邪恶黑客正在重写网络杀戮链

  • A+
所属分类:网络安全新闻
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。

邪恶黑客正在重写网络杀戮链

对事件响应者的调查显示,企业需要重新构建网络安全

先进对手使用的网络杀伤链正在发生变化。防守者需要发展他们的防守策略以应对新的挑战; 他们需要发展沉默的狩猎技能。

Carbon Black的一项新研究询问了37家事件响应公司,这些公司使用其威胁搜寻工具来深入了解攻击者攻击网络后发生的情况。“这份报告的灵感,”Carbon Black的作者兼首席网络安全官汤姆凯勒曼告诉“ 安全周刊”,“是的,我厌倦了看到的报道只关注攻击的载体 - 他们如何进入与他们的关系网络犯罪分子的运作方式发生了巨大变化 - 他们已经从入室盗窃转为入侵家园,我们现在需要提出不同的问题。对手通常在网络内部持续数月。“

凯勒曼发布的报告中的主要统计数据包括俄罗斯和中国作为对手的优势。81%的受访者强调了俄罗斯,76%的受访者强调了中国。百分之三十五的人说最终目标是间谍活动。

百分之六十的攻击涉及横向移动,表明攻击不再粉碎并抓住事件 - 对手现在打算长时间游戏。事件响应对策的出现证实了这一点。近一半的受访者看到过反事件的反应。64%的人在红外线接触过程中看到了二级C2在睡眠周期中使用的情况。百分之三十六的袭击者使用受害者进行岛屿跳跃; 也就是说,作为供应链攻击。而且 - 也许令人担忧的是 - 10%的人目睹了非勒索软件的破坏。

全球网络威胁促使企业重新构建网络安全“我认为破坏数字是挺让人担心的,如果它生长,”凯勒曼说SecurityWeek ; 注意到已经有迹象表明它正在这样做。他提出了三个主要动机:激进主义(可能是爱国主义),复仇(被发现)以及法医证据的破坏。“我们需要从中汲取一个基本的教训,”他说:“当我们在家中打猎对手时,我们必须变得更加秘密和安静。我们再也不能喊出来了,”我知道你在我的房子;我已经打电话给警察了。这正是Crowdstrike在负责调查DNC漏洞时所做的事情,它的事件响应过于响亮,这就是为什么俄罗斯人在越来越深的地方挖掘和挖洞 - 以及在起诉书中证明了这一点。

凯勒曼从这项调查中获得的最大单项内容是,应对新的长期,先进和规避入侵的方法是开发无声狩猎技术。如果狩猎过于嘈杂,对手只会深入挖洞,采取事件响应对策,或者只是摧毁网络并离开。

“这种演变恰逢地缘政治紧张局势加剧,”报告指出。“俄罗斯,中国,伊朗和朝鲜等民族国家正在积极运作和支持技术先进的网络民兵。”

凯勒曼认为,这种新的攻击复杂程度取决于民族国家黑客攻击的增加程度 - 尽管黑客攻击本身可能是由国家民兵而不是政府直接雇员完成的。“我们看到网络犯罪分子充当民族国家的网络民兵,”他解释道。

以俄罗斯和副总检察长罗森斯坦被起诉的GRU单位为例。“那些GRU单位过去通常没有任何真正的网络攻击复杂程度。俄罗斯的网络攻击复杂程度的硅谷是圣彼得堡 - 所以他们要求Alexsey Belan和Evgeniy Bogachev等伟大的网络犯罪分子除了向他们展示如何变形和改变他们的杀伤链外,他们还拥有最强的零日攻击代码和漏洞利用工具包。“

中国的对手也在学习和适应。“中国人,”他说,“从他们过去的错误中吸取了教训,他们从来没有实行良好的操作安全性,而且当他们闯入网络时,他们通常声音太大......好吧,他们变得更加秘密和更多他们攻击公司的方式更加优雅。特别是,“他补充道,”在使用岛屿跳跃时 - 正如Cloud Hopper活动所证明的那样,他们针对西方十几家大公司的SMP。在妥协MSP之后,他们随后跨越了为了经济间谍的目的,通过他们的云基础设施进入企业网络。“

