大多数网络安全策略忽略了攻击者真正工作的方式
报告显示,大多数网络安全策略和国防系统没有考虑到攻击者真正工作的方式。
根据莱蒂赛格的网络武器2016年报告,攻击者未被发现出攻击者,攻击者是未被发现的,因为他们使用的大多数工具是标准的合法软件。
最好的攻击者使用复杂的工具 - 或网络武器 - 妥协机器,以“土地和扩展”网络内部,并窃取或销毁信息。
但是,虽然恶意软件是他们的阿森纳的一部分,但报告称威胁演员主要使用黑客,以及管理员和远程访问工具,如TeamViewer,Ammyy Adminn和LogMein,以扩展网络并利用更多机器来访问敏感数据..
攻击者使用常见的和着名的网络工具来映射网络,探测客户端和监视器活动。标准实用程序如Ncrack,Mimikatz和Windows凭据编辑器可用于窃取或破解用户凭据。
攻击者还使用各种命令行壳来远程管理机器,管理工具横向和窃取数据,以及Web浏览器等无处不在的应用程序来执行攻击。
“这种方法是民族行为者的常见,组织网络犯罪集团以数据盗窃和恶意内部人士的最前沿,”莱蒂赛迪尔产品管理高级总监David Thompson说。
“大多数安全技术侧重于预防网络的周边,但是在一旦攻击者进入后,就会自动检测到会发生什么,”他每周告诉计算机。
从闪鱼客户安装其行为异常检测技术中收集的匿名数据分析,这将异常行为与特定流程和用户联系起来,揭示了一旦攻击者访问网络,大多数活动都利用良性过程和工具,而不是恶意软件。
“据我所知,这是第一个目录,攻击者正在攻击的基础上以及他们正在使用的特定工具来执行这些动作,”汤普森说。
该报告的基础知识识别出在攻击期间使用的1,109个不同的工具,以查找漏洞,窃取凭据并在组织内横向移动,但大多数工具并不恶毒。
根据该报告,99%的内部侦察和横向运动不源于恶意软件,而是来自合法申请或扫描仪等风险软件。
在各种情况下检测到恶意软件,但研究人员发现,虽然攻击者经常使用恶意软件作为初始漏洞获取目标攻击,但它们通常依赖于管理工具,甚至是本机实用程序和Web浏览器,同时扩展其范围内部网络范围避免检测。
检测到的恶意软件与已知的恶意软件或防病毒签名不匹配。只有许多恶意软件菌株被发现仅在一个网站上找到,重新确认大量有针对性的恶意软件以及多态性恶意软件,以及看似无穷无尽的变体,以绕过基于签名的安全系统。
这种方法确保了攻击者进入未被发现的网络的成功,但它是使用恶意软件几乎总是结束的地方。
该报告还突出显示攻击者如何使用IT管理工具,网络监控软件和其他非恶意软件来访问网络资源和数据。
通过使用这些工具,攻击者可以保持未检测到数月并迅速重新获得访问,尽管用于输入正在识别和删除网络的恶意软件。
报告称,是该行业了解戏剧中工具范围的时候,并探索检测这种异常攻击活动的机制。
研究的另一个关键发现是侦察是对组织最普遍的威胁,在所有已确定的威胁中的50.75%的50.75%的列表中排名。
侦察包括十多种类型的非破坏性异常行为,包括端口扫描,过度失败的登录和失败的尝试访问网络设备或端口。
“虽然最好阻止周边的攻击者,如果这失败,攻击阶段的这一部分是发现攻击者的最佳机会之一,”汤普森说。
“这是因为攻击者通常对IT环境不了解很多,并且在他们可以做任何真正的伤害或窃取数据之前必须做大量探索。
“要映射网络的内部侦察,找出已连接的设备,可以利用哪些漏洞,其中存储数据以及可以使用被盗凭据,自然相当嘈杂。
“因此,即使您没有能够防止入侵,也是为了攻击侧向运动或数据exfiltation,这是一个兴奋的攻击者并将它们踢出踢出的好机会。”
根据该报告,组织可以通过监控内部网络流量和分析正常主机通信来检测侦察。此行为监控可以将管理员与标准用户区分开,确保管理任务不会提高警报。
然后,组织可以在协议,应用程序和文件共享使用情况下发现异常。这有助于识别可能不会被基于阈值的警报检测到的“低慢速”的RECT。
为了缓解威胁,组织必须评估漏洞并尝试挫败入侵,但他们的努力不应停止阻止恶意软件。
“威胁演员在网络内使用网络和黑客工具,管理实用程序和远程桌面应用程序,以获得侦察和横向运动等活动。报告称,这些工具只能通过检测它们用于创建的异常行为来找到。“
根据Thompson,自动数据分析工具以及专门的网络流量分析和用户行为分析工具,使组织能够检测可以与其网络上的恶意活动相关联的异常。
“某种形式的基于异常基于签名的检测工具,这是根据攻击者实际工作的方式的组织中所需要的,”他说。