自2019年初以來，Barracuda研究人員發現組化惡意軟體的使用量激增。最近Barracuda研究人員針對客戶的電子郵件攻擊分析顯示，今年前五個月有超過150,000個獨特的惡意文件。下面將詳細介紹模組化惡意軟體以及幫助檢測和阻止攻擊的方法。

 

網路犯罪分子使用電子郵件遞送模組化惡意軟體，模組化惡意軟體有不斷增長的趨勢，它提供的架構比典型的基本文檔或網路應用的惡意軟體更強大，更具規則性和危險性。模組化惡意軟體包括 – 並且可以根據目標和攻擊目標有選擇地啟動不同的有效承載量和功能。大多數惡意軟體都作為文檔附件分發，通過垃圾郵件發送到廣泛傳播的電子郵件列表。這些電子郵件列表在黑暗網路中進行銷售，交易，匯總和修訂。打開受感染的文檔後，將自動安裝惡意軟體，或者使用嚴重模糊的宏/腳本從外部源下載並安裝它，偶爾會使用鏈接或其他可點擊的項目。

 

隨著殭屍網路的出現，由網路犯罪分子廣泛分發執行,編寫的惡意軟體提供的命令，已成為新的模組化常態。惡意軟體作者越來越有組織，採用和實施質量保證和測試，以提高攻擊的成功率。為了滿足一個廣泛分佈的惡意軟體文件滿足多種需求的需求，模組化惡意軟體功能已經發展得更為豐富，更靈活。

 

檢測和阻止模組化惡意軟體：

快速發展的威脅環境需要一種多層保護策略 – 一種能夠彌補技術和人為差距的策略 – 為每個組織提供最大化電子郵件安全性能，並最大量的降低因模組化惡意軟體等複雜攻擊而受害的風險。

 

網關防禦

應部署高級入站和出站安全技術，包括惡意軟體檢測，垃圾郵件過濾器，防火牆和沙盒。對於附有惡意文檔的電子郵件，靜態和動態分析都可以獲取文檔試圖下載並運行可執行文件的指標，這些文檔不應該執行任何文檔，可使用啟發式或威脅情報系統標記可執行文件的URL。通過靜態分析檢測到的混淆還可以辨認文檔是否可疑。雖然許多惡意電子郵件看起來令人信服，但垃圾郵件過濾器和相關安全軟體可以獲取微妙的線索，並幫助阻止可能受到威脅的郵件和附件到達電子郵件收件箱。如果用戶打開惡意附件或單擊指向偷渡式下載的鏈接，能夠進行惡意軟體分析的高級網路防火牆可以通過在嘗試通過時標記可執行文件來阻止攻擊的機會。此外，加密和DPL有助於防止意外和惡意數據丟失。此外，電子郵件歸檔對於合規性和業務連續性至關重要。

 

復原力

備份有助於從數據刪除中恢復，並且連續性可確保在潛在的中斷期間發送關鍵電子郵件。

 

詐欺保護

人工智能用於魚叉式網路釣魚防護，停止可以繞過電子郵件網關的攻擊，DMARC驗證可以檢測並防止電子郵件和域名欺騙。

 

人體防火牆

每個企業的最高層電子郵件防禦是最關鍵的。使用網路釣魚模擬和培訓成為安全意識培訓的一部分。確保最終用戶了解新類型的攻擊，向他們展示如何識別潛在威脅，並通過測試即時培訓的有效性並評估最易受攻擊的用戶，將其從安全責任轉變為防線。

 

 

Source: http://ow.ly/SlQV50uCdfG 

Mimecast發佈了第三份年度電子郵件安全報告，並發現網路釣魚攻擊已經失去了公司的資金，數據和客戶。該報告包括1,025位全球IT決策者的見解，發現社交工程攻擊正在上升。

 

根據該研究，網路釣魚攻擊是最突出的網路攻擊類型，94％的受訪者在過去12個月中遭遇過網路釣魚和魚叉式網路釣魚攻擊。超過一半（55％）的人認為在同一時期有所增加。 

 

最值得注意的是，該報告發現偽裝攻擊增加了超過三分之二（67％），73％受偽裝攻擊影響的組織遭受了直接損失。具體而言，28％的企業失去了客戶，29％的企業遭遇財務損失，40％的企業數據丟失。

 

這種激增意味著組織內部的人們對他們的安全失去信心。根據該報告，61％的人認為他們的公司可能或不可避免地會受到今年電子郵件攻擊帶來的負面業務影響。

 

“電子郵件安全系統是大多數攻擊的前線防禦。然而，僅僅擁有並提供有關這些攻擊的數據並不能為大多數受訪者創造價值，“Mimecast威脅情報副總裁Josh Douglas說。“調查結果表明，供應商需要能夠從他們收集的大量數據中提供可操作的情資，而不僅僅是關注只能解決過去問題的入侵指標。”

