卡巴斯基2018年事件響應報告

2019 年 10 月 7 日
筆記

本報告涵蓋了卡巴斯基2018年的事件響應實踐。本報告中使用的數據來自卡巴斯基團隊提供的各種事件調查服務。

請求事件響應原因

超過一半的調查請求是在檢測到具有明顯後果的攻擊後由客戶發起的，例如未經授權的轉賬、勒索軟體加密的工作站、服務不可用等。以及公司內部的事件響應程式，以避免財務損失並將攻擊對公司的影響降至最低。

在三分之二的案例中，調查與檢測可疑文件或網路活動相關的事件時發現了對客戶基礎設施的實際攻擊。在其他情況下，可疑活動是由安全配置錯誤相關的異常操作或軟體行為引起的。

客戶請求的最常見原因是勒索軟體攻擊。這類攻擊的特點是發展迅速，早期發現困難，後果嚴重。

專家對2018年最常見勒索軟體類型進行了排名。

如果檢測到勒索軟體攻擊，建議：

1、隔離主機和網段，以避免進一步的攻擊。 2、對RAM和硬碟驅動器的影像進行快照，以便進一步詳細調查。 3、分析加密文件以確定惡意軟體類型。有助於迅速實施一套初步的應對措施。 4、對事件進行調查，確定初始攻擊向量，並找到可能的後門，以防止事件再次發生。

在野安全事件

只有22%檢測到惡意活動證據的公司請求提供事件響應服務。

對自動監控工具收集的數據進行詳細分析後，得出以下結論：

81%為分析提供數據的組織在其內部網路中發現有惡意活動的跡象。

三分之一的組織顯示有apt攻擊的跡象。

確定了以下主要部門的攻擊趨勢和主要安全威脅：

攻擊手段

RDP服務的遠程管理介面被用於三分之一的初始攻擊手段。

在大多數情況下，由於對RDP服務的暴力攻擊，攻擊者成功地獲得了有效的用戶憑證。此外，在大多數情況下，相同的憑證用於不同系統中的身份驗證，因此攻擊者可以重用用戶名和密碼來訪問其他主機。

在三分之一通過遠程管理介面進行的攻擊中，入侵者提前知道有效的憑據（未檢測到暴力嘗試）。可能是使用社會工程方法獲得的，或者是在具有公共訪問許可權的不安全資源上找到的（例如，如果員工使用相同的密碼在第三方資源上註冊）。

建議：

限制從外部IP地址訪問任何遠程管理介面。遠程控制介面只能從有限數量的工作站訪問。對所有IT系統實施嚴格的密碼策略。儘可能避免使用高特權帳戶。考慮部署雙因素身份驗證。

33%的攻擊是由於員工缺乏安全意識。一名員工從不受信任的源下載了一個惡意文件並將其啟動，從而允許攻擊者控制工作站。雖然不可能完全消除人為錯誤，但定期對員工進行資訊安全意識培訓可以顯著降低社會工程方法攻擊的成功率。

建議：

在區域網中的每台主機上使用端點保護軟體，並確保其定期更新。使用「沙盒」分析從外部資源下載的每個文件。定期培訓，提高員工、管理層和IT員工的安全意識。

從長遠來看，建議採取以下策略：

實施修補程式管理程式，包括所有主機上的集中式軟體更新。考慮部署網路流量分析解決方案。自動將數據備份到不可寫的設備。定期對基礎設施進行安全評估。

攻擊持續時間

對於許多事件，已經確定了攻擊者活動開始到攻擊結束之間的時間段。分析後，將所有事件分為三類攻擊持續時間。

快速攻擊（幾個小時）

這類攻擊持續時間不到24小時。這些主要是涉及勒索軟體攻擊事件。由於發展速度很快，對此類攻擊的有效對策僅限於預防方法。

攻擊手段：對RDP服務的暴力破解

對策：嚴格的密碼策略；雙因素認證；對管理介面的訪問受限；區域網中每個主機上進行端點保護。

中持續攻擊（幾天）

在大多數情況下，這項活動的目的是直接盜竊金錢。通常攻擊者在一周內就實現了他們的目標。

攻擊手段：通過電子郵件中的鏈接下載惡意文件；從受感染的站點下載惡意文件：

對策：培養員工安全意識；區域網中每個主機上進行端點保護。

連續攻擊（三周以上）

此活動幾乎總是旨在竊取敏感數據，這種攻擊的特點是主動和被動相交替。活動階段的總持續時間與前一組中的攻擊持續時間相似。

攻擊手段：通過電子郵件中的鏈接下載惡意文件

對策：對每個資訊安全事件進行全面及時的調查；在網路和工作站使用基礎設施保護解決方案；使用網路活動監控工具；正確分割內部網路。

攻擊方式和技術

總結

根據這份報告中的統計數據，我們可以得出結論：網路攻擊針對全球所有類型的企業。制定一個防禦和快速應對此類攻擊的解決方案是十分必要的。

維護和改進現有的事件響應計劃將通過適當分析和根除網路中的受感染元素，加快處理安全漏洞。通過利用從每個事件中吸取的經驗教訓來加強環境中現有的安全過程，減少再感染的風險，提高了對複雜攻擊的防禦能力。

正確處理數字證據有助於專家更快、更完整地分析事件。這將減少資產、數據或聲譽的損失。

我們可以看到人仍然是安全鏈中最薄弱的環節。即使有了高級別的安全政策和安全控制，一個沒有受過資訊安全教育的員工也可能引發對組織內部和資產的重大危害。

全文請見：Incident Response report 2018

*參考來源：securelist，由Kriston編譯，轉載請註明來自FreeBuf.COM