ผู้โจมตีเริ่มเร็วขึ้น การวิจัยใหม่เผยให้เห็นว่าพวกเขาลดเวลาที่ต้องเปลี่ยนจากการเข้าใช้งานระบบในครั้งแรกไปเป็นความพยายามโจมตีอุปกรณ์อื่นบนเครือข่ายเดียวกันได้อีกหลายนาที
CrowdStrike ค้นหาการบุกรุกโดยเฉลี่ยที่ต้องใช้ 79 นาทีหลังจากการประนีประนอมครั้งแรกก่อนที่จะเริ่มการโจมตีระบบอื่นบนเครือข่าย ลดลงจาก 84 นาทีในปี 2022 CrowdStrike's รายงานการตามล่าภัยคุกคามประจำปี 2023ซึ่งเผยแพร่เมื่อวันอังคารยังเผยให้เห็นว่าเวลาที่เร็วที่สุดคือเจ็ดนาทีระหว่างการเข้าถึงครั้งแรกและความพยายามที่จะขยายการประนีประนอม โดยพิจารณาจากเหตุการณ์มากกว่า 85,000 เหตุการณ์ที่ดำเนินการในปี 2022
เป้าหมายหลักของผู้โจมตีคือการย้ายไปยังระบบอื่นและสร้างสถานะในเครือข่าย ดังนั้นแม้ว่าเจ้าหน้าที่เผชิญเหตุจะกักกันระบบเดิม ผู้โจมตีก็ยังสามารถกลับมาได้ Param Singh รองประธานฝ่ายบริการรักษาความปลอดภัย OverWatch ของ CrowdStrike กล่าว นอกจากนี้ ผู้โจมตีต้องการเข้าถึงระบบอื่น ๆ ผ่านข้อมูลรับรองผู้ใช้ที่ถูกต้องตามกฎหมาย เขากล่าว
“ถ้าพวกเขากลายเป็นตัวควบคุมโดเมน เกมก็จบลง และพวกเขาก็สามารถเข้าถึงทุกอย่างได้” Singh กล่าว “แต่หากพวกเขาไม่สามารถเป็นผู้ดูแลโดเมนได้ พวกเขาก็จะไล่ตามบุคคลสำคัญซึ่งสามารถเข้าถึงสินทรัพย์ [มีค่า] ได้ดีกว่า … และพยายามยกระดับสิทธิ์ของพวกเขาไปยังผู้ใช้เหล่านั้น”
เวลาการฝ่าวงล้อมเป็นการวัดความคล่องตัวของผู้โจมตีเมื่อประนีประนอมเครือข่ายองค์กร อีกมาตรการหนึ่งที่ฝ่ายป้องกันใช้คือเวลาที่ใช้ระหว่างการประนีประนอมครั้งแรกและการตรวจจับผู้โจมตี ซึ่งเรียกว่าเวลาหยุดทำงาน ซึ่งต่ำสุดที่ 16 วันในปี 2022 ตามรายงานของ Mandiant's บริษัทรับมือเหตุการณ์ รายงาน M-Trends ประจำปี. เมื่อรวมกันแล้ว ตัวชี้วัดทั้งสองบ่งชี้ว่าผู้โจมตีส่วนใหญ่ใช้ประโยชน์จากการประนีประนอมอย่างรวดเร็วและมีทางเลือกเดียวนานกว่าสองสัปดาห์ก่อนที่จะถูกตรวจพบ
การบุกรุกแบบโต้ตอบกลายเป็นบรรทัดฐานไปแล้ว
ผู้โจมตียังคงเปลี่ยนไปสู่การบุกรุกแบบโต้ตอบ ซึ่งเพิ่มขึ้น 40% ในไตรมาสที่สองของปี 2023 เมื่อเทียบกับไตรมาสเดียวกันของปีที่แล้ว และคิดเป็นมากกว่าครึ่งหนึ่งของเหตุการณ์ทั้งหมด ตามข้อมูลของ CrowdStrike
การบุกรุกแบบโต้ตอบส่วนใหญ่ (62%) เกี่ยวข้องกับการใช้ข้อมูลประจำตัวที่ถูกต้องตามกฎหมายและข้อมูลบัญชีในทางที่ผิด การรวบรวมข้อมูลประจำตัวก็เริ่มต้นขึ้นด้วยความพยายามเพิ่มขึ้น 160% ในการ "รวบรวมคีย์ลับและเอกสารประจำตัวอื่น ๆ " ในขณะที่การรวบรวมข้อมูล Kerberos จากระบบ Windows สำหรับการแคร็กในภายหลัง ซึ่งเป็นเทคนิคที่เรียกว่า Kerberoasting เพิ่มขึ้นเกือบ 600% รายงาน CrowdStrike Threat Hunting ระบุ.
