安全公司卡巴斯基在最新發(fā)布的事件響應(yīng)報告中表示，攻擊者入侵企業(yè)和政府網(wǎng)絡(luò)的三大策略包括暴力破解密碼、利用未修補(bǔ)的漏洞以及通過惡意電子郵件進(jìn)行社會工程。

　　最糟糕的現(xiàn)實(shí)是，攻擊者正在繼續(xù)使用以前見過的策略來入侵企業(yè)網(wǎng)絡(luò)，然后使用可識別的工具來偵察并獲取對目標(biāo)系統(tǒng)的高級訪問權(quán)限，之后他們通常會釋放勒索軟件、竊取數(shù)據(jù)或?qū)嵤┢渌缸镉媱潯Ｌ貏e是對于勒索軟件攻擊而言，入侵到文件被強(qiáng)制加密的時間可能只需幾個小時，或者幾天。

　　在很多情況下，受害者還未來及針對入侵進(jìn)行調(diào)查，實(shí)際的損害就已經(jīng)發(fā)生了。在報告中，卡巴斯基表示，雖然其負(fù)責(zé)的53%的事件響應(yīng)調(diào)查是在檢測到可疑活動后啟動的，但仍有高達(dá)37%的事件響應(yīng)調(diào)查是在文件已被強(qiáng)制加密后啟動的，7%是在已發(fā)生數(shù)據(jù)泄露后啟動的，甚至有3%是在發(fā)生資金損失后啟動的。

　　不過，幸運(yùn)的一點(diǎn)是，對于一些公司來說，大約10%的調(diào)查結(jié)果被證實(shí)是誤報——例如，來自網(wǎng)絡(luò)傳感器、端點(diǎn)保護(hù)產(chǎn)品或可疑數(shù)據(jù)泄漏的可疑活動被證實(shí)為非惡意的。

　　攻擊者的首要目標(biāo)

　　然而，對于其余非誤報的入侵行為而言，1/3的入侵導(dǎo)致勒索軟件感染——表明這種類型的攻擊已經(jīng)變得十分普遍——而15%會導(dǎo)致數(shù)據(jù)泄露，這也可能與勒索軟件攻擊者竊取數(shù)據(jù)以試圖迫使受害者支付贖金有關(guān)。此外，11%的入侵導(dǎo)致攻擊者保持對網(wǎng)絡(luò)的持續(xù)訪問，這意味著他們可能是在為后續(xù)攻擊做準(zhǔn)備。

　　卡巴斯基表示，勒索軟件攻擊者使用了幾乎所有常見的初始訪問場景。從理論上講，以暴力破解開始的攻擊很容易被檢測到，但在實(shí)踐中，只有一小部分在產(chǎn)生影響之前被識別了出來。

　　為什么犯罪分子會針對不同的部門？主要動機(jī)包括勒索軟件（黃色）、數(shù)據(jù)泄露（灰色）、竊取資金（綠色）和廣義的“可疑活動”（橙色）。政府部門沒有顯示數(shù)據(jù)泄漏，可能是因?yàn)檎畟€人身份信息較多的系統(tǒng)通常由電信和IT提供商托管。

　　挑戰(zhàn)：舊日志、意外證據(jù)破壞

　　在近一半的案例中，對于攻擊者究竟是如何闖入的問題，仍然是未解之謎。

　　卡巴斯基表示，我們在55%的案例中確定了初始向量，還有近一半仍是未解之謎。造成這種情況的原因包括不可用的日志、受害組織（非）故意銷毀證據(jù)以及供應(yīng)鏈攻擊等等。

　　攻擊工具

　　在MITRE攻擊框架的不同階段使用的工具（來源：卡巴斯基）

　　安全團(tuán)隊(duì)面臨的一個挑戰(zhàn)是，攻擊者正繼續(xù)依賴IT團(tuán)隊(duì)可以合法使用的大量工具。而且在許多情況下，攻擊者還使用可免費(fèi)獲得的易于訪問且非常有效的攻擊性工具。

　　卡巴斯基表示，幾乎一半的事件案例包括使用現(xiàn)有的操作系統(tǒng)工具，如LOLbins——指的是攻擊者可能轉(zhuǎn)向惡意使用的合法操作系統(tǒng)二進(jìn)制文件——以及來自GitHub的知名攻擊工具——例如Mimikatz、AdFind、Masscan以及Cobalt Strike等專門的商業(yè)框架。

　　基本防御：回歸基礎(chǔ)

　　為了阻止攻擊者使用此類工具，卡巴斯基建議防御者“實(shí)施規(guī)則以檢測對手使用的廣泛工具”，并盡可能“消除內(nèi)部IT團(tuán)隊(duì)使用類似工具”，并測試組織的安全運(yùn)營中心發(fā)現(xiàn)、跟蹤和阻止使用此類工具的速度和有效性。

　　該報告提出的另一項(xiàng)重要建議是，消除已知漏洞，并盡可能通過實(shí)施雙因素身份驗(yàn)證加大攻擊者訪問難度，促使許多攻擊者將目光投向別處。

　　卡巴斯基表示，在其調(diào)查的所有可識別初始向量的入侵事件中，有13%可以追溯到受害者尚未修補(bǔ)的產(chǎn)品中存在已知漏洞。而且大多是2020年最常被利用的主要漏洞。

　　卡巴斯基表示，當(dāng)攻擊者準(zhǔn)備實(shí)施他們的惡意活動時，他們希望找到一些容易實(shí)現(xiàn)的途徑，例如具有眾所周知的漏洞和已知漏洞的公共服務(wù)器。僅實(shí)施適當(dāng)?shù)难a(bǔ)丁管理策略就可以將淪為受害者的可能性降低30%，而實(shí)施強(qiáng)大的密碼策略則能夠?qū)⒖赡苄越档?0%。

　　建議組織擁有強(qiáng)大的密碼策略、廣泛使用多因素身份驗(yàn)證——特別是對于具有管理級別訪問權(quán)限，以及遠(yuǎn)程桌面協(xié)議和VPN連接的帳戶——以及強(qiáng)大的漏洞管理程序已經(jīng)是老生常談的事情了。但是，這些基礎(chǔ)信息安全計劃的普遍缺失提醒人們：為了更有效地防御網(wǎng)絡(luò)攻擊，許多組織還需要回歸根本，從夯實(shí)基礎(chǔ)做起。