企业需要先进的网络防御

2020-04-20段铁兴

计算机与网络 2020年1期

段铁兴

威胁的多样化和复杂性已经突破了IT安全专业人员在各个垂直领域中保护各种规模组织的极限。网络安全技能的短缺已经达到了历史最高水平，53 %的组织承认他们遇到了这个缺口。

在技术匮乏的情况下，91 %的安全专业人士认为大多数组织都很容易遭受重大的网络攻击，94 %的人认为网络罪犯在网络安全专业人士面前占了上风。这些担忧让49 %的IT安全专业人员夜不能寐，特别是在IT和安全团队遭受破坏、警报疲劳、安全工具不足和整个基础设施缺乏可见度的情况下。尽管组织面临的一些最大威胁包括蛮力、密码窃取器、未修补的漏洞和其他基于网络的端点攻击，但电子邮件也是IT和安全团队的主要关注点。金融、C级市场营销和人力资源是鱼叉式网络钓鱼邮件的主要目标，高级管理人员违反的安全规则最多，占57 %。

组织面临主要安全威胁

针对组织的一些最大威胁和攻击，无论规模大小和行业垂直，都会涉及Internet的公开服务，如RDP，SSH，SMB，HTTP。根据Bitdefender遥测的数据显示，对RDP服务的暴力攻击占所有基于网络攻击的65 %以上。网络罪犯经常探查面向Internet的服务和RDP连接端点，以便让组织外部的人远程拨号。一旦进入目标机器，他们试图删除安全解决方案，并手动部署勒索软件或横向移动工具等威胁，旨在渗透和破坏基础设施中的其他机器。

如果没有正确配置和保护，RDP可以作为组织内的网关，有效地使威胁参与者访问敏感的内部资源。暴力破解密码是一种方法，因为网络罪犯使用试错的方式获取用户密码或其他凭证等信息，甚至向服务器发送多个分布式请求，以寻找一对有效的凭证。网络罪犯还试图利用RDP服务中未修补的漏洞，并控制这些网关。例如，Microsoft RDP服务中最近出现的一个蠕虫式安全缺陷允许攻击者远程控制脆弱的系统，这是用来危害组织的最新类攻击载体之一。

这些类型的攻击与行业无关，攻击者只需要持有一个公开的服务器，如果成功，就可以在基础设施中横向移动，并危及其他服务器或端点，以确保持久性访问和窃取高度机密的数据，甚至部署破坏性威胁来削弱组织或掩盖他们的踪迹。

威胁行动者还喜欢通过SQL或命令注入针对Web服务器的攻击，因为他们可以在机器上启用远程代码执行功能，并将其用作组织内的网关或横向移动中枢。

SMB攻击也成为威胁行动者常用的攻击策略，因为这些SMB服务器通常位于基于Windows域的网络架构上，允许所有员工从这些网络共享中复制文档。通过诸如EternlBlue或DoublePulsar之类的攻击来破坏这些SMB服务器，可以让攻击者利用他们作为入侵组织、横向移动和搜索其他高价值主机，甚至可以从暴露共享的网络中远程调度计算机上的任务。

Active Directory泄露也是网络犯罪分子的首要任务。最近的调查甚至显示，威胁参与者可以在不到2小时内成功入侵一个组织的广告服务器。这个网络犯罪团伙曾利用一家金融机构雇员打开的一份有问题的电子邮件附件，成功破坏了基础设施中选定的机器，在基础设施中悄悄移动，并部署了持久性和横向移动工具。当网络犯罪团伙专注于瞄准和损害特定的垂直领域时，他们对这些基础设施的工作方式、关键评估可能位于何处以及公司可能拥有何种网络安全防御有着深入的了解。

大多数攻击都是使用免费的开源工具进行的，这意味着网络罪犯的进入门槛很低。然而，威胁参与者要实施高针对性的攻击，需要先进的网络知识和自定义工具来执行高级持续威胁（APT）。

组织需要集中部署和使用网络攻击防御技术来识别和分类网络行为，这些行为可能包括横向移动、恶意软件感染、Web服务攻击、僵尸网络或TOR/Onion连接导致的恶意流量，甚至密码或敏感数据泄露导致的隐私泄露。

用网络攻击防御来避免漏洞

行为技术、多事件关联和网络分析正在增加组织避免破坏和数据盗窃的机会。为应对威胁提供规范建议的应急响应方案是IT安全的未来，并有助于解决困扰行业的严重安全技能短缺问题。

不阻塞网络流量的自动化、实时网络流量检测和预防技术可以以流模式扫描数据，在出现数据包变形的第一个迹象时就能阻止威胁。这意味着恶意流量甚至不会到达本地应用程序或计算机，从而在任何负载着陆之前有效地阻止攻击。

网络攻击防御技术使用专有和第三方妥协指标（IoC）提要提供的事件关联引擎可以识别和分类可疑的网络行为。此外，在学习网络流量的正常行为时，使用一些机器学习算法来识别特定的攻击向量，例如协议或设备特定的异常检测，可以帮助组织在网络层抵御威胁。

此外，能够将这种基于网络的威胁情报与端点检测和响应（EDR）功能集成在一起，可以帮助组织保护整个网络，让他们看到从网络到操作系统的整个技术堆栈。更重要的是，集成了EDR功能的网络防御技术可以发现复杂事件，同时支持从MITRE檢测新的横向运动。这让组织可以全面了解他们在整个基础设施中的整体网络安全状况。

网络攻击防御技术可以在攻击链的早期检测和阻止新类型的威胁，同时使用签名和基于行为的机器学习关联多个攻击向量。将网络攻击防御功能添加到您的库中，可以通过提前一步处理大量的攻击威胁和载体来改善整体安全状态。