原标题:面对行为难辨的骇客攻击不能用旧方法,要让威胁更即时被找出
图片来源:罗正汉摄
过去常看到资安事件爆发,经资安公司研究发现,骇客平均已潜伏超过500天,该如何及早发现资安问题,已成近年企业关注焦点。
在今日举办的CloudSec△2018大会上,趋势科技资安事件应变小组资安顾问戴维劭,从骇客入侵后的攻击行为,归纳出企业在监控时,发生的问题与盲点。
为了让企业更了解问题,戴维劭剖析了控制阶段到扩散阶段的骇客手段。他表示,当骇客入侵控制主机后,要做两件事,一是拿到权限,二是要用手法来攻击你的电脑。
从攻击类型来看,戴维劭将之分成两种,并以生动的方式来比喻,也就是海盗攻击与忍者攻击。简单来说,传统攻击方式就是海盗,例如入侵后直接用漏洞工具包来攻击,攻击速度快,而忍者攻击类型,则是安静低调,通过取得高权限帐户,利用正常的管道做恶意的行为,而这也让传统防御所无法抵御。
再从内网扩散方式来看,戴维劭以他们资安事件应变小组的经验,说明面对忍者类型攻击需要注意的管道,包括:远端桌面RDP、网络芳邻SMB、工作排程、WinRM、Telnet、Psexec等。
他并举例,像是远端桌面RDP工具带来了方便性,但骇客也喜欢用。他举出一个实际案例,像是骇客成功入侵网页伺服器后,上传了一个程式,这个程式不是后门程式,只负责转Port,例如将192.168.1.20 Port△80转送192.168.1.40 Port△3389,然后骇客就直接从外部RDP到企业内部伺服器,并可以直接把磁碟挂上来,将档案拷贝走。后来的事件调查也不容易查到。
举了那么多可以被骇客利用的管道,戴维劭强调,面对不容易发现的忍者式攻击类型,要用行为的方式来侦测,因为这些骇客通过正常管道做出异常的行为。他也用很生活的例子来说,例如20年不见的朋友打电话来,打电话是正常,但打来借钱就是异常。
在侦测层面上,他认为可以分为两种:网络层与系统层。戴维劭指出,网络层的监控包含Port△445(SMB)、Port△3389(RDP)、Port△5895/5896(WinRM)、RPC(乱数Port)与Port△22/23(Telnet)。他并提醒,像是Port△445也要特别关注传送档案与建立排程,还有一些要用特别的方式来监控,像是发起连的来源、目标是否有关,异常连线等。
在端点部分,包括远端桌面RDP、网络芳邻SMB、工作排程、WinRM、Telnet、PorweShell、Psexec与Process,也都有需要做好侦测设定的部分。
最后,为了从正常事件找出骇客的异常行为,抓到忍者攻击类型,他也提到了近年全球新兴的资安防护概念,那就是MDR(Managed△Detection△Response)。
研究机构Gartner在2017年提出MDR,全球已有许多业者开始关注,并凭借各家的技术能量推出这种类型的解决方案或服务。
戴维劭表示,不像以往都是偏向非黑及白的LOG记录搜集,为了加速回应与降低损害,让威胁潜伏的时间被压缩到极短,现在则是需搜集到大量LOG记录,并要有能快速过滤分析的情报系统,以及专业人员,帮助事件处理更趋向即时。他并举出实际案例,一家企业四年前发现威胁潜伏,需要1,657天,而借助MDR这样的新型的资安防护作法,发现问题的速度变快,三年后变成2天内就能处理,四年后更是缩短在1天之内。
另外,在这次CloudSec大会的议程中,共有两场是趋势科技资安事件应变小组担任主讲,这似乎也间接点出了现阶段的网络威胁趋势中,资安事件应变将成为近年的关注焦点之一。
iThome△Security
相关:
Google公开了其Android安全更新计划。在2017年中,共有约10亿台Android装置获取更新,比前一年多了30%,而Google提到,他们要继续为Android引入新的流程与计划,让Android更新工作更为容易。这个策略的最重要部分,
修补完成马上就破功,骇客多次针对VBScript发动零时差攻击
图片来源: Common△Vulnerabilities△and△Exposures△Lists 一般来说,为了减少电脑系统的弱点,成为有心人士渗透的管道,我们会每隔一段时间,就安装软件厂商提供的修补程式。然而,使用者有乖乖的定期更新软件,难
示意图,与新闻事件无关。 图片来源: CC△BY△2.0 BTC△Keychain 继美国佛罗里达州的赛米诺尔郡(Seminole△County)自今年夏天开放居民以比特币(Bitcoin)及Bitcoin△Cash缴纳地价税与其它税收之后,上周旧金山联
Apple:少年骇客入侵系统并没有取得顾客资料 | 香港 UNWIRE.HK 玩生活.乐科技
最近有消息指一个 16 岁少年骇客多次入侵了 Apple 的系统,盗取了 90GB 的档案,令人再次担心会否有顾客资料泄漏。Apple 最近发出声明指他的入侵并没有影响顾客资料。这名居住于澳洲墨尔本的少年骇客最近被捕提堂时,
意粉折断两半有方法 麻省理工物理学生新发现 | 香港 UNWIRE.HK 玩生活.乐科技
当我们用两只手各拿着干燥意大利粉(烹调前)的其中一端把它折断,这条意粉大多数会折断成 3 段或以上。最近美国麻省理工就研究到一种新方法,避开了意粉必定折断成 3 段以上的命运。▲以一般手法,干燥意大利粉只能