根据思科的Talos安全专家的说法,2022年对于企业事件响应者来说,又将是又一年的繁忙一年,因为勒索软件,供应链和无数零日攻击将继续上升。
为了帮助应对威胁,思科塔洛斯(Cisco Talos)团队使用博客和在线演示文稿来详细介绍企业可以为自己辩护,以防御不断增长的不良演员领域,并指出从最近有害的利用中学到的经验教训,例如log4j脆弱性和Microsoft Exchange Server零日威胁。
曾经,曾经是零日攻击是由州行为者针对服务提供者发起的,但是那些日子已经过去了,尼克·比西尼(Nick Biasini)在思科塔洛斯(Cisco Talos)的外展负责博客关于2022年的安全格局。现在,新的,经验丰富的战斗人员使用较少的手术攻击寻求更广泛的目标。他写道:“这导致了比我们历史上看到的更大的风险行为,而没有对附带损害的多大关注。”
这些国家行为者也改变了他们的策略。现在,他们还没有专注于针对其他国家的间谍活动,而是针对旨在破坏和破坏的攻击的持不同政见者和激进主义者。同时,由于他们能够通过加密货币轻易收集的数十亿美元,犯罪企业已成为更大的威胁。“作为捍卫者,我们从未面临过更多的挑战……” Biasini说。
2022年最大的一些挑战包括持续的问题,例如log4j和勒索软件。
未列出的log4j仍然是一个威胁
Log4J软件在企业和消费者服务,网站和应用程序中广泛使用,作为支持客户/服务器应用程序开发的易于使用的实用程序。但是它有弱如果被利用的话,可以让未经验证的远程参与者控制受影响的服务器系统,并获得对公司信息的访问或释放拒绝服务攻击。
Cisco Cisco Cyber Cyber Cyber Cyber Cyber Cyber Cyber Thriance Prainistic Analleance in in Neil Jenkins Cyber网络网络威胁联盟首席分析官说,Cisco Telemetry已检测到攻击者在脆弱的VMware Horizon服务器中利用这些弱点,并以恶意有效载荷感染了包括钴罢工在内的恶意有效载荷,这是一种工具,旨在帮助渗透测试者保护网络,但也由攻击者使用。在线演示文稿。尽管有警告要对Log4J进行修补,但并非所有人都这样做,“仍然有威胁行为者,特别是高级威胁行为者,他们可能希望将来针对这些脆弱性。”
思科塔洛斯(Cisco Talos)表示,Log4J将被广泛利用,因此用户应尽快修补受影响的产品并实施缓解解决方案。
勒索软件仍然是祸害
除了第一季度,勒索软件占了塔洛斯在2021年所追踪的所有威胁的近50%,这要归功于勒索受害者的有利可图的支出。反过来,其中一些现金将有助于勒索软件卡特尔开发更复杂的方法。“正如我们在[供应链攻击]中看到的那样Kaseya,这些卡特尔有能力购买或开发零周期以在攻击中利用,这一趋势应该关注我们所有人,以及为什么行为保护将继续成为2022年及以后检测的重要方面。” Biasini说。
另一个问题是越来越多的勒索软件玩家。詹金斯说,在2021年初,许多袭击来自一组,但到年底,至少有13个不同的袭击。
“Even with one family, you have a lot of different affiliates who are using different tactics, so even with one dominant family, you can see still see a diversification and the types of attacks and the types of tooling they’ll use,” Jenkins said.
詹金斯说,还有其他因素可能会改变勒索软件的景观(美国政府的反验证措施一项),以及这些团体从全球执法部门进行的审查。较大的勒索软件组可能会分散为较少的检测,而开源勒索软件开发人员可能会遇到更艰难的时期,因为他们的某些论坛被关闭。詹金斯说,结果,攻击者可能会选择较小的目标,以避免更大的攻击可能提出的宣传和关注。
詹金斯说,最好的保护是保持网络防御最佳实践,例如离线备份,建立多因素身份验证以及制定事件响应计划。
零一天要留下来
Biasini表示,零日攻击的增长急剧增加,在2021年的野外发现了50多次,比2019年和2020年的整个合并得以多。
零日子仍然是丰富的攻击来源。在最近的天富杯黑客比赛在中国,针对简短的目标列表,有不少于30个成功的利用,其中包括影响最新版本的Windows和iOS。所有这些都可能被报告给由于最近的法规变化,中国政府Biasini说,这可能会产生后果。最新的例子是阿里巴巴受到中国政府的处罚没有提前向他们披露log4j他说。
当心可疑USB
另一个有趣的发展是安全领域中最古老的漏洞之一 - 使用恶意USB设备。
詹金斯说:“从2021年开始,即使在今年开始,也有大量的恶意USB用作初步访问的手段,这是过去的真正爆炸。”“但是提醒人们,即使这些旧的,过时的攻击向量仍然可以使用,并且仍然取得成功。”
企业最佳实践
思科塔洛斯研究人员确实对企业事件响应提出了建议。
修补,库存,细分培训以及制定事件响应计划都很重要,但是思科专家有一个主要建议:研究所多因素身份验证。詹金斯说:“我们确定缺乏MFA可能是企业安全最大的障碍之一。”“ MFA可能避免了许多勒索软件事件。因此,我们绝对鼓励您尽可能,尤其是在敏感系统上,尽快提高MFA。”
其他一些想法:
- 保留准确的资产列表,当前文档和政策,尤其是与修补有关的资产列表。在事件响应方面,这些都是基本的。“您想要的最后一件事是处于活跃事件中间,以发现您没有准确的资产清单,或者您六个月没有修补任何东西。确保实施网络细分和适当的访问控制等基本面将限制违规的影响。”思科说。
- 考虑软件选项时,从供应商那里获取软件材料清单(SBOM)。这应该可以快速确定特定库或开源软件中的脆弱性如何改变日常操作,并希望可以做出更彻底和周到的响应。
- 根据这个想法的计划,您将在某个时候被违反。创建一个网络安全事件响应计划,其中包括所有利益相关者。在事件中,每一分钟都要计算,这至关重要的是,适当的部门准备做出决定并采取行动,以便尽快进行遏制。准备与事件相关的过程可以使减轻受损的系统和遭受全面违规之间的区别。
- 启用记录。这可能很困难且昂贵,但是当您从事事件时,启用记录至关重要。没有它,您可能永远无法确定诸如初始感染矢量或零患者之类的事情。思科说,如果多个参与者能够滥用同样未被发现的弱点,这些失败可能会造成灾难性。