入侵事件平均潜伏时间高达359天,你的系统真的安全吗?
2020-03-12
一、入侵事件平均潜伏时间高达359天
近期,尊龙凯时科技发布《尊龙凯时科技2019安全事件响应观察报告》,对2019年入侵事件进行统计发现:从事件可回溯的首次入侵时间到事件被用户报告或被告知的时间,入侵事件平均潜伏时间高达359天,由此可见已发现处理安全事件只是众多安全事件的冰山一角。在事件应急过程中甚至会发现2012年潜伏的后门。
图 1.1 事件潜伏周期分布
攻击者利用了许多高超的技术来隐藏自身的恶意行为,越来越多的黑客组件偏向于使用系统自带的应用程序和运行环境来伪装自身和对抗反病毒软件。
图 1.2 某远控软件自带反病毒检测功能
同时,利用各种不同的混淆和加密技术加密木马样本和通信流量,加大了安全人员的分析难度,热衷于通过反向后门的方式绕过内部防火墙。并且在成功获取进入内部的权限以后,利用各种持久化技术,长久驻扎在目标的内部网络。然而对于内部的运维人员而言,运维人员的应急响应能力偏弱,并不能马上通过攻击者留下的蛛丝马迹找到攻击来源,阻断后续的攻击。而由于运维人员的安全意识薄弱,给了攻击者在内部网络中快速横向移动的机会。攻击者便会在内部网络中持续监控和潜伏,窃取敏感文件和口令信息。
图 1.3 利用WMI持久化
随着各个机构和国家对网络安全的重视,越来越多的类似攻击事件被上级部门举行的安全演练暴露了出来。有的机构甚至直到接到上级部门的通报以前都并不知晓自身已经被入侵。溯源的时候才发现已经被入侵了很长时间。
图 1.4 入侵事件发现原因分布
尽管已经有非常多的入侵事件被披露,但是依旧还有很多未被发现的攻击行为,大多数攻击行为可以明显的看出是为了金钱利益,还有的攻击事件带着明显的政治色彩。并且往往防守都是滞后于攻击,防守的难度远远大于攻击。现有的安全解决方案没有一劳永逸的做法。
- 人和管理成为主要入侵突破口
安全需要人、技术、管理的全方位保障,然而人与管理由于其复杂性,常常成为入侵突破口。在2019年处理的安全事件中,弱口令事件占比22%,钓鱼邮件相关事件占比7%,配置不当事件占比3%,与人和管理相关的事件合计占总数的1/3,安全管理薄弱、员工安全意识不足的问题最易遭到攻击者的利用。
图 1.5 入侵方式分布图
除了应急事件外,在众多企业进行的攻防演练中,也不乏攻击方通过弱口令或钓鱼邮件打开缺口的例子。大部分企业在公网上由于网络资产数量庞大,部分运维人员为了便于记忆和管理,采用了大量弱口令或系统默认密码作为管理员口令,最终导致网站应用权限的丢失,甚至服务器权限的沦陷。例如部分企业为了方便员工使用,会将办公协同系统(OA)放置在公网上,攻击者常常利用人名作为用户名字典,弱口令(111111、123456等)作为密码字典进行爆破,一旦攻击者成功猜测出某员工账号,企业的敏感信息将可能被攻击者掌握利用。
图 1.6 暴力破解截图
上图为一次应急响应排查中对某单位OA系统弱口令探测扫描的结果,根据结果可以看出,该系统中大量用户使用了默认口令或者是弱口令,攻击者进行简单的探测猜解,即可成功获取到内部员工账号口令,通过该系统可获取单位大量敏感信息。
在大量案例中我们发现,大部分企业内网环境中存在弱口令的情况更为普遍。由于企业内网环境无法从公网轻易访问,运维人员在部署某些服务和应用时,习惯采用简单密码或者默认口令作为管理员密码,一旦攻击者突破外网边界进入企业内网后,将会有大量弱口令应用及系统遭受攻击威胁。此外,由于时间原因和管理疏忽,部分老旧系统停止使用后未能及时下线,其中可能存在的安全漏洞易被攻击者利用后导致主机权限丢失。
图 1.7 某主机用户配置
上图为内网中某系统管理平台,该系统存在默认管理员账户root,且默认密码也为root,如果管理员不修改默认口令,极易被攻击者猜解利用。
除了弱口令以外,近两年通过钓鱼邮件对企业员工进行攻击的案例也屡见不鲜。攻击者通过伪造企业内部邮件,诱使收件人打开附件中的Office文档或者可执行程序,当员工下载并打开文档后,便会执行其中的恶意代码,并从远程下载新的恶意代码至本地运执行,部分恶意程序还会在内网中通过自动化扫描其他存在漏洞或者弱口令的主机进行横向感染。
图 1.8 某钓鱼邮件截图
上图为攻击者对企业内部员工群发的一次钓鱼邮件攻击。附件中包含攻击者精心构造的恶意程序,并以“年中考核奖励“为标题吸引员工眼球。如果收件人安全意识薄弱,盲目点击附件文件,则极可能被攻击者利用控制。
综上问题可以看出,当前大多企业或多或少都存在安全管理疏忽或员工安全意识薄弱的问题。当攻击者无法通过传统技术手段对企业资产进行攻击时,人和管理上的漏洞往往更容易成为攻击者的突破口。
- 安全建议
尊龙凯时科技通过对大量安全事件源头进行分析,发现绝大多数的事件均与企业的网络安全基础防护与管理制度有关,由此我们整理了以下安全防护建议,可供参考:
- 人员安全意识培养
据研究报告显示,网络攻击源头有六成左右是来自企业内部,而绝大部分内部攻击则是由于员工被外部攻击者利用、控制导致。在信息技术高度发达的今天,攻击者可攻击的途径包括:钓鱼邮件、水坑网站、手机短信、社交软件、公共Wi-Fi等,企业可通过定期的安全意识培训、应急演练,对全员的安全防范意识水平进行检验。
- 加强口令复杂度管理
有史以来,弱口令一直是一个老生常谈的问题,是最容易被企业忽视,同时也是最受攻击者青睐的漏洞。对于企业所有IT资产均需要制定并执行统一的口令复杂度配置标准,避免出现弱口令、通用口令或规律口令,企业可通过制定相关安全规范、业务上线流程、基线配置核查等多种手段进行规避。
- 定期做好重要数据备份
近年来,勒索软件作为一种直接利益驱使的攻击手段,由于其具有攻击效果显著、攻击成本低、交易匿名性等特点,使它备受攻击者青睐。同时由于其传播渠道众多,企业或个人在做好基础安全防护的同时,数据备份则是最行之有效的对抗方案,企业可通过私有云、存储设备、网络同步等方式,定期对重要业务数据进行备份并妥善保管。
- 加强漏洞生命周期管理
网络攻击手段和安全漏洞公布可以用日新月异来形容,这也是网络安全区别于一些传统行业的显著特征。企业应将漏洞管理作为一项持续化、日常化的工作,并制定详细流程,包括:开发规范、漏洞获取、漏洞排查、漏洞修复、漏洞验证等,同时还应定期通过灰盒安全测试,主动发现系统、应用及网络中存在的安全漏洞隐患。
- 加强网络边界资产管理
我们在多个典型安全事件案例中发现,攻击者通过攻击网络边界资产,并以此为跳板对内部网络进行了横向扩展攻击,最终造成了重大影响。企业网络边界资产由于部分业务暴露在互联网,往往会被攻击者作为突破企业安全防护的首要目标。企业可通过安全域划分、防火墙ACL细化、应用漏洞防护等手段加强网络边界管理。
- 互联网敏感信息泄露排查
信息收集作为黑盒测试流程中的重要一环,对安全测试的最终结果起着至关重要的作用。攻击者除了会利用搜索引擎、大数据收集目标企业互联网暴露资产外,还会通过网盘、文库、GitHub等渠道收集泄露的敏感信息,如:邮箱口令、数据库配置、应用系统源码等。企业应建立起长效机制,在通过管理制度约束员工行为的同时,还需要通过技术手段,监测互联网敏感信息的暴露。
- 关注供应链攻击安全风险
供应链攻击作为一种高度隐蔽的攻击方式,最终可能影响数十万甚至上亿的目标用户。企业面对的供应链风险主要存在于设备采购、软件开发、产品交付、系统运维等多个阶段,IT供应链安全是一套涉及面广且复杂的体系,在任何一个阶段出现问题势必都会影响供应链上下游安全,企业应通过建立产品采购及供应链厂商管理制度、建立健全应用开发生命周期安全管理制度、建立上下游安全威胁通报机制等多种手段,及时掌握应用及产品安全风险,提升沟通协调及应急处置效率。
- 部署威胁溯源审计平台
单点部署的安全设备,由于无法做到统一管理分析,往往无法及时发现有效的攻击事件,同时在事后由于缺失日志、样本等关键数据,无法做进一步溯源分析。对于安全防护要求较高的业务系统,可通过部署态势感知平台,结合威胁情报数据,及时发现恶意网络攻击,此外全流量存储分析平台,可为企业提供未知攻击捕获及安全事件攻击溯源能力。