【IT168 評論】威脅的多樣化和復(fù)雜性已經(jīng)突破了IT安全專業(yè)人員在各個(gè)垂直領(lǐng)域中保護(hù)各種規(guī)模組織的極限。網(wǎng)絡(luò)安全技能的短缺已經(jīng)達(dá)到了歷史最高水平，53％的組織承認(rèn)他們遭受了這個(gè)缺口。

在技術(shù)匱乏的情況下，91％的安全專業(yè)人士認(rèn)為大多數(shù)組織都很容易遭受重大的網(wǎng)絡(luò)攻擊，94％的人認(rèn)為網(wǎng)絡(luò)罪犯在網(wǎng)絡(luò)安全專業(yè)人士面前占了上風(fēng)。這些擔(dān)憂讓49％的IT安全專業(yè)人員夜不能寐，特別是在IT和安全團(tuán)隊(duì)遭受破壞、警報(bào)疲勞、安全工具不足和整個(gè)基礎(chǔ)設(shè)施缺乏可見度的情況下。

盡管組織面臨的一些最大威脅包括蠻力、密碼竊取器、未修補(bǔ)的漏洞和其他基于網(wǎng)絡(luò)的端點(diǎn)攻擊，但電子郵件也是IT和安全團(tuán)隊(duì)的主要關(guān)注點(diǎn)。金融、c級市場營銷和人力資源是魚叉式網(wǎng)絡(luò)釣魚郵件的主要目標(biāo)，高級管理人員違反的安全規(guī)則最多（占57％）。

組織面臨主要安全威脅

針對組織的一些最大的威脅和攻擊，無論規(guī)模大小和行業(yè)垂直，都會(huì)涉及Internet的公開服務(wù)，如RDP、SSH、SMB、HTTP。根據(jù)Bitdefender遙測的數(shù)據(jù)顯示，對RDP服務(wù)的暴力攻擊占所有基于網(wǎng)絡(luò)攻擊的65％以上。網(wǎng)絡(luò)罪犯經(jīng)常探查面向Internet的服務(wù)和RDP連接端點(diǎn)，以便讓組織外部的人遠(yuǎn)程撥號。一旦進(jìn)入目標(biāo)機(jī)器，他們試圖刪除安全解決方案，并手動(dòng)部署勒索軟件或橫向移動(dòng)工具等威脅，旨在滲透和破壞基礎(chǔ)設(shè)施中的其他機(jī)器。

如果沒有正確配置和保護(hù)，RDP可以作為組織內(nèi)的網(wǎng)關(guān)，有效地使威脅參與者訪問敏感的內(nèi)部資源。暴力破解密碼是一種方法，因?yàn)榫W(wǎng)絡(luò)罪犯使用試錯(cuò)的方式獲取用戶密碼或其他憑證等信息，甚至向服務(wù)器發(fā)送多個(gè)分布式請求，以尋找一對有效的憑證。網(wǎng)絡(luò)罪犯還試圖利用RDP服務(wù)中未修補(bǔ)的漏洞來執(zhí)行遠(yuǎn)程代碼執(zhí)行，并控制這些網(wǎng)關(guān)。例如，Microsoft RDP服務(wù)中最近出現(xiàn)的一個(gè)蠕蟲式安全缺陷允許攻擊者遠(yuǎn)程控制脆弱的系統(tǒng)（BlueKeep － CVE－2019－0708），這是威脅行動(dòng)者用來危害組織的最新的此類攻擊載體之一。

這些類型的攻擊與行業(yè)無關(guān)——組織只需要持有一個(gè)公開的服務(wù)器。如果成功，攻擊者可以在基礎(chǔ)設(shè)施中橫向移動(dòng)，并危及其他服務(wù)器或端點(diǎn)，以確保持久性、訪問和竊取高度機(jī)密的數(shù)據(jù)，甚至部署破壞性威脅來削弱組織或掩蓋他們的蹤跡。

威脅行動(dòng)者還喜歡通過SQL或命令注入針對web服務(wù)器的攻擊，因?yàn)樗鼈兛梢栽跈C(jī)器上啟用遠(yuǎn)程代碼執(zhí)行功能，并將其用作組織內(nèi)的網(wǎng)關(guān)或橫向移動(dòng)中樞。

SMB攻擊也成為威脅行動(dòng)者常用的攻擊策略，因?yàn)檫@些SMB服務(wù)器通常位于基于Windows域的網(wǎng)絡(luò)架構(gòu)上，允許所有員工從這些網(wǎng)絡(luò)共享中復(fù)制文檔。因此，通過諸如EternlBlue或DoublePulsar之類的攻擊來破壞這些SMB服務(wù)器，可以讓攻擊者利用它們作為入侵組織、橫向移動(dòng)、搜索其他高價(jià)值主機(jī)，甚至可以從暴露共享的網(wǎng)絡(luò)中遠(yuǎn)程調(diào)度計(jì)算機(jī)上的任務(wù)。

