 The Good 這週先讓我們為羅馬尼亞的網路警察拍拍手~因為他們逮捕了一群使用 Locky 勒索程式攻擊醫院為目標及其他輕罪的犯罪分子。The Directorate for Investigating Organized crime and Terrorism(DIICOT)突襲了在羅馬尼及摩爾多瓦的一個犯罪基地,逮捕了四名涉嫌犯罪的人,他們稱自己為 “ Pentaguard”。 而除了攻擊醫療機構,直接使人們的生命處於危險之中,“ Pentaguard” 還涉嫌破壞和損害屬於公共和政府機構、金融服務和教育類的網站。  The Bad “這就是為什麼我們不能擁有美好的事物” <- 這一句是這陣子無所不在的輪迴之一,特別是這週的壞消息,高階版的駭客 Winnti 用了他們複雜的惡意程式瞄準了……遊戲開發商。 乍看之下,這是有點詭異的目標,因為惡意程式需要大量的技能和精力來製作,並且有使用後不久就被 “燒毀”(也就是,被防毒軟體擋下來)的風險。 通常,這樣的資源僅用於具有高度價值的公司或組織,而在這些目標中,駭客們知道他們可以得到更多超過 “投資業務的成本” 並有保證的投資報酬率。 但是,Winnti 在這方面的記錄,本週的報告指出,通過利用每次啟動時運行的 Windows 印表機驅動程序而持續存在的惡意程式不僅可以用作供應鏈攻擊的一部分,而且還可以用作攻擊供應鏈的一部分 - 經由操縱遊戲虛擬幣來獲利。 正如一篇在論壇的評論指出,在大型 on-line 遊戲平台擁有數億用戶的基礎,以高特權級別運行軟體,用戶很少去檢視強製或自動更新。 從惡意程式作者或殭屍網路構建者的角度來看,這有什麼好不喜歡的?  新版本的 Winnti 使用了一種新的 backdoor,稱為 PipeMon,因為它使用了許多在 modules 之間進行通信的管道。 在 2018 年時,PipeMon 從 Nfinity Games 竊取了的合法 Windows 憑證,使其可以偷偷的安裝在系統內。儘管這是2年前的,但被盜的憑證仍未被吊銷。 The Ugly 那麼這週的醜陋新聞就先從英國的一家航空公司 EasyJet 開始。 這家英國最大的航空公司本週透露,大約有 900 萬個客戶電子郵件以及他們的旅行數據被洩露。 在此次洩漏中,估計有 2208 位客戶的信用卡詳細信息也被暴露在外。這對於網絡犯罪分子來說是一個豐厚的發薪日。 EasyJet 表示他們已遵守當地的網路攻擊違規通知規定,所有受影響的客戶將在 5 月 26 日之前收到通知。 有鑑於這次的攻擊,EasyJet 的客戶應格外警惕釣魚郵件,並密切注意信用卡帳單上是否有未授權或欺詐性交易的跡象。  第二個醜陋消息的主角是在美國膳食工具包專家 Home Chef ,在本週也被確認出客戶數據也被洩露出去。而該數據洩露是由一名沒有聽說過的 Darknet data broker ShinyHunters 所發動的首次攻擊。 ShinyHunters 在一整個五月在各種犯罪論壇上公布即將有大數據洩露事件,但事實證明出,這些早期洩漏的數據沒有什麼價值並被質疑。 例如,他們聲稱擁有 500GB 的 Microsoft source code,但研究人員指出,當時被丟出來 1GB 樣本,是早己計劃可以被公開的 code。
但是,Home Chef 和其他許多知名網站已公開確認 ShinyHunters 其他的攻擊。 研究人員懷疑, ShinyHunters 會在暗網中數據交易的世界中突然成為大咖,其實是個有經驗的駭客組織正在嘗試使用新的身份。 但無論如何,這樣的行為無疑會給受影響的客戶增加麻煩,同時給被攻擊的企業組織造成不幸的名譽損失。
0 Comments
The Good 在 2020 的第 20 周呢,CISA(The Cybersecurity and Infrastructure Security Agency)發布了Alert AA20-133A。 而這個 Alert 比較像是一個 Summary 涵蓋了前年以及 2016 年至 2019 年常被利用漏洞的一個趨勢。而且這都是有根據的,駭客並不傾向於使用新的 zero-days 或花枝招展的技術。 在大多數情況下,他們使用可靠的工具。 也很不幸的是,目標們通常是可靠的,因為這些目標們通常都不更新也不修補安全漏洞。 2016 年至 2019 年常被利用的十大漏洞為:
在 2020 年,well, 到目前為止,經常被攻擊的主要漏洞為:
