無文件攻擊的興起與應(yīng)對(duì)之道
無文件攻擊比基于惡意軟件的傳統(tǒng)威脅更容易實(shí)施也更有效,因而給公司企業(yè)的安全防護(hù)帶來了更大的挑戰(zhàn)。
網(wǎng)絡(luò)罪犯自然會(huì)尋找阻力最小的途徑實(shí)施攻擊,這也正是越來越多的網(wǎng)絡(luò)罪犯采用無文件攻擊的原因所在。隨著攻擊者對(duì)該攻擊手法的應(yīng)用越來越得心應(yīng)手,企業(yè)雇員越來越依賴移動(dòng)設(shè)備和云來開展工作,無文件攻擊的威脅也越來越大了。
無文件攻擊也就是非惡意軟件攻擊,是一種可以讓攻擊者省去傳統(tǒng)惡意軟件攻擊所需步驟的攻擊手法。他們不用創(chuàng)建攻擊載荷,只需簡(jiǎn)單地利用可信程序獲取內(nèi)存訪問即可。2017年,利用PowerShell或WMI的無文件攻擊占了全年攻擊總數(shù)的52%。
盡管如此,企業(yè)依然沒有對(duì)無文件攻擊投以足夠的關(guān)注。大多數(shù)人對(duì)網(wǎng)絡(luò)安全行業(yè)的認(rèn)知依然停留在打了多年交道的傳統(tǒng)攻擊方法上。
企業(yè)是時(shí)候進(jìn)一步了解這些威脅的工作機(jī)制了。他們有必要搞清如何檢測(cè)無文件攻擊,為什么無文件攻擊會(huì)呈增多趨勢(shì),以及可以采取哪些步驟做好防護(hù)。
現(xiàn)代無文件攻擊的進(jìn)化史
無文件攻擊并不是新鮮事物,但它們隨著時(shí)間流逝而發(fā)展變化。
今天的無文件攻擊遠(yuǎn)不止“無文件”這么簡(jiǎn)單,要說無文件的話,十幾年前的紅色代碼(Code Rad)病毒和Slammer蠕蟲就應(yīng)用了無文件的概念,藏身于內(nèi)存之中;但今天的無文件攻擊是整個(gè)攻擊鏈、攻擊步驟全都無文件。即便今天的無文件攻擊確實(shí)涉及到攻擊載荷,這些載荷也往往貌似合法,因而非常難以檢測(cè)。
無文件惡意軟件攻擊的增長(zhǎng),源于其易用性和終端檢測(cè)及響應(yīng)(EDR)工具的改進(jìn)。
網(wǎng)絡(luò)中真正令企業(yè)傷筋動(dòng)骨的,是用戶名和口令被盜,而不是擺了他們一道的惡意軟件本身。
攻擊者使用域賬戶和IP管理員口令在目標(biāo)網(wǎng)絡(luò)內(nèi)橫向移動(dòng)并盜取信息。他們的活動(dòng)形式多樣,大多數(shù)情況下獲取某用戶的 Office 365 或AWS登錄賬戶更有價(jià)值。
某種程度上,所有攻擊者都必須先進(jìn)入網(wǎng)絡(luò)或系統(tǒng),也就是說,憑證盜竊是攻擊的第一步。本地管理員憑證往往是首選,因?yàn)闆]人對(duì)它們多加關(guān)注,它們也沒被指派給具體個(gè)人。這基本上是種常態(tài),畢竟這么做可以讓管理工作更簡(jiǎn)單些。服務(wù)賬戶憑證同樣脆弱。攻擊者一旦接入系統(tǒng),就會(huì)用提權(quán)技術(shù)提升此類賬戶的權(quán)限。
為什么會(huì)暴露在風(fēng)險(xiǎn)之中
公司企業(yè)沒掌握自身IT系統(tǒng)復(fù)雜性,未能完全監(jiān)視自家整個(gè)生態(tài)系統(tǒng),是令自身暴露在風(fēng)險(xiǎn)之中的一大原因。
很多企業(yè)都被大量數(shù)據(jù)淹沒,且無法將賬戶和用戶行為整合到一起以供分析。而只要無法跟蹤,也就無法知道哪個(gè)賬戶訪問了哪些資源。