ผู้โจมตียังสแกนพื้นที่เก็บข้อมูลที่บริษัทต่างๆ เผยแพร่ข้อมูลระบุตัวตนโดยไม่ตั้งใจ ในเดือนพฤศจิกายน พ.ศ. 2022 องค์กรแห่งหนึ่งได้ส่งข้อมูลประจำตัวของคีย์การเข้าถึงของบัญชีรูทไปยัง GitHub โดยไม่ได้ตั้งใจ ทำให้ผู้โจมตีได้รับการตอบสนองอย่างรวดเร็ว CrowdStrike กล่าว
“ภายในไม่กี่วินาที เครื่องสแกนอัตโนมัติและผู้คุกคามหลายคนพยายามใช้ข้อมูลประจำตัวที่ถูกบุกรุก” รายงานระบุ “ความเร็วของการละเมิดนี้เริ่มต้นขึ้น บ่งชี้ว่าผู้คุกคามหลายคน – ในความพยายามที่จะกำหนดเป้าหมายสภาพแวดล้อมคลาวด์ – รักษาเครื่องมืออัตโนมัติเพื่อตรวจสอบบริการต่าง ๆ เช่น GitHub สำหรับข้อมูลประจำตัวบนคลาวด์ที่รั่วไหล”
เมื่ออยู่บนระบบแล้ว ผู้โจมตีจะใช้ยูทิลิตี้ของเครื่องเอง — หรือดาวน์โหลดเครื่องมือที่ถูกกฎหมาย — เพื่อหลบหนีการแจ้งเตือน เรียกว่า “อาศัยอยู่นอกแผ่นดิน” เทคนิคป้องกันการตรวจจับมัลแวร์ที่ชัดเจนยิ่งขึ้น ไม่น่าแปลกใจที่ฝ่ายตรงข้ามใช้เครื่องมือการจัดการและตรวจสอบระยะไกล (RMM) ที่ถูกกฎหมาย เช่น AnyDesk, ConnectWise และ TeamViewer เพิ่มขึ้นสามเท่า ตามข้อมูลของ CrowdStrike
ผู้โจมตียังคงมุ่งเน้นไปที่คลาวด์
เนื่องจากบริษัทต่าง ๆ ได้นำระบบคลาวด์มาใช้กับโครงสร้างพื้นฐานในการดำเนินงานส่วนใหญ่ โดยเฉพาะอย่างยิ่งหลังจากการเริ่มต้นของการระบาดใหญ่ของไวรัสโคโรนา ผู้โจมตีได้ปฏิบัติตาม CrowdStrike สังเกตเห็นการโจมตีที่ “คำนึงถึงระบบคลาวด์” มากขึ้น โดยใช้ประโยชน์จากระบบคลาวด์เกือบสองเท่า (เพิ่มขึ้น 95%) ในปี 2022
บ่อยครั้งที่การโจมตีมุ่งเน้นไปที่ Linux เนื่องจากภาระงานที่พบบ่อยที่สุดในระบบคลาวด์คือคอนเทนเนอร์ของ Linux หรือเครื่องเสมือน CrowdStrike กล่าวว่าเครื่องมือยกระดับสิทธิ์ LinPEAS ถูกใช้ในการโจมตีมากกว่าเครื่องมือที่ถูกละเมิดมากที่สุดรองลงมาถึง XNUMX เท่า
แนวโน้มจะเร่งตัวขึ้นเท่านั้น Singh จาก CrowdStrike กล่าว
“เราเห็นว่าผู้คุกคามเริ่มตระหนักถึงระบบคลาวด์มากขึ้น พวกเขาเข้าใจสภาพแวดล้อมของระบบคลาวด์ และเข้าใจการกำหนดค่าที่ผิดพลาดซึ่งมักพบในระบบคลาวด์” เขากล่าว “แต่สิ่งอื่นที่เราเห็นคือ … ผู้คุกคามเข้าสู่เครื่องในองค์กร จากนั้นใช้ข้อมูลรับรองและทุกอย่างเพื่อย้ายไปยังคลาวด์ … และสร้างความเสียหายมากมาย”
