大多数网络安全策略忽略了攻击者真正工作的方式
github企业即将到来bluemix
维珍媒体使用Salesforce来构建全渠道销售
特拉维夫证券交易所中型函数与ERP
圣战者的数字工具揭示了
HPE为Cloud28 + Marketplace添加了对Microsoft,VMware和Docker的支持
OpenReach宣布中小企业FTTP服务推出
Datentre Operators警告公共云威胁到长期的共同位置成功
机器人的睡前故事可以教他们成为人类
不!Facebook Messenger广告?垃圾邮件 - valanche 3 ...2...1...
季度报告季节展示了技术世界如何从根本上变化
Facebook旨在将开放的计算模型扩展到电信齿轮
英特尔的Itanium以HPE为与芯片的新服务器致电
Wrightington,Wigan和Leigh NHS Trust与Allscripts EPR一起生活
大学向英国医学研究人员提供免费云服务
避免在南澳大利亚的天主教学校安全噩梦
研究人员说,百度网络浏览器泄露敏感信息
DWP责备政策更改,以便在通用信用卷展览中进一步转换
纳斯达克使用区块链记录股东选票
EC为在线平台规定规定了提案
Nike和BMW Pilot HP Inc的第一个3D打印机
希望今年的“最热门的工作”落地?这是您需要成为数据科学家的东西
Microsoft使用这款辉煌的iPhone应用程序击中了一个家庭运行
防水Galaxy S7边缘使得非正式的首次亮相
恩菲尔德委员会部署客户服务机器人
忘记卡片和鲜花; Crowdfunding网站有助于支付医疗费用
新的办公室365个人资料帮助人们了解他们的同事
手表:波音新的737 Max有第一次测试飞行
法国当局在税务欺诈探测中袭击了谷歌的巴黎办事处
劳里的爱可能会伪装精神疾病索赔律师
Apple希望法庭规则,如果它可以被迫解锁iPhone
制造商表示,下载速度不是最大的宽带关注
蒂姆厨师的苹果专注于印度疯狂
Apple iPhone和手表:触觉盗贼说沉浸公司
ARM的新型Cortex-A32芯片应在Android佩戴小工具中提升电池寿命
技能短缺和IT基础设施差,东盟各国政府采用科技采用
Oracle Snags Cloud Startup Ravello在交易中说价值500米
临界VPN密钥交换缺陷将思科安全设备公开到远程黑客
技术公司用管理协议解决机构安全性
数百英国IT和后台角色在RBS削减
AppDirect获取RadialPoint。因为 。.。支持
恶意软件为所有Android手机定位 - 除俄罗斯之外
Windows 10 Beta Build 14257:坚实,稳定,无聊
10 Apple最新iOS,OS X Betas的改进
CIO采访:Poli Avramidis是秘书长
调查权力条例草案:在Brexit的掩护下冲动
艾斯特集团实施服务
OpenReach开始导管和杆分享试验,用于宽带交付
微软表示Outlook 2010日历中的奇怪行为是一个功能,而不是一个错误
安全行业欢迎网络犯罪的纳入官方统计数据
您的位置:首页 >政策法规 >

大多数网络安全策略忽略了攻击者真正工作的方式

2021-06-15 16:43:57 [来源]:

报告显示,大多数网络安全策略和国防系统没有考虑到攻击者真正工作的方式。

根据莱蒂赛格的网络武器2016年报告,攻击者未被发现出攻击者,攻击者是未被发现的,因为他们使用的大多数工具是标准的合法软件。

最好的攻击者使用复杂的工具 - 或网络武器 - 妥协机器,以“土地和扩展”网络内部,并窃取或销毁信息。

但是,虽然恶意软件是他们的阿森纳的一部分,但报告称威胁演员主要使用黑客,以及管理员和远程访问工具,如TeamViewer,Ammyy Adminn和LogMein,以扩展网络并利用更多机器来访问敏感数据..

