卡巴斯基2018年事件响应报告
2019-09-22 14:00:19 Author: www.freebuf.com(查看原文) 阅读量:155 收藏

本报告涵盖了卡巴斯基2018年的事件响应实践。本报告中使用的数据来自卡巴斯基团队提供的各种事件调查服务。

请求事件响应原因

超过一半的调查请求是在检测到具有明显后果的攻击后由客户发起的,例如未经授权的转账、勒索软件加密的工作站、服务不可用等。以及公司内部的事件响应程序,以避免财务损失并将攻击对公司的影响降至最低。

在三分之二的案例中,调查与检测可疑文件或网络活动相关的事件时发现了对客户基础设施的实际攻击。在其他情况下,可疑活动是由安全配置错误相关的异常操作或软件行为引起的。

客户请求的最常见原因是勒索软件攻击。这类攻击的特点是发展迅速,早期发现困难,后果严重。

专家对2018年最常见勒索软件类型进行了排名。

如果检测到勒索软件攻击,建议:

1、隔离主机和网段,以避免进一步的攻击。

2、对RAM和硬盘驱动器的图像进行快照,以便进一步详细调查。

3、分析加密文件以确定恶意软件类型。有助于迅速实施一套初步的应对措施。

4、对事件进行调查,确定初始攻击向量,并找到可能的后门,以防止事件再次发生。

在野安全事件

只有22%检测到恶意活动证据的公司请求提供事件响应服务。

对自动监控工具收集的数据进行详细分析后,得出以下结论:

81%为分析提供数据的组织在其内部网络中发现有恶意活动的迹象。

三分之一的组织显示有apt攻击的迹象。

确定了以下主要部门的攻击趋势和主要安全威胁:

攻击手段

RDP服务的远程管理接口被用于三分之一的初始攻击手段。

在大多数情况下,由于对RDP服务的暴力攻击,攻击者成功地获得了有效的用户凭证。此外,在大多数情况下,相同的凭证用于不同系统中的身份验证,因此攻击者可以重用用户名和密码来访问其他主机。

在三分之一通过远程管理接口进行的攻击中,入侵者提前知道有效的凭据(未检测到暴力尝试)。可能是使用社会工程方法获得的,或者是在具有公共访问权限的不安全资源上找到的(例如,如果员工使用相同的密码在第三方资源上注册)。

建议:

限制从外部IP地址访问任何远程管理接口。远程控制接口只能从有限数量的工作站访问。

对所有IT系统实施严格的密码策略。

尽可能避免使用高特权帐户。

考虑部署双因素身份验证。

33%的攻击是由于员工缺乏安全意识。一名员工从不受信任的源下载了一个恶意文件并将其启动,从而允许攻击者控制工作站。虽然不可能完全消除人为错误,但定期对员工进行信息安全意识培训可以显著降低社会工程方法攻击的成功率。

建议:

在局域网中的每台主机上使用端点保护软件,并确保其定期更新。

使用“沙盒”分析从外部资源下载的每个文件。

定期培训,提高员工、管理层和IT员工的安全意识。

从长远来看,建议采取以下策略:

实施补丁管理程序,包括所有主机上的集中式软件更新。

考虑部署网络流量分析解决方案。

自动将数据备份到不可写的设备。

定期对基础设施进行安全评估。

攻击持续时间

对于许多事件,已经确定了攻击者活动开始到攻击结束之间的时间段。分析后,将所有事件分为三类攻击持续时间。

快速攻击(几个小时)

这类攻击持续时间不到24小时。这些主要是涉及勒索软件攻击事件。由于发展速度很快,对此类攻击的有效对策仅限于预防方法。

攻击手段:对RDP服务的暴力破解

对策:严格的密码策略;双因素认证;对管理界面的访问受限;局域网中每个主机上进行端点保护。

中持续攻击(几天)

在大多数情况下,这项活动的目的是直接盗窃金钱。通常攻击者在一周内就实现了他们的目标。

攻击手段:通过电子邮件中的链接下载恶意文件;从受感染的站点下载恶意文件:

对策:培养员工安全意识;局域网中每个主机上进行端点保护。

连续攻击(三周以上)

此活动几乎总是旨在窃取敏感数据,这种攻击的特点是主动和被动相交替。活动阶段的总持续时间与前一组中的攻击持续时间相似。

攻击手段:通过电子邮件中的链接下载恶意文件

对策:对每个信息安全事件进行全面及时的调查;在网络和工作站使用基础设施保护解决方案;使用网络活动监控工具;正确分割内部网络。

攻击方式和技术

总结

根据这份报告中的统计数据,我们可以得出结论:网络攻击针对全球所有类型的企业。制定一个防御和快速应对此类攻击的解决方案是十分必要的。

维护和改进现有的事件响应计划将通过适当分析和根除网络中的受感染元素,加快处理安全漏洞。通过利用从每个事件中吸取的经验教训来加强环境中现有的安全过程,减少再感染的风险,提高了对复杂攻击的防御能力。

正确处理数字证据有助于专家更快、更完整地分析事件。这将减少资产、数据或声誉的损失。

我们可以看到人仍然是安全链中最薄弱的环节。即使有了高级别的安全政策和安全控制,一个没有受过信息安全教育的员工也可能引发对组织内部和资产的重大危害。

全文请见:Incident Response report 2018

*参考来源:securelist,由Kriston编译,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/articles/network/213352.html
如有侵权请联系:admin#unsafe.sh