由於 2020 的 COVID-19 傳染疾病 ,導致大規模的遠端上班。 MS Office 365,Team,Zoom 和其他各種漏洞開始被注意到,造成了使用者成為鎖定目標。 那麼,為什麼這是個好消息呢? 正所謂知彼知己,百戰百勝。準確了解攻擊趨勢始終是一件好事。若是無法優先考慮資產以及風險管理和緩解方法的環境,可以很快的使用這樣的數據來了解自身環境中的弱點並採取適當的措施。 CISA 警報還連接到每個 CVE(漏洞)的各種緩解選項,允許在需要時採取快速措施。 The Bad 據報導,本週以色列安全內閣舉行會議,討論了對國內自來水基礎設施的網路攻擊。 很多媒體也指出,這次襲擊是伊朗所為。 儘管目前的情報表示,這次攻擊沒有造成損害或負面結果,但我們可以肯定的是伊朗與以色列之間的緊張局勢又再次升級。  攻擊最初是在 2020 年 4 月底向 INCD(Israeli National Cyber Directorate)告知的。當時,多家民用水廠的運營商報告說 “設備運行異常” 和 “過程行為異常”。 而這次的攻擊專門針對有裝置 exposed (internet-connected )PLC(programmable logic controllers)的多項設施中。 幸運的是,這次攻擊沒有造成任何損害(不像是……Stuxnet)。 但是,一開始進入的 vector 肯定會引發一些警報。 暴露的PLC 不需要身份驗證。 僅需對特定控制器管理接口和連接所需端口的了解。 簡單來說,這些知識都是可以快速的在 Google搜尋到。 還有,目標中的 PLC 跨越了很多個供應商。 攻擊者需要花時間並在攻擊之前通過徹底的偵查來收集基本資訊。 攻擊者還能夠修改目標控制器的過程邏輯,但如上述,運營商僅以“異常行為”來表示這次的攻擊。 基礎設施攻擊是一種不好的組合。 我們最關鍵的設備通常是最容易暴露且最容易受到攻擊的設備。 資安人員應該要有這樣的心態並致力保護這些系統。 遵循 CISA 和 DOE( Department of Energy )的指導方針是避免此類攻擊的關鍵。 正確使用VPN,MFA,用戶管理/控制以及真正的網路 segmentation 將對防止更多災難大有幫助。 CISA 還提供了許多工具,可以幫助評估和增強資安狀況。 The Ugly 目前全世界,不僅是在生活上,或工作上都還在以不同的方式面對 COVID-19 。 這包括使用 Zoom 之類的線上會議工具來協助我們持續發展的業務和溝通需求。 到現在為止,我們都已經熟悉 “ Zoom Bombing” 即類似的攻擊。 本週發生了另一起受矚目的 Zoom Bombing 攻擊事件,涉及 Dallas ISD(Independent School District)。 在一個有家長,老師和學生參加的關於畢業的會議上,視訊會議被攻擊。 沒被邀請的駭客向參與者發布了色情圖片。 事件發生後不久學校發表了以下聲明: “We apologize for the graphic images some of our students and families may have seen during a parent-senior Zoom meeting, which was hacked by an unknown source yesterday. It’s unfortunate the digital platform that many of us rely on to connect students with teachers each day, has been compromised through various “Zoom-bombings”. Though we are disappointed the incident occurred, campus administrators successfully restarted the meeting without further incident and are working with Dallas ISD Police to investigate. A formal complaint was reported to Zoom, as we hope this incident prompts a stronger review of their security measures.” “我們為在 Zoom 會議上看到的不雅照片表示歉意,昨天的會議遭到了不知名人士的攻擊。 也很不幸的,我們目前還是仰賴於數位平台來將學生與老師聯繫起來,但由於各種 “ Zoom-bombings” 而受到損害。 我們對事件發生感到失望,但校園管理員成功地重新開始了會議,也沒有進一步的攻擊事件發生,並且正在與 Dallas ISD 警察一起進行調查。 我們已向 Zoom 提出投訴,我們希望此事件能促使他們對其安全措施進行更嚴格的審查。” 請切記,公司企業永遠不能對自己的資安感到滿意及沾沾自喜。 儘管 Zoom 和其他供應商已經開始補救各種缺陷和疑慮,但被攻擊的可能性總是會在那兒等著你。 我們鼓勵大家閱讀有關 Zoom 和 Slack 之類應用程序的安全性準則。
The Good 每當有駭客組織受到破壞時,我們都會拍拍手~但是當整個詐騙 supply chain 都毀了時,我們會拍手又拍腳。 在最近,波蘭和瑞士的執法部門,在歐洲刑警組織(Europol)和歐洲司法組織(Eurojust)的幫助下,摧毀了一個駭客集團,他們參與分發被盜的用戶憑據,開發和分發惡意程式和駭客工具。 這個名為 InfinityBlack 的集團,他們有兩個收入來源。 一個是惡意程式的開發和銷售,針對憑證填充惡意程式。 第二個更有利可圖的是使用這些相同的工具來竊取憑據並出售它們。  Infinity 專門開發 login 憑證的 “組合”,大部分是給會員制使用的。 開發完成後在網站出售,並被技術比較不好的駭客利用來進入客戶帳號,並將累計積分兌換成高檔的電子設備。 執法機構進行了跨國行動,在瑞士 Vaud 逮捕了五人。 但被捕人士是屬于比較低階的成員。 他們的被逮捕和電子設備的沒收成了抓到位於在波蘭 InfinityBlack 成員的原因。 儘管整個過程都屬於正面的,但它也證明了這些罪犯們的創造力和膽識,他們設法找到濫用數字經濟的新方法。 這個組織被揭露和逮捕的希望能阻止其他星彤的攻擊活動。 The Bad 遠端工作和會議工具近來一直處於在高度關注下。 到目前為止,我們都聽說過 Zoom,Skype 和其他遠端程式的優缺點。 本週,Abnormal Security 的成員發現了 Microsoft Teams 的潛在危險攻擊。 一個集中在 Microsoft Teams 中的自動通知功能點安全漏洞。  駭客們可以通過特製的 email 將潛在受害者作為目標,並進行 compound 攻擊。 攻擊的一部分利用可信度高的網路釣魚電子郵件,以及有著同樣可信度的有毒網頁。 據說,這些假通知的 “層級” 是在 “標準釣魚” 之上的 ,而且這些駭客們很用心的讓假通知更具說服力。 他們甚至為了這次攻擊去註冊的一個新網域。 攻擊的第二部分是使用 payload 竊取憑據。 駭客利用多層 URL redirects,最終將受害者引導到錯誤的 Office 365 登錄頁面(同時盡可能掩蓋真實的 URL)。 一旦受害者登錄到 cloned site,駭客們就成功了。 The Ugly 沒有什麼比駭客們試圖阻礙醫療及研究人員為治療和尋找 COVID-19 的方式更令人沮喪的事了。 在本週,一個勒索程式襲擊了位於在德國的最大的私人醫院 :Fresenius。 這家歐洲醫療組織在 100 多個國家/地區擁有近300,000 名員工,為患有腎功能衰竭的患者提供護理和透析治療,如今也面臨醫療崩潰的狀況,因為許多有使用呼吸機的 COVID-19 患者會併發為急性腎損傷並需要透析治療。  普通的網絡罪犯並不是唯一攻擊這些關鍵機構的人。在本週早些時候發布的警報中,United States Department of Homeland Security(DHS)Cybersecurity 和 Infrasturcture Security Agency(CISA)和 United Kingdom's National Cyber Security Centre (NCSC)指出,有 APT 組織以 2019 年新冠狀病毒(COVID- 19)作為其網路犯罪運營的一部分。這些攻擊的目標是醫療組織,藥廠,學術界,醫學研究組織和地方政府。這些攻擊的目的是收集個人資料和知識產權(其中一些可能與 COVID-19 治療方式或疫苗有關)。攻擊方法包括掃描目標公司的外部網站,以及在未 patched 的軟體(例如 Citrix)中查找漏洞,以及來自 Pulse Secure,Fortinet 和 Palo Alto 的虛擬網(VPN)產品。使用的另一種方法是使用密碼噴濺攻擊來破壞帳戶並使用橫向移動在網路中竊取其他數據並增強持久性。
