帳號:
密碼:
最新動態
產業快訊
CTIMES/SmartAuto / 新聞 /
潛伏平均超過11天 Sophos點名網路攻擊常用五大工具
 

【CTIMES/SmartAuto 柯紀仁 報導】   2021年05月20日 星期四

瀏覽人次:【2266】

面對網路攻擊者的行為,第一線威脅搜尋和事件回應人員應該利用什麼策略、技術和程序(TTP)來防禦,是確保網路安全與運作的關鍵。新一代網路安全技術廠商Sophos今天發表《2021年主動攻擊者的劇本》(Active Adversary Playbook 2021)報告,詳細介紹在2020年間在外界看到相關作法,也提供2021年初的TTP偵測資料。研究結果表明,攻擊者在被發現之前的平均停留時間為11天(264小時),未被發現的最長入侵時間為15個月。81%的事件和間諜軟體有關,69%的攻擊使用遠端桌面通訊協定(RDP)在網路內橫向移動。

這份報告的資料是來自Sophos遙測技術,和Sophos Managed Threat Response(MTR)威脅搜尋和分析人員以及Sophos Rapid Response事件回應團隊對81次事件的調查和結果。目的是協助安全團隊了解攻擊者在攻擊過程中的行為,以及如何發現和防禦網路上的惡意活動。

該報告發現,攻擊者被發現之前的平均停留時間為11天,也就是說攻擊者在11天之內有264小時可以進行惡意活動,包括橫向移動、偵察、憑證傾印、資料外洩和其他行為。其中某些行為可能只需要幾分鐘或幾小時,而且通常是在夜間或非上班時間進行,所以11天足可讓攻擊者有充裕的時間對企業網路造成損害。值得注意的是,勒索軟體攻擊的停留時間通常比「隱匿式」攻擊要短,因為它們只在乎破壞力。

此外,90%的攻擊和遠端桌面通訊協定(RDP)有關。在所有案例中,有69%的攻擊者使用RDP進行內部橫向移動。通常保護RDP的安全措施,例如VPN和多因素驗證等,往往只著重在防護來自外部的存取,但如果攻擊者已存在於網路內部,這些保護都會無效。在主動的人為攻擊,例如和勒索軟體有關的攻擊中,使用RDP進行內部橫向移動的情形越來越普遍。

Sophos也發現,受害者網路的前五大工具之間具有關聯性。例如,當在攻擊中使用PowerShell時,Cobalt Strike佔58%,PsExec佔49%,Mimikatz佔33%,GMER佔19%。27%的攻擊同時使用了Cobalt Strike和PsExec,而31%的攻擊同時使用了Mimikatz和PsExec。同時使用Cobalt Strike、PowerShell和PsExec的組合佔所有攻擊的12%。這種關聯性很重要,因為一旦偵測到,就可以作為即將發生的攻擊的預警,或用於確認是否存在作用中的攻擊。

Sophos調查的攻擊中,81%和勒索軟體有關。通常在勒索軟體出現後,IT安全團隊才會看到攻擊,因此Sophos回應的事件大都和勒索軟體有關不足為奇。Sophos發現,其他攻擊類型還包括僅進行滲透、加密挖礦、銀行木馬、抹除程式、下載投放程式、滲透測試試/攻擊工具等。

Sophos資深安全顧問John Shier表示:「威脅形勢變得越來越複雜且多變。在過去的一年中,我們的事件回應人員協助抵擋了超過37個攻擊團體發動的攻擊,使用的工具超過400種。而且許多工具與IT系統管理員和安全專家用於執行日常工作的相同,因此很難辨識出良性和惡意活動之間的區別。」

他也強調:「由於攻擊者在網路中平均躲了11天,並將攻擊混在一般正常的IT作業中進行,因此安全團隊必須了解哪些警訊應該要注意,以便進行調查。最重要的是,安全部門要記住技術雖然可以完成很多工作,但在當今的威脅形勢下,僅靠技術是不夠的。人類的經驗和回應能力,是任何安全解決方案的重要一環。」

關鍵字: 網路攻擊  資安  Sophos 
相關新聞
資拓宏宇雲端永續智能方案 打造數位轉型新解方
2024 TIE:資策會5G資安技術守護網路世界安全
TXOne Networks新一代Edge工控網路防護方案 更新韌體並納入AI
VicOne深植車用資安DNA再報喜 獲TISAX AL3最高等級認證
Fortinet整合SASE突破組織分散管理困境 重塑雲端安全的混合未來
comments powered by Disqus
相關討論
  相關文章
» SiC MOSFET:意法半導體克服產業挑戰的顛覆性技術
» 意法半導體的邊緣AI永續發展策略:超越MEMS迎接真正挑戰
» 光通訊成長態勢明確 訊號完整性一測定江山
» 分眾顯示與其控制技術
» 新一代Microchip MCU韌體開發套件 : MCC Melody簡介


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.3.144.123.24
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw