每家企業(yè)都已經(jīng)被入侵 只不過(guò)情況沒(méi)那么危險(xiǎn)
在最近的一項(xiàng)調(diào)查研究中,Vectra公司對(duì)40家企業(yè)中的25萬(wàn)臺(tái)終端設(shè)備進(jìn)行了調(diào)查,結(jié)果顯示,每家企業(yè)的網(wǎng)絡(luò)都經(jīng)歷了針對(duì)性入侵,但大多數(shù)入侵活動(dòng)沒(méi)有達(dá)到最關(guān)鍵的階段:數(shù)據(jù)泄露。在各種規(guī)模的企業(yè)網(wǎng)絡(luò)、各種行業(yè)
在最近的一項(xiàng)調(diào)查研究中,Vectra公司對(duì)40家企業(yè)中的25萬(wàn)臺(tái)終端設(shè)備進(jìn)行了調(diào)查,結(jié)果顯示,每家企業(yè)的網(wǎng)絡(luò)都經(jīng)歷了針對(duì)性入侵,但大多數(shù)入侵活動(dòng)沒(méi)有達(dá)到最關(guān)鍵的階段:數(shù)據(jù)泄露。
“在各種規(guī)模的企業(yè)網(wǎng)絡(luò)、各種行業(yè)中,我們都發(fā)現(xiàn)了一些針對(duì)性攻擊的跡象。”
Vectra公司提供網(wǎng)絡(luò)監(jiān)控技術(shù),以追蹤網(wǎng)絡(luò)上的可疑活動(dòng)。這份報(bào)告是Vectra發(fā)布的第二份后入侵報(bào)告了,其中包含的企業(yè)數(shù)量大概是上個(gè)版本的兩倍。分析的企業(yè)類型包括雇員數(shù)量少于1千人的小企業(yè),以及雇員數(shù)量超過(guò)5萬(wàn)人的大企業(yè);企業(yè)的范圍則包括Vectra的老客戶和那些想要獲得第一手信息安全評(píng)估的公司。
威廉姆森表示,從報(bào)告的結(jié)果上看,每個(gè)網(wǎng)絡(luò)中都存在一些繞過(guò)了邊界防御的威脅。
Vectra通過(guò)行為模式將這些威脅做了分類。
第一個(gè)部分占了全部探測(cè)到威脅數(shù)量的32%,它代表著命令控制服務(wù)器(C2)階段。在這個(gè)階段中,攻擊者們剛剛開(kāi)始建立自己的橋頭堡,并通過(guò)感染點(diǎn)將數(shù)據(jù)傳回幕后服務(wù)器。
在這個(gè)階段,并不是所有活動(dòng)都是自動(dòng)化的。很多時(shí)候,在不斷深挖網(wǎng)絡(luò)中數(shù)據(jù)的過(guò)程中,攻擊者需要通過(guò)鍵盤發(fā)出指令來(lái)引導(dǎo)攻擊。比如利用獲取的用戶信息,選擇訪問(wèn)哪個(gè)系統(tǒng)。
過(guò)了這個(gè)階段,攻擊就可以向不同的方向發(fā)展了。
其中之一是建立僵尸網(wǎng)絡(luò)。根據(jù)Vectra的報(bào)告,18%的威脅與這類行為有關(guān)。其中,絕大多數(shù)(85%)被用于實(shí)現(xiàn)點(diǎn)擊欺詐(Click Fraud),5%被用來(lái)實(shí)施針對(duì)其它目標(biāo)的暴力破解,4%用被用于對(duì)其它網(wǎng)絡(luò)進(jìn)行DDOS攻擊。
另一種可能性是更深一步地侵入目標(biāo)公司,進(jìn)行偵查,這種可能性大約是13%。然后則是多種角度的一些活動(dòng),占威脅總量的34%。其中包括,56%的暴力破解攻擊,然后是自動(dòng)復(fù)制和Kerberos協(xié)議攻擊,分別占比22%和16%。Kerberos是利用失竊個(gè)人信息和賬戶信息的一種攻擊方式。
隨著研究的樣本數(shù)量增加,與僵尸網(wǎng)絡(luò)有關(guān)的威脅會(huì)同比增加,而窺探行為的數(shù)量則會(huì)增長(zhǎng)四倍,其它深入行為的增長(zhǎng)量甚至?xí)鲩L(zhǎng)七倍。
最后一個(gè)步驟是數(shù)據(jù)竊取,這對(duì)于一家公司而言是最危險(xiǎn)的,但只占到全部檢測(cè)到威脅的3%。
這個(gè)很小的數(shù)字給了公司在威脅產(chǎn)生破壞之前檢測(cè)并清除它們的機(jī)會(huì),但也解釋了為什么攻擊者在被抓住前往往能潛伏幾個(gè)月時(shí)間。
值得關(guān)注的是,不能因?yàn)榇舜握{(diào)查結(jié)果中只有3%的攻擊面向竊取數(shù)據(jù),而得出市面上大部分攻擊行為都對(duì)數(shù)據(jù)竊取漠不關(guān)心的結(jié)論。因?yàn)椋瑑烧卟⒉怀杀取R坏┕粽叩靡越⒁粋€(gè)數(shù)據(jù)泄露的渠道,就可以在很長(zhǎng)的一段時(shí)間內(nèi)利用這個(gè)渠道竊取數(shù)據(jù)。
Vectra同時(shí)分析了攻擊者隱藏自己的方式。
最常見(jiàn)的隱藏方法是將惡意流量偽造成瀏覽器活動(dòng),這樣的方式占總量的36%;使用新注冊(cè)的域名進(jìn)行通信占25%;使用TOR匿名網(wǎng)絡(luò)的占14%;使用外部遠(yuǎn)程訪問(wèn)的占13%。
使用頻率最少的技術(shù)包括拉扯指令、隱藏的HTTP Post、隱藏的HTTPS隧道、惡意軟件升級(jí)、P2P網(wǎng)絡(luò)、隱藏的HTTP隧道。
隱藏隧道是特別難以檢測(cè)的,因?yàn)楣粽呖梢詫⒋a嵌入進(jìn)文本字段、Headers或其它在正常通訊中會(huì)出現(xiàn)的會(huì)話參數(shù)。為了讓檢測(cè)更加困難,攻擊者可以利用流量加密。
“我們能夠識(shí)別加密通訊中的隱藏隧道,而不需要將它們解密”。
Vectra通過(guò)分析行為模式實(shí)現(xiàn)這一點(diǎn)。分析結(jié)果顯示,攻擊者喜歡劫持加密通道。
例如,在傳輸與幕后服務(wù)器的通訊數(shù)據(jù)時(shí),加密的HTTPS信道要比一兩條未加密的HTTP信道更誘人。
責(zé)任編輯:大云網(wǎng)
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
繞過(guò)安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》