 一年又過去了,在令人震驚的統計數字中,有一個數字比其他數字高。 據估計,勒索軟體去年在美國造成的損失超過 7.5 億 美元。 事實上,我們聽說過無數勒索軟體事件,並且看到了可自我創造的勒索軟體 RaaS projects 的爆炸式增長,這也讓駭客入門者更容易採取攻擊。 但是,當我們將數字相加併計算平均支出時,這些金額並不能完全反映出遭受勒索軟體的企業組織所承受的財務負擔。 以下,我們將研究勒索軟體攻擊的六大實際損失。 1. Direct Cost: The Ransom Payment 贖金 當然,勒索軟體的支付是最主要的,但這只是勒索軟體給受害者造成的總體成本中的一個小小的因素,而不是最大的。 在 2019 年第三季,我們看到平均贖金支付增加了 13%,達到 41,198 美元,而 2019 年第二季為 36,295 美元。 Ryuk 導致了勒索軟體付款的大量增加。 平均需要 288,000 美元駭客們才能釋放系統,而其他平均要價 10,000 美元。 2. Indirect Cost: Enforced Downtime 間接性的損失是指與勒索軟體攻擊相關的業務中斷成本。 業務中斷的成本通常是直接成本的五到十倍。 若是要計算實際 downtime 的成本是有挑戰性的,因為不同的企業和組織有著不同的影響。 對於中小型企業來說,2019 年的平均 downtime 成本為 141,000 美元,比去年的 46,800 美元的平均 downtime 成本增加了 200% 以上。 這比對中小企業要求的平均贖金(5,900美元)高出了 20 倍以上。 在公家單位中,有 42% 的單位在過去 12 個月中遭受了勒索軟體攻擊,其中 73% 的組織因此遭受了兩天或更長的 downtime。 根據 Ponemon Institute 的研究,對於企業來說,2019 年第三季的平均 downtime 時間為 12.1 天,總成本估計為 740,357 美元。 製造商 Norsk 在遭受勒索軟體攻擊時造成了 5500 萬美元的累計損失,這導致了運營關閉的額外成本,這才是真正驚人的影響。 對市政當局的襲擊也可能代價高昂。 據估計,對 New orleans 的攻擊使這座城市損失了 100 萬美元,而對 Baltimore 的攻擊估計造成了總計 1800 萬美元的損失。 3. Indirect Cost: 名譽損失 勒索軟體攻擊與過往的隱形網路攻擊不同。 因此,它們具有很高的破壞力,而且是看的見的,這使受害者別無選擇,只能讓大家知道他們已遭到攻擊。 這樣的公開,通常會導致客戶,投資者和其他利益相關者的強列負面反應。 儘管數據是可以恢復,但想要恢復大眾的信任並不容易,尤其是如果未及時,很好的透明化處理的話。 這可能對保留現有客戶,未來業務產生不利影響,甚至會對公司的股價產生負面影響。 4. Indirect Cost: Liability 企業責任 勒索軟體攻擊可能會產生不開信的客戶,而這些客戶反過來又可以走法律並尋求賠償。 這就是在 2019年 12 月時,Alabama 醫院被勒索軟體攻擊後,患者對 DCH Health Systems 提起了集體訴訟,指控侵犯隱私,疏忽大意和醫療服務中斷。 儘管公司企業在其他狀況下還是會被提起誹謗訴訟,但只要一牽涉到勒索軟體,公開化了,要求賠償的理由也更加的簡單。 此外,駭客們已開始公開竊取的數據,這可能導致受害公司陷入潛在的尷尬囧境,從洩露數據的客戶可更進一步提起訴訟。 5. Indirect Cost: Collateral Damage 附帶損害 與任何類型的網路感染一樣,即使與攻擊沒有直接關係,受害者要有心理準備遭受全部損失。 正如 Brian Krebs 報導的那樣,一家被 Ryuk 攻擊的公司,公司的憑證全部被盜,然後再用於各種惡意行為,有部分是 Emotet 的幫助下進行的。 儘管這不是許多與勒索軟體相關的典型行為,駭客通常直接尋求快速付款,但這表現出此類的攻擊,是帶有可以更進一步造成附帶損害的可能性 6. Indirect Cost: Data Loss 不幸的是,在攻擊本身造成損失之後,支付贖金並不能保證受害者的加密數據可以安全地恢復。 最近,我們發現 Ryuk 使用的數據恢復機制有問題,即使受害者支付了贖金,還是導致某些類型文件的沒有完全恢復及遺失。 在其他情況下,當收者支付了贖金後,駭客們也走了,也不提供解密方式,而不幸的受害者將陷入黑洞中,數據拜拜。 Is This The End? 勒索軟體攻擊對企業是致命的,它們可能永遠無法從直接性或間接性中造成的損害恢復財務。 在一個案例中,一家美國 fundraising 公司在 10 月被勒索軟體嚴重攻擊之後,被迫關門。即使他們已支付了贖金,但這家超過 60 年的企業,不得不在12月下旬結束營運,他們員工被迫過了一個非常不愉快的聖誕節。 Summary
