數(shù)據(jù)泄露后，攻擊者是如何應(yīng)對(duì)事件響應(yīng)的？

2021-08-20 09:23 作者：admin 瀏覽量：

最近，SolarWinds攻擊事件說(shuō)明了高級(jí)持久性攻擊者是如何長(zhǎng)期隱藏在網(wǎng)絡(luò)中而不被發(fā)現(xiàn)的。由于時(shí)間、機(jī)會(huì)和投資，攻擊者已經(jīng)深入組織，試圖保持隱蔽并進(jìn)一步推進(jìn)其目標(biāo)。

組織必須知道在檢測(cè)到數(shù)據(jù)泄露后該怎么做，準(zhǔn)備應(yīng)對(duì)計(jì)劃以阻止更多的惡意活動(dòng)。在此，我們將深入了解攻擊者如何應(yīng)對(duì)事件響應(yīng)，以及安全團(tuán)隊(duì)如何阻止攻擊者進(jìn)一步嵌入組織內(nèi)部。

攻擊者如何反擊事件響應(yīng)措施

在攻擊者意識(shí)到被動(dòng)措施的情況下，他們通常會(huì)加速實(shí)現(xiàn)其最終目標(biāo)，例如滲透知識(shí)產(chǎn)權(quán)或執(zhí)行勒索軟件。高級(jí)攻擊者可能部署了多個(gè)工具集，并改用其他手段進(jìn)行活動(dòng)，以降低響應(yīng)者的可見度。攻擊者還通過(guò)泄露電子郵件通信來(lái)監(jiān)控響應(yīng)者的通信。

考慮到攻擊者在發(fā)現(xiàn)事件響應(yīng)參與后可能會(huì)加速或改變路線，受影響的實(shí)體應(yīng)該擁有當(dāng)前的、經(jīng)過(guò)測(cè)試的響應(yīng)手冊(cè)以及事件響應(yīng)流程，以高效地應(yīng)對(duì)漏洞，從而減少攻擊者的反應(yīng)時(shí)間。

他們?nèi)绾螡摲谙到y(tǒng)中

攻擊者在成功進(jìn)入環(huán)境后，會(huì)設(shè)法通過(guò)多種入口途徑實(shí)現(xiàn)持久性，如后門、創(chuàng)建合法管理員賬戶或安裝遠(yuǎn)程控制軟件。這就消除了每次想要獲得訪問(wèn)權(quán)時(shí)利用漏洞或人員的要求。獲得未來(lái)進(jìn)入環(huán)境的多種選擇，加強(qiáng)了攻擊者的立足點(diǎn)和能力，即使在事件響應(yīng)團(tuán)隊(duì)發(fā)現(xiàn)和干預(yù)后，他們也會(huì)返回。受影響的實(shí)體應(yīng)該實(shí)施有效的網(wǎng)絡(luò)和端點(diǎn)監(jiān)控，以識(shí)別異常情況并做出相應(yīng)的反應(yīng)。

他們?nèi)绾味惚軝z測(cè)

高級(jí)攻擊者會(huì)經(jīng)常試圖通過(guò)使用合法軟件來(lái)生存，這些軟件往往不會(huì)觸發(fā)防病毒或端點(diǎn)檢測(cè)和響應(yīng)技術(shù)。這些軟件類型通常被稱為L(zhǎng)iving Off The Land Binaries，或LOLBins，可以是攻擊者用來(lái)實(shí)現(xiàn)其目標(biāo)的任何合法軟件。例如，系統(tǒng)管理員通常使用PuTTY套件來(lái)完成日常任務(wù)，并且通常包含在標(biāo)準(zhǔn)客戶端桌面構(gòu)建中。雖然這為系統(tǒng)管理員提供了方便，但它也是一套工具，攻擊者可以用來(lái)建立SSH會(huì)話，從暫存服務(wù)器上收集更多的工具，并四處移動(dòng)數(shù)據(jù)，所有這些都是通過(guò)加密的渠道。一些高級(jí)攻擊者通過(guò)在端點(diǎn)上使用提供給他們的工具來(lái)完成他們的活動(dòng)，而不需要將惡意代碼引入環(huán)境中。

他們?nèi)绾卧诎踩那闆r下利用后門返回

后門的范圍可以從端點(diǎn)上安裝的代碼到新的管理員賬戶。端點(diǎn)上的持久機(jī)制通常是服務(wù)、計(jì)劃任務(wù)、注冊(cè)表 "運(yùn)行 "鍵，甚至是用戶配置文件啟動(dòng)文件夾內(nèi)的條目。如果遠(yuǎn)程訪問(wèn)是可用的，或者遠(yuǎn)程控制軟件的安裝沒(méi)有被阻止的話，他們也可以利用被入侵或惡意創(chuàng)建的賬戶來(lái)保留遠(yuǎn)程訪問(wèn)。

事件響應(yīng)團(tuán)隊(duì)如何應(yīng)對(duì)攻擊者的技術(shù)

