最近的SolarWinds攻击说明了高级持续性攻击者如何长时间隐藏在网络中而不被发现。由于时间、机会和投资的原因,攻击者已经更深入地渗透到组织中,试图保持隐蔽并进一步实现他们的目标。组织必须知道在检测到数据泄露后该怎么做,并制定响应计划以阻止进一步的恶意活动。在这里,我们深入探讨攻击者如何应对事件,以及安全团队如何阻止攻击者进一步嵌入组织。攻击者如何应对事件响应措施当攻击者意识到反应措施时,他们通常会加速实现最终目标,例如窃取知识产权或执行勒索软件。高级攻击者可能已经部署了多个工具集并重定向了他们的活动以降低对响应者的可见性。攻击者还通过窃取电子邮件通信来监控响应者通信。鉴于攻击者在发现事件响应参与后可能会加快或改变路线,受影响的实体应该拥有最新的、经过测试的响应手册以及事件响应流程,以有效地响应违规行为,从而减少攻击者的反应时间。他们如何渗透您的系统一旦攻击者成功进入环境,他们将寻求通过各种进入途径实现持久性,例如后门、创建合法管理员帐户或安装远程控制软件。这消除了每次想要获得访问权限时都需要利用漏洞或人类的要求。获得未来进入环境的多种选择可以加强攻击者的立足点和返回的能力,即使在事件响应团队发现和干预之后也是如此。受影响的实体应实施有效的网络和端点监控,以识别异常并做出相应反应。他们如何逃避检测高级攻击者通常会尝试使用通常不会触发防病毒或端点检测和响应技术的合法软件来生存。这些类型的软件通常被称为LivingOffTheLandBinaries或LOLBins,并且可以是攻击者用来实现其目标的任何合法软件。例如,系统管理员通常使用PuTTY套件执行日常任务,并且通常包含在标准客户端桌面构建中。虽然这为系统管理员提供了便利,但它也是一组工具,攻击者可以使用这些工具来建立SSH会话、从临时服务器收集更多工具以及移动数据,所有这些都通过加密通道进行。一些高级攻击者通过使用在端点上提供给他们的工具来完成他们的活动,而不会将恶意代码引入环境中。他们如何在安全设置后门的同时利用后门,范围从安装在端点上的代码到新的管理员帐户。端点上的持久性机制通常是服务、计划任务、注册表“运行”键,甚至是用户配置文件启动文件夹中的条目。如果远程访问可用,或者远程控制软件的安装未被阻止,他们还可以使用受损或恶意创建的帐户来保留远程访问。事件响应团队如何应对攻击者技术事件响应不一定是一个团队的责任,应开展准备活动以改进任何安全响应。如果安全团队没有内部事件响应专业知识,让第三方专家参与也是可行的。核心事件响应团队将牵头。但是,他们应该吸引企业内的关键部门和技术所有者,以提高可见度、经验和知识的层次。利用现有技术和相关业务部门内其他人的知识将使发现异常活动和软件或代码的工作变得更加容易。在发生任何安全事件之前,可以执行一些标准活动,为更高效、更快速的响应铺平道路。虽然它会因企业和事件而异,但此动态事件列表可能包括以下内容。尽可能识别、评估并最终利用带外通信平台(非内部托管或非受影响实体拥有或管理的网络上的通信渠道),以降低信息被威胁行为者拦截的风险。对这些沟通渠道的访问应仅在批准的基础上进行,并且可能会受到审计。在发生任何安全事件之前制定并测试事件响应程序和行动手册。这些流程和行动手册应包括关键的部门和技术负责人,他们可以被要求协助响应者并解决常见的网络安全事件。允许列出在商业环境中被认为可接受的软件。所有例外情况都需要在批准前进行正式申请、审查和签字。制定身份和访问管理策略,定义最小权限原则以减少不必要的用户权限。反过来,这降低了数据被删除、损坏或更改的风险(无论是意外还是恶意,或者是使用特权访问的受感染帐户)。开发一个标准端点构建,其中仅包含所有业务部门所需的最低限度软件。此范围之外的软件将包含在白名单和白名单申请流程中。网络分段以启用对特定受影响区域的监控或关闭。安全团队必须准备好在发生漏洞后自行或在专业第三方的帮助下采取措施,以防止攻击者造成进一步损害。通过了解攻击者如何攻击事件响应团队,组织可以更好地识别攻击的警告信号并制定快速响应的行动计划。
