中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

數(shù)據(jù)泄露后,攻擊者是如何應(yīng)對事件響應(yīng)的?

2022-10-06    分類: 網(wǎng)站建設(shè)

最近,SolarWinds攻擊事件說明了高級持久性攻擊者是如何長期隱藏在網(wǎng)絡(luò)中而不被發(fā)現(xiàn)的。由于時間、機(jī)會和投資,攻擊者已經(jīng)深入組織,試圖保持隱蔽并進(jìn)一步推進(jìn)其目標(biāo)。

數(shù)據(jù)泄露后,攻擊者是如何應(yīng)對事件響應(yīng)的?

組織必須知道在檢測到數(shù)據(jù)泄露后該怎么做,準(zhǔn)備應(yīng)對計劃以阻止更多的惡意活動。在此,我們將深入了解攻擊者如何應(yīng)對事件響應(yīng),以及安全團(tuán)隊如何阻止攻擊者進(jìn)一步嵌入組織內(nèi)部。

攻擊者如何反擊事件響應(yīng)措施

在攻擊者意識到被動措施的情況下,他們通常會加速實現(xiàn)其最終目標(biāo),例如滲透知識產(chǎn)權(quán)或執(zhí)行勒索軟件。高級攻擊者可能部署了多個工具集,并改用其他手段進(jìn)行活動,以降低響應(yīng)者的可見度。攻擊者還通過泄露電子郵件通信來監(jiān)控響應(yīng)者的通信。

考慮到攻擊者在發(fā)現(xiàn)事件響應(yīng)參與后可能會加速或改變路線,受影響的實體應(yīng)該擁有當(dāng)前的、經(jīng)過測試的響應(yīng)手冊以及事件響應(yīng)流程,以高效地應(yīng)對漏洞,從而減少攻擊者的反應(yīng)時間。

他們?nèi)绾螡摲谙到y(tǒng)中

攻擊者在成功進(jìn)入環(huán)境后,會設(shè)法通過多種入口途徑實現(xiàn)持久性,如后門、創(chuàng)建合法管理員賬戶或安裝遠(yuǎn)程控制軟件。這就消除了每次想要獲得訪問權(quán)時利用漏洞或人員的要求。獲得未來進(jìn)入環(huán)境的多種選擇,加強(qiáng)了攻擊者的立足點(diǎn)和能力,即使在事件響應(yīng)團(tuán)隊發(fā)現(xiàn)和干預(yù)后,他們也會返回。受影響的實體應(yīng)該實施有效的網(wǎng)絡(luò)和端點(diǎn)監(jiān)控,以識別異常情況并做出相應(yīng)的反應(yīng)。

他們?nèi)绾味惚軝z測

高級攻擊者會經(jīng)常試圖通過使用合法軟件來生存,這些軟件往往不會觸發(fā)防病毒或端點(diǎn)檢測和響應(yīng)技術(shù)。這些軟件類型通常被稱為Living Off The Land Binaries,或LOLBins,可以是攻擊者用來實現(xiàn)其目標(biāo)的任何合法軟件。例如,系統(tǒng)管理員通常使用PuTTY套件來完成日常任務(wù),并且通常包含在標(biāo)準(zhǔn)客戶端桌面構(gòu)建中。雖然這為系統(tǒng)管理員提供了方便,但它也是一套工具,攻擊者可以用來建立SSH會話,從暫存服務(wù)器上收集更多的工具,并四處移動數(shù)據(jù),所有這些都是通過加密的渠道。一些高級攻擊者通過在端點(diǎn)上使用提供給他們的工具來完成他們的活動,而不需要將惡意代碼引入環(huán)境中。

他們?nèi)绾卧诎踩那闆r下利用后門返回

后門的范圍可以從端點(diǎn)上安裝的代碼到新的管理員賬戶。端點(diǎn)上的持久機(jī)制通常是服務(wù)、計劃任務(wù)、注冊表 "運(yùn)行 "鍵,甚至是用戶配置文件啟動文件夾內(nèi)的條目。如果遠(yuǎn)程訪問是可用的,或者遠(yuǎn)程控制軟件的安裝沒有被阻止的話,他們也可以利用被入侵或惡意創(chuàng)建的賬戶來保留遠(yuǎn)程訪問。

