下载 | 黑客攻击调查报告 以攻击者的视角验证防御有效性

近日,数据泄露和攻击模拟供应商SafeBreach发布了第三版“黑客手册调查报告”,该报告以独特的红队视角衡量了企业安全趋势。攻击者的看法。报告汇总了1150万次模拟攻击中,超过3,400种数据泄露方法的知识和经验,发现恶意软件渗透成功率超过60%,横向移动攻击成功率高达70%。在大多数情况下,组织似乎在不断地实施安全控制,但却没有实现一个有凝聚力的防御战略,甚至在某些情况下,完全忽略了风险。

报告的发现,是部署在实际生产环境中的匿名数据的反馈结果,部署的点包括100多个网络的内部部署和云端部署。本报告的数据收集涵盖2017年1月至2017年11月期间部署数据,从中可以看到哪些攻击被阻止了,哪些成功了,以及基于实际安全控制器有效性给出了关键趋势和发现。这些主要的新发现包括:

  • 五大恶意软件的成功次数超过50%。 嵌套或“打包”恶意软件的可执行程序一再成功,Carbanak银行恶意软件跃居前五名,成功率接近60%。
  • 边界安全思维依然存在。 只需要极少的扫描,并利用防守者对于终端防护的信任,攻击者几乎可以自由地在网络上行动,利用勒索软件,以及像NSA EternalRocks这样的漏洞,可以在横向移动攻击方面,获得近70%的成功几率。
  • 没有人在看着出口。  大多数企业或组织,没有任何出站扫描或策略,简单的数据泄露动作,有超过一半的成功次数。
  • 控制措施可以更为灵活,但不一定意味着昂贵。 要么不适合某些类型的攻击速度,要么没有正确配置或完全配置,控制器没有进行优化以便阻止攻击。只需要通过简单的防护措施调整,一些组织在安全方面就可以获得巨大的进步。

防守者需要了解自己在攻击链中的情况 找到高性价比的防御方法

SafeBreach公司联合创始人兼首席技术官Itzik Kotler表示:

“攻击事件越是变化,他们就越是保持一致,这不过是一种不争的事实。

虽然大量的攻击者工具和选择,以及新闻中频繁出现的数据泄露事件,似乎可以压倒一切,但这不一定是一个失败的情况。防守者如果了解我们在整个攻击链中出现数据泄露的方法和场景,同时了解攻击者是如何有针对性的攻击每个组织的,组织就可以在尽量避免银行遭到破坏并显著降低风险。

在最近一轮的研究中,一位客户在没有一美元投资的情况下,在短短的三周内就将攻击成功率降低了60%到70%。

黑客的数据泄露手段正在高速发展,每年攻击的方式超过3400种方法,从Zeus银行恶意软件和CryptoLocker等老式攻击,到WannaCry、Loki2和RedLeaves等比较新式的攻击。这些方法总结结合了每个组织的风险和安全特征的多种攻击场景,以实现无与伦比的视图,并对攻击风险进行高度准确和可操作的评估,同时验证部署安全防御技术的效能。

对防守者的建议

SafeBreach通过模拟攻击者,可以以一个独特的视角,来了解安全将如何抵御攻击, 而不是对生产环境进行测试。让自己追上攻击者的脚步, 将有利于防守方的安全领导人打破攻防死环的恶性循环,并延缓攻击者的进攻:

  • 在网络级别实施深度文件检查。不要只依赖终端防护解决方案来组织恶意软件的执行。如果您能够在其到达主机之前阻止恶意的有效payload、buffer、Dropper等, 那么您就能先一步阻止攻击者, 并将数据泄露风险降至最低;
  • 不要信任您的 LAN。不要因为通信量在服务器段之间或在其他位置等内部环境中流动, 就相信它是安全的流量。调查发现, 攻击者经常在网络中花费数周甚至数月, 寻找新的目标、更敏感的数据或建立新的控制点。勒索软件标志着蠕虫攻击的死灰复燃;
  • 内部分割比以往任何时候都更重要, 可以阻止攻击的蔓延。
  • 别忘了撤退or出站阶段。大多数安全团队的重点是防止威胁进入网络, 这的确很关键, 但不是完整的方案。对明文和加密通信的出站进行扫描,可以完全阻止攻击者的撤退, 或者至少警告 SOC 团队存在潜在的泄露风险。
  • 验证终端控制器的有效性。终端安全性应该再次受到重视,这个理由很充分。在公司 LAN 之外使用了这么多的笔记本电脑和移动设备, 我们需要尽我们所能,阻止主机受到感染。但是, 正确的配置和终端安全性的正确组合,才是非常关键的,因为观察众多客户在抵御实际攻击时, 似乎相同的产品,却常常具有非常不同的效率和效用级别。
  • 控制器往往未被充分利用。SafeBreach 在刚开始部署时,经常发现尽管许多安全控制正在运作, 但攻击仍能以惊人的高速度通过。这不是一个低档的控制器,防守者往往可以设备工作的非常顺畅,但却采用了默认的政策 (或者过时了) 是不适合应对真正的攻击者。使用真正的攻击来验证所有配置, 可以确保您的投资获得了最大的回报。

 

数据泄露无小事。无论大小, 企业都不能在安全 "只是奏效" 的状态下运营。这样做会导致持续不断的攻击和不断的破坏, 这让业界每年800亿美元的安全投资得不偿失。

如果我们要打破这个死环, 我们必须停止这些假设, 并实际看看我们的安全该怎样做,才能更好的应对攻击者。但可悲的是, 在今天的环境中, 放弃要比努力容易的多。

本文原始出处:https://safebreach.com/SafeBreach-Third-Edition-Hackers-Playbook-Findings

黑客攻击调查报告

点击图片下载

发表评论