網絡攻擊參與者可以購買惡意軟件、基礎設施和網絡釣魚即服務;他們甚至可以很容易地從初始訪問代理那里購買對受害者的攻擊和訪問。這個成熟的市場意味著任何有動機的參與者都可以購買有效的惡意工具和如何使用它們的說明。
這對防御者來說意味著什么?
由于存在網絡攻擊者攻擊或勒索受害者的市場,安全事件可能會迅速演變和變化。入侵網絡的初始攻擊者可能會將訪問權出售給另一個專門想針對受害者、他們的垂直或地理位置的參與者。
假設網絡攻擊者達到了其技術能力的極限,并且無法在邊緣服務器上升級特權。在這種情況下,他們仍然可以出售訪問權限,然后另一個更有能力的網絡攻擊者可能會進入之前的網絡攻擊者失敗的地方。
在這個新的、專業化的網絡犯罪生態系統中,單一網絡攻擊的模塊化特性使識別網絡攻擊者的目標變得更加困難,即使沒有轉售或移交訪問權。網絡攻擊者參與者可以購買有效的惡意軟件、現成的基礎設施和網絡釣魚活動,因此這些工具、基礎設施和網址不再是安全事件中主動攻擊者的可靠標識符。
更難知道網絡攻擊者的目標
邊緣服務器的攻擊可能導致該服務器被招募到挖礦池中進行加密劫持或進入網絡釣魚或DDoS攻擊。
尋求速戰速決的網絡攻擊參與者現在可能會使用與技術領先的多點勒索軟件團伙完全相同的工具和方法。在非常接近實現其目標之前,很難將這兩者進行區分,因此企業需要將每個安全事件視為可能是最嚴重和最危險的事件來處理。
人們觀察到,當一個常用的面向互聯網的軟件出現新的漏洞時,從加密劫持團伙到國家支持的APT等多個參與者都會立即采取行動,并配置他們的基礎設施來瞄準和攻擊。通過了解當前的威脅形勢和存在的威脅情報,企業可以對最新的威脅做出快速反應。
對于企業安全團隊或基礎設施團隊來說,發現網絡中本可以修補的漏洞被網絡攻擊者利用了,可能令人沮喪或懊惱。更糟糕的是發現網絡已經被破壞,只是因為沒有及時打補丁。
如果多個網絡攻擊參與者使用相同的工具和方法,即使它們是有效和高效的,那么防御者的機會確實會從這種新格局中出現,這是可以重點關注的部分。防御者可以采用常見的工具和戰術,檢測和識別當前流行的網絡攻擊者行為鏈,并采取行動。
雖然不知道網絡攻擊者的最終目標,但是防御者可以:
·了解對手——使用威脅情報來及時了解網絡攻擊者的流行工具、方法和目標。當前的大趨勢是通過網絡釣魚或利用外部可訪問的脆弱服務進行初始訪問。
網絡攻擊者針對目標的行動通常是通過依賴攻擊面來實現的,例如,濫用已經存在的操作系統工具和使用常見的商品開發后框架,例如Cobalt Strike、Metasploit和Sliver。攻擊者的共同目標是竊取信息、欺詐和勒索。
·了解弱點——防御者的哪些攻擊表面可能成為攻擊目標?未打補丁的網絡、電子郵件和應用服務器一直是主要的目標。盡管如此,即使是網絡基礎設施(例如知名品牌的防火墻),也被發現含有被網絡攻擊者利用的漏洞。從防御者的財產到具有價值的資產的攻擊路徑是什么?對敏感信息的訪問是否有適當的控制,或者是否運行一個開放的平面網絡?是否運行任何遺留系統、ICS或物聯網設備?
·先發制人——對這些常用工具、方法和路徑實施先發制人的檢測和控制,以及對數據和功能的訪問控制和限制。監控攻擊表面的異常活動,實施并關注基于機器學習的行為檢測,或者獲得托管檢測和響應服務來做到這些。主動教育用戶群,并設置策略和程序,以明確他們的責任,并與企業的技術控制保持一致。盡快安裝安全補丁。
·制定事件響應計劃——如果企業擁有威脅情報、自我意識、控制和策略,可以制定一個事件響應行動計劃,以便在發生網絡攻擊事件時有效應對。
雖然在安全事件期間仍然會出現不可預測的情況,但是如果企業已經完成了大部分網絡防范工作,那么可以更快地采取行動,然后能夠專注于不可預測的邊緣情況。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號