段鐵興

威脅的多樣化和復(fù)雜性已經(jīng)突破了IT安全專業(yè)人員在各個(gè)垂直領(lǐng)域中保護(hù)各種規(guī)模組織的極限。網(wǎng)絡(luò)安全技能的短缺已經(jīng)達(dá)到了歷史最高水平，53 %的組織承認(rèn)他們遇到了這個(gè)缺口。

在技術(shù)匱乏的情況下，91 %的安全專業(yè)人士認(rèn)為大多數(shù)組織都很容易遭受重大的網(wǎng)絡(luò)攻擊，94 %的人認(rèn)為網(wǎng)絡(luò)罪犯在網(wǎng)絡(luò)安全專業(yè)人士面前占了上風(fēng)。這些擔(dān)憂讓49 %的IT安全專業(yè)人員夜不能寐，特別是在IT和安全團(tuán)隊(duì)遭受破壞、警報(bào)疲勞、安全工具不足和整個(gè)基礎(chǔ)設(shè)施缺乏可見度的情況下。盡管組織面臨的一些最大威脅包括蠻力、密碼竊取器、未修補(bǔ)的漏洞和其他基于網(wǎng)絡(luò)的端點(diǎn)攻擊，但電子郵件也是IT和安全團(tuán)隊(duì)的主要關(guān)注點(diǎn)。金融、C級(jí)市場營銷和人力資源是魚叉式網(wǎng)絡(luò)釣魚郵件的主要目標(biāo)，高級(jí)管理人員違反的安全規(guī)則最多，占57 %。

組織面臨主要安全威脅

針對組織的一些最大威脅和攻擊，無論規(guī)模大小和行業(yè)垂直，都會(huì)涉及Internet的公開服務(wù)，如RDP，SSH，SMB，HTTP。根據(jù)Bitdefender遙測的數(shù)據(jù)顯示，對RDP服務(wù)的暴力攻擊占所有基于網(wǎng)絡(luò)攻擊的65 %以上。網(wǎng)絡(luò)罪犯經(jīng)常探查面向Internet的服務(wù)和RDP連接端點(diǎn)，以便讓組織外部的人遠(yuǎn)程撥號(hào)。一旦進(jìn)入目標(biāo)機(jī)器，他們試圖刪除安全解決方案，并手動(dòng)部署勒索軟件或橫向移動(dòng)工具等威脅，旨在滲透和破壞基礎(chǔ)設(shè)施中的其他機(jī)器。

如果沒有正確配置和保護(hù)，RDP可以作為組織內(nèi)的網(wǎng)關(guān)，有效地使威脅參與者訪問敏感的內(nèi)部資源。暴力破解密碼是一種方法，因?yàn)榫W(wǎng)絡(luò)罪犯使用試錯(cuò)的方式獲取用戶密碼或其他憑證等信息，甚至向服務(wù)器發(fā)送多個(gè)分布式請求，以尋找一對有效的憑證。網(wǎng)絡(luò)罪犯還試圖利用RDP服務(wù)中未修補(bǔ)的漏洞，并控制這些網(wǎng)關(guān)。例如，Microsoft RDP服務(wù)中最近出現(xiàn)的一個(gè)蠕蟲式安全缺陷允許攻擊者遠(yuǎn)程控制脆弱的系統(tǒng)，這是用來危害組織的最新類攻擊載體之一。

這些類型的攻擊與行業(yè)無關(guān)，攻擊者只需要持有一個(gè)公開的服務(wù)器，如果成功，就可以在基礎(chǔ)設(shè)施中橫向移動(dòng)，并危及其他服務(wù)器或端點(diǎn)，以確保持久性訪問和竊取高度機(jī)密的數(shù)據(jù)，甚至部署破壞性威脅來削弱組織或掩蓋他們的蹤跡。

威脅行動(dòng)者還喜歡通過SQL或命令注入針對Web服務(wù)器的攻擊，因?yàn)樗麄兛梢栽跈C(jī)器上啟用遠(yuǎn)程代碼執(zhí)行功能，并將其用作組織內(nèi)的網(wǎng)關(guān)或橫向移動(dòng)中樞。

SMB攻擊也成為威脅行動(dòng)者常用的攻擊策略，因?yàn)檫@些SMB服務(wù)器通常位于基于Windows域的網(wǎng)絡(luò)架構(gòu)上，允許所有員工從這些網(wǎng)絡(luò)共享中復(fù)制文檔。通過諸如EternlBlue或DoublePulsar之類的攻擊來破壞這些SMB服務(wù)器，可以讓攻擊者利用他們作為入侵組織、橫向移動(dòng)和搜索其他高價(jià)值主機(jī)，甚至可以從暴露共享的網(wǎng)絡(luò)中遠(yuǎn)程調(diào)度計(jì)算機(jī)上的任務(wù)。