在嘗試評估勒索軟體攻擊產生的潛在風險時,公司企業應考慮以下幾點:贖金支出,downtime ,名譽受損,數據遺失等。 一旦考慮了這些因素,我們建議尋求一個受信任的端點解決方案,可針對勒索軟體來提供最大的安全性,並通過適當的備份系統和營運不斷電進行加強。 我們還建議購買合適的網路保險,以進一步降低風險。 The Good 本週的好消息有待再觀察,但就目前來說,這對成千上萬的勒索程式受害者是一大好消息。 一個 github 使用者自稱代表 Shade,宣布他們從去年年底以來已停止攻擊,而且還公開發布了 750,000 個 decryption key 以及解密程式。 Shade,Trotldesh 或 Encoder.858 勒索程式從 2014 年首次開始出現,出現後一直是個沒有停歇過的威脅,一些資安廠商指出,在2018 末和 2019 初,Shade 攻擊急劇增加。我們目前還看不出有什麼端倪,或者他們已經被競爭對手攻陷或注意力轉移到其他地方。 但無論哪種情況,公布出的 decryption key 貌似是真的,而 Shade 這個勒索程式的消失確實是件好消息。  The Bad 在疫情期間,居家辦公時,我們比以往任何時候都更加依賴資安軟體,尤其是通過線上通話的會議商務會議方面。 儘管 Zoom 的問題已被記錄下來,但別忘了還有微軟的 Team 。 據說,Team 有一個類似蠕蟲的主要安全漏洞,該漏洞可能讓在遠端的駭客完全接管企業的團隊帳戶,並用 lateral movement 攻擊整個網路。 這次非常技術性的零時差攻擊僅需將 image 或 GIF 發送給受害者即可。 研究人員說,一旦將圖開啟於 viewer 中,攻擊就成功,而且受害者不會知道自己已遭到了攻擊。 這個漏洞已於 3 月 23 日秘密的告知 Microsoft,並於 4 月 20 日修復。 話不多說,如果你還沒有更新的話,請立即更新。  此外,這周其他的壞消息中,駭客們不斷的零時差攻擊在 Sophos XG Firewall 產品的漏洞。 這是一個在身份驗證前 SQL injection 漏洞 (CVE-2020-12271),這會建立一個遠端執行代碼(RCE)狀態,駭客可以隨之利用漏洞進入 XG 設備,expose local 用戶名稱,帳號還有密碼。 駭客並在受感染的設備上用了 Asnarok 木馬程式再次攻擊。 Sophos 已發布了一個修補程序,但仍建議用戶在防火牆的 WAN 接口上 disable HTTPS Admin Service 和 User Portal access 來減少攻擊。 The Ugly 醜陋消息中的常客:Maze ,在本周也不例外的又出現,這次他們有了 “創新” 的 MO。 他們一如往常的加密,洩密和洩漏策略有了新的變化,他們現在聲稱拒絕從一家受害者中獲利的機會,並堅持認為他們是製造了更多有利於受害者的動機。 Maze 的一份聲明聲稱,他們在去年 8 月和今年 2 月攻擊了 Banco de Costa Rica (Banco BCR 銀行),藉由攻擊他們得到了付款處理系統的權限,並竊取了 1100 萬張信用卡憑證,其中包括 14萬 美國公民。 到目前為止,這些都是在意料之中。 故事轉折來了,Maze 聲稱他們沒有 “阻礙銀行的工作”,因為 “在疫情期間這是不正確的行為”。 但是,他們似乎比較擔心該銀行既未披露去年的首次攻擊,也沒有採取必要措施來保護受到入侵的系統。 Maze 聲稱,今年二月他們依舊輕鬆地重新攻擊系統,並且銀行沒有因爲糟糕的安全性而負責任。 聲明繼續表示,Maze 無意出售數據,而是 “將攻擊事件告知 Banco BCR,媒體和監管機構。” 但聲明最後還是用了令人害怕的威脅結尾。 “如果我們未收到任何回應,我們將公開所有信息。 這意味著將發布 1100 萬張信用卡號和其他憑證。”  目前還看不清楚他們希望獲得什麼樣的 “回應”,但如果它變成不鼓勵洩漏的一個誘因,我們也不會感到驚訝。 無論如何,這似乎比在 Darknet 上與其他犯罪分子交易更容易賺錢。 同時,如果這份聲明是真的,我們可以與 Maze 有一樣的共識:那就是 Banco BCR 的確需要在資安上做的更好,而且要快!
