Ründajad muutuvad kiiremaks. Uued uuringud näitavad, et nad on mõne minuti võrra vähem aega, mis neil on vaja üleminekuks süsteemile esialgselt juurdepääsult katsele rünnata teisi samas võrgus olevaid seadmeid.
CrowdStrike leiab 79 minutit pärast esialgset kompromissi, enne kui alustab rünnakut teistele võrgusüsteemidele, vajaliku sissetungi keskmise suuruse. See on vähem kui 84 minutit 2022. aastal. CrowdStrike's 2023. aasta ohujahi aruanne85,000. aastal töödeldud enam kui 2022 XNUMX intsidendi põhjal paljastab teisipäeval avaldatud artikkel ka, et kõige kiirem aeg esialgse juurdepääsu ja kompromissi pikendamise vahel oli seitse minutit.
Ründaja peamine eesmärk on liikuda teistesse süsteemidesse ja luua võrgus kohalolek, nii et isegi kui intsidendile reageerijad algse süsteemi karantiini panevad, saaks ründaja siiski tagasi tulla, ütleb CrowdStrike'i OverWatchi turvateenuse asepresident Param Singh. Lisaks soovivad ründajad pääseda ligi teistele süsteemidele seaduslike kasutajamandaatide kaudu, ütleb ta.
"Kui neist saab domeenikontroller, on see mäng läbi ja neil on juurdepääs kõigele, " ütleb Singh. "Kuid kui nad ei saa domeeni administraatoriks saada, otsivad nad võtmeisikuid, kellel on parem juurdepääs [väärtuslikele] varadele … ja püüavad nendele kasutajatele oma privileege laiendada."
Läbimurdeaeg on üks ründajate paindlikkuse mõõdupuu, kui nad ohustavad ettevõtte võrke. Teine meede, mida kaitsjad kasutavad, on aeg, mis kulub esialgse kompromissi ja ründaja avastamise vahel, mida nimetatakse ooteajaks, mis saavutas intsidentidele reageerimise ettevõtte Mandiant's andmetel 16. aastal 2022 päeva. aasta M-Trendsi aruanne. Need kaks mõõdikut koos viitavad sellele, et enamik ründajaid kasutab kompromissi kiiresti ära ja hoiab enne tuvastamist rohkem kui kaks nädalat vaba aega.
Interaktiivsed sissetungid nüüd norm
Ründajad on jätkanud üleminekut interaktiivsetele sissetungidele, mis kasvasid 40. aasta teises kvartalis 2023% võrreldes aastataguse kvartaliga ja moodustavad CrowdStrike’i andmetel enam kui poole kõigist intsidentidest.
Suurem osa interaktiivsetest sissetungidest (62%) hõlmas seadusliku identiteedi ja kontoteabe kuritarvitamist. Samuti sai hoogu identiteediteabe kogumine, 160% rohkem jõupingutusi "salajaste võtmete ja muu mandaadimaterjali kogumiseks", samal ajal kui Kerberose teavet koguti Windowsi süsteemidest hilisemaks murdmiseks, mis on tuntud kui Kerberoasting, kasvas peaaegu 600%. CrowdStrike'i ohujahi aruandes märgiti.
Ründajad kontrollivad ka hoidlaid, kus ettevõtted kogemata identiteedimaterjale avaldavad. 2022. aasta novembris surus üks organisatsioon kogemata oma juurkonto juurdepääsuvõtme mandaadid GitHubile, kutsudes ründajatelt kiirelt reageerima, ütles CrowdStrike.
"Mõne sekundi jooksul üritasid automatiseeritud skannerid ja mitmed ohus osalejad rikutud mandaate kasutada," seisis aruandes. "Kiirus, millega see kuritarvitamine algatati, viitab sellele, et mitmed ohus osalejad - püüdes pilvekeskkondi sihtida - säilitavad automaatseid tööriistu, et jälgida teenuseid, nagu GitHub, lekkinud pilvmandaatide suhtes."
Süsteemi sattunud ründajad kasutavad märkamata jätmiseks masina enda utiliite või laadivad alla legitiimseid tööriistu. nn"maast elamine” tehnikad takistavad ilmsema pahavara tuvastamist. Pole üllatav, et vastased on CrowdStrike'i andmetel kolmekordistanud seaduslike kaughalduse ja -seire (RMM) tööriistade, nagu AnyDesk, ConnectWise ja TeamViewer, kasutamist.
Ründajad keskenduvad jätkuvalt pilvele
Kuna ettevõtted on suure osa oma operatiivse infrastruktuuri jaoks pilve kasutusele võtnud – eriti pärast koroonaviiruse pandeemia algust –, on ründajad järgnenud. CrowdStrike täheldas rohkem pilveteadlikke rünnakuid, kusjuures pilve kasutamine peaaegu kahekordistus (95%) 2022. aastal.
Sageli keskenduvad rünnakud Linuxile, sest pilves on kõige levinumaks töökoormuseks Linuxi konteinerid või virtuaalmasinad. Privileegide eskalatsiooni tööriista LinPEAS kasutati kolm korda rohkem sissetungides kui järgmist kõige sagedamini kuritarvitatud tööriista, ütles CrowdStrike.
Trend ainult kiireneb, ütleb CrowdStrike'i Singh.
