网络安全拐点:无恶意软件攻击主流化
来源: 云巴巴 2020-03-10 14:12:25
过去几年,安全人员关注的焦点是网络犯罪的组织化和市场化趋势,包括各种攻击即服务(例如DDoS as a Service、RaaS勒索软件即服务等)、恶意软件产业化发展等。但是2019-2020年,老式黑客电影中常出现的场景,黑客飞速敲击键盘在命令行工具中输入字符的“手动攻击”再次回归主流!
近日据CrowdStrike、Rapid7等网络安全公司的监测分析, “无恶意软件”攻击势头正在上升成主流攻击手段,对企业安全防御者构成严重威胁和挑战。
CrowdStrike的最新安全报告数据显示,2019年,黑客用键盘逐行输入命令的“手动攻击”反超了全球范围内由恶意软件传播引领的“现代化大规模自动化攻击”。
一段时间以来,经验丰富的网络罪犯和国家黑客一直在通过新方法来提升“杀伤力”,例如,潜入目标网络并冒充真实用户来掩盖其安全工具的活动,使用被盗的凭据并运行合法的工具来窃取数据。
在CrowdStrike的威胁事件响应报告中,此类所谓的“无恶意软件”攻击首次超越基于恶意软件的攻击,在2019年攻击事件中的占比达到51%,超过后者的49%(上图)。而在2018年和2017年,全球攻击事件中恶意软件的占比还高达60%,无恶意软件攻击的占比约40%。
用CrowdStrike的话来说,无恶意软件攻击是一种潜入受害组织的方法,它没有在计算机磁盘上使用恶意文件或文件片段。除了凭据或合法工具被盗外,这种类型的攻击还可以从内存中执行代码,并且只能通过检测异常行为的高级工具和技术,或通过威胁搜寻来检测。
也许我们可以把这种趋势解读为:APT的常态化,但无论规模还是频率和影响范围,无恶意软件攻击都要远超APT。
从Crowdstrike的2019年网络攻击TTPs统计(上图)中也可以看到,一度被脚本小子和恶意软件抢了风头的传统黑客又回来了,他们主要使用“手动模式攻击”,例如命令行界面,PowerShell以及隐藏文件和目录。这些技术在2019年观测到的许多复杂攻击中都发挥了重要作用,这些攻击的一个共同特点就是攻击中有黑客个人参与并引导。
安全专家担心,如果攻击者加倍实施无恶意软件攻击,那么企业现有的安全工具,乃至企业的整个安全防御体系将不堪重负,形同虚设。
CrowdStrike的CTO Michael Sentonas表示:
随着越来越多的攻击者找到绕过传统安全工具的方法,无恶意软件攻击正在快速增长。而且,攻击者并不满足于绕过常规的防病毒软件,他们也开始绕过下一代AV产品。这正推动无恶意软件攻击的大幅度升级。如果无恶意软件攻击占比达到60%或以上,那将是一个极为严峻的问题。
Sentonas指出,问题在于,大多数组织都没有技术能力来区分合法用户或窃取其凭据的攻击者。
手动化挑战自动化
根据CrowdStrike的报告,去年大多数无恶意软件的攻击都发生在北美(上图),四分之三的攻击并未在受害组织内部部署恶意软件。
当越来越多的攻击者开始采用“手动攻击”,网络安全业界开始流行的自动化检测和响应(例如SOAR)技术就会面临挑战。
安全公司Rapid7的研究者也发现,越来越多的攻击者渗透进目标时会放弃使用恶意软件。Rapid7的研究主管Tod Beardsley说:
攻击者正在使用有效凭据或重用其他攻击中获取的凭据,这简直防不胜防。 这不是您可以轻松地自动化编排防御的威胁。
这同时也意味着,随着手动攻击的流行,账户凭据的泄露,对企业的威胁越来越大。根据SANS针对企业安全部门的调查,失窃信息在地下黑市的交易变现与利用(暗网情报)是未来12月内,CSO们眼中最有价值的威胁情报信息之一(下图):
CrowdStrike首席技术官Sentonas表示:
今年将是一件有趣的事情:无恶意软件的攻击是否会继续增加,这是否与(攻击者的)驻留时间相关?如果这是未来两年到四年的网络安全趋势,那么我们就遇到大麻烦了,因为越来越多的攻击方法可以绕过安全控制机制。
人的因素
安全业界普遍认为,无恶意软件攻击防御的关键是“人的因素”。
Rapid 7的Beardsley认为,面对自动化安全运营和防御技术难以招架的手动攻击威胁,组织需要重视“人的因素”,授权最终用户成为安全文化的一部分(安全是每个人的责任,而不仅仅是企业安全人员的责任)。
安全厂商Sophos的首席研究科学家Chester Wisniewski认为:
现在,有更多的攻击者是人。因此对合法工具的恶意用途检测尤为关键。例如,如果发现Nmap网络监视工具在DMZ中的Web服务器上运行,那应该是一个危险信号。没有人可以在DMZ的服务器上运行它。
Wisniewski指出,如果合法的安全工具在常规使用时间(范围)以外运行,则构成安全事件。我们必须清楚,你可能不是唯一使用这些工具的人,使用者也可能是坏人。
更多产品了解
欢迎扫码加入云巴巴企业数字化交流服务群
产品交流、问题咨询、专业测评
都在这里!
为你推荐
深信服云安全访问服务(SASE)荣获2021年度中国IT行业云安全创新产品奖
深信服云安全访问服务(SASE)凭借着云化交付、简单易用、统一管理、大量POP点等诸多优势,荣获2021年度中国IT行业云安全创新产品奖。2022-01-14 17:46:12
网络安全服务市场未来可期,中国蓄势待发
《IDC全球半年度网络安全支出指南,2018H2》显示,2019年全球网络安全支出将达到1066.3亿美元(约合7503.9亿元人民币),同比增长10.7%,IDC预测,到2023年,全球网络安全支出规模将达到1,512亿美元2020-03-13 16:40:11
WannaCry勒索病毒不相信眼泪,破局有四招!
大多数IT安全人员因为这次席卷全球的勒索攻击事件而在周末忙得不可开交,有的忙着打补丁,有的犹豫交赎金。而IBM内部尚未接到受感染的案例报告,因为IBM在4月份已通过BigFix向所管理的终端自动推送了此补丁。2020-03-24 16:38:20
新产品安全邮件给我们的生活带来了什么
我们脚下的土地无时不刻发生着翻天覆地的变化,这一切都源于科技,说到科技,就不得不说一下什么是安全邮件,遥想一千年前,人们过着简单,艰辛的生活。人们并不知道什么是电脑,科技,精神的世界,只求平平安安,吃饱喝足,以维持正常的生活。而现在,对于我们来说,个人资,2020-05-08 17:25:35
稳住!首个Apache Log4j2检测工具及全系防护建议,长亭科技免费推出
长亭牧云(CloudWalker)主机安全管理平台,支持深度清点服务器上存在的各种软件应用,分析第三方依赖,枚举软件名称、供应商、软件分类、软件版本、软件路径等信息。2021-12-16 15:20:35
【安全意识】网络钓鱼与钓鱼邮件攻击防范指南
简而言之,网络钓鱼是一种社会工程学网络攻击行为的一组策略,骗子发送具备足够欺骗性和诱惑性的电子邮件,试图诱导收件人点击恶意链接或下载受感染的附件以窃取其个人信息。2021-12-03 14:20:59
严选云产品
领先的企业数字化服务平台
客服电话:400-0972-788
评论列表