攻击者的速度越来越快。 新的研究表明,他们从获得对系统的初始访问权限过渡到尝试攻击同一网络上的其他设备所需的时间又缩短了几分钟。
CrowdStrike 发现,在最初受到攻击后,在对网络上的其他系统发起攻击之前,平均需要 79 分钟的入侵时间。 这比 84 年的 2022 分钟有所下降。CrowdStrike 的 2023 年威胁追踪报告周二发布的报告还显示,基于 85,000 年处理的超过 2022 起事件,从首次访问到尝试扩大妥协之间的最快时间为 XNUMX 分钟。
CrowdStrike 的 OverWatch 安全服务副总裁 Param Singh 表示,攻击者的主要目标是转移到其他系统并在网络中建立存在,这样即使事件响应人员隔离了原始系统,攻击者仍然可以回来。 此外,攻击者还希望通过合法的用户凭据访问其他系统,他说。
“如果他们成为域控制器,那就游戏结束了,他们可以访问一切,”辛格说。 “但是,如果他们无法成为域管理员,那么他们就会寻找能够更好地访问[有价值]资产的关键个人……并尝试将他们的权限升级给这些用户。”
突破时间是攻击者在破坏企业网络时敏捷性的衡量标准之一。 防御者使用的另一个衡量标准是从最初的妥协到检测到攻击者之间所花费的时间,称为停留时间,根据事件响应公司 Mandiant 的数据,该时间在 16 年降至 2022 天的最低值 年度 M 趋势报告。 这两个指标共同表明,大多数攻击者会迅速利用妥协,并在被发现之前拥有全权两周以上的时间。
交互式入侵现已成为常态
根据 CrowdStrike 的数据,攻击者继续转向交互式入侵,与去年同期相比,40 年第二季度交互式入侵增长了 2023%,占所有事件的一半以上。
大多数交互式入侵 (62%) 涉及滥用合法身份和帐户信息。 身份信息的收集也开始蓬勃发展,“收集密钥和其他凭证材料”的努力增加了 160%,同时从 Windows 系统收集 Kerberos 信息以供以后破解(一种称为 Kerberoasting 的技术)增长了近 600%, CrowdStrike 威胁追踪报告指出.
攻击者还扫描公司意外发布身份材料的存储库。 CrowdStrike 表示,2022 年 XNUMX 月,一个组织意外地将其根帐户的访问密钥凭据推送到 GitHub,引起了攻击者的快速响应。
报告称:“几秒钟之内,自动扫描仪和多个威胁参与者就试图使用受损的凭据。” “这种滥用行为发起的速度表明,多个威胁参与者在努力瞄准云环境的过程中,维护着自动化工具来监控 GitHub 等服务,以查找泄露的云凭证。”
一旦进入系统,攻击者就会使用计算机自己的实用程序(或下载合法工具)来逃避注意。 所谓“生活在陆地之外”技术阻止检测更明显的恶意软件。 据 CrowdStrike 称,攻击者对合法远程管理和监控 (RMM) 工具(例如 AnyDesk、ConnectWise 和 TeamViewer)的使用增加了两倍,这并不奇怪。
攻击者继续关注云
随着公司在其大部分运营基础设施中采用云技术——尤其是在冠状病毒大流行开始之后——攻击者也随之而来。 CrowdStrike 观察到更多“云意识”攻击,95 年云攻击几乎翻了一番(增长 2022%)。
攻击通常集中在 Linux 上,因为云中最常见的工作负载是 Linux 容器或虚拟机。 CrowdStrike 表示,特权升级工具 LinPEAS 的入侵次数是第二个最常被滥用的工具的三倍。
CrowdStrike 的 Singh 表示,这种趋势只会加速。
“我们看到威胁行为者变得更加了解云——他们了解云环境,并且了解云中常见的错误配置,”他说。 “但我们看到的另一件事是......威胁行为者进入本地端的机器,然后使用凭据和所有内容转移到云端......并造成很大的损害。”
另外,CrowdStrike 宣布计划将其威胁情报和威胁搜寻团队合并为一个实体,即反对手行动小组。 新闻稿 八月8。