"Me näeme, et ohus osalejad muutuvad pilvepõhiseks teadlikumaks – nad mõistavad pilvekeskkonda ja mõistavad pilves tavaliselt esinevaid valesid konfiguratsioone," ütleb ta. "Kuid teine asi, mida me näeme, on see, et ähvardaja satub kohapeal asuvasse masinasse ja kasutab seejärel mandaate ja kõike pilve kolimiseks … ja põhjustab palju kahju."
Eraldi teatas CrowdStrike, et kavatseb ühendada oma ohuluure ja ohujahtimise meeskonnad üheks tervikuks, Counter Adversary Operationsi rühmaks, teatas ettevõte pressiteate august 8.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
- Allikas: https://www.darkreading.com/threat-intelligence/attacker-breakout-time-shrinks-again-underscoring-need-for-automation
- :on
- : kus
- $ UP
- 000
- 16
- 2022
- 2023
- 7
- 8
- 84
- 95%
- a
- kuritarvitamise
- kiirendama
- juurdepääs
- Vastavalt
- konto
- osalejad
- lisamine
- admin
- vastu
- ADEelis
- pärast
- jälle
- tagasi
- Materjal: BPA ja flataatide vaba plastik
- Ka
- an
- ja
- teatas
- Teine
- OLEME
- AS
- vara
- rünnak
- Reageerib
- üritasin
- Katsed
- AUGUST
- Automatiseeritud
- Automaatika
- keskmine
- teadlik
- tagasi
- põhineb
- sest
- muutuma
- saada
- enne
- on
- Parem
- vahel
- Breakout
- kuid
- by
- CAN
- ei saa
- Põhjus
- Cloud
- koguma
- kogumine
- ühendama
- Tulema
- ühine
- tavaliselt
- Ettevõtted
- ettevõte
- võrreldes
- kompromiss
- Kompromissitud
- kompromiteeriv
- Konteinerid
- jätkama
- jätkas
- kontroller
- Koroonaviirus
- Koronaviiruse pandeemia
- Korporatiivne
- Võidelda
- MANDAAT
- volikiri
- Päeva
- Kaitsjad
- tuvastatud
- Detection
- seadmed
- domeen
- kahekordistada
- alla
- lae alla
- jõupingutusi
- üksus
- keskkond
- keskkondades
- eskaleeruma
- eskalatsioon
- pääse
- eriti
- looma
- Isegi
- kõik
- kasutamine
- laiendama
- kiiremini
- vähe
- leiab
- Firma
- Keskenduma
- Järgneb
- Järel
- eest
- Alates
- kasu
- kasumi saamine
- mäng
- saamine
- GitHub
- Go
- eesmärk
- Grupp
- Pool
- koristus
- Olema
- he
- Tulemus
- HTML
- HTTPS
- Jaht
- identiteedid
- Identity
- if
- in
- juhtum
- intsidentidele reageerimine
- Suurendama
- inimesed
- info
- Infrastruktuur
- esialgne
- algatatud
- interaktiivne
- sisse
- seotud
- IT
- ITS
- jpg
- Võti
- võtmed
- teatud
- pärast
- käivitamine
- õigustatud
- nagu
- Linux
- Partii
- Madal
- masin
- masinad
- põhiline
- säilitada
- Enamus
- malware
- juhtimine
- materjal
- mõõtma
- Meetrika
- protokoll
- Jälgida
- järelevalve
- rohkem
- kõige
- liikuma
- palju
- mitmekordne
- peaaegu
- Vajadus
- võrk
- võrgustikud
- Uus
- järgmine
- Märka..
- November
- nüüd
- Ilmne
- of
- maha
- on
- ONE
- ainult
- töökorras
- Operations
- or
- organisatsioon
- originaal
- Muu
- üle
- Overwatch
- enda
- pandeemia
- plaanid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- olemasolu
- president
- vajutage
- vältida
- privileeg
- privileegid
- Töödeldud
- avaldama
- avaldatud
- lükatakse
- karantiin
- Kvartal
- Kiire
- kiiremini
- kiiresti
- kauge
- aru
- nõutav
- teadustöö
- vastus
- Ilmutab
- juur
- s
- Ütlesin
- sama
- ütleb
- skaneerimine
- Teine
- teises kvartalis
- sekundit
- Saladus
- turvalisus
- nägemine
- nähtud
- teenus
- Teenused
- seitse
- suunata
- külg
- ühekordne
- So
- kiirus
- algus
- väljendatud
- Veel
- selline
- soovitama
- Soovitab
- süsteem
- süsteemid
- Võtma
- võtab
- sihtmärk
- meeskonnad
- tehnikat
- kui
- et
- .
- oma
- SIIS
- nad
- asi
- see
- need
- oht
- ohus osalejad
- kolm
- aeg
- korda
- et
- kokku
- võttis
- tööriist
- töövahendid
- üleminek
- Trend
- püüdma
- Teisipäev
- kaks
- tüüpiliselt
- mõistma
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- kommunaalteenused
- väärtuslik
- kaudu
- pahe
- Asepresident
- virtuaalne
- tahan
- oli
- we
- nädalat
- millal
- mis
- kuigi
- WHO
- will
- aknad
- koos
- jooksul
- Yahoo
- aasta
- sephyrnet