The Good 使用者教育是防止入侵或避開攻擊中最強大的工具之一,尤其是涉及網路釣魚這類的攻擊。一般來說,使用者對自己的網路狀況越有信心和意識,情況就越好。本週,GCHQ 和 The National Cyber Security Centre(NCSC)聯手成立了一個名為 “ SERS ” Suspicious Email Reporting Service 的使用者意識活動。這是一個更廣泛的“網路意識” 活動; 由於利用Coronavirus 爆發來詐騙的案例迅速增加,為了使大眾提供更好的 email 安全指導,倫敦市警察局也一起共同努力,讓大眾可以直接將可疑和潛在惡意 email 發送到 report@phishing.gov.uk。當使用者向 SERS 回報時, SERS 將查詢和驗有關訊息各個方面的有效性。例如,將對發件人的網域和主機進行有效性測試,任何被發現為網路釣魚詐騙的站點都將被立即刪除。他們在一天中,5000多個回覆被接收,並關閉了 83 個在線網路釣魚活動。幹得好阿!! 本週又一個更棒的好消息是,最新一輪的 MITER ATT&CK 評估結果已經發布。 MITRE 第二輪的重點是“ APT29”,以及與這位臭名昭著的俄羅斯支持的威脅演員有關的 tactics,techniques 和 procedures。 今年,我們很自豪告訴大家 SentinelOne在本輪比賽中的領先成績。 SentinelOne 的總體漏檢數量最少,並且結合相關性最高的高質量檢測數量也最多。 但是 ~ 我們為與 SentinelOne 一起測試的所有參與者表示讚賞和祝賀。 因為我們都在為實現更加安全的網路世界,有著更大利益而共同努力。  The Bad 本週研究人員表示在 iOS 上的 Apple Mail 應用程式中發現了嚴重漏洞。 自 2012 年以來,這個遠端代碼執行漏洞已存在於 iOS 6 中 ,並一路影響至 iOS 13.4.1。 由於缺乏用戶的錯誤回報,導致這個漏洞特別嚴重。 典型的 email 攻擊還是會要求目標用戶打開郵件,點擊或甚至需要打開附件。 但這次,Mail.app 只需要接收到惡意的 mesage 就可以啟動可利用的條件。 攻擊者可利用緩衝區溢位攻擊和越界來編輯 weaponized 內容。 發現此漏洞的 ZecOps 還表示他們認為攻擊者正在外頭兒嘗試利用同樣的漏洞。 但是,蘋果否認了這項聲稱,表示他們 “沒有發現任何證據來對顧客進行攻擊”。 這些問題已將在發布的 iOS 更新的 Beta 版中得到解決。 在其他平台上的電子郵件客戶端(例如 Chrome 或 Outlook )並不受影響,但仍提供有疑慮用戶潛在的解決方法。  The Ugly 本週,Maze Crew( Maze 勒索程式的幕後駭客)將目光轉向到全球 MSP 和 一家名為 Cognizan 的 IT 顧問公司。 APT 和高度複雜的網路犯罪者都把高價值的 MSP 做為目標。 MSP(託管服務供應商)通常管理和託管大量網路環境和用戶。 專注於 MSP 的駭客們有可能破壞 MSP 範圍或控制之下的所有實體企業的運作。  這一次 Maze attack,除了受害者給予的折衷方案之外,還增加了另一種可能的後果。 與最近其他惡意程式一樣,Maze 也從目標環境中竊取數據。 他們威脅要公開竊取來的數據,從而增加影響力。 如今,越來越多的企業都不得不將任何的勒索程式攻擊視為全面性的漏洞。 Maze 就公開發布了大約 100 名受害者的數據。 其他勒索程式(如 DoppelPaymer 和 Sodin / REvil )也不甘落後。 Ragnar 和 Netphilim 也積極發布受害者數據和威脅。  這些攻擊目前不斷的上升,越來越多洩露敏感數據的威脅。 我們建議,花點時間了解可能會遇到的風險,調整安全設置並採取必要的措施來減輕風險。 強大知識和技術控製相結合,可以大大減少駭客對我們的了解並竊取數據。
神文: Part 3  image credit to : https://dribbble.com/shots/1810336-Child-Buddha-in-Levitation-meditation-jpg
