安在：黑客进入企业IT环境只需5小时

当被问及道德黑客通常需要多长时间来识别环境中的弱点时，57%的受访者表示需要10个小时或更少的时间；16%的人回答6到10个小时；25%的人回答3到5个小时；11%的人回应1到2个小时；5%的人不到1个小时。值得注意的是，虽然有28%的人回答说不确定，但这可能是因为多种原因，而非他们需要10个小时以上的时间。有一种可能是这些道德黑客没有记录边界探测需要的时间，因为时间对于他们来说可能不是一个重要的指标。有许多因素都会影响到发现漏洞的时长，例如环境的大小、资产的数量以及对测试环境的熟悉程度。

超过三分之二的受访黑客表示，他们过去曾作为组织内部安全团队的成员工作，有一半的人表示他们曾担任攻击型安全服务商的顾问。几乎90%的受访者持有信息安全认证，其中最专业的领域有网络安全、内部渗透测试、应用程序安全、红队和云安全等。代码级安全、物联网安全和移动安全在30%或更低的普及率下不太常见。

ANS数字取证和事件应对讲师马特·布罗米利（Matt Bromiley）表示，大多数具有应用程序安全、网络安全和内部测试经验的受访者能够在5小时内发现可用的漏洞。调查显示，大约58%的人表示，一旦发现漏洞，他们在5小时内就可以利用漏洞，25%的人表示只需1-2个小时，7%的人表示甚至无需1个小时。

其中，对于导致风险暴露的不同因素的排名显示，大多数人选择了第三方连接、应用程序开发和快速部署、云基础设施的采用、远程工作以及并购。对于遇到最多的暴露类型的排名显示，排名第一的是配置错误，其次是易受攻击的软件、暴露的web服务、敏感信息暴露以及身份验证或访问控制问题。

布罗米利表示，部分有云安全经验的道德黑客表示，遇到配置不当或不安全的云以及IaaS资产的频率较高，这就意味着组织开发和部署的应用程序暴露了漏洞、不安全性和不当配置比例偏高。

当攻击者进入到目标网络后，下一步就是在内网中横向移动，然后再获取数据。36%的受访者表示，他们可以在最初入侵后的三到五小时内提权并在环境中横向移动，20%的人估计可以在两个小时内完成。在数据收集和过滤方面，22%的受访者表示需要三到五个小时，24%的受访者在一到两个小时之间，16%的受访者不到一个小时。

布罗米利在调查报告中提出，绝大多数的道德黑客可以在五小时内实施入侵工作，因此，无论是横向移动、提权还是数据外泄，企业安全团队都应该衡量其主动识别、检测和尽快响应的能力。

横向移动包括以下几个类型，首先是APPLE脚本攻击。AppleScript是苹果的脚本语言， OS执行AppleScript。攻击者可以利用这个功能和SSH连接，也可以向远程发送交互对话框。虽然不能远程启动应用，但如果远程应用已经启动的话，就可以交互控制了。而且由于AppleScript的脚本语言特性，可以用python搞反向shell。第二种是软件安装。攻击者根据权限，在目标范围内安装软件，也包括软件的自动更新下载。其中最著名的案例是APT32了，攻击者入侵了McAfee的ePO服务器进行恶意软件分发，而且使用的是ePO专有协议。第三种是DCOM。DCOM是微软的透明中间件，可以让客户端调用服务器，一般是DLL或EXE，其中权限由注册表的ACL指定，默认只有管理员可以远程激活启动COM对象。通过DCOM，攻击者可以使用Office执行宏，甚至可以直接的shellcode。POWERSTATS是个利用WORD钓鱼的APT工具，整个攻击流程如下图所示，其中PowerShell包含了一个risk的命令，则是利用了DCOM对象执行代码。

第四种是远程服务提权。攻击者利用漏洞实现对远程系统访问，通常先是扫描查找漏洞系统，有一些很常见的漏洞比如SMB、RDP、MySQL以及各种Web，然后利用这些漏洞提升权限。第五种是登陆脚本。Windows可在登录系统时运行登录脚本，脚本可以执行管理功能，比如执行其他应用，发送日志之类。攻击者可以在这个脚本里插入代码，这样登陆时就可以执行攻击。既可以本地持久性，也可以全局推送。Mac也有类似功能，和启动项不大一样的是，登录以root身份执行。所以也存在脚本插入代码的问题。第六种是Hash传递，攻击者通过 Hash传递绕过标准身份验证，直接进入Hash验证部分，这个技术能够捕获账户的有效密码哈希值。

