攻擊者更樂于采取簡單的方式

SafeBreach公司在其報告中指出，“攻擊者會始終優(yōu)先嘗試最簡單的路線；遺憾的是，這類嘗試往往會直接獲得成功。利用DNS隧道技術(shù)或者在數(shù)據(jù)包標頭上緩存數(shù)據(jù)從而緩慢竊取數(shù)據(jù)的作法確實不致引起懷疑，而且手段相當高明。但攻擊者采取這類創(chuàng)造性的技術(shù)并不會得到額外的收益；事實上，他們只需要清除或加密數(shù)據(jù)發(fā)送網(wǎng)絡(luò)流量即可得到相同的結(jié)果——很明顯，攻擊者更樂于采取簡單的方式。”

該公司補充稱，“我們還深入查看了這種流量，并確認傳統(tǒng)網(wǎng)絡(luò)流量確實是導(dǎo)致數(shù)據(jù)泄露的主要風(fēng)險。然而，也有其它一些隱匿手段同樣被廣泛使用，因為我們通常能夠通過NTP——其通常保持開放且未經(jīng)掃描——進行數(shù)據(jù)竊取。”

WannaCry、Locky以及Cryptolocker的出現(xiàn)已經(jīng)令眾多企業(yè)意識到勒索軟件應(yīng)該得到高度重視。然而，SafeBreach公司發(fā)現(xiàn)即使已部署的安全解決方案能夠正常運作，此類攻擊活動往往仍可獲得成功。

優(yōu)化現(xiàn)有技術(shù)防御效果更好

該公司指出，大多數(shù)客戶通過優(yōu)化現(xiàn)有安全控制措施而顯著降低了攻擊成功率。企業(yè)安全團隊已經(jīng)具備實現(xiàn)安全保障所必要的工具/控制方案。通常情況下，安全團隊并無必要一味追逐最新的安全技術(shù)潮流，而應(yīng)對現(xiàn)有技術(shù)進行優(yōu)化。”