事件響應(yīng)團(tuán)隊如何應(yīng)對攻擊者的技術(shù)

事件應(yīng)對不一定由一個小組負(fù)責(zé),應(yīng)開展準(zhǔn)備活動,以提高任何安全應(yīng)對能力。如果安全小組內(nèi)部不具備事件應(yīng)對的專門知識,請第三方專家參與也是可行的。

核心事故應(yīng)對團(tuán)隊將牽頭負(fù)責(zé)。然而,他們應(yīng)該呼吁企業(yè)內(nèi)部的關(guān)鍵部門和技術(shù)所有者增加可視性、經(jīng)驗和知識的層次。利用相關(guān)業(yè)務(wù)部門內(nèi)的現(xiàn)有技術(shù)和其他人員的知識將使發(fā)現(xiàn)異常活動和軟件或代碼的工作變得更加容易。

在任何安全事件發(fā)生之前,都可以開展一些標(biāo)準(zhǔn)活動,為更高效、更快速的響應(yīng)鋪平道路。雖然不同的企業(yè)和不同的事件會有所不同,但這個動態(tài)活動清單可能包括以下內(nèi)容。

盡可能查明、評估和最終利用帶外通信平臺(不在內(nèi)部托管或不在受影響實體擁有或管理的網(wǎng)絡(luò)上的通信渠道)以減少威脅行為體攔截信息的風(fēng)險。對這些通信渠道的訪問應(yīng)僅在批準(zhǔn)的基礎(chǔ)上進(jìn)行,并可進(jìn)行審計。 在任何安全事件發(fā)生之前,開發(fā)和測試事件應(yīng)對流程和手冊。這些流程和手冊應(yīng)包括關(guān)鍵部門和技術(shù)所有者,他們可以被要求協(xié)助響應(yīng)者并處理常見的網(wǎng)絡(luò)安全事件。 允許列出在業(yè)務(wù)環(huán)境中被認(rèn)為可以接受的軟件。所有的例外情況都應(yīng)在批準(zhǔn)前要求正式申請、審查和簽字。 制定身份和訪問管理政策,定義最小權(quán)限原則,以減少不必要的用戶權(quán)限。反過來,這也減少了數(shù)據(jù)刪除、損壞或更改的風(fēng)險(不管是無意的還是惡意的,或被入侵賬戶使用特權(quán)訪問的風(fēng)險)。 開發(fā)一個標(biāo)準(zhǔn)端點(diǎn)構(gòu)建,僅包含跨所有業(yè)務(wù)單元所需的最低限度軟件。超出此范圍的軟件將由允許列表和允許列表申請流程覆蓋。 網(wǎng)絡(luò)分段,以實現(xiàn)對特定受影響區(qū)域的監(jiān)控或關(guān)閉。

安全團(tuán)隊必須準(zhǔn)備好在違規(guī)事件發(fā)生后該怎么做,無論是自己還是在專家第三方的幫助下,以防止攻擊者的進(jìn)一步破壞。通過了解攻擊者如何對抗事件響應(yīng)團(tuán)隊,組織可以更好地識別攻擊的警告信號,并制定行動計劃,迅速做出反應(yīng)。

當(dāng)前文章:數(shù)據(jù)泄露后,攻擊者是如何應(yīng)對事件響應(yīng)的?
網(wǎng)站URL:http://www.rwnh.cn/news28/202728.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供外貿(mào)網(wǎng)站建設(shè)、企業(yè)網(wǎng)站制作、網(wǎng)站設(shè)計公司、微信小程序、網(wǎng)站制作、網(wǎng)站維護(hù)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都seo排名網(wǎng)站優(yōu)化
高碑店市| 民县| 哈巴河县| 赤峰市| 镇康县| 原平市| 揭阳市| 昌乐县| 宝清县| 张家港市| 通道| 伊通| 永州市| 洪雅县| 陇南市| 新泰市| 浦城县| 平和县| 江孜县| 丹巴县| 姚安县| 泰安市| 楚雄市| 乐山市| 沈阳市| 汕尾市| 商都县| 南城县| 青浦区| 安龙县| 赣榆县| 清水河县| 朝阳区| 长子县| 乐昌市| 融水| 永嘉县| 中山市| 黎川县| 论坛| 搜索|