高级持续性威胁通过利用新的漏洞、组织大规模供应链攻击事件和针对特定行业的攻击来测试企业和组织的实力。根据一项研究,全球84%的企业承认网络攻击已经变得比以往更为复杂。他们担心漏洞、攻击面、威胁策略、恶意软件、移动设备安全和员工使用的消费者云服务。
幸运的是,有很多工具,信息来源和指南(例如NIST、SANS或MITRE D3FEND知识图谱),可以帮助调整对复杂攻击的响应。它们能够让企业清楚地了解如何追踪威胁和修复 IT 系统。在这篇文章中,我想重点讨论关于事件响应的一个特定问题:什么时候应该从调查阶段进入响应阶段?
根据卡巴斯基事件响应报告,平均的快速攻击持续时间为1.5天。这个速度很快,如果威胁行为者富有经验的话,安全团队需要快速进行响应。但是,及时响应并不一定意味着应立即阻止恶意操作。正如灰袍甘道夫所说:“魔法师永远不会迟到。他也不早到。他正好在他想要的时候到达”1。
重要的是,在响应阶段,要了解开始隔离、消除和进行恢复的适当时机。不合时宜的响应可能会向攻击者发出信号,让他们知道他们的行为已经不再是秘密。例如如果事件响应团队在检测到威胁的第一个迹象后立即阻止受感染的软件、恶意 IP 地址或 URL,则攻击者可以隐藏在网络中或更改其策略。这就会导致需要重新启动调查周期。攻击者可以隐藏得很深并且很长时间,在他们的下一次动作被发现之前,几乎不可能被发现。
高级可持续威胁(APT)使用横向移动技术,可以隐藏数天、数月甚至数年而不被发现。它们可以在受害者的环境中寻找关键资产。例如,在一例Lazarus攻击中,威胁行为者设法克服了网络分段,入侵了受限制得网络,这一切都归功于横向找到了连接企业和受限网段的管理机器的方法。2020年发布的对TunnelSnake APT行动的分析显示,在南亚得一个案例中,威胁行为者早在2018年就已经在被攻击网络中有了立足点。
早期响应的另一个问题是,它可能导致有些攻击遗留得人工制品在威胁消除阶段不被发现,因为IT安全团队在调查阶段没有发现它们或将它们与攻击联系起来。
此外,威胁的切入点可能仍不明确。这可能包括一个漏洞,一台未得到保护的端点或任何其他媒介。在这种情况下,即使攻击被组织,所有的恶意元素被清除,入侵者再次尝试通过同一切入点但使用新的策略、技术和程序的风险仍然存在。
卡巴斯基亚太区董事总经理Sandra Lee建议,可以采取几个步骤来避免这种结果,:
找到攻击杀伤链
一旦企业的IT安全团队发现自己的组织被入侵,而另一边有一个人,而不仅仅是恶意软件,他们需要追踪攻击,并尽可能多地找到线索。应该在整个网络中追踪攻击者的活动,不仅仅是紧邻的周边边界。攻击进行的越深入,其留下的踪迹就会越多,威胁追踪者可以将攻击溯源到某个APT组织,或者至少可以猜出攻击的目标,然后以最有效的方式追捕它。找到攻击的切入点以避免这类事件的重复发生是极其重要的。
这让人想起一种理论,认为调查是事件响应的本质。Jason T. Luttgens、Matthew Pepe和Kevin Mandia2进一步描述为:事件响应的最终目标是通过两项活动来实现的——调查和修复。调查设计判断攻击媒介、工具、受影响的系统、造成的危害和入侵时间范围等等。换句话说,在进入修复阶段之前,必须进行全面分析。威胁情报和攻击评估方法,如MITRE ATT&CK,是这个阶段的关键。
知道何时拦截攻击
当然,重要的是,安全团队仍然能够在入侵者到达关键业务服务或转移到公司与之连接的另一个组织之前阻止入侵者。这就是安全团队技能的作用——最大限度地收集有关攻击的数据,从而能够规划最有效的响应,同时在入侵者影响业务之前仍然采取行动。
这将我们引向下一个——可能也是最重要的问题。
了解和监控网络
IT安全团队应清晰地了解整个企业网络,包括边缘设备、端点、网络分段和联网设备。这可以通过网络监控、定期审计和扫描连接等措施来实现。拥有许多实体、供应链和子公司的大型企业需要将其视为必要措施。
实施网络审核和监视以及策略和网络分段等措施有助于减少潜在切入点数量。
了解和熟悉网络对于判断何时在攻击到达关键业务流程之前隔离和消除攻击也至关重要。在消除和修复阶段,所有的恶意软件工具和痕迹都应该从所有的端点上删除,并重新安装所有被破坏的系统和重新设置凭证。忽略网络后端的任何恶意软件都可能导致未来发生另一轮攻击。
幸运的是,我们花费越多的时间应对这些攻击,我们对网络罪犯的了解也越多。威胁情报和特定工具都可以用来帮助企业检测这些恶意行为。但是抵御攻击,避免攻击重复发生最有效的方法是企业或组织开发内部的,或者是吸引外部的专业技能——以增强事件响应计划,知道在何时进行响应,并能够完全清除所有恶意软件。
本文作者可以追加内容哦 !
