科技公司创造了我们用来建立和经营业务、处理消费者交易、相互沟通以及组织我们的个人和职业生活的工具。 正如我们所知,技术塑造了现代世界——我们对技术的依赖不断增长。
网络犯罪分子和民族国家组织并没有忽视科技行业的重要性,他们出于各种原因将科技公司作为目标:实现战略、军事和经济目标; 访问敏感的公司数据,他们可以持有这些数据以索取赎金或在暗网上出售; 损害供应链; 以及更多。
科技公司对网络犯罪并不陌生——它们长期以来一直是对手活动的目标——但在过去一年中,这些攻击迅速增加。 据称,技术是 2021 年 2022 月至 XNUMX 年 XNUMX 月期间网络入侵最有针对性的垂直领域 CrowdStrike 威胁数据. 这使得科技成为最受欢迎的行业 威胁者 在一年中,CrowdStrike 威胁猎手记录了超过 77,000 次潜在入侵,或者大约每七分钟一次潜在入侵。
如果这听起来很熟悉,那可能是因为你在新闻中看到过这种威胁活动—— 数据泄露 影响科技行业的威胁占据了 2022 年的头条新闻。各种规模的科技公司都应该担心对手活动的可能性,因为他们经常试图窃取数据。 让我们仔细看看科技公司最应该担心的威胁,这些对手的战术是什么样的,以及如何阻止它们。
今天的对手如何瞄准科技公司
企业、中小型企业 (SMB) 和初创公司都必须了解他们面临的威胁以及如何防御这些威胁。
为了逃避检测,对手越来越远离恶意软件:CrowdStrike 威胁数据显示,在 71 年 2021 月至 2022 年 XNUMX 月期间,无恶意软件的活动占所有检测的 XNUMX%。这种转变部分与攻击者越来越相关 滥用有效凭证 在 IT 环境中获得访问权限并保持持久性(即,尽管出现重启或更改凭据等中断,仍可建立对系统的长期访问权限)。 然而,还有另一个因素:新漏洞被披露的速度以及对手实施漏洞利用的速度。
零日漏洞和新披露的漏洞数量逐年增加。 CrowdStrike 威胁数据显示,20,000 年报告的新漏洞超过 2021 个——比以往任何一年都多——到 10,000 年 2022 月初报告的新漏洞超过 XNUMX 个。这清楚地表明这一趋势并未放缓。
仔细观察入侵期间使用的战术、技术和程序 (TTP),可以发现对手活动中的常见模式。 成功利用漏洞后,通常会部署 Web shell(即使对手能够破坏 Web 服务器并发起其他攻击的恶意脚本)。
科技公司可以做些什么来阻止违规行为?
技术行业面临着针对不断变化的威胁形势保持强大防御的挑战。 今天的攻击者正在将他们的 TTP 更改得更隐蔽,以逃避检测并造成更大的破坏。 防御者有责任保护他们的业务所依赖的工作负载、身份和数据。
对于网络犯罪分子如何进行攻击,没有放之四海而皆准的模型,也没有让科技公司抵御每次入侵的灵丹妙药。 然而,仔细观察入侵活动会发现 IT 和安全团队关注的关键领域。 以下是主要建议:
- 回归基础: 最重要的是,科技公司具备适当的安全卫生基础。 这包括部署强大的补丁管理程序,并确保强大的用户帐户控制和特权访问管理,以减轻凭证泄露的影响。
- 定期审计远程访问服务: 对手将利用任何现有的远程访问工具,或尝试安装合法的远程访问软件,希望它能够逃避任何自动检测。 定期审计应检查该工具是否获得授权以及活动是否在预期的时间范围内,例如在工作时间内。 在短时间内从同一用户帐户连接到多个主机可能是对手已泄露凭据的迹象。
- 主动寻找威胁: 一旦对手攻破科技公司的防御系统,就很难检测到他们,因为他们会悄悄收集数据、寻找敏感信息或窃取凭据。 这就是威胁搜寻的用武之地。通过主动寻找环境中的对手,科技公司可以更早地检测到攻击并加强其安全态势。
- 优先考虑身份保护: 对手越来越多地以凭据为目标来破坏科技公司。 任何用户,无论是员工、第三方供应商还是客户,都可能在不知不觉中受到威胁并为对手提供攻击路径。 科技公司必须验证每个身份并授权每个请求以防止网络攻击,例如供应链攻击、勒索软件攻击或数据泄露。
- 不要忘记威胁预防: 对于科技公司而言,威胁防御工具可以在网络威胁渗透到环境或造成破坏之前阻止它们。 检测和预防齐头并进。 为了防止网络威胁,必须实时检测它们。 IT 环境越大,对有助于威胁检测和预防的工具的需求就越大。
网络犯罪和民族国家活动的演变没有放缓的迹象。 科技公司必须加强防御并了解对手的技术,以保护他们的工作负载、身份和数据,并让他们的组织保持运转。
