安全公司卡巴斯基在其最新的事件响应报告中表示,攻击者用来闯入企业和政府网络的三大策略包括暴力破解密码和利用未修补的漏洞和社会工程通过恶意电子邮件。最糟糕的现实是,攻击者继续使用以前见过的策略来破坏公司网络,然后使用可识别的工具进行侦察并获得对目标系统的高级访问权限,之后他们通常会释放勒索软件、窃取数据或实施其他犯罪计划。特别是对于勒索软件攻击,从入侵到文件被迫加密之间的时间可能只有几个小时或几天。在许多情况下,实际损害是在受害者调查入侵之前造成的。在报告中,卡巴斯基表示,虽然它负责的53%的事件响应调查是在检测到可疑活动后启动的,但高达37%的事件响应调查是在文件强制加密后启动的,7%的事件响应调查是在数据泄露后启动的。违约已经发生,甚至在发生资金损失后仍为3%。不过,对一些公司来说幸运的是,大约10%的调查结果被证明是误报——例如,来自网络传感器、端点保护产品的可疑活动,或者被证明是非恶意的可疑数据泄漏。攻击者的首要目标然而,在其余非误报的入侵中,三分之一导致勒索软件感染——表明此类攻击已变得普遍——而15%导致数据泄露,这也可能与勒索软件攻击者窃取数据以试图迫使受害者支付赎金。此外,11%的入侵导致攻击者保持对网络的持续访问,这意味着他们可能正在为后续攻击做准备。卡巴斯基表示,勒索软件攻击者使用了几乎所有常见的初始访问场景。以暴力攻击开始的攻击在理论上很容易被检测到,但在实践中只有一小部分在它们产生影响之前被识别出来。为什么犯罪分子针对不同的行业?主要动机包括勒索软件(黄色)、数据泄露(灰色)、资金盗窃(绿色)和广义的“可疑活动”(橙色)。政府部门没有显示数据泄露,可能是因为政府的个人身份信息密集型系统通常由电信和IT提供商托管。挑战:旧日志、意外证据破坏在将近一半的案例中,攻击者究竟是如何闯入的仍然是个谜。卡巴斯基表示,我们在55%的案例中确定了初始向量,近一半仍是未解之谜。造成这种情况的原因包括日志不可用、受害组织(无意)故意破坏证据以及供应链攻击等。攻击工具MITRE攻击框架不同阶段使用的工具(来源:卡巴斯基)安全团队面临的一个挑战是攻击者继续依赖IT团队可以合法使用的大量工具。在许多情况下,攻击者还使用可免费获得的易于访问且高效的攻击工具。卡巴斯基表示,几乎一半的事件案例涉及使用现有的操作系??统工具,例如LOLbins——指攻击者可能转向恶意使用的合法操作系统二进制文件——以及来自GitHub的著名攻击工具——比如SpecializedMimikatz、AdFind、Masscan和CobaltStrike等商业框架。基本防御:回归基础为了阻止攻击者使用此类工具,卡巴斯基建议防御者“实施规则以检测对手使用的各种工具”,并在可能的情况下“消除内部IT团队对类似工具的使用”和测试组织的安全性运营中心检测、跟踪和阻止此类工具使用的速度和有效性。该报告的另一项重要建议是通过实施双因素身份验证消除已知漏洞并尽可能降低访问难度,从而促使许多攻击者将目光投向别处。卡巴斯基表示,在其调查的所有使用可识别初始向量的入侵中,有13%可以追溯到受害者尚未修补的产品中的已知漏洞。并且大多是2020年最常被利用的重大漏洞。卡巴斯基表示,当攻击者准备好进行他们的恶意活动时,他们希望找到一些容易做的事情,比如具有众所周知漏洞和已知漏洞的公共服务器。单独实施适当的补丁管理策略可以将成为受害者的可能性降低30%,而实施强密码策略可以将可能性降低60%。建议组织拥有强大的密码策略、广泛使用多因素身份验证——尤其是对于具有管理级别访问权限的帐户,以及远程桌面协议和VPN连接——以及强大的漏洞管理程序是陈词滥调。然而,这些基本信息安全计划的普遍缺失提醒人们,许多组织需要回归本源,从坚实的基础开始,以便更有效地抵御网络攻击。本文翻译自:https://www.bankinfosecurity.com/top-initial-attack-vectors-passwords-bugs-trickery-a-17527