Active Directory泄露也是網(wǎng)絡(luò)犯罪分子的首要任務(wù)。最近的調(diào)查甚至顯示，威脅參與者可以在不到2小時(shí)內(nèi)成功入侵一個(gè)組織的廣告服務(wù)器。這個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙曾利用一家金融機(jī)構(gòu)雇員打開的一份有問題的電子郵件附件，成功破壞了基礎(chǔ)設(shè)施中選定的機(jī)器，在基礎(chǔ)設(shè)施中悄悄移動(dòng)，并部署了持久性和橫向移動(dòng)工具。當(dāng)網(wǎng)絡(luò)犯罪團(tuán)伙專注于瞄準(zhǔn)和損害特定的垂直領(lǐng)域時(shí)，他們對這些基礎(chǔ)設(shè)施的工作方式、關(guān)鍵評(píng)估可能位于何處以及公司可能擁有何種網(wǎng)絡(luò)安全防御有著深入的了解。

大多數(shù)攻擊都是使用免費(fèi)的開源工具進(jìn)行的，這意味著網(wǎng)絡(luò)罪犯的進(jìn)入門檻很低。然而，威脅參與者要實(shí)施高針對性的攻擊，需要先進(jìn)的網(wǎng)絡(luò)知識(shí)和自定義工具來執(zhí)行高級(jí)持續(xù)威脅（APT）。

組織需要集中部署和使用網(wǎng)絡(luò)攻擊防御技術(shù)來識(shí)別和分類網(wǎng)絡(luò)行為，這些行為可能包括橫向移動(dòng)、惡意軟件感染、Web服務(wù)攻擊、僵尸網(wǎng)絡(luò)或TOR/Onion連接導(dǎo)致的惡意流量，甚至密碼或敏感數(shù)據(jù)泄露導(dǎo)致的隱私泄露。

用網(wǎng)絡(luò)攻擊防御來避免漏洞

行為技術(shù)、多事件關(guān)聯(lián)和網(wǎng)絡(luò)分析正在增加組織避免破壞和數(shù)據(jù)盜竊的機(jī)會(huì)。為應(yīng)對威脅提供規(guī)范建議的應(yīng)急響應(yīng)方案是IT安全的未來，并有助于解決困擾行業(yè)的嚴(yán)重安全技能短缺問題。

不阻塞網(wǎng)絡(luò)流量的自動(dòng)化、實(shí)時(shí)網(wǎng)絡(luò)流量檢測和預(yù)防技術(shù)可以以流模式掃描數(shù)據(jù)，在出現(xiàn)數(shù)據(jù)包變形的第一個(gè)跡象時(shí)就能阻止威脅。這意味著惡意流量甚至不會(huì)到達(dá)本地應(yīng)用程序或計(jì)算機(jī)，從而在任何負(fù)載著陸之前有效地阻止攻擊。

網(wǎng)絡(luò)攻擊防御技術(shù)使用專有和第三方妥協(xié)指標(biāo)（IoC）提要提供的事件關(guān)聯(lián)引擎可以識(shí)別和分類可疑的網(wǎng)絡(luò)行為。此外，在學(xué)習(xí)網(wǎng)絡(luò)流量的正常行為時(shí)，使用一些機(jī)器學(xué)習(xí)算法來識(shí)別特定的攻擊向量，例如協(xié)議或設(shè)備特定的異常檢測，可以幫助組織在網(wǎng)絡(luò)層抵御威脅。

此外，能夠?qū)⑦@種基于網(wǎng)絡(luò)的威脅情報(bào)與端點(diǎn)檢測和響應(yīng)（EDR）功能集成在一起，可以幫助組織保護(hù)整個(gè)網(wǎng)絡(luò)，讓他們看到從網(wǎng)絡(luò)到操作系統(tǒng)的整個(gè)技術(shù)堆棧。更重要的是，集成了EDR功能的網(wǎng)絡(luò)防御技術(shù)可以發(fā)現(xiàn)復(fù)雜事件，同時(shí)支持從MITRE檢測新的橫向運(yùn)動(dòng)。這讓組織可以全面了解他們在整個(gè)基礎(chǔ)設(shè)施中的整體網(wǎng)絡(luò)安全狀況。

網(wǎng)絡(luò)攻擊防御技術(shù)可以在攻擊鏈的早期檢測和阻止新類型的威脅，同時(shí)使用簽名和基于行為的機(jī)器學(xué)習(xí)關(guān)聯(lián)多個(gè)攻擊向量。將網(wǎng)絡(luò)攻擊防御功能添加到您的庫中，可以通過提前一步處理大量的攻擊威脅和載體來改善整體安全狀態(tài)。