阻止攻击者在内网横向移动的措施有几种，第一是最小权限原则，要求组织中的每个成员只有权使用凭据来访问处理日常工作所需的系统和应用程序。例如：只有 IT 人员才拥有管理权限。第二种是白名单和审查，组织应列出已知安全的应用程序白名单，并列出已知有漏洞的应用程序黑名单。审查和评估所有新的应用程序必不可少。如果请求的新应用程序提供另一个应用程序已经具备的功能，应使用经过审查的应用程序，而不是新的应用程序。第三种是AI和EDR安全：端点检测和响应（EDR）是监测端点、标记可疑事件的典型解决方案。使用EDR工具收集的数据并训练基于AI的网络安全软件，以留意未经授权的访问及可能存在恶意网络活动的其他异常行为。第四种是密码安全，在网上开展业务的任何组织都必须指导员工及相关人员确保做好密码安全工作。这意味着不得在多个网站或账户上重复使用同一密码，定期更改密码。第五种是双因子验证，双因子验证（2FA）又叫多因子验证（MFA），是另一种对付横向移动攻击的基本而必要的手段。使用 2FA 之后，如果一组访问凭据泄密，黑客要想进一步行动就需要访问第二个设备来验证其访问权限。

对于安全团队来说，虽然防守是很艰难的，但只有38%的受访者表示，他们他们可以成功地转向一种新的攻击方法以绕过防御。这表明，拥有良好的检测和预防方法在阻止入侵方面是有有效的，尤其是很多犯罪分子通常会选择更容易入侵的路径，企业拥有的强大的入侵检测防御系统会让他们转移目标。

前段时间，IDC发布针对中国NDR产品的《中国网络威胁检测与响应市场份额，2021：实战效果显著，市场需求明确》报告表明，中国网络威胁检测与响应市场在2021年实现了36.6%的同比增长，规模达到3.1亿美元。

IDC认为，随着企业级客户对网络安全的认知和重视程度逐步提升，安全管理人员更为关注的是网络安全产品或解决方案是否能够在帮助企业满足政策合规的基础上，真实有效地帮助企业发现潜在的网络威胁并对安全事件做出快速地分析和处置，而不拘泥于采购哪项先进技术或哪个类型的产品。

根据应急事件处理的PDCERF方法学，应急响应共分为准备、检测、抑制、根除、恢复、跟进这六个阶段的工作。应急响应准备的工作内容主要有两个：一是对信息系统进行初始化的快照；二是准备应急响应工具包。在检测的时候将保存的快照与信息系统当前状态进行对比，是发现安全事件的一种重要途径。除对比系统初始化快照外，安全事件检测手段还包括部署入侵检测设备、流量监控和防病毒系统集中监控等。网络安全攻击事件可以分为拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库SQL注入类攻击，针对每一类攻击事件都需制定相应的抑制与根除方法。

在恢复阶段，恢复方式包含两种：一是在应急处理方案中列明所有系统变化的情况下，直接删除并恢复所有变化；二是在应急处理方案中未列明所有系统变化的情况下，重装系统。跟进阶段的目的是通过对系统的审计（进行完整的检测流程），确认系统有没有被再入侵。

除此之外，对于入侵的工具选择，59%的受访者表示他们在入侵中依赖开源工具，14%的受访者称他们使用公共漏洞包。只有6%的人使用私人漏洞，7%的人使用自己编写的自定义工具。这意味着安全团队可以通过专注防御已知的开源工具和漏洞以获得成效。值得注意的是，四分之三的受访者表示，只有少数或一些组织具备有效阻止攻击的检测和响应能力。几乎50%的人表示，大部分组织无法检测和预防特定于云和应用程序的攻击。

IDC中国网络安全市场研究经理赵卫京表示，面对当前复杂的网络环境和日益猖獗的网络攻击，各类网络边界和终端防护产品往往专精于对单点威胁的检测和处置，缺少对告警信息上下文的关联分析以及对APT的发现能力。NDR产品凭借对于企业网络流量的持续监测，结合其他安全产品丰富的日志以及海量威胁情报数据，智能检测网络中的潜在威胁，在越来越重视实战化防护能力的企业网络安全防护体系中起到重要作用。

日丰企业集团安全负责人邵桂昌表示，近期曾遭遇过一次钓鱼邮件攻击。一大清早，收到很多员工通知说收到疑似钓鱼邮件，邮件内容大概为邮箱地址需要更改，管理员要求输入旧的邮箱地址和密码以便重置。通过分析，此次钓鱼攻击属于定向攻击，因为发件人伪造的发件人地址是根据收件人地址来定制的，比如收件人地址为 [email protected]，发件地址则伪造为：[email protected]，以此来蒙骗员工。虽然大部分员工都有安全意识，但仍有部分刚入职员工和应届生中招，在钓鱼网站输入了账号密码。当时采取的措施包括：1、封禁了实际发件人的邮件地址域。2、通知全员修改邮箱账号密码（因为是全员的定向攻击，肯定知道公司的组织架构，所有有很大可能是通过某个被盗邮箱进入查看得到）。3、公司内封禁钓鱼网站并下发紧急通知。4、事后进行分析被入侵原因及再发内部邮件提醒员工注意钓鱼邮件。

尽管如今网络安全已经逐渐被企业所重视，企业安全团队的能力和安全产品的成熟度也越来越高，但依然不能忽略网络攻击所带来的威胁。黑客的能力远比想象中的更加强大，因此，企业应尽快建立完善的威胁检测与响应机制，防止网络攻击造成难以弥补的损失。

如有侵权请私聊公众号删文