事件應(yīng)對(duì)不一定由一個(gè)小組負(fù)責(zé)，應(yīng)開展準(zhǔn)備活動(dòng)，以提高任何安全應(yīng)對(duì)能力。如果安全小組內(nèi)部不具備事件應(yīng)對(duì)的專門知識(shí)，請(qǐng)第三方專家參與也是可行的。

核心事故應(yīng)對(duì)團(tuán)隊(duì)將牽頭負(fù)責(zé)。然而，他們應(yīng)該呼吁企業(yè)內(nèi)部的關(guān)鍵部門和技術(shù)所有者增加可視性、經(jīng)驗(yàn)和知識(shí)的層次。利用相關(guān)業(yè)務(wù)部門內(nèi)的現(xiàn)有技術(shù)和其他人員的知識(shí)將使發(fā)現(xiàn)異常活動(dòng)和軟件或代碼的工作變得更加容易。

在任何安全事件發(fā)生之前，都可以開展一些標(biāo)準(zhǔn)活動(dòng)，為更高效、更快速的響應(yīng)鋪平道路。雖然不同的企業(yè)和不同的事件會(huì)有所不同，但這個(gè)動(dòng)態(tài)活動(dòng)清單可能包括以下內(nèi)容。

• 盡可能查明、評(píng)估和最終利用帶外通信平臺(tái)(不在內(nèi)部托管或不在受影響實(shí)體擁有或管理的網(wǎng)絡(luò)上的通信渠道)以減少威脅行為體攔截信息的風(fēng)險(xiǎn)。對(duì)這些通信渠道的訪問(wèn)應(yīng)僅在批準(zhǔn)的基礎(chǔ)上進(jìn)行，并可進(jìn)行審計(jì)。

• 在任何安全事件發(fā)生之前，開發(fā)和測(cè)試事件應(yīng)對(duì)流程和手冊(cè)。這些流程和手冊(cè)應(yīng)包括關(guān)鍵部門和技術(shù)所有者，他們可以被要求協(xié)助響應(yīng)者并處理常見的網(wǎng)絡(luò)安全事件。

• 允許列出在業(yè)務(wù)環(huán)境中被認(rèn)為可以接受的軟件。所有的例外情況都應(yīng)在批準(zhǔn)前要求正式申請(qǐng)、審查和簽字。

• 制定身份和訪問(wèn)管理政策，定義最小權(quán)限原則，以減少不必要的用戶權(quán)限。反過(guò)來(lái)，這也減少了數(shù)據(jù)刪除、損壞或更改的風(fēng)險(xiǎn)(不管是無(wú)意的還是惡意的,或被入侵賬戶使用特權(quán)訪問(wèn)的風(fēng)險(xiǎn))。

• 開發(fā)一個(gè)標(biāo)準(zhǔn)端點(diǎn)構(gòu)建，僅包含跨所有業(yè)務(wù)單元所需的最低限度軟件。超出此范圍的軟件將由允許列表和允許列表申請(qǐng)流程覆蓋。

• 網(wǎng)絡(luò)分段，以實(shí)現(xiàn)對(duì)特定受影響區(qū)域的監(jiān)控或關(guān)閉。

安全團(tuán)隊(duì)必須準(zhǔn)備好在違規(guī)事件發(fā)生后該怎么做，無(wú)論是自己還是在專家第三方的幫助下，以防止攻擊者的進(jìn)一步破壞。通過(guò)了解攻擊者如何對(duì)抗事件響應(yīng)團(tuán)隊(duì)，組織可以更好地識(shí)別攻擊的警告信號(hào)，并制定行動(dòng)計(jì)劃，迅速做出反應(yīng)。

中國(guó)首款IT服務(wù)微信小程序“企如意”，一款真心實(shí)意為企業(yè)謀福利的知音。IT產(chǎn)品一切應(yīng)有盡有，讓您的企業(yè)輕松提升工作效率！自小程序上線以來(lái)，用戶注冊(cè)量已超過(guò)50000人，IT服務(wù)產(chǎn)品下單量已達(dá)到6500單。因?yàn)閷Ｗⅲ詫I(yè)，工單服務(wù)好評(píng)率也高達(dá)98%以上。小程序，大作為，真正成為您企業(yè)績(jī)效倍增的加速器！幫助企業(yè)的同時(shí)還有更多好禮相送。

更多活動(dòng)請(qǐng)關(guān)注“企如意”小程序！

中國(guó)首款IT服務(wù)微信小程序“企如意”，一款真心實(shí)意為企業(yè)謀福利的知音。IT產(chǎn)品一切應(yīng)有盡有，讓您的企業(yè)輕松提升工作效率！自小程序上線以來(lái)，用戶注冊(cè)量已超過(guò)50000人，IT服務(wù)產(chǎn)品下單量已達(dá)到6500單。因?yàn)閷Ｗⅲ詫I(yè)，工單服務(wù)好評(píng)率也高達(dá)98%以上。小程序，大作為，真正成為您企業(yè)績(jī)效倍增的加速器！幫助企業(yè)的同時(shí)還有更多好禮相送。

更多活動(dòng)請(qǐng)關(guān)注“企如意”小程序！