变化和更先进的攻击与民族国家行为者的崛起的巧合是令人信服的; 但主要是俄罗斯和中国的建议归因于归属的准确性。

“这种归因来自调查的事件响应响应者,”凯勒曼说。“这些人通常在英国或美国的情报或执法社区工作;他们了解指纹,与特定威胁行动者群体相关的TTP以及作案手法。不仅如此,您通常可以看到C&C和二级C&Cs杠杆回到由特定实体运营或控制的基础设施。“

凯勒曼认为,确实存在 - 实际上 - 一个邪恶的网络轴线,主要包括俄罗斯,中国,朝鲜,以及在较小程度上的伊朗。前三个有一个不成文的运营协议,不会互相攻击。“这三个人中没有一个能够攻击其他人,同时他们也会从彼此的大规模西方殖民中受益。”

俄罗斯和朝鲜特别接近。“俄罗斯和朝鲜都在抵制西方对网络犯罪对金融部门施加的经济制裁,”他说。“朝鲜本身的网络攻击变得更加熟练和复杂,因为它们反映了俄罗斯的杀戮链,他们正在使用越来越多的漏洞利用和越来越多的自定义恶意软件。正如朝鲜导弹系统通常基于在俄罗斯导弹上,你可以获得与网络能力相同的技术转移。“

他认为这些国家的网络攻击没有减少,并预计南海紧张局势和全球贸易战的可能性只会加剧这一问题。“事实上,”他说,“新组织隐藏的眼镜蛇 一直非常多产 - 你只是听不到他们,因为金融机构的受害者正试图保持这种对话安静。但隐藏的眼镜蛇是最好的证明朝鲜网络能力的提升。“

他也没有将伊朗排除在这个群体之外,并指出,就像Stuxnet问题一样,伊朗向俄罗斯求助并接受了网络援助。甚至有人建议俄罗斯专家对Stuxnet进行分析,并以沙特阿美公司使用的原始Shamoon恶意软件的形式将其归还给伊朗。

但凯勒曼认为,对攻击来源的理解并不重要,因为要了解它们的运作方式。“我真的认为反事件响应的迹象是强大的统计数据;并且36%的攻击并非针对最初的受害者 - 基本上,在他们从你那里窃取之后他们会使用你的网络瞄准那些信任你的人。这必须是我们敏锐地意识到并认识到我们如何构建商业伙伴关系,以及我们如何确保我们的信息供应链向前发展。“

他认为美国目前正遭受一个没有充分关注网络安全的政府的痛苦。“美国不仅没有网络沙皇,而且本届政府也没有认真对待网络安全 - 正如专业人士在不同的政府下成为生命者的快速退休率所证明的那样。我非常担心我们'重新处理已经在大量英国和美国基础设施中占据一席之地的对手,我们真的是从内到外打击某人。“

他认为,对此事件响应者的调查得出的真实信息是,企业需要重新构建其网络安全。“我们需要将建筑模型从类似城堡的结构改变为更多地转向监狱的建筑模型,在那里我们可以迫使对手受资源限制,我们在那里抑制他们横向移动的能力,我们追捕他们并监控他们他们知道我们正在这样做。这就是我们需要迁移到的环境类型 - 我将这种环境称为“入侵抑制”。

为实现这一目标,他认为企业必须转向无声狩猎。“这可以通过铁拳,现代白名单,包括端点检测和响应的下一代AV以及欺骗技术来完成。需要更广泛地部署寻线工具。应该采用内存增强,并根据风险等级进行适应性认证可以通过生物识别实时挑战/响应强制执行2或3因素身份验证,所有这些都取决于风险级别。现有的外向网络防御很大程度上是失败的。现代网络已经真正演变为云和移动性,这使得端点的安全性最重要的是,记录和监控端点上所有活动的能力绝对是成功的关键。“


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz
CE安全网

发表评论

您必须登录才能发表评论!