看圖說故事  image credit to : https://www.vectorstock.com/royalty-free-vector/cute-god-character-wearing-cap-and-holding-skate-vector-19297672
原來這篇是神文  image credit to : https://www.vectorstock.com/royalty-free-vector/cute-god-smiles-with-love-with-open-arms-a-nimbus-vector-23623452
 The Quick Read 當今的 MITRE 已成為 EDR 的通用語言,並且是 SOC 評估產品能力時實務的方法。 MITRE ATT&CK 使用 APT29 作為模擬腳本 :這是一群可避開 DNC 的駭客們 ,這也證明了當今許多 EDR 工具都無法應對不斷在進步的技術。 CISO 應該仔細評估哪些技術可以獲得最多的訊息,及在 MITRE 模擬的每個階段中可提供的 context。 在本篇中,我們將探討 SentinelOne 在 MITRE 的 ATT&CK 第二回合中的表現,並總結了以下內容。
Now Read The Full Story… 讓我們來看看全部的故事.... 最新的 MITRE ATT&CK 的結果在 2020 年 4 月 21 日星期二發布了,我們可以解讀這結果為一項練習。 MITRE 測試是企業可以用來準備評估網路威脅情況的幫手,特別是可以看看自身的網路安全解決方案在面對對手時的表現如何。 在我們 2020 年 4 月 20 日 blog 有深入探討了 MITRE 測試背後的原理和方法,也是一份可以從由了解 MITRE ATT&CK 的教學指南。 測試重點在於, MITRE 不僅測試其框架中的所有內容,而是將重點放在這三天 lab 中的兩個特定攻擊上。 ㄧ共有 135 個 步驟。 High-level Remarks 友善提醒您,先不要相信與該測試有關的所有聲明 - 請先思考一下,並看看數據。 而你們可以從 SentinelOne 得到的是,從經由顯示的數據, SentinelOne 幫助你能夠了解所有的含義。 我們還會說明我們的主張價值和設計原則。 因此,通過將這兩個領域相交,大家可以在這樣一個好的基礎上,得出自己的結論。 1. Seeing Is Believing: Coverage is Table Stakes 一個出色的 EDR 解決方案是建立在於它能夠以經濟的方式來利用雲端的功能,大規模使用和關聯數據。 解決方案應該捕捉到每一個相關數據,並為資安人員提供可檢視範圍。 數據(特別是捕捉所有事件)是 EDR 的基礎。 如下方所示,在第二輪比賽中,SentinelOne 的失誤最少。  2. Context is the Key to Operationalizing Data 相信我們在 MITRE 的結果,清楚解釋了 SentinelOne 的有效性,不僅可以提早辨識出並阻止惡意編碼,而且還可以說明SentinelOne 在解決數據過載問題方面的程度。 在 MITER 評估中,“技術手法”和“戰術”是數據精度的關鍵指標。 1. Technique 技術手法:這是相關且可操作的數據的縮影-完全故事情境化的數據來講述一個故事,發生了什麼,為什麼發生以及最重要的,如何發生。 2. Tactic 戰術:這是結構中的下一個層次,顯示這些技術類別代表什麼,也告訴我們駭客是如何實現最終目標(persistence,數據外出,evasions 等)的步驟。 簡單來說,就是 “什麼” 和 “為什麼”。 這兩個檢測分類是 MITRE 框架的核心,並且在建立 context 時具有最高的價值。 根據 MITRE 公佈的結果,在第二輪評估的所有參與者中,SentinelOne 得到最多 “技術手法 ”和 “戰術” 的獎項。  Gartner Endpoint Protection 分析師 Paul Webber 解釋,當今的資安安全產品必須將微弱的信號轉變為強大的檢測功能。 MITRE 的 ATT&CK 評估證明,這正是 SentinelOne 所做的。 