攻击者使用常见的和着名的网络工具来映射网络,探测客户端和监视器活动。标准实用程序如Ncrack,Mimikatz和Windows凭据编辑器可用于窃取或破解用户凭据。

攻击者还使用各种命令行壳来远程管理机器,管理工具横向和窃取数据,以及Web浏览器等无处不在的应用程序来执行攻击。

“这种方法是民族行为者的常见,组织网络犯罪集团以数据盗窃和恶意内部人士的最前沿,”莱蒂赛迪尔产品管理高级总监David Thompson说。

“大多数安全技术侧重于预防网络的周边,但是在一旦攻击者进入后,就会自动检测到会发生什么,”他每周告诉计算机。

从闪鱼客户安装其行为异常检测技术中收集的匿名数据分析,这将异常行为与特定流程和用户联系起来,揭示了一旦攻击者访问网络,大多数活动都利用良性过程和工具,而不是恶意软件。

“据我所知,这是第一个目录,攻击者正在攻击的基础上以及他们正在使用的特定工具来执行这些动作,”汤普森说。

该报告的基础知识识别出在攻击期间使用的1,109个不同的工具,以查找漏洞,窃取凭据并在组织内横向移动,但大多数工具并不恶毒。

根据该报告,99%的内部侦察和横向运动不源于恶意软件,而是来自合法申请或扫描仪等风险软件。

在各种情况下检测到恶意软件,但研究人员发现,虽然攻击者经常使用恶意软件作为初始漏洞获取目标攻击,但它们通常依赖于管理工具,甚至是本机实用程序和Web浏览器,同时扩展其范围内部网络范围避免检测。

检测到的恶意软件与已知的恶意软件或防病毒签名不匹配。只有许多恶意软件菌株被发现仅在一个网站上找到,重新确认大量有针对性的恶意软件以及多态性恶意软件,以及看似无穷无尽的变体,以绕过基于签名的安全系统。

这种方法确保了攻击者进入未被发现的网络的成功,但它是使用恶意软件几乎总是结束的地方。

该报告还突出显示攻击者如何使用IT管理工具,网络监控软件和其他非恶意软件来访问网络资源和数据。

通过使用这些工具,攻击者可以保持未检测到数月并迅速重新获得访问,尽管用于输入正在识别和删除网络的恶意软件。

报告称,是该行业了解戏剧中工具范围的时候,并探索检测这种异常攻击活动的机制。

研究的另一个关键发现是侦察是对组织最普遍的威胁,在所有已确定的威胁中的50.75%的50.75%的列表中排名。

侦察包括十多种类型的非破坏性异常行为,包括端口扫描,过度失败的登录和失败的尝试访问网络设备或端口。

“虽然最好阻止周边的攻击者,如果这失败,攻击阶段的这一部分是发现攻击者的最佳机会之一,”汤普森说。

“这是因为攻击者通常对IT环境不了解很多,并且在他们可以做任何真正的伤害或窃取数据之前必须做大量探索。

“要映射网络的内部侦察,找出已连接的设备,可以利用哪些漏洞,其中存储数据以及可以使用被盗凭据,自然相当嘈杂。

“因此,即使您没有能够防止入侵,也是为了攻击侧向运动或数据exfiltation,这是一个兴奋的攻击者并将它们踢出踢出的好机会。”

根据该报告,组织可以通过监控内部网络流量和分析正常主机通信来检测侦察。此行为监控可以将管理员与标准用户区分开,确保管理任务不会提高警报。

然后,组织可以在协议,应用程序和文件共享使用情况下发现异常。这有助于识别可能不会被基于阈值的警报检测到的“低慢速”的RECT。

为了缓解威胁,组织必须评估漏洞并尝试挫败入侵,但他们的努力不应停止阻止恶意软件。

“威胁演员在网络内使用网络和黑客工具,管理实用程序和远程桌面应用程序,以获得侦察和横向运动等活动。报告称,这些工具只能通过检测它们用于创建的异常行为来找到。“

根据Thompson,自动数据分析工具以及专门的网络流量分析和用户行为分析工具,使组织能够检测可以与其网络上的恶意活动相关联的异常。

“某种形式的基于异常基于签名的检测工具,这是根据攻击者实际工作的方式的组织中所需要的,”他说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。