安全公司卡巴斯基在最新發(fā)布的事件響應(yīng)報(bào)告中表示，攻擊者入侵企業(yè)和政府網(wǎng)絡(luò)的三大策略包括暴力破解密碼、利用未修補(bǔ)的漏洞以及通過惡意電子郵件進(jìn)行社會(huì)工程。

　　最糟糕的現(xiàn)實(shí)是，攻擊者正在繼續(xù)使用以前見過的策略來入侵企業(yè)網(wǎng)絡(luò)，然后使用可識(shí)別的工具來偵察并獲取對(duì)目標(biāo)系統(tǒng)的高級(jí)訪問權(quán)限，之后他們通常會(huì)釋放勒索軟件、竊取數(shù)據(jù)或?qū)嵤┢渌缸镉?jì)劃。特別是對(duì)于勒索軟件攻擊而言，入侵到文件被強(qiáng)制加密的時(shí)間可能只需幾個(gè)小時(shí)，或者幾天。

　　在很多情況下，受害者還未來及針對(duì)入侵進(jìn)行調(diào)查，實(shí)際的損害就已經(jīng)發(fā)生了。在報(bào)告中，卡巴斯基表示，雖然其負(fù)責(zé)的53%的事件響應(yīng)調(diào)查是在檢測到可疑活動(dòng)后啟動(dòng)的，但仍有高達(dá)37%的事件響應(yīng)調(diào)查是在文件已被強(qiáng)制加密后啟動(dòng)的，7%是在已發(fā)生數(shù)據(jù)泄露后啟動(dòng)的，甚至有3%是在發(fā)生資金損失后啟動(dòng)的。

　　不過，幸運(yùn)的一點(diǎn)是，對(duì)于一些公司來說，大約10%的調(diào)查結(jié)果被證實(shí)是誤報(bào)——例如，來自網(wǎng)絡(luò)傳感器、端點(diǎn)保護(hù)產(chǎn)品或可疑數(shù)據(jù)泄漏的可疑活動(dòng)被證實(shí)為非惡意的。

　　攻擊者的首要目標(biāo)

　　然而，對(duì)于其余非誤報(bào)的入侵行為而言，1/3的入侵導(dǎo)致勒索軟件感染——表明這種類型的攻擊已經(jīng)變得十分普遍——而15%會(huì)導(dǎo)致數(shù)據(jù)泄露，這也可能與勒索軟件攻擊者竊取數(shù)據(jù)以試圖迫使受害者支付贖金有關(guān)。此外，11%的入侵導(dǎo)致攻擊者保持對(duì)網(wǎng)絡(luò)的持續(xù)訪問，這意味著他們可能是在為后續(xù)攻擊做準(zhǔn)備。

　　卡巴斯基表示，勒索軟件攻擊者使用了幾乎所有常見的初始訪問場景。從理論上講，以暴力破解開始的攻擊很容易被檢測到，但在實(shí)踐中，只有一小部分在產(chǎn)生影響之前被識(shí)別了出來。

　　為什么犯罪分子會(huì)針對(duì)不同的部門？主要?jiǎng)訖C(jī)包括勒索軟件（黃色）、數(shù)據(jù)泄露（灰色）、竊取資金（綠色）和廣義的“可疑活動(dòng)”（橙色）。政府部門沒有顯示數(shù)據(jù)泄漏，可能是因?yàn)檎畟€(gè)人身份信息較多的系統(tǒng)通常由電信和IT提供商托管。

　　挑戰(zhàn)：舊日志、意外證據(jù)破壞

　　在近一半的案例中，對(duì)于攻擊者究竟是如何闖入的問題，仍然是未解之謎。

　　卡巴斯基表示，我們在55%的案例中確定了初始向量，還有近一半仍是未解之謎。造成這種情況的原因包括不可用的日志、受害組織（非）故意銷毀證據(jù)以及供應(yīng)鏈攻擊等等。

　　攻擊工具

　　在MITRE攻擊框架的不同階段使用的工具（來源：卡巴斯基）

　　安全團(tuán)隊(duì)面臨的一個(gè)挑戰(zhàn)是，攻擊者正繼續(xù)依賴IT團(tuán)隊(duì)可以合法使用的大量工具。而且在許多情況下，攻擊者還使用可免費(fèi)獲得的易于訪問且非常有效的攻擊性工具。

　　卡巴斯基表示，幾乎一半的事件案例包括使用現(xiàn)有的操作系統(tǒng)工具，如LOLbins——指的是攻擊者可能轉(zhuǎn)向惡意使用的合法操作系統(tǒng)二進(jìn)制文件——以及來自GitHub的知名攻擊工具——例如Mimikatz、AdFind、Masscan以及Cobalt Strike等專門的商業(yè)框架。

　　基本防御：回歸基礎(chǔ)

　　為了阻止攻擊者使用此類工具，卡巴斯基建議防御者“實(shí)施規(guī)則以檢測對(duì)手使用的廣泛工具”，并盡可能“消除內(nèi)部IT團(tuán)隊(duì)使用類似工具”，并測試組織的安全運(yùn)營中心發(fā)現(xiàn)、跟蹤和阻止使用此類工具的速度和有效性。

　　該報(bào)告提出的另一項(xiàng)重要建議是，消除已知漏洞，并盡可能通過實(shí)施雙因素身份驗(yàn)證加大攻擊者訪問難度，促使許多攻擊者將目光投向別處。

　　卡巴斯基表示，在其調(diào)查的所有可識(shí)別初始向量的入侵事件中，有13%可以追溯到受害者尚未修補(bǔ)的產(chǎn)品中存在已知漏洞。而且大多是2020年最常被利用的主要漏洞。

　　卡巴斯基表示，當(dāng)攻擊者準(zhǔn)備實(shí)施他們的惡意活動(dòng)時(shí)，他們希望找到一些容易實(shí)現(xiàn)的途徑，例如具有眾所周知的漏洞和已知漏洞的公共服務(wù)器。僅實(shí)施適當(dāng)?shù)难a(bǔ)丁管理策略就可以將淪為受害者的可能性降低30%，而實(shí)施強(qiáng)大的密碼策略則能夠?qū)⒖赡苄越档?0%。

　　建議組織擁有強(qiáng)大的密碼策略、廣泛使用多因素身份驗(yàn)證——特別是對(duì)于具有管理級(jí)別訪問權(quán)限，以及遠(yuǎn)程桌面協(xié)議和VPN連接的帳戶——以及強(qiáng)大的漏洞管理程序已經(jīng)是老生常談的事情了。但是，這些基礎(chǔ)信息安全計(jì)劃的普遍缺失提醒人們：為了更有效地防御網(wǎng)絡(luò)攻擊，許多組織還需要回歸根本，從夯實(shí)基礎(chǔ)做起。