作為獨立產品的 SentinelOne 可有效辨識攻擊中的可操作的 context 並將其置於攻擊中。 正如我們在周一的 MITRE 入門文章中解釋,相關性是應用於 “技術手法” 和 “戰術” 偵測 modifiers 之一。 關聯表示以機器速度完成數據之間建立關係的行為,因此分析人員不必手動將數據湊在一起並浪費寶貴的時間。在 MITRE ATT&CK 第2輪中,SentinelOne 有最高的關聯 modifiers:  防衛者已經超越了獲得更多數據的階段。 相反的,他們需要相關數據中的 context。 我們認為,對於 SOC 的理想狀態是要有一個明確的故事,這些故事並具有所有數據已預先索引好,並分配給可操作的情節警報。 整個 MITRE ATT&CK Round 2 測試在 SentinelOne 控制台中被捕捉到,只有 11 個警報。  我們的客戶不需要 3,000 片 DIY 手做的拼圖,也不希望每次攻擊都有 135 個無情境警報。 他們想要的是將拼圖預先組裝成一個整齊的包裝,可以輕鬆地一眼看出正在發生的事情。  我們的數據提取功能可以捕捉數據,再加上我們已獲得專利的 AI engine,可自主的以機器速度將故事情節,生動的圖片和豐富的背景結合在一起。 3. 好的產品可以解決複雜的問題 - 服務,只是選項之一 為了有額外的完整性,或者對於那些尋求將 SOC 外包的企業,SentinelOne 提供了 Vigilance Managed Detect and Respond(MDR)的服務。 再加上與 SentinelOne 有關的 MITRE 數據證明,我們的技術與全球 MDR 專家分析人員一起提供了全面的覆蓋範圍。 先總結一下與 Forrester EDR Wave 分析師 Josh Zelonis 的對話,消費者應詢問並確定 MDR 是否是產品的支援還是具有附加值。 MITRE 的 ATT&CK 數據顯示,SentinelOne具有產品專有的最高檢測水平(注意!在不提供任何 MDR 服務之下); 此外,在運行 SentinelOne 產品的 Vigilance MDR 服務之下, 檢測到最多的 MSSP 。 這可能是因為我們的 agent 捕捉了一組更豐富的事件/信號,可以由我們的 level 4 Vigilance Ninjas 進行分析以辨別目標攻擊。 若是 SentinelOne Vigilance MDR 的客戶,他們會收到 proactive (主動性) 的 email 或電話(取決於客戶的選擇喜好),告知 在 11 條警報中的更新。 即使設定僅檢測且不採取任何行動的情況下(MITRE ATT&CK 模擬),Vigilance 也會在20分鐘內停止並補救攻擊。 但請注意,SentinelOne 的平台是獨立於其 MSSP 評分而運行,這證明了該工具是獨立的,但如果需要額外的深度偵測,則工具 + MDR 可提供更深層的解決方案。 MITRE 2020 Results Take Away 一流的安全產品,只要能夠做到以下幾點,它們就會引起 CISO 和 SecOps 專業人員的注意:
SentinelOne 在 MITRE ATT&CK 第 2 輪中的表現強烈的證明,可見度性與 AI 結合在一起可創建強大的 EDR 解決方案。 從模擬的數據輸出中可以看出,SentinelOne 擅長偵測,甚至更重要的是,可以將相關數據自動 mapping ,並索引至關聯的故事中。 還有 SentinelOne 獲得專利的 Behavior AI 技術來支援 storeline ,使我們與市場上其他廠商完全,徹底的區分開來。
與我們談話的每個 CISO 都告訴我們,在基礎上,他們尋求的產品價值,是一種不僅可以看到更多,而且可以做更多解決方案 - 而且不會增加衝突,複雜性或成本。 駭客們又快又狠,特別是進階駭客。 但有了 SentinelOne,CISO 及他們的團隊可以信任一個高性能,純雲端的 EDR 平台,事實也證明, SentinelOne 在通過驅動產品,以機器速度理解,組織和操作數據,已領先一步。 |
Categories
All
Archives
May 2020
|
RSS Feed