Active Directory泄露也是網(wǎng)絡(luò)犯罪分子的首要任務(wù)。最近的調(diào)查甚至顯示，威脅參與者可以在不到兩小時(shí)內(nèi)成功入侵一個(gè)組織的廣告服務(wù)器。這個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙利用一家金融機(jī)構(gòu)雇員打開的一份有問題的電子郵件附件，成功地破壞了基礎(chǔ)設(shè)施中選定的機(jī)器，在基礎(chǔ)設(shè)施中悄悄移動(dòng)，并部署了持久性和橫向移動(dòng)工具。當(dāng)網(wǎng)絡(luò)犯罪團(tuán)伙專注于瞄準(zhǔn)和損害特定的垂直領(lǐng)域時(shí)，他們對這些基礎(chǔ)設(shè)施的工作方式、關(guān)鍵評估可能位于何處以及公司可能擁有何種網(wǎng)絡(luò)安全防御有著深入的了解。

大多數(shù)攻擊都是使用免費(fèi)的開源工具進(jìn)行的，這意味著網(wǎng)絡(luò)罪犯的進(jìn)入門檻很低。然而，威脅參與者要實(shí)施高針對性的攻擊，需要先進(jìn)的網(wǎng)絡(luò)知識和自定義工具來執(zhí)行APT（高級持續(xù)威脅）。

組織需要集中部署和使用網(wǎng)絡(luò)攻擊防御技術(shù)來識別和分類網(wǎng)絡(luò)行為，這些行為可能包括橫向移動(dòng)、惡意軟件感染、web服務(wù)攻擊、僵尸網(wǎng)絡(luò)或TOR／Onion連接導(dǎo)致的惡意流量，甚至密碼或敏感數(shù)據(jù)泄露導(dǎo)致的隱私泄露。

用網(wǎng)絡(luò)攻擊防御來避免漏洞

行為技術(shù)、多事件關(guān)聯(lián)和網(wǎng)絡(luò)分析正在增加組織避免破壞和數(shù)據(jù)盜竊的機(jī)會(huì)。為應(yīng)對威脅提供規(guī)范建議的應(yīng)急響應(yīng)方案是IT安全的未來，并有助于解決困擾行業(yè)的嚴(yán)重安全技能短缺問題。

不阻塞網(wǎng)絡(luò)流量的自動(dòng)化、實(shí)時(shí)網(wǎng)絡(luò)流量檢測和預(yù)防技術(shù)可以以流模式掃描數(shù)據(jù)，在出現(xiàn)數(shù)據(jù)包變形的第一個(gè)跡象時(shí)就能阻止威脅。這意味著惡意流量甚至不會(huì)到達(dá)本地應(yīng)用程序或計(jì)算機(jī)，從而在任何有效負(fù)載著陸之前有效地阻止攻擊。

網(wǎng)絡(luò)攻擊防御技術(shù)使用專有和第三方IoC（妥協(xié)指標(biāo)）提要提供的事件關(guān)聯(lián)引擎，可以識別和分類可疑的網(wǎng)絡(luò)行為。此外，在學(xué)習(xí)網(wǎng)絡(luò)流量的正常行為時(shí)，使用一些機(jī)器學(xué)習(xí)算法來識別特定的攻擊向量——例如協(xié)議或設(shè)備特定的異常檢測——可以幫助組織在網(wǎng)絡(luò)層抵御威脅。

此外，能夠?qū)⑦@種基于網(wǎng)絡(luò)的威脅情報(bào)與EDR（端點(diǎn)檢測和響應(yīng)）功能集成在一起，可以幫助組織保護(hù)整個(gè)網(wǎng)絡(luò)，讓它們能夠看到從網(wǎng)絡(luò)到操作系統(tǒng)的整個(gè)技術(shù)堆棧。更重要的是，集成了EDR功能的網(wǎng)絡(luò)防御技術(shù)可以發(fā)現(xiàn)復(fù)雜事件，同時(shí)支持從MITRE檢測新的橫向運(yùn)動(dòng)。這讓組織可以全面了解它們在整個(gè)基礎(chǔ)設(shè)施中的整體網(wǎng)絡(luò)安全狀況。

網(wǎng)絡(luò)攻擊防御技術(shù)可以在攻擊鏈的早期檢測和阻止新類型的威脅，同時(shí)使用簽名和基于行為的機(jī)器學(xué)習(xí)關(guān)聯(lián)多個(gè)攻擊向量。將網(wǎng)絡(luò)攻擊防御功能添加到您的庫中，可以通過提前一步處理大量的攻擊威脅和載體來改善您的整體安全狀態(tài)。

作者：高博編譯編輯： 高博來源：IT168網(wǎng)站  原創(chuàng)