防止违规和最小化影响的10种方法
根据Trozferfergience的副主席Jibran Ilyas的说法,攻击者越来越能够通过将其技术适应安全防御者使用的工具来避免检测。
一个经典的例子是攻击者依靠恶意软件,并使用Microsoft Windows等操作系统内置的管理工具,他告诉Palo Alto Networks Ignite '17在加拿大温哥华会议。
“攻击者正在使用PowerShell这样的工具来启动攻击而不是恶意软件,因此他们未被发现,因为没有安全技术即可阻止合法的管理工具。”
同样,较少的攻击者正在使用圆形的时钟通信与其命令和控制服务器,以避免通过监视此类通信的安全工具检测。
“由于攻击者发现它相对容易进入网络,他们进入,横向移动,找到他们感兴趣的数据,exftrated它,然后在不使用任何恶意软件的情况下关闭操作,”Ilyas说。
他说,攻击者也在开发反上取证技术,通过确定这些工具正在使用的内容,然后避免使用它们或确保它们擦拭,然后作为攻击的一部分擦拭。
伊利亚斯表示,进入组织的越来越常见的方法包括通过受损的电子邮件帐户,通过目标人员,合作伙伴,客户和同事的妥协和通过订阅邮件列表来进行网络钓鱼攻击,往往被收件人信任。
Stroz Friedberg还看到使用来自各种来源的公开信息,以便能够重置帐户密码来控制或创建合法组织的子域,以欺骗人员分享其用户名和密码。
“这就是为什么利用至少两个因素认证来停止攻击者访问帐户以发送网络钓鱼电子邮件或者破解域名注册商来操纵子域名的原因是对攻击的验证态度至关重要,以便操纵子域名,”Ilyas说。
Cyber Deviceer也应该意识到攻击者越来越突破分支机构或海外办公室网络,因此他们可以使用各种技术来跳到主要网络并利用公开的门户网站(如密码重置门户)的未公开漏洞。
Stroz Friedberg在Web服务器上看到攻击者使用Mimikatz和Mimikittenz等工具,以使用Task Scheduler将密码从计算机内存中提取密码,以执行命令,使用隧道WebShell在受妥协的WebServer上跳跃网络,并使用签名的二进制文件在动态链接库中运行恶意代码(DLL)。
面对这些挑战,伊利亚斯表示网络防御者可以防止入侵并以10个关键方式最小化影响:
需要一个心态转变。组织需要明白,如果他们有任何价值的数据,攻击者将在他们之后。“拥有最高风险资产的保护计划是一回事,但组织需要询问他们是否可以检测到对资产的未经授权访问,”Ilyas.know存在安全风险。“我们经常听到组织没有意识到服务器的存在或它包含敏感数据,”Ilyas.organations需要了解在服务器上保护数据是不够的,因为端点上有很多敏感数据。根据Ilyas的说法,组织经常忽略电子邮件,电子表格,浏览器密码和会话cookie中的数据.Avoid单因素身份验证,而不仅仅是对于主要的VPN访问,而且无论组织的其他公共门户网站,如Outlook Web Access(OWA)。考虑高级威胁检测系统,以获得更多关于威胁的背景。“记住,当攻击者进入环境和姿势等内部人的攻击者时,真正的攻击开始,”Ilyas.Avoid烧掉网络安全管理员。“当你雇用安全创新的顶级人才时,不要让他们日常消耗他们的大部分时间,”他说,在安全团队中添加了这一安全团队的连续性是一件好事,因为它确保捍卫者知道捍卫者知道多大程度或更多比攻击者对他们的IT环境,而不是另一种方式。用传播能力的人们关注来。“这包括防病毒服务器,Microsoft SCCM和文件完整性管理服务器等安全工具,因为攻击者喜欢对他们使用受害者的安全工具,”Ilyas.WoreSting安全系统是不够的。“捍卫者需要了解内置的Windows应用程序可能导致它们伤害的内容,”Ilyas.Monitor日志称为你的意思,而不仅仅是为了合规性。“应保留网络元数据以进行监测和调查。调整暹粒[安全信息和事件管理]系统应该是一个正在进行的项目,“Ilyas.inveLein in威胁狩猎计划,积极扫描攻击者的技术,策略和程序。“目标应该是在完成完全攻击之前停止攻击者,”伊利斯斯说。