在遭遇黑客入侵后绝望的取证调查过程中,入侵的初始点往往备受重视:希拉里竞选经理人 John Podesta 收到的网络钓鱼邮件,或者致使Equifax服务器被非授权访问的 Apache Struts 漏洞。但安全公司CrowdStrike首席技术官 Dmitri Alperovitch 认为,真正关键的时刻未必是初始渗透点,而?#20405;?#21518;发生的事情——入侵者?#26144;?#22987;渗透点染指整个网络的速度有多快?而在这一点上,没人能快过俄罗斯黑客。

2月19日发布的年度全球威胁报告中,CrowdStrike引入了新的黑客复杂度指标:所谓的“突破”速度。2018年分析过3万多起入侵事件后,CrowdStrike测量了黑客?#26144;?#22987;入侵到开始拓展染指范围或提升权限的耗时。该公司比较了4个不同国家的国家支持黑客与非国家网络罪犯之间的耗时差距,结果显示:俄罗斯黑客速度最快,从建立最初的立足点到扩大自身活动范围,平均耗时仅18分49秒。

这些数据也暗示了防御者阻止进行时攻击所需的速度,特别是可能成为俄罗斯情报机构目标的那些组织。

CrowdStrike多年来紧密跟踪俄罗斯黑客行动,发现了2016年美国民主党全国委员会数据泄露事件背后的2个俄罗斯黑客入侵行动。Alperovitch表示:俄罗斯真的是最好的对手。在调查中与之交手,如此短的突破时间就是他们技术的明证。该指标很好地捕捉到?#26031;?#20987;节奏。俄罗斯黑客的速度快到令人难以置?#29275;?#20960;乎是第二名威胁的八倍。

工具、零日漏洞、高级恶意软件能告诉你一些东西,但不是事件的全貌。

CrowdStrike的排名中,朝鲜黑客名列第二,?#26144;?#22987;突破点扩散到整个网络的耗时平均要比俄罗斯黑客长两个小时。中国黑客耗时约4个小时,伊朗黑客则超过5个小时,?#20998;?#21033;益的网络罪犯平均要花近10个小时才可以提权,或将感染扩散到受害网络的其他部分。

在情报机构和军方能从大量私营企业购买恶意软件和漏洞的时代,CrowdStrike衡量的突破时间可能最接近攻击运作复杂度的真实测试。黑客国家队不太可能像经常购买漏洞研究成果和软件开发工具,并将攻击外包的经济黑客一样。工具、零日漏洞、高级恶意软件能告诉你一些东西,但不是事件的全貌,仅仅表明他们有很多资金可用而?#36873;?/p>

案例之一就是APT29(又称安逸熊:Cozy Bear )。从目标点击网络钓鱼链接到域管理员权限入手——也就是获得整个目标网络的控制权,该菁英黑客团队仅需10分钟。他们并不是啜饮着咖啡慢慢计划今天该干点儿啥的悠闲绅士,他们有明确的目标,一旦目标上?#24120;?#31435;即尽快捕获,在自己被检测到之前早早完成任务。

Ben Read 是CrowdStrike的竞争公司火眼的网络间谍分析经理,他认为突破速度不是反映黑客危险程度的唯一指标,?#34892;?#40657;客组织可能会搜索更大范围的网络,但只专注于搞定某几个上钩的受害者。

速度是一个有趣的数据点,但不是攻击复杂度的完美反映。发送1万封网络钓鱼邮件也可能只真正关心5个目标。如果你是那五个目标之一,那他们会快速搞定你。但如果你只是一个无聊智库的人力?#35797;?#20154;员,那他们会几个小时后才来瞄你一眼。

不过,CrowdStrike的研究数据还是展现了黑客的平均行动力,反映出网络运营商需要动作多快才可以捕获攻击行动并限制入侵。这家公司真的算出了自己在2018年观测到的所有事件的平均突破时间——4小时37分钟,比2017年的不到2小时可是长了许多,其?#32961;?#20998;原因在于慢速攻击者的数量增长。但即便是四五个小时的窗口时间,对检测和响应威胁来说?#19981;?#26159;太窄了,一不小心就是单个?#27809;?#24863;?#31454;?#25972;个网络陷落的差别。

防御者应随时待命。突破时间指标不仅仅反映出攻击者的速度,也昭示着防御者清除他们所必须达到的速度。

相关阅读

俄罗斯基础设施黑客团队指南

2018年最需要关注的八大国家黑客组织

俄罗斯黑客伪装恐怖分子|Equifax更多细节流出|希?#24052;?#32819;其网络大战

 

分享:
0

相关文章

写一条评论

 

 

0条评论