过去几年,安全人员关注的重点是网络犯罪的组织化和市场化,包括各种攻击即服务(如DDoSasaService、RaaS勒索软件即服务等),恶意软件产业化发展等。然而,2019-2020年,老牌黑客电影中经常出现的场景,黑客快速敲击键盘输入字符的“手动攻击”命令行工具回归主流!近期,根据CrowdStrike、Rapid7等网络安全公司的监测分析,“Nomalware”攻击正在上升为主流攻击媒介,对企业安全防御者构成严重威胁和挑战。他来了,他来了使用键盘根据CrowdStrike的最新安全报告,在2019年,黑客使用键盘逐行输入命令的“手动攻击”在全球范围内超过了以恶意软件传播为主导的“现代、大规模自动攻击”。.一段时间以来,经验丰富的网络犯罪分子和民族国家黑客一直在使用新方法来增加他们的“杀伤力”,例如渗透目标网络和冒充真实用户以掩盖其安全工具的活动,使用窃取的凭据并运行合法工具来窃取数据。在CrowdStrike的威胁事件响应报告中,此类所谓的“无恶意软件”攻击首次超过基于恶意软件的攻击,占2019年事件的51%,高于49%(上图)。2018年和2017年,恶意软件占全球攻击的比例高达60%,无恶意软件的攻击约占40%。用CrowdStrike的话说,无恶意软件攻击是一种渗透受害组织的方法,该组织不使用计算机磁盘上的恶意文件或文件碎片。除了窃取凭据或合法工具外,此类攻击还可以从内存中执行代码,并且只能使用检测异常行为的高级工具和技术或通过威胁搜寻来检测。或许我们可以将这一趋势解读为:APT的常态化,但无论从规模、频率还是影响范围来看,无恶意攻击都远超APT。从Crowdstrike的2019年网络攻击TTP统计数据(上图)中也可以看出,曾经被脚本小子和恶意软件抢了风头的传统黑客卷土重来,主要使用命令行界面、PowerShell以及隐藏文件和目录等“手动模式攻击”.这些技术在2019年观察到的许多复杂攻击中发挥了重要作用,而这些攻击的一个共同特征是攻击中有个体黑客的参与和指导。安全专家担心,如果攻击者在无恶意软件攻击方面加倍努力,现有的安全工具,实际上是企业的整个安全防御,将不堪重负,毫无用处。CrowdStrike的首席技术官MichaelSentonas表示:随着越来越多的攻击者找到绕过传统安全工具的方法,无恶意软件的攻击正在迅速增长。而且,攻击者并不满足于绕过传统的防病毒软件,他们也开始绕过下一代AV产品。这正在推动无恶意软件攻击的大规模升级。如果60%或更多的攻击没有恶意软件,那就是一个严重的问题。Sentonas指出,问题在于大多数组织不具备区分合法用户和窃取其凭据的攻击者的技术能力。手动化挑战自动化根据CrowdStrike报告,去年大多数无恶意软件攻击发生在北美(上图),四分之三的攻击没有在受害组织内部部署恶意软件。当越来越多的攻击者开始使用“手动攻击”时,已经在网络安全行业流行起来的自动化检测和响应(如SOAR)技术将面临挑战。安全公司Rapid7的研究人员还发现,越来越多的攻击者在渗透目标时放弃使用恶意软件。Rapid7的研究主管TodBeardsley表示:“几乎不可能阻止攻击者使用有效凭证或重复使用在其他攻击中获得的凭证。”这不是您可以轻松自动化和编排防御的威胁。这也意味着,随着人工攻击的流行和账户凭证的泄露,对企业的威胁越来越大。根据SANS对企业安全部门的调查,地下黑市中被盗信息的变现和利用(暗网情报)是未来12个月(下)CSO眼中最有价值的威胁情报信息之一:CrowdStrike首席技术“今年将是一个有趣的一年:无恶意软件的攻击是否会继续增加,这是否与(攻击者的)停留时间相关?如果这是未来两到四年的网络安全趋势,”Sentonas说。那么我们就有大麻烦了,因为越来越多的攻击方法可以绕过安全控制。人为因素安全行业普遍认为,无恶意软件攻击防御的关键是“人为因素”。Rapid7的Beardsley认为,面对自动化安全操作和防御技术不堪重负的手动攻击威胁,组织需要关注“人为因素”,使最终用户成为安全文化的一部分(安全是每个人的责任,不仅仅是公司安全人员的职责)。安全厂商Sophos的首席研究科学家ChesterWisniewski表示:如今,更多的攻击者是人类。因此,对合法工具的恶意使用检测至关重要。例如,如果您发现Nmap网络监控工具在DMZ中的Web服务器上运行,那应该是一个危险信号。没有人可以在DMZ中的服务器上运行它。Wisniewski指出,如果一个合法的安全工具在正常使用时间(范围)之外运行,就构成安全事件。我们必须清楚,您可能不是唯一使用这些工具的人,用户也可能是坏人。
