网络安全拐点：无恶意软件攻击主流化-云巴巴

立即咨询

立即试用

商务合作

2020-03-10

过去几年，安全人员关注的焦点是网络犯罪的组织化和市场化趋势，包括各种攻击即服务（例如DDoS as a Service、RaaS勒索软件即服务等）、恶意软件产业化发展等。但是2019-2020年，老式黑客电影中常出现的场景，黑客飞速敲击键盘在命令行工具中输入字符的“手动攻击”再次回归主流！

近日据CrowdStrike、Rapid7等网络安全公司的监测分析， “无恶意软件”攻击势头正在上升成主流攻击手段，对企业安全防御者构成严重威胁和挑战。

CrowdStrike的最新安全报告数据显示，2019年，黑客用键盘逐行输入命令的“手动攻击”反超了全球范围内由恶意软件传播引领的“现代化大规模自动化攻击”。

一段时间以来，经验丰富的网络罪犯和国家黑客一直在通过新方法来提升“杀伤力”，例如，潜入目标网络并冒充真实用户来掩盖其安全工具的活动，使用被盗的凭据并运行合法的工具来窃取数据。

在CrowdStrike的威胁事件响应报告中，此类所谓的“无恶意软件”攻击首次超越基于恶意软件的攻击，在2019年攻击事件中的占比达到51％，超过后者的49％（上图）。而在2018年和2017年，全球攻击事件中恶意软件的占比还高达60%，无恶意软件攻击的占比约40%。

用CrowdStrike的话来说，无恶意软件攻击是一种潜入受害组织的方法，它没有在计算机磁盘上使用恶意文件或文件片段。除了凭据或合法工具被盗外，这种类型的攻击还可以从内存中执行代码，并且只能通过检测异常行为的高级工具和技术，或通过威胁搜寻来检测。

也许我们可以把这种趋势解读为：APT的常态化，但无论规模还是频率和影响范围，无恶意软件攻击都要远超APT。

从Crowdstrike的2019年网络攻击TTPs统计（上图）中也可以看到，一度被脚本小子和恶意软件抢了风头的传统黑客又回来了，他们主要使用“手动模式攻击”，例如命令行界面，PowerShell以及隐藏文件和目录。这些技术在2019年观测到的许多复杂攻击中都发挥了重要作用，这些攻击的一个共同特点就是攻击中有黑客个人参与并引导。

安全专家担心，如果攻击者加倍实施无恶意软件攻击，那么企业现有的安全工具，乃至企业的整个安全防御体系将不堪重负，形同虚设。

CrowdStrike的CTO Michael Sentonas表示：

随着越来越多的攻击者找到绕过传统安全工具的方法，无恶意软件攻击正在快速增长。而且，攻击者并不满足于绕过常规的防病毒软件，他们也开始绕过下一代AV产品。这正推动无恶意软件攻击的大幅度升级。如果无恶意软件攻击占比达到60％或以上，那将是一个极为严峻的问题。

Sentonas指出，问题在于，大多数组织都没有技术能力来区分合法用户或窃取其凭据的攻击者。

手动化挑战自动化

根据CrowdStrike的报告，去年大多数无恶意软件的攻击都发生在北美（上图），四分之三的攻击并未在受害组织内部部署恶意软件。

当越来越多的攻击者开始采用“手动攻击”，网络安全业界开始流行的自动化检测和响应（例如SOAR）技术就会面临挑战。

安全公司Rapid7的研究者也发现，越来越多的攻击者渗透进目标时会放弃使用恶意软件。Rapid7的研究主管Tod Beardsley说：

攻击者正在使用有效凭据或重用其他攻击中获取的凭据，这简直防不胜防。这不是您可以轻松地自动化编排防御的威胁。

这同时也意味着，随着手动攻击的流行，账户凭据的泄露，对企业的威胁越来越大。根据SANS针对企业安全部门的调查，失窃信息在地下黑市的交易变现与利用（暗网情报）是未来12月内，CSO们眼中最有价值的威胁情报信息之一（下图）：

CrowdStrike首席技术官Sentonas表示：

今年将是一件有趣的事情：无恶意软件的攻击是否会继续增加，这是否与（攻击者的）驻留时间相关？如果这是未来两年到四年的网络安全趋势，那么我们就遇到大麻烦了，因为越来越多的攻击方法可以绕过安全控制机制。

人的因素

安全业界普遍认为，无恶意软件攻击防御的关键是“人的因素”。

Rapid 7的Beardsley认为，面对自动化安全运营和防御技术难以招架的手动攻击威胁，组织需要重视“人的因素”，授权最终用户成为安全文化的一部分（安全是每个人的责任，而不仅仅是企业安全人员的责任）。

安全厂商Sophos的首席研究科学家Chester Wisniewski认为：

现在，有更多的攻击者是人。因此对合法工具的恶意用途检测尤为关键。例如，如果发现Nmap网络监视工具在DMZ中的Web服务器上运行，那应该是一个危险信号。没有人可以在DMZ的服务器上运行它。

Wisniewski指出，如果合法的安全工具在常规使用时间（范围）以外运行，则构成安全事件。我们必须清楚，你可能不是唯一使用这些工具的人，使用者也可能是坏人。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！

热门数字化产品

查看详情

博致云生产制造小工单系统博致云小工单SaaS应用聚焦生产工单执行全流程，涵盖工单、报工、绩效看板等管理功能，实现手机端便捷报工、实时监控生产、精准核算绩效，生产进度一目了然，快速实现车间数字化。帮助企业落地精益管理，减少浪费，提升生产效率，降低制造成本，助力数字化转型。

查看详情

埃文科技IP风险画像埃文科技IP风险画像基于多维度数据信息、持续性IP风险验证机制和多级IP风险判定算法，实时关联IP的位置信息、应用场景、端口服务和设备风险信息等进行IP风险精准判定，并实行IP风险赋分、风险分级机制，简化业务应用门槛。IP风险画像产品可覆盖识别7种类型的风险IP，分别是VPN、代理、秒拨、数据中心、Tor节点、端口扫描、暴力破解。

查看详情

AutoCAD 计算机辅助设计软件AutoCAD®是一种计算机辅助设计 (CAD) 软件，建筑师、工程师和建筑专业人员可依靠它来创建精确的2D和3D图形。

查看详情

百度智能云曦灵智能数字人平台百度智能云曦灵-智能数字人平台，致力于打造智能的服务型&演艺型数字人，面向金融、媒体，运营商、MCN，互娱等行业，提供全新客户体验及服务。该平台可进一步降低数字人应用门槛，实现人机可视化语音交互服务和内容生产服务，有效提升用户体验、降低人力成本，提升服务质量和效率。

查看详情

酷学院企业培训SaaS平台酷学院多个基于AI技术的培训工具，有效降低培训运营传播，显著提升学习效果。基于对14大热点行业标杆企业的大数据分析，深入研究和实验，建立77个重点岗位职能的测评标准。依托AI技术，精准提取视频、音频、语音等课件中的知识点，转换成碎片化的知识内容，并对各个内容设置相应标签，形成系统化的知识图谱。

为你推荐