- :是
- :在哪里
- $UP
- 000
- 16
- 2022
- 2023
- 7
- 8
- 84
- 95%
- a
- 滥用
- 加快
- ACCESS
- 根据
- 账号管理
- 演员
- 增加
- 管理员
- 采用
- 优点
- 后
- 再次
- 前
- 所有类型
- 还
- an
- 和
- 公布
- 另一个
- 保健
- AS
- 办公室文员:
- 攻击
- 攻击
- 尝试
- 尝试
- 八月
- 自动化
- 自动化和干细胞工程
- 察觉
- 背部
- 基于
- 因为
- 成为
- 成为
- before
- 作为
- 更好
- 之间
- 突围
- 但是
- by
- CAN
- 不能
- 原因
- 云端技术
- 收集
- 采集
- 结合
- 如何
- 相当常见
- 常用
- 公司
- 公司
- 相比
- 妥协
- 妥协
- 折中
- 集装箱
- 继续
- 持续
- 调节器
- 冠状病毒
- 冠状病毒大流行
- 公司
- Counter
- 凭据
- 资历
- 一年中的
- 捍卫者
- 检测
- 检测
- 设备
- 域
- 加倍
- 向下
- 下载
- 工作的影响。
- 实体
- 环境
- 环境中
- 升级
- 升级
- 逃生
- 特别
- 建立
- 甚至
- 一切
- 开发
- 延长
- 最快
- 少数
- 发现
- 公司
- 专注焦点
- 其次
- 以下
- 针对
- 止
- Gain增益
- 获得
- 游戏
- 越来越
- GitHub上
- Go
- 目标
- 团队
- 半
- 野生捕捞
- 有
- he
- 击中
- HTML
- HTTPS
- 狩猎
- 身份
- 身分
- if
- in
- 事件
- 事件响应
- 增加
- 个人
- 信息
- 基础设施
- 初始
- 启动
- 互动
- 成
- 参与
- IT
- 它的
- JPG
- 键
- 键
- 已知
- 后来
- 发射
- 合法
- 喜欢
- Linux的
- 占地
- 低
- 机
- 机
- 主要
- 保持
- 多数
- 恶意软件
- 颠覆性技术
- 材料
- 衡量
- 指标
- 分钟
- 显示器
- 监控
- 更多
- 最先进的
- 移动
- 许多
- 多
- 几乎
- 需求
- 网络
- 网络
- 全新
- 下页
- 注意..
- 十一月
- 现在
- 明显
- of
- 折扣
- on
- 一
- 仅由
- 操作
- 运营
- or
- 组织
- 原版的
- 其他名称
- 超过
- 监工
- 己
- 流感大流行
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 存在
- 总统
- express
- 防止
- 特权
- 权限
- 处理
- 发布
- 出版
- 检疫
- 季
- 快速
- 更快
- 很快
- 远程
- 报告
- 必须
- 研究
- 响应
- 揭示
- 根
- s
- 说
- 同
- 说
- 扫描
- 其次
- 第二季度
- 秒
- 秘密
- 保安
- 看到
- 看到
- 服务
- 特色服务
- XNUMX所
- 转移
- 侧
- 单
- So
- 速度
- 开始
- 说
- 仍
- 这样
- 建议
- 提示
- 系统
- 产品
- 采取
- 需要
- 目标
- 队
- 技术
- 比
- 这
- 其
- 然后
- 他们
- 事
- Free Introduction
- 那些
- 威胁
- 威胁者
- 三
- 次
- 时
- 至
- 一起
- 了
- 工具
- 工具
- 过渡
- 趋势
- 尝试
- 周二
- 二
- 一般
- 理解
- 使用
- 用过的
- 用户
- 用户
- 运用
- 公用事业
- 有价值
- 通过
- 副
- 副总裁
- 在线会议
- 想
- 是
- we
- 周
- ,尤其是
- 这
- 而
- WHO
- 将
- 窗户
- 中
- 雅虎
- 年
- 和风网