管理中心 社区论坛

TOP

数据泄露后,攻击者是如何应对事件响应的?
2021-04-20 11:06:13 来源: 作者: 【 】 浏览:217次 评论:0

网络攻击是当今企业面临的最大威胁之一,尤其是在新冠病毒爆发期间。现在,还有一部分企业员工选择在家办公,越来越多的设备连接到企业网络中,越来越多的业务在网上进行。这种新的工作环境为安全攻击者提供了更多的机

最近,SolarWinds攻击事件说明了高级持久性攻击者是如何长期隐藏在网络中而不被发现的。由于时间、机会和投资,攻击者已经深入组织,试图保持隐蔽并进一步推进其目标。

数据泄露后,攻击者是如何应对事件响应的?

组织必须知道在检测到数据泄露后该怎么做,准备应对计划以阻止更多的恶意活动。在此,我们将深入了解攻击者如何应对事件响应,以及安全团队如何阻止攻击者进一步嵌入组织内部。

攻击者如何反击事件响应措施

在攻击者意识到被动措施的情况下,他们通常会加速实现其最终目标,例如渗透知识产权或执行勒索软件。高级攻击者可能部署了多个工具集,并改用其他手段进行活动,以降低响应者的可见度。攻击者还通过泄露电子邮件通信来监控响应者的通信。

考虑到攻击者在发现事件响应参与后可能会加速或改变路线,受影响的实体应该拥有当前的、经过测试的响应手册以及事件响应流程,以高效地应对漏洞,从而减少攻击者的反应时间。

他们如何潜伏在系统中

攻击者在成功进入环境后,会设法通过多种入口途径实现持久性,如后门、创建合法管理员账户或安装远程控制软件。这就消除了每次想要获得访问权时利用漏洞或人员的要求。获得未来进入环境的多种选择,加强了攻击者的立足点和能力,即使在事件响应团队发现和干预后,他们也会返回。受影响的实体应该实施有效的网络和端点监控,以识别异常情况并做出相应的反应。

他们如何躲避检测

高级攻击者会经常试图通过使用合法软件来生存,这些软件往往不会触发防病毒或端点检测和响应技术。这些软件类型通常被称为Living Off The Land Binaries,或LOLBins,可以是攻击者用来实现其目标的任何合法软件。例如,系统管理员通常使用PuTTY套件来完成日常任务,并且通常包含在标准客户端桌面构建中。虽然这为系统管理员提供了方便,但它也是一套工具,攻击者可以用来建立SSH会话,从暂存服务器上收集更多的工具,并四处移动数据,所有这些都是通过加密的渠道。一些高级攻击者通过在端点上使用提供给他们的工具来完成他们的活动,而不需要将恶意代码引入环境中。

他们如何在安全的情况下利用后门返回

后门的范围可以从端点上安装的代码到新的管理员账户。端点上的持久机制通常是服务、计划任务、注册表 "运行 "键,甚至是用户配置文件启动文件夹内的条目。如果远程访问是可用的,或者远程控制软件的安装没有被阻止的话,他们也可以利用被入侵或恶意创建的账户来保留远程访问。

事件响应团队如何应对攻击者的技术

事件应对不一定由一个小组负责,应开展准备活动,以提高任何安全应对能力。如果安全小组内部不具备事件应对的专门知识,请第三方专家参与也是可行的。

核心事故应对团队将牵头负责。然而,他们应该呼吁企业内部的关键部门和技术所有者增加可视性、经验和知识的层次。利用相关业务部门内的现有技术和其他人员的知识将使发现异常活动和软件或代码的工作变得更加容易。

在任何安全事件发生之前,都可以开展一些标准活动,为更高效、更快速的响应铺平道路。虽然不同的企业和不同的事件会有所不同,但这个动态活动清单可能包括以下

18
您看到此篇文章时的感受是:
Tags: 责任编辑:梦丫头
】【打印繁体】【投稿】【收藏】 【推荐】【举报】【评论】 【关闭】 【返回顶部
上一篇OpenSSL爆严重DoS和证书验证漏洞 下一篇OpenSSL 修复了严重的 DoS 和证书..

相关栏目

最新文章

图片主题

热门文章

推荐文章

相关文章

广告位