在黑客入侵這件事上 沒人能快過俄羅斯
作者:星期四, 二月 21, 20190

在遭遇黑客入侵后絕望的取證調查過程中,入侵的初始點往往備受重視:希拉里競選經理人 John Podesta 收到的網絡釣魚郵件,或者致使Equifax服務器被非授權訪問的 Apache Struts 漏洞。但安全公司CrowdStrike首席技術官 Dmitri Alperovitch 認為,真正關鍵的時刻未必是初始滲透點,而是之后發生的事情——入侵者從初始滲透點染指整個網絡的速度有多快?而在這一點上,沒人能快過俄羅斯黑客。

2月19日發布的年度全球威脅報告中,CrowdStrike引入了新的黑客復雜度指標:所謂的“突破”速度。2018年分析過3萬多起入侵事件后,CrowdStrike測量了黑客從初始入侵到開始拓展染指范圍或提升權限的耗時。該公司比較了4個不同國家的國家支持黑客與非國家網絡罪犯之間的耗時差距,結果顯示:俄羅斯黑客速度最快,從建立最初的立足點到擴大自身活動范圍,平均耗時僅18分49秒。

這些數據也暗示了防御者阻止進行時攻擊所需的速度,特別是可能成為俄羅斯情報機構目標的那些組織。

CrowdStrike多年來緊密跟蹤俄羅斯黑客行動,發現了2016年美國民主黨全國委員會數據泄露事件背后的2個俄羅斯黑客入侵行動。Alperovitch表示:俄羅斯真的是最好的對手。在調查中與之交手,如此短的突破時間就是他們技術的明證。該指標很好地捕捉到了攻擊節奏。俄羅斯黑客的速度快到令人難以置信,幾乎是第二名威脅的八倍。

工具、零日漏洞、高級惡意軟件能告訴你一些東西,但不是事件的全貌。

CrowdStrike的排名中,朝鮮黑客名列第二,從初始突破點擴散到整個網絡的耗時平均要比俄羅斯黑客長兩個小時。中國黑客耗時約4個小時,伊朗黑客則超過5個小時,追逐利益的網絡罪犯平均要花近10個小時才可以提權,或將感染擴散到受害網絡的其他部分。

在情報機構和軍方能從大量私營企業購買惡意軟件和漏洞的時代,CrowdStrike衡量的突破時間可能最接近攻擊運作復雜度的真實測試。黑客國家隊不太可能像經常購買漏洞研究成果和軟件開發工具,并將攻擊外包的經濟黑客一樣。工具、零日漏洞、高級惡意軟件能告訴你一些東西,但不是事件的全貌,僅僅表明他們有很多資金可用而已。

案例之一就是APT29(又稱安逸熊:Cozy Bear )。從目標點擊網絡釣魚鏈接到域管理員權限入手——也就是獲得整個目標網絡的控制權,該菁英黑客團隊僅需10分鐘。他們并不是啜飲著咖啡慢慢計劃今天該干點兒啥的悠閑紳士,他們有明確的目標,一旦目標上鉤,立即盡快捕獲,在自己被檢測到之前早早完成任務。

Ben Read 是CrowdStrike的競爭公司火眼的網絡間諜分析經理,他認為突破速度不是反映黑客危險程度的唯一指標,有些黑客組織可能會搜索更大范圍的網絡,但只專注于搞定某幾個上鉤的受害者。

速度是一個有趣的數據點,但不是攻擊復雜度的完美反映。發送1萬封網絡釣魚郵件也可能只真正關心5個目標。如果你是那五個目標之一,那他們會快速搞定你。但如果你只是一個無聊智庫的人力資源人員,那他們會幾個小時后才來瞄你一眼。

不過,CrowdStrike的研究數據還是展現了黑客的平均行動力,反映出網絡運營商需要動作多快才可以捕獲攻擊行動并限制入侵。這家公司真的算出了自己在2018年觀測到的所有事件的平均突破時間——4小時37分鐘,比2017年的不到2小時可是長了許多,其中部分原因在于慢速攻擊者的數量增長。但即便是四五個小時的窗口時間,對檢測和響應威脅來說也還是太窄了,一不小心就是單個用戶感染和整個網絡陷落的差別。

防御者應隨時待命。突破時間指標不僅僅反映出攻擊者的速度,也昭示著防御者清除他們所必須達到的速度。

相關閱讀

俄羅斯基礎設施黑客團隊指南

2018年最需要關注的八大國家黑客組織

俄羅斯黑客偽裝恐怖分子|Equifax更多細節流出|希臘土耳其網絡大戰

 

分享:
0

相關文章

寫一條評論

 

 

0條評論