防御规避:针对企业端点攻击使用的主要策略

Andrew 2020-09-22
专栏 - 企业安全 发布于 2020-09-22 15:52:08 阅读 93 评论 0

思科检查了MITER ATT&CK数据,以提出企业安全人员应重点关注的威胁载体。

威胁形势处于不断发展的状态,企业参与者难以跟上频繁的漏洞披露,安全更新和零日事件的接二连三的威胁。

分析人士估计,到2021年,将有350万个网络安全岗位无法胜任,因此现有的安全专业人员不仅需要应对看似永无止境的网络攻击,而且可能不得不在人手不足的情况下这么做——更不用说COVID-19造成的破坏了。有一些工具可以帮助您缓解压力。基于自动扫描器,人工智能(AI)和机器学习(ML)的算法和软件,可以管理端点安全性和风险评估,提供实时威胁数据的源等。

还存在诸如MITER ATT&CK之类的框架,该框架提供了免费的知识库,可用于编译在当前实际攻击中观察到的策略和技术。

思科已在一份新报告中检查了此数据存储库,该报告描述了针对企业端点和网络的当前攻击趋势。

周一,思科发布了基于MITER ATT&CK分类以及组织在特定时间范围内通过公司安全解决方案接收警报的组织所经历的危害指标(IoC)的数据集。

据该公司称,在2020年上半年,无文件威胁是针对企业的最常见攻击媒介。无文件攻击包括进程注入,篡改注册表以及诸如无文件特洛伊木马程序Kovter之类的威胁。Poweliks,一种代码注入器,在合法进程的支持下运行;和Divergent,无文件的Node.js恶意软件。

其次是双重用途工具,包括Metasploit,PowerShell,CobaltStrike和Powersploit。合法的渗透测试工具(例如Metasploit)总体上对网络安全有好处,但不幸的是,网络攻击者也可能滥用这些解决方案来获取犯罪收益。

诸如Mimikatz(一种合法的身份验证和凭据管理系统)之类的工具排在第三位-武器化的软件转向凭据填充攻击。

思科表示,在2020年上半年,这些攻击媒介约占观察到的严重性IoC的75%。

如果将这些威胁应用于MITER ATT&CK分类,则这意味着在所有IoC警报中57%会出现防御逃避,执行力占41%。

由于现代恶意软件通常会包含混淆,移动和隐藏技术-以及发射有效载荷和篡改现有流程的能力-这不足为奇,并且IoC可能涉及多个整体分类。

思科指出:“例如,使用双重用途工具建立持久性的攻击者可以通过在受感染的计算机上下载并执行凭据转储工具或勒索软件来跟进。”

但是,当涉及到严重严重性警报时,最重要的三类-规避防御,执行和持久性-进行了改组。

在严重程度严重的攻击中,执行力抢走了逃避防御的头把交椅,突增了14%,使IoC警报总数达到了55%。防御规避下降了12%,降至45%,而持久性,横向移动和凭证访问分别猛增了27%,18%和17%。

代码执行,防御规避是针对企业端点的关键攻击中使用的主要策略

此外,某些分类完全不在列表中,或仅占关键IoC警报的不到百分之一,其中包括初始访问,权限提升和发现(也称为侦察),揭示了针对关键攻击的重点转移与总体IoC相比。

为了防御高级威胁,Cisco建议管理员使用组策略或白名单来执行文件,并且如果组织需要双重使用工具,则应实施临时访问策略。此外,应经常监视端点之间建立的连接。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!