帳號:
密碼:
CTIMES/SmartAuto / 新聞 /
潛伏平均超過11天 Sophos點名網路攻擊常用五大工具
 

【CTIMES/SmartAuto 柯紀仁 報導】   2021年05月20日 星期四

瀏覽人次:【1093】
  

面對網路攻擊者的行為,第一線威脅搜尋和事件回應人員應該利用什麼策略、技術和程序(TTP)來防禦,是確保網路安全與運作的關鍵。新一代網路安全技術廠商Sophos今天發表《2021年主動攻擊者的劇本》(Active Adversary Playbook 2021)報告,詳細介紹在2020年間在外界看到相關作法,也提供2021年初的TTP偵測資料。研究結果表明,攻擊者在被發現之前的平均停留時間為11天(264小時),未被發現的最長入侵時間為15個月。81%的事件和間諜軟體有關,69%的攻擊使用遠端桌面通訊協定(RDP)在網路內橫向移動。

這份報告的資料是來自Sophos遙測技術,和Sophos Managed Threat Response(MTR)威脅搜尋和分析人員以及Sophos Rapid Response事件回應團隊對81次事件的調查和結果。目的是協助安全團隊了解攻擊者在攻擊過程中的行為,以及如何發現和防禦網路上的惡意活動。

該報告發現,攻擊者被發現之前的平均停留時間為11天,也就是說攻擊者在11天之內有264小時可以進行惡意活動,包括橫向移動、偵察、憑證傾印、資料外洩和其他行為。其中某些行為可能只需要幾分鐘或幾小時,而且通常是在夜間或非上班時間進行,所以11天足可讓攻擊者有充裕的時間對企業網路造成損害。值得注意的是,勒索軟體攻擊的停留時間通常比「隱匿式」攻擊要短,因為它們只在乎破壞力。

此外,90%的攻擊和遠端桌面通訊協定(RDP)有關。在所有案例中,有69%的攻擊者使用RDP進行內部橫向移動。通常保護RDP的安全措施,例如VPN和多因素驗證等,往往只著重在防護來自外部的存取,但如果攻擊者已存在於網路內部,這些保護都會無效。在主動的人為攻擊,例如和勒索軟體有關的攻擊中,使用RDP進行內部橫向移動的情形越來越普遍。

Sophos也發現,受害者網路的前五大工具之間具有關聯性。例如,當在攻擊中使用PowerShell時,Cobalt Strike佔58%,PsExec佔49%,Mimikatz佔33%,GMER佔19%。27%的攻擊同時使用了Cobalt Strike和PsExec,而31%的攻擊同時使用了Mimikatz和PsExec。同時使用Cobalt Strike、PowerShell和PsExec的組合佔所有攻擊的12%。這種關聯性很重要,因為一旦偵測到,就可以作為即將發生的攻擊的預警,或用於確認是否存在作用中的攻擊。

Sophos調查的攻擊中,81%和勒索軟體有關。通常在勒索軟體出現後,IT安全團隊才會看到攻擊,因此Sophos回應的事件大都和勒索軟體有關不足為奇。Sophos發現,其他攻擊類型還包括僅進行滲透、加密挖礦、銀行木馬、抹除程式、下載投放程式、滲透測試試/攻擊工具等。

Sophos資深安全顧問John Shier表示:「威脅形勢變得越來越複雜且多變。在過去的一年中,我們的事件回應人員協助抵擋了超過37個攻擊團體發動的攻擊,使用的工具超過400種。而且許多工具與IT系統管理員和安全專家用於執行日常工作的相同,因此很難辨識出良性和惡意活動之間的區別。」

他也強調:「由於攻擊者在網路中平均躲了11天,並將攻擊混在一般正常的IT作業中進行,因此安全團隊必須了解哪些警訊應該要注意,以便進行調查。最重要的是,安全部門要記住技術雖然可以完成很多工作,但在當今的威脅形勢下,僅靠技術是不夠的。人類的經驗和回應能力,是任何安全解決方案的重要一環。」

關鍵字: 網路攻擊  資安  Sophos 
相關新聞
Sophos:疫情期間 70% 企業發現網路釣魚攻擊增加
Sophos收購Refactr整合安全協調自動化和回應(SOAR)功能
Sophos收購Braintrace 強化網路偵測和回應技術
微軟:台灣為亞太區勒索軟體攻擊五大熱區
Sophos分享如何偵測和防禦 REvil勒索軟體
comments powered by Disqus
相關討論
  相關新品
Arduino Motor Shield
原廠/品牌:RS
供應商:RS
產品類別:PC Board
mbed
原廠/品牌:RS
供應商:RS
產品類別:PC Board
Arduino
原廠/品牌:RS
供應商:RS
產品類別:PC Board
  相關產品
» u-blox推出低功耗藍牙模組ANNA-B4 適用工業及室內定位
» 杜邦Nikal B 電鍍化學品系列添新成員— 無硼酸電鍍鎳
» 瑞薩新R-Car SDK重新塑造車用軟體的開發流程
» Power Integrations 推出InnoSwitch3-PD 系列開關 IC
» 艾訊推出全新高效4U機架式GPU工作站iHPC300
  相關文章
» 虛擬與模擬的世界觀
» 快速實現Microchip 16位元處理器之韌體更新
» 瞭解熱阻在系統層級的影響
» 各路技術齊綻放:NFC和RFID技術提升病人護理品質
» 透過壓力及應變管理強化高精度傾斜/角度感測性能
  相關資源
» Power Management Solutions for Altera FPGAs

AD


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2021 遠播資訊股份有限公司版權所有 Powered by O3
地址:台北市中山北路三段29號11樓 / 電話 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw