威胁的多样性和复杂性已经突破了IT安全专业人员为保护各个垂直领域各种规模的组织所能做的事情的极限。网络安全技能短缺处于历史最高水平,53%的组织承认他们深受其害。在缺乏技术的情况下,91%的安全专业人员认为大多数组织都容易受到重大网络攻击,94%的人认为网络犯罪分子在网络安全专业人员方面占据上风。这些担忧让49%的IT安全专业人员彻夜难眠,尤其是在数据泄露、警报疲劳、安全工具不足以及IT和安全团队的基础设施缺乏可见性的情况下。虽然组织面临的一些最大威胁包括暴力破解、密码窃取、未修补的漏洞和其他基于Web的端点攻击,但电子邮件也是IT和安全团队的主要关注点。财务、C级营销和人力资源是鱼叉式网络钓鱼电子邮件的首要目标,高级管理人员违反的安全规则最多(57%)。组织面临的主要安全威胁组织面临的一些最大威胁和攻击,无论规模大小和行业纵向如何,都涉及暴露的Internet服务,例如RDP、SSH、SMB、HTTP。根据Bitdefender遥测数据,对RDP服务的暴力攻击占所有基于网络的攻击的65%以上。网络犯罪分子经常探测面向Internet的服务和RDP连接端点,以允许组织外部的人员远程拨入。一旦进入目标机器,他们就会尝试移除安全解决方案并手动部署勒索软件或横向移动工具等威胁,这些威胁旨在渗透和破坏基础设施中的其他机器。如果没有正确配置和保护,RDP可以充当组织内的网关,有效地让威胁参与者访问敏感的内部资源。暴力破解密码是一种方法,因为网络犯罪分子通过反复试验来获取用户密码或其他凭据等信息,甚至向服务器发送多个分布式请求以搜索一对有效的凭据。网络罪犯还试图利用RDP服务中未修补的漏洞来执行远程代码执行并控制这些网关。例如,MicrosoftRDP服务中最近出现的类似蠕虫的安全漏洞允许攻击者远程控制易受攻击的系统(BlueKeep-CVE-2019-0708),这是威胁行为者用来危害组织的最新此类攻击媒介之一。这些类型的攻击与行业无关——一个组织只需要拥有一个公开可用的服务器。如果成功,攻击者可以在基础设施内横向移动并危害其他服务器或端点以确保持久性、访问和窃取高度机密的数据,甚至部署破坏性威胁来削弱组织或掩盖他们的踪迹。威胁行为者还喜欢通过SQL或命令注入针对Web服务器的攻击,因为他们可以在机器上启用远程代码执行并将其用作组织内的网关或横向移动中心。SMB攻击也已成为威胁参与者的常见攻击策略,因为这些SMB服务器通常位于基于Windows域的网络架构中,允许所有员工从这些网络共享中复制文档。因此,通过EternlBlue或DoublePulsar等攻击破坏这些SMB服务器,可以让攻击者将它们用作入侵组织,横向移动,寻找其他高价值主机,甚至从暴露的共享网络远程调度计算机上的任务。ActiveDirectory漏洞也是网络犯罪分子的头等大事。最近的调查甚至表明,威胁行为者可以在不到两个小时的时间内成功破坏组织的广告服务器。利用一家金融机构员工打开的可疑电子邮件附件,网络犯罪集团成功地破坏了基础设施中的选定机器,在基础设施中悄悄移动,并部署了持久性和横向移动工具。当网络犯罪团伙专门针对和破坏特定的垂直行业时,他们对这些基础设施的工作原理、关键评估可能位于何处以及公司可能拥有哪些网络安全防御措施有深入的了解。大多数攻击都是使用免费和开源工具进行的,这意味着网络犯罪分子的进入门槛很低。然而,要让威胁行为者执行高度针对性的攻击,需要高级网络知识和自定义工具来执行APT(高级持续威胁)。组织需要集中部署和使用网络攻击防御技术来识别和分类网络行为,这些行为可能包括横向移动、恶意软件感染、Web服务攻击、来自僵尸网络或TOR/Onion连接的恶意流量,甚至密码或敏感数据泄露导致隐私违反。通过网络攻击防御技术、多事件关联和网络分析避免漏洞正在增加组织避免漏洞和数据盗窃的机会。为应对威胁提供规范性建议的应急响应场景是IT安全的未来,有助于解决困扰行业的严重安全技能短缺问题。不阻塞网络流量的自动化、实时网络流量检查和预防技术以流模式扫描数据,在数据包失真的第一个迹象时阻止威胁。这意味着恶意流量甚至不会到达本地应用程序或计算机,从而在任何有效负载登陆之前有效地阻止攻击。网络攻击防御技术使用专有和第三方IoC(妥协指标)提要提供的事件关联引擎,可以识别和分类可疑的网络行为。此外,使用一些机器学习算法来识别特定的攻击向量——例如协议或设备特定的异常检测——同时了解网络流量的正常行为可以帮助组织抵御网络层的威胁。此外,能够将这种基于网络的威胁情报与EDR(端点检测和响应)功能相集成可以帮助组织保护其整个网络,使他们能够了解从网络到操作系统的整个技术堆栈。此外,与EDR功能集成的网络防御技术可以发现复杂事件,同时能够检测来自MITRE的新横向移动。这使组织能够全面了解其基础设施中的整体网络安全状况。网络攻击防御技术可以在攻击链的早期检测和阻止新型威胁,同时使用签名和基于行为的机器学习关联多个攻击向量。将网络攻击防御功能添加到您的武器库中可以通过领先于过多的攻击威胁和向量来改善您的整体安全态势。