如果企業(yè)員工還沒采用基本安全操作,那么所面臨的威脅還會(huì)更大。網(wǎng)絡(luò)釣魚攻擊就是用于獲取憑證的一大流行方式。
黑客會(huì)對(duì)員工發(fā)起針對(duì)性攻擊,尋求其亞馬遜、Gmail、PayPal和其他常見服務(wù)的登錄憑證。他們知道人們常會(huì)使用同一對(duì)用戶名和口令登錄不同的服務(wù)。
一旦黑客入手了員工的個(gè)人賬戶,就可以利用該賬戶嘗試進(jìn)入其企業(yè)網(wǎng)絡(luò)。很多攻擊者都會(huì)對(duì)低級(jí)別員工下手,以期通過監(jiān)視其郵件活動(dòng)來分析出高級(jí)別員工的賬戶信息。
威脅蓄勢(shì)待發(fā)
隨著員工越來越移動(dòng)化和云端化,無文件攻擊也會(huì)見長(zhǎng)。遠(yuǎn)程辦公極大地增加了對(duì)基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)。從外面帶進(jìn)來的設(shè)備都應(yīng)該在登入本地網(wǎng)絡(luò)之前再進(jìn)行一次鏡像和掃描。
移動(dòng)設(shè)備在醫(yī)療保健行業(yè)所占比重越來越大,各行各業(yè)也都在朝著云端邁進(jìn)。但像云這樣的環(huán)境,CISO對(duì)誰從哪兒登入的系統(tǒng)到底了解多少呢?大部分人都假定云是安全的,但云上包含有大量早已棄用理應(yīng)注銷的憑證,這些憑證可都是攻擊者觸手可得的合法憑證。
鑒于受經(jīng)濟(jì)利益驅(qū)動(dòng)的攻擊者將一直存在,未來將有更多威脅對(duì)企業(yè)造成損害幾乎是肯定的。殘酷的現(xiàn)實(shí)是,我們將見證破壞性攻擊的增長(zhǎng)。
我們能做些什么?
防止網(wǎng)絡(luò)釣魚應(yīng)從員工培訓(xùn)做起。滲透測(cè)試是個(gè)不錯(cuò)的培訓(xùn)辦法,可以增強(qiáng)員工對(duì)網(wǎng)絡(luò)釣魚的免疫力,不至于一被釣魚就上鉤。還應(yīng)設(shè)立暢通的員工報(bào)告渠道,讓員工只要發(fā)現(xiàn)可疑跡象就能快速上報(bào)。
除此之外,公司企業(yè)還應(yīng)緊密關(guān)注其生態(tài)系統(tǒng)中的各種活動(dòng)。
可以引入工具集,找出公司整個(gè)基礎(chǔ)設(shè)施上的所有憑證。結(jié)果可能會(huì)令人大吃一驚,基礎(chǔ)設(shè)施上流轉(zhuǎn)的憑證數(shù)量往往比員工總數(shù)多得多。
評(píng)估了憑證數(shù)量之后,公司安全團(tuán)隊(duì)還應(yīng)深挖這些憑證的使用情況。比如都是誰在哪里使用了這些憑證,是怎么使用的。正常登錄地點(diǎn)之外的憑證使用都應(yīng)觸發(fā)警報(bào)。大型企業(yè)或跨國企業(yè)這種基礎(chǔ)設(shè)施規(guī)模龐大的機(jī)構(gòu)組織,有必要引入自動(dòng)化技術(shù)進(jìn)行憑證安全管理工作。
傳統(tǒng)身份與訪問管理方法也可以借鑒一二,而如果企業(yè)夠成熟,可以考慮采納能自動(dòng)化訪問管理的工具集。這些工具在幫助企業(yè)掌握網(wǎng)絡(luò)登錄者的身份、位置、登錄方法和所做動(dòng)作上應(yīng)該會(huì)很有幫助。
