企業需要先進的網絡防御

段鐵興

威脅的多樣化和復雜性已經突破了IT安全專業人員在各個垂直領域中保護各種規模組織的極限。網絡安全技能的短缺已經達到了歷史最高水平，53 %的組織承認他們遇到了這個缺口。

在技術匱乏的情況下，91 %的安全專業人士認為大多數組織都很容易遭受重大的網絡攻擊，94 %的人認為網絡罪犯在網絡安全專業人士面前占了上風。這些擔憂讓49 %的IT安全專業人員夜不能寐，特別是在IT和安全團隊遭受破壞、警報疲勞、安全工具不足和整個基礎設施缺乏可見度的情況下。盡管組織面臨的一些最大威脅包括蠻力、密碼竊取器、未修補的漏洞和其他基于網絡的端點攻擊，但電子郵件也是IT和安全團隊的主要關注點。金融、C級市場營銷和人力資源是魚叉式網絡釣魚郵件的主要目標，高級管理人員違反的安全規則最多，占57 %。

組織面臨主要安全威脅

針對組織的一些最大威脅和攻擊，無論規模大小和行業垂直，都會涉及Internet的公開服務，如RDP，SSH，SMB，HTTP。根據Bitdefender遙測的數據顯示，對RDP服務的暴力攻擊占所有基于網絡攻擊的65 %以上。網絡罪犯經常探查面向Internet的服務和RDP連接端點，以便讓組織外部的人遠程撥號。一旦進入目標機器，他們試圖刪除安全解決方案，并手動部署勒索軟件或橫向移動工具等威脅，旨在滲透和破壞基礎設施中的其他機器。

如果沒有正確配置和保護，RDP可以作為組織內的網關，有效地使威脅參與者訪問敏感的內部資源。暴力破解密碼是一種方法，因為網絡罪犯使用試錯的方式獲取用戶密碼或其他憑證等信息，甚至向服務器發送多個分布式請求，以尋找一對有效的憑證。網絡罪犯還試圖利用RDP服務中未修補的漏洞，并控制這些網關。例如，Microsoft RDP服務中最近出現的一個蠕蟲式安全缺陷允許攻擊者遠程控制脆弱的系統，這是用來危害組織的最新類攻擊載體之一。

這些類型的攻擊與行業無關，攻擊者只需要持有一個公開的服務器，如果成功，就可以在基礎設施中橫向移動，并危及其他服務器或端點，以確保持久性訪問和竊取高度機密的數據，甚至部署破壞性威脅來削弱組織或掩蓋他們的蹤跡。

威脅行動者還喜歡通過SQL或命令注入針對Web服務器的攻擊，因為他們可以在機器上啟用遠程代碼執行功能，并將其用作組織內的網關或橫向移動中樞。

SMB攻擊也成為威脅行動者常用的攻擊策略，因為這些SMB服務器通常位于基于Windows域的網絡架構上，允許所有員工從這些網絡共享中復制文檔。通過諸如EternlBlue或DoublePulsar之類的攻擊來破壞這些SMB服務器，可以讓攻擊者利用他們作為入侵組織、橫向移動和搜索其他高價值主機，甚至可以從暴露共享的網絡中遠程調度計算機上的任務。

Active Directory泄露也是網絡犯罪分子的首要任務。最近的調查甚至顯示，威脅參與者可以在不到2小時內成功入侵一個組織的廣告服務器。這個網絡犯罪團伙曾利用一家金融機構雇員打開的一份有問題的電子郵件附件，成功破壞了基礎設施中選定的機器，在基礎設施中悄悄移動，并部署了持久性和橫向移動工具。當網絡犯罪團伙專注于瞄準和損害特定的垂直領域時，他們對這些基礎設施的工作方式、關鍵評估可能位于何處以及公司可能擁有何種網絡安全防御有著深入的了解。

大多數攻擊都是使用免費的開源工具進行的，這意味著網絡罪犯的進入門檻很低。然而，威脅參與者要實施高針對性的攻擊，需要先進的網絡知識和自定義工具來執行高級持續威脅（APT）。

組織需要集中部署和使用網絡攻擊防御技術來識別和分類網絡行為，這些行為可能包括橫向移動、惡意軟件感染、Web服務攻擊、僵尸網絡或TOR/Onion連接導致的惡意流量，甚至密碼或敏感數據泄露導致的隱私泄露。

用網絡攻擊防御來避免漏洞

行為技術、多事件關聯和網絡分析正在增加組織避免破壞和數據盜竊的機會。為應對威脅提供規范建議的應急響應方案是IT安全的未來，并有助于解決困擾行業的嚴重安全技能短缺問題。

不阻塞網絡流量的自動化、實時網絡流量檢測和預防技術可以以流模式掃描數據，在出現數據包變形的第一個跡象時就能阻止威脅。這意味著惡意流量甚至不會到達本地應用程序或計算機，從而在任何負載著陸之前有效地阻止攻擊。

網絡攻擊防御技術使用專有和第三方妥協指標（IoC）提要提供的事件關聯引擎可以識別和分類可疑的網絡行為。此外，在學習網絡流量的正常行為時，使用一些機器學習算法來識別特定的攻擊向量，例如協議或設備特定的異常檢測，可以幫助組織在網絡層抵御威脅。

此外，能夠將這種基于網絡的威脅情報與端點檢測和響應（EDR）功能集成在一起，可以幫助組織保護整個網絡，讓他們看到從網絡到操作系統的整個技術堆棧。更重要的是，集成了EDR功能的網絡防御技術可以發現復雜事件，同時支持從MITRE檢測新的橫向運動。這讓組織可以全面了解他們在整個基礎設施中的整體網絡安全狀況。

網絡攻擊防御技術可以在攻擊鏈的早期檢測和阻止新類型的威脅，同時使用簽名和基于行為的機器學習關聯多個攻擊向量。將網絡攻擊防御功能添加到您的庫中，可以通過提前一步處理大量的攻擊威脅和載體來改善整體安全狀態。