CrowdStrike ประกาศว่ามีแผนที่จะรวมทีมข่าวกรองภัยคุกคามและทีมล่าภัยคุกคามเข้าเป็นหน่วยงานเดียว นั่นคือกลุ่มปฏิบัติการต่อต้านศัตรู (Counter Adversary Operations group) บริษัทกล่าวใน ข่าวประชาสัมพันธ์ สิงหาคมฮิต
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/threat-intelligence/attacker-breakout-time-shrinks-again-underscoring-need-for-automation
- :เป็น
- :ที่ไหน
- $ ขึ้น
- 000
- 16
- 2022
- 2023
- 7
- 8
- 84
- 95%
- a
- การล่วงละเมิด
- เร่งความเร็ว
- เข้า
- ตาม
- ลงชื่อเข้าใช้
- นักแสดง
- นอกจากนี้
- ผู้ดูแลระบบ
- บุญธรรม
- ความได้เปรียบ
- หลังจาก
- อีกครั้ง
- มาแล้ว
- ทั้งหมด
- ด้วย
- an
- และ
- ประกาศ
- อื่น
- เป็น
- AS
- สินทรัพย์
- โจมตี
- การโจมตี
- พยายาม
- ความพยายามในการ
- สิงหาคม
- อัตโนมัติ
- อัตโนมัติ
- เฉลี่ย
- ทราบ
- กลับ
- ตาม
- เพราะ
- กลายเป็น
- สมควร
- ก่อน
- กำลัง
- ดีกว่า
- ระหว่าง
- ฝ่าวงล้อม
- แต่
- by
- CAN
- ไม่ได้
- ก่อให้เกิด
- เมฆ
- รวบรวม
- ชุด
- รวมกัน
- อย่างไร
- ร่วมกัน
- อย่างธรรมดา
- บริษัท
- บริษัท
- เมื่อเทียบกับ
- การประนีประนอม
- ที่ถูกบุกรุก
- ประนีประนอม
- ภาชนะบรรจุ
- ต่อ
- อย่างต่อเนื่อง
- ตัวควบคุม
- coronavirus
- การระบาดของโรค Coronavirus
- ไทม์ไลน์การ
- ตอบโต้
- หนังสือรับรอง
- หนังสือรับรอง
- วัน
- Defenders
- ตรวจพบ
- การตรวจพบ
- อุปกรณ์
- โดเมน
- การเสแสร้ง
- ลง
- ดาวน์โหลด
- ความพยายาม
- เอกลักษณ์
- สิ่งแวดล้อม
- สภาพแวดล้อม
- บานปลาย
- การเพิ่ม
- หลบหนี
- โดยเฉพาะอย่างยิ่ง
- สร้าง
- แม้
- ทุกอย่าง
- การแสวงหาผลประโยชน์
- ขยายออก
- ที่เร็วที่สุด
- สองสาม
- พบ
- บริษัท
- โฟกัส
- ตาม
- ดังต่อไปนี้
- สำหรับ
- ราคาเริ่มต้นที่
- ได้รับ
- ดึงดูด
- เกม
- ได้รับ
- GitHub
- Go
- เป้าหมาย
- บัญชีกลุ่ม
- ครึ่ง
- การเก็บเกี่ยว
- มี
- he
- ตี
- HTML
- HTTPS
- การล่าสัตว์
- อัตลักษณ์
- เอกลักษณ์
- if
- in
- อุบัติการณ์
