账号:
密码:
最新动态
产业快讯
CTIMES/SmartAuto / 新闻 /
网路攻击平均潜伏时间超过11天 Sophos点名攻击常用五大工具
 

【CTIMES / SMARTAUTO ABC_1 报导】    2021年05月20日 星期四

浏览人次:【1972】

面对网路攻击者的行为,第一线威胁搜寻和事件回应人员应该利用什麽策略、技术和程序(TTP)来防御,是确保网路安全与运作的关键。新一代网路安全技术厂商Sophos今天发表《2021年主动攻击者的剧本》(Active Adversary Playbook 2021)报告,详细介绍在2020年间在外界看到相关作法,也提供2021年初的TTP侦测资料。研究结果表明,攻击者在被发现之前的平均停留时间为11天(264小时),未被发现的最长入侵时间为15个月。81%的事件和间谍软体有关,69%的攻击使用远端桌面通讯协定(RDP)在网路内横向移动。

这份报告的资料是来自Sophos遥测技术,和Sophos Managed Threat Response(MTR)威胁搜寻和分析人员以及Sophos Rapid Response事件回应团队对81次事件的调查和结果。目的是协助安全团队了解攻击者在攻击过程中的行为,以及如何发现和防御网路上的恶意活动。

该报告发现,攻击者被发现之前的平均停留时间为11天,也就是说攻击者在11天之内有264小时可以进行恶意活动,包括横向移动、侦察、凭证倾印、资料外泄和其他行为。其中某些行为可能只需要几分钟或几小时,而且通常是在夜间或非上班时间进行,所以11天足可让攻击者有充裕的时间对企业网路造成损害。值得注意的是,勒索软体攻击的停留时间通常比「隐匿式」攻击要短,因为它们只在??破坏力。

此外,90%的攻击和远端桌面通讯协定(RDP)有关。在所有案例中,有69%的攻击者使用RDP进行内部横向移动。通常保护RDP的安全措施,例如VPN和多因素验证等,往往只着重在防护来自外部的存取,但如果攻击者已存在於网路内部,这些保护都会无效。在主动的人为攻击,例如和勒索软体有关的攻击中,使用RDP进行内部横向移动的情形越来越普遍。

Sophos也发现,受害者网路的前五大工具之间具有关联性。例如,当在攻击中使用PowerShell时,Cobalt Strike占58%,PsExec占49%,Mimikatz占33%,GMER占19%。27%的攻击同时使用了Cobalt Strike和PsExec,而31%的攻击同时使用了Mimikatz和PsExec。同时使用Cobalt Strike、PowerShell和PsExec的组合占所有攻击的12%。这种关联性很重要,因为一旦侦测到,就可以作为即将发生的攻击的预警,或用於确认是否存在作用中的攻击。

Sophos调查的攻击中,81%和勒索软体有关。通常在勒索软体出现後,IT安全团队才会看到攻击,因此Sophos回应的事件大都和勒索软体有关不足为奇。Sophos发现,其他攻击类型还包括仅进行渗透、加密挖矿、银行木马、抹除程式、下载投放程式、渗透测试试/攻击工具等。

Sophos资深安全顾问John Shier表示:「威胁形势变得越来越复杂且多变。在过去的一年中,我们的事件回应人员协助抵挡了超过37个攻击团体发动的攻击,使用的工具超过400种。而且许多工具与IT系统管理员和安全专家用於执行日常工作的相同,因此很难辨识出良性和恶意活动之间的区别。」

他也强调:「由於攻击者在网路中平均躲了11天,并将攻击混在一般正常的IT作业中进行,因此安全团队必须了解哪些警讯应该要注意,以便进行调查。最重要的是,安全部门要记住技术虽然可以完成很多工作,但在当今的威胁形势下,仅靠技术是不够的。人类的经验和回应能力,是任何安全解决方案的重要一环。」

關鍵字: 网路攻击  資安  Sophos 
相关新闻
趋势:中国骇客利用地缘政治议题在台发动社交工程攻击
Fortinet混合网状防火墙 全面革新混合网路环境安全
微软《Cyber Signals》研究:与OpenAI合作避免网路攻击
Sophos宣布新任总裁暨代理执行长
趋势科技:活跃中漏洞可让骇客绕过防护窃取资料和感染勒索病毒
comments powered by Disqus
相关讨论
  相关文章
» 使用Microchip Inductive Position Sensor(电感式位置传感器)实现高精度马达控制
» 以霍尔效应电流感测器简化高电压感测
» ESG趋势展??:引领企业迈向绿色未来
» 智慧家居大步走 Matter实现更好体验与可靠连结
» 车载软体数量剧增 SDV硬体平台方兴未艾


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK83SA79F0OSTACUKF
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw