国家赞助和刑事网络攻击之间的线路模糊
澳大利亚IT景观在预算削减中成熟
SAP在新云频道计划中提供现金
卡巴斯基禁令:全球软件的风险
新的3D可打印墨水可以为人们制造合成骨骼
开创性的CIO必须为下一波数字变化做好准备
Monique Shivanandan叶Aviva
NHS构建在线ID验证平台
Royal Mail Research揭示了英国公司缺乏GDPR的数据质量
惠普为三星的打印机业务提供10亿美元
技术产业在关键预算之前要求澄清
这是(不是)小学:Watson如何工作
移动运营商在2018年面临盈利挤压
Shaptup:齐璐出来了; Microsoft Shifts Cortana,Bing,Office,Skype
社会需要共同努力控制网络空间
Windows 10之间的战争和Linux来到英特尔的焦耳板
SAP Buys Startup Plat。2B IOT投资的一部分
Swift希望每日报告将有助于干扰欺诈
无线电力系统可以从空间有一天发射电流
奥巴马设立了建立火星栖息地的目标
你应该知道什么,并做到雅虎违规行为
介绍Allo:带有a.i的跨平台消息应用程序。喋喋不休
福特工程师名为Myford Touch InfoTainment System'抛光粪'
OpenStack推出一个新的,更广泛的,发布
alexa for business:亚马逊踏上了语音激活的工作场所生产力推动
微软通过Azure Cloud连接雷诺 - 日产自动驾驶汽车
£115构造的面具绕过iphone x面部ID验证
更新:5亿雅虎账户被盗可能是有史以来最大的数据漏洞
面试:FileMaker解释了IOS的企业应用程序开发
不再是一个小供应商从下降下,阿特拉斯人继续创新
新的胰岛素泵漏洞突出了医疗设备的安全风险
ICANN转换向前发展,尽管最后一分钟试图阻止它
CIO采访:英国国际交贸岛ICT总监David Southern
新的胰岛素泵漏洞突出了医疗设备的安全风险
为什么90%的客户仍然想要他们的注试
Microsoft将地震改变粘在Windows补丁中
H-1B条例草案在房子里取得进展 - 焦虑对此
Microsoft确认Windows 10采用放缓
报告索赔的运营问题正在将电信支持偏离NFV
Skygiraffe的Tableau连接器旨在简化业务数据可视化
三星说,替换Note7s没有安全问题
IBM,Cloudera加入Rstudio以创建R接口到Apache Spark
欧洲没有准备好迫在眉睫的网络罢工,说Infosec专业人士
欧盟威胁要开放电子商务反垄断调查
第四次工业革命艾尔斯委员会的怀疑习惯
NHS英格兰在寻找新的CCIO
Gigaclear斜坡在牛津郡的宽带网络建设
证书政策违法于Startcom和WoSign的力量改革
专注于政府工业战略的创新与AI
谷歌的项目翼将墨西哥卷饼送到饥饿的学生
您的位置:首页 >科技 > 物联科技 >

国家赞助和刑事网络攻击之间的线路模糊

2021-07-24 12:44:22 [来源]:

