安全厂商 CrowdStrike 公司研究确定,平均网络突破时间不足2小时。
突破时间:
指入侵者脱离其已经入侵的初始系统,并横向移动至网络内其它设备处所需要的时间。
网络安全厂商 CrowdStrike 公司于2018年2月26日发布了其2018年全球威胁报告,其中囊括提取自该公司全球分布式网络所处理的、日均高达约1000亿次事件。这份长达74页的报告包含诸多亮点,其中最重要的一项在于 CrowdStrike 公司所提到的平均突破时间,这将成为帮助各类组织机构缓解风险的一项关键性指标。根据事件观察,2018年 CrowdStrike 全球威胁报告确定2017年年内平均“突破时间”为1小时58分。
报告主要发现:
2017年,在所有观察到攻击活动中,39%的恶意活动采用传统反病毒方案无法检测到的无恶意软件入侵手段,此类无恶意软件攻击活动主要指向制造业、专业服务以及制药行业。
先进战略的传播已经模糊了国家战争与贸易对抗之间的界限,这使得威胁局面超出了传统安全措施的防御范畴。数据勒索与武器化已经在网络犯罪分子当中占据主流,且严重影响到政府以及医疗卫生等重要行业部门。与民族国家相关的攻击与针对性勒索软件正在快速崛起,甚至被用于地缘政治乃至军国主义等目的。供应链违规以及加密欺诈与挖掘为国家资助黑客及电子犯罪参与者提供了新的攻击载体。
CrowdStrike 公司首席技术官兼联合创始人迪米特里·阿尔帕罗维奇表示,攻击者从所能入侵的初始计算机处脱离所需要的近两个小时。在典型攻击场景下,无论攻击向量具体体现为钓鱼活动抑或是基于 Web 的安全漏洞,最初受害者在大多数情况下并非攻击者所指向的最终目标。攻击者通常希望进一步深入网络内部以寻找最具价值的数据。安全保护人员可能借助这段时间来遏制实际安全事件的发生。违规行为往往不是一蹴而就的。
在近两小时的“突破时间”内,阿尔帕罗维奇表示人类攻击者会对目标系统进行侦察,从而确定下一步应入侵哪里以及如何提升自身权限。尽管抢在攻击者登陆初始感染点的作法十分重要,但在网络边界处抵御入侵活动同样非常重要,如果企业未能尽量预防并拦截各类恶意软件与攻击活动,那么安全团队将没有时间正确追踪并分析更为复杂的威胁因素。
2017年网络攻击活动中最为显著的一种,在于通过复杂的供应链实施攻击。2018年9月即出现过一例此类攻击,当时 CClenaer 工具遭遇黑客入侵,并导致数百万用户在下载或更新该软件时因此感染后门恶意软件。当前,合法的应用程序正被恶意人士所利用。
应关注哪些重点
阿尔帕罗维奇表示,检测时间、调查时间与补救时间这三项关键性指标可用于尽可能降低安全风险。
检测时间:是指检测到初始威胁所需要的时间。最出色的应该能够在一分钟之内利用自动化技术检测到威胁活动。
调查时间:则应持续得到追踪,旨在确定检测时间的具体长度。调查工作可能涉及内产人员,具体周期大约为10分钟。
阿尔帕罗维奇认为,对于最出色的来说,补救时间的标准应为1个小时。在此期间,需要清理攻击者所执行的任何操作,并将其从内部网络当中清除。
如果能够满足以上速度要求,则可有效控制安全事件并防止违规问题的发生。