确定“入侵杀链链”以阻止其轨道中的数据泄露

由CEO的FrançoisAmigorena是决定

为了与网络犯罪分子作战,你必须像网络犯罪分子一样思考。如果您知道攻击者如何工作,他们如何思考以及他们如何行动,您都会更好地预测他们的下一步举动将会发生 - 并在发生之前停止它。

好消息是,今天大多数攻击都遵循类似的模式。攻击者通过掌握员工的登录凭据,慢慢但肯定在整个网络中扩展之前,攻击者获得未检测到的进入,直到他们找到一些价值数据。事实上,获取登录的行为现在如此有价值,因为损害凭证在今天的75%的数据漏所中使用。

但是,如果您完全了解攻击者在这一“入侵杀链链”的每个部分,您可以停止攻击。因此,这是模式网络犯罪分子经常遵循。

获取凭据
网络犯罪分子的终点越多,即智能手机,台式电脑,笔记本电脑,平板电脑 - 越容易遇到价值数据。获取访问开始以成功的登录开始,凭证通常通过网络犯罪通过网络钓鱼获得的凭据,通常通过使用一个密钥记录器监视具有提升特权的用户击键的密钥记录器。

最终目标是达到具有本地管理员访问的端点,并且一旦网络犯罪分子有,攻击者可以使用的内存中存在许多凭证工件。这可以包括密码哈希(用于传递散列攻击),Kerberos票(可以破解),登录会话凭据(存储在清除文本中),以及域凭据(可以破解)。网络犯罪分子经常转向像Mimikatz(这需要本地管理员权限)这样的工具来搜索端点的内存来查找和获取这些工件,使Hacker能够使用与其他黑客工具的凭据来建立对其他系统的身份验证。

认证
一旦网络犯罪分子获得了进入(或足够的凭据来促进身份验证),下一步就是从网络内横向移动,从端点到端点,通常通过SMB(访问文件系统),远程桌面,PowerShell远程处理,甚至WMI和RPC。

建立控制
一旦攻击者获得了另一个系统的进入,他们需要控制它。但是,提供初始身份验证的凭据可能在这个新终端上没有提高权限,这意味着攻击者通常从杀链链中的前两个步骤重复一些相同的工作,以及使用本机和可下载的黑客工具来获得访问每个端点上的本地管理员。

建立隐身
攻击者将每个受损的端点视为立足点,他们可以将其更深入到您的系统中。因此,要避免被检测到,通过使用自然不会引起IT管理员非常关注的本机工具,威胁演员“从土地上实现”。他们悄悄地将有效载荷直接交付给内存,以避免可能引起疑似且甚至将恶意流量重定向允许的端口。

建立持久性
在杀戮链中的每个点中,黑客修改了端点的配置以维护访问 - 以防有人检测到入侵。使用类似的策略对恶意软件,攻击者在系统重新启动或用户登录上运行脚本,将恶意软件,篡改文件,计划任务,恶意服务,注册表项以及任何创建的帐户返回到位,基本上重复到这一点所做的所有工作确保黑客可以持续访问端点。

阻止入侵杀戮链中的演员
在停止攻击之前,您需要能够检测到一个。但大多数组织对违规检测较差 - 平均需要146天才能检测到数据泄露,从而减轻损坏的时间太晚了。

所以你对此能做些什么?第一件事是了解我上面描述的事件链中的每个单个部分中发生的一个动作 - 登录。要获取通过网络钓鱼以外的凭据,攻击者必须以管理员身份登录。要进行身份验证,攻击者使用多种类型的多个登录。为了建立隐身,攻击者以升高的访问权限登录,以离开土地。并建立控制和持久性,攻击者需要当地登录作为管理员。

接下来,您需要密切关注所有登录和任何可能的异常,如奇怪的次数,从奇怪的地理位置,从奇怪的地理位置的登录,同时发生的登录,或者在特定端点上第一次发生的登录。

保持所有登录信息的顶部,但难以手动做,而是简单的技术今天存在。这种技术在一起了关于任何特定登录的上下文信息,并建立了试图登录的人的配置文件。然后,它将任何普通的东西标记为普通的任何东西,就像一个奇怪的位置或一天中的登录,立即到您的IT部门,同时阻止登录尝试,直到您能够进一步调查。

通过以这种方式与技术进行审计登录,您将有效地将任何攻击的成功率降至零。带走黑客登录的能力,你带走了最有价值的资产。

是决定发布了关于如何通过解决水平杀戮链来阻止外部攻击的报告。免费下载报告是免费的最佳网站。

关于作者
FrançoisAmigorena是首席执行官是决定

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请