网络犯罪团体越来越多地使用与国家行动者相同的策略和方法,过去一年中的群体服务团队处理的事件响应(IR)案件表明。

这些策略和方法包括无用的恶意软件和“生活离开土地”技术,涉及原产于Windows操作系统的流程,例如PowerShell和Windows管理仪表(WMI)。

许多事件也使用了反上取证工具和方法,以削弱其存在的迹象并在检测到它们之前探索网络的时间,通常称为“停留时间”。

根据该报告的说法,对远程桌面协议(RDP)服务器上的蛮力攻击在这些情况下也在普遍存在,这突出了两种其他趋势,这些趋势需要了解企业需要了解。

过去一年中的第二个趋势是自我繁殖技术增加了对赎金软件和破坏性攻击的新扭曲,从而提高了他们瘫痪了目标组织的能力。

过去的一年已经看到破坏性恶意软件伪装成赎金软件在全球范围内制作头条新闻,其中包含诸如Wannacry,Notpetya和Badbit的最佳攻击。

以前,感染通常需要某种用户干预,但现在Crowdstrike调查看到采用旨在传播的技术旨在传播系统感染的恶意软件变体。

全世界受害者组织经历了未能保持关键系统的反映,并依赖无效的遗留安全技术。

Crowdstrike IR案件揭示的第三个趋势是,随着公司加速迁移到云端,风险和袭击遵循。

Gartner预测到2020年,由于客户监督或忽视,将发生95%的云安全失败。无论是私人还是公众,受损的凭据和误解应用程序只是云中的安全风险的两个例子。

无论组织是否选择在公共或私有云中托管IT基础架构,Crowdstrike表示准备对于防止或响应云环境中发生的最终攻击至关重要。

报告称,这些趋势使其明确说,任何依赖于主要关于传统安全措施和工具的组织,如签名的抗病毒或防火墙,都无法检测到或抵御确定的复杂的威胁演员。

由于攻击者更加繁忙,并且他们的攻击技术继续发展,该报告建议组织同样必须发展其安全战略,以主动为下一次攻击做准备。

但是,该报告发现,组织继续提高他们自我检测违规行为的能力。在过去一年的客户中携带的Crowdstrike服务,68%能够在内部检测违约,这比上年增加11%。

该报告称,这种改进反映了组织的整体努力,以便在投资安全工具和资源以检测攻击,包括端点检测和响应(EDR)工具。

根据该报告,平均攻击​​者停留时间为86天,这意味着攻击者有大约三个月的时间来查找,消除或破坏有价值的数据或扰乱业务运营。

在一些极端情况下,Crowdstrike IR团队认为停留时间在800到1000天之间。报告指出,自动化系统最终可能会检测到入侵,而是当时人工人员被警告和意识到它往往为时已晚。

在Crowdstrike团队处理的IR案件中,最普遍的方式攻击者首次在目标环境中获得立足点是Web服务器,Web应用程序,Web shell漏洞资源或文件上传器(37%),远程访问(23%),供应链妥协(12%),社交工程,如网络钓鱼(11%),基于云的服务利用和攻击外部可访问的电子邮件门户或其他未经授权的访问(11%),以及仅侦察或其他(6%)。

无恶意攻击占大多数攻击(66%)。Crowdstrike将恶意软件攻击定义为初始策略不会导致文件或文件片段的文件或文件片段写入磁盘。示例包括攻击,其中代码从内存执行,或者被盗凭据用于远程登录的地方。

该报告称,攻击者还可以利用客户IT基础设施中固有的弱点,目前攻击机会,该报告称,攻击者的入侵机会,他们不想留下其侵入痕迹的攻击者。

任何主要依赖于传统安全措施和工具的组织都无法检测到或抵御确定的复杂威胁演员

Filest Forte示例包括使用诸如RDP或虚拟专用网络(VPN)的远程工具(如RDP或Avirtual Private Network(VPN)),使用网络钓鱼和社交工程从内存执行代码,以收取凭据,并在客户端堆栈中使用固有的弱点,例如Apache Struts漏洞,允许恶性XML馈送到Struts服务器,如据报道,Equifax Breach中发生。

Crowdstrike IR团队确定的最普遍的攻击目标是知识产权(IP)盗窃,盗窃资金,盗窃个人身份信息(PII),以及赎金或勒索。

组织Crowdstrike Services的规模各不相同,代表着广泛的行业部门 - 数据清楚地表明,没有组织对网络侵入免疫,所有组织都必须准备抵御下一次攻击。

根据Crowdstrike的说法,报告中详述的案例研究分享了几个常见的特征,即任何组织的安全利益相关者应该注意,因为它们不断评估他们所建立的员工,流程和技术以获得安全性弹性:

威胁演员有许多攻击向量剥削,这需要多方面的安全规划和策略方法。面对不断变化的攻击者策略的策略需要新的方法来检测和防止攻击,因为基于传统的基于签名的防病毒终点产品不会停止高级入侵方法,其中许多现在无线并从内存执行或使用已知的系统进程。要快速而有效地修补了Sensure漏洞.Count管理和访问控制仍然是整体安全姿势的关键作品。了解用户帐户可以访问的资源,它们拥有的权限是什么,防止未经授权的网络和应用程序访问双因素身份验证。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。