- การตอบสนองต่อเหตุการณ์
- เพิ่ม
- บุคคล
- ข้อมูล
- โครงสร้างพื้นฐาน
- แรกเริ่ม
- ที่ริเริ่ม
- การโต้ตอบ
- เข้าไป
- ร่วมมือ
- IT
- ITS
- jpg
- คีย์
- กุญแจ
- ที่รู้จักกัน
- ต่อมา
- การเปิดตัว
- ถูกกฎหมาย
- กดไลก์
- ลินุกซ์
- Lot
- ต่ำ
- เครื่อง
- เครื่อง
- หลัก
- เก็บรักษา
- ส่วนใหญ่
- มัลแวร์
- การจัดการ
- วัสดุ
- วัด
- ตัวชี้วัด
- นาที
- การตรวจสอบ
- การตรวจสอบ
- ข้อมูลเพิ่มเติม
- มากที่สุด
- ย้าย
- มาก
- หลาย
- เกือบทั้งหมด
- จำเป็นต้อง
- เครือข่าย
- เครือข่าย
- ใหม่
- ถัดไป
- สังเกต..
- พฤศจิกายน
- ตอนนี้
- ชัดเจน
- of
- ปิด
- on
- ONE
- เพียง
- การดำเนินงาน
- การดำเนินการ
- or
- organizacja
- เป็นต้นฉบับ
- อื่นๆ
- เกิน
- Overwatch
- ของตนเอง
- การระบาดกระจายทั่ว
- แผน
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- การมี
- ประธาน
- กด
- ป้องกัน
- สิทธิพิเศษ
- สิทธิ์
- แปรรูปแล้ว
- ประกาศ
- การตีพิมพ์
- ผลักดัน
- กักกัน
- หนึ่งในสี่
- รวดเร็ว
- ได้เร็วขึ้น
- อย่างรวดเร็ว
- รีโมท
- รายงาน
- จำเป็นต้องใช้
- การวิจัย
- คำตอบ
- เผย
- ราก
- s
- กล่าวว่า
- เดียวกัน
- พูดว่า
- การสแกน
- ที่สอง
- ไตรมาสที่สอง
- วินาที
- ลับ
- ความปลอดภัย
- เห็น
- เห็น
- บริการ
- บริการ
- เจ็ด
- เปลี่ยน
- ด้าน
- เดียว
- So
- ความเร็ว
- เริ่มต้น
- ระบุ
- ยังคง
- อย่างเช่น
- แนะนำ
- ชี้ให้เห็นถึง
- ระบบ
- ระบบ
- เอา
- ใช้เวลา
- เป้า
- ทีม
- เทคนิค
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- แล้วก็
- พวกเขา
- สิ่ง
- นี้
- เหล่านั้น
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- สาม
- เวลา
- ครั้ง
- ไปยัง
- ร่วมกัน
- เอา
- เครื่องมือ
- เครื่องมือ
- การเปลี่ยนแปลง
- เทรนด์
- ลอง
- อังคาร
- สอง
- เป็นปกติ
- เข้าใจ
- ใช้
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- การใช้
- ยูทิลิตี้
- มีคุณค่า
- ผ่านทาง
- รอง
- Vice President
- เสมือน
- ต้องการ
- คือ
- we
- สัปดาห์ที่ผ่านมา
- เมื่อ
- ที่
- ในขณะที่
- WHO
- จะ
- หน้าต่าง
- กับ
- ภายใน
- yahoo
- ปี
- ลมทะเล