 

根據該公司對調查結果的公告，受偽裝攻擊影響的前五大行業是金融，製造，專業服務，科學/技術和運輸。

 

其他有趣的統計包括：

 

勒索軟體攻擊比去年增加了26％。

近50％的受訪者表示停工時間為兩到三天。

只有不到三分之一的經歷了四到五天的停機時間。

 

https://www.infosecurity-magazine.com/news/impersonation-phishing-attacks-up/

無論是企業，員工還是網路犯罪分子，在後參數世界中都有新的方式來擺脫企業防禦，這種情況正在流行。

 

網路犯罪分子現在採用移動優先的方法來攻擊企業。例如，上個月有5億Apple iOS用戶被Chrome for iOS中的未修補錯誤的而受到攻擊。犯罪分子劫持了用戶的會話，並重定向流量到惡意網站讓用戶陷入惡意軟體。

 

像這樣的攻擊證明了行動網路犯罪活動的廣泛性和有效性。這也是網路犯罪分子如何越來越成功地瞄準行動用戶的一個例子。對於那些擁有越來越多行動員工的企業而言，不斷升級的行動攻擊媒介擴大了威脅形勢，並迫使企業重新考慮其安全要求。

 

快速流動性持續增長

越來越多企業支持行動工作者，根據牛津經濟學2018年的一項調查，80％的受訪者表示，如果沒有行動設備，公司員工就無法有效地完成工作。同樣的調查顯示，82％的人認為行動設備對員工的工作效率至關重要。

 

根據Lookout產品管理高級主管David Richardson的說法，當行動到雲端應用程式和計算（從公司的物理邊界移除數據）時，大規模採用行動性已經在網路安全戰中開闢了新的前沿。

 

“你的用戶已經已使用行動了…所以這些行動設備可以連接到任何網路，他們可以從任何地方訪問雲端中的數據，”Richardson說。“從本質上講，您的企業網路現在是星巴克Wi-Fi，世界上任何地方的任何酒店Wi-Fi或家庭Wi-Fi。”

 

Lookout在今年RSA參會者的調查中，76％的受訪者表示他們使用從公共Wi-Fi網路（如咖啡店，機場或酒店）訪問了公司網路，企業電子郵件或企業雲端服務。

 

企業最高管理層特別關注遠端工作人員的風險。在OpenVPN 最近的一項調查中，將近四分之三（73％）的副總裁和首席級別的IT領導者表示，遠端工作人員的風險大於現場員工，這讓很多企業感到擔憂。

 

多個特定於行動設備的威脅

企業最高管理層擔憂並非毫無根據。潛在的行動攻擊場景非常龐大且越來越普遍。

 

例如，中間人（MiTM）攻擊可以安裝在連接到公共Wi-Fi網路的設備上，以攔截流入和流出各種雲服務的數據。最近的一個例子就曝光了, 4月份研究人員在中國和印度最大的手機製造商小米（Xiaomi）生產的智能手機內置安全應用程式中發現了多個MiTM漏洞。

 

“由於進出Guard Provider的網路流量不安全，以及在同一個應用程式中使用多個SDK，威脅行為者可以連接到與受害者相同的Wi-Fi網路並執行MiTM攻擊，” Check Point說，在當時增加了超過1.5億用戶受到影響。

 

用戶還可以通過在下載惡意應用程式時無意的感染他們的設備（正如Google Play最近感染了3000萬Android用戶的大量廣告軟體的侵襲應用程式所證明的那樣）。然後是比較舊的應用程式，過時的操作系統和易受攻擊的SDK引入的軟體漏洞，這些漏洞並沒有獲得每月的更新。

 

如果不進行更新，用戶就會面臨攻擊者建立的漏洞風險。

 

這些漏洞利用通常是針對丟棄惡意軟體在目標設備上的，比如去年夏天Bitdefender 發現了一款名為Triout 的Android惡意軟體，它是具有高級監控功能的企業間諜活動而打造的。

 

寫得不好的應用程式中的錯誤也會暴露用戶，使得修補應用程式也很重要。例如，一位白帽駭客最近對 30個行動金融應用程式進行了逆向工程，並發現隱藏在幾乎所有被檢查應用程式的底層代碼中的敏感數據。研究人員表示，有了這些信息，駭客就可以恢復應用程式編程接口（API）密鑰並使用它們來攻擊供應商的後端服務器並構成用戶數據。

 

受惡意軟體影響的行動員工隊伍

 

隨著越來越多的行動設備在企業勞動力中佔據一席之地，它們代表著對手瞄準新的肥沃舞台。不幸的是，許多用戶並不知道這些設備有多麼脆弱，或者如果它們受到損害可能會受到威脅。

 

例如，行動用戶傾向於在他們的設備上混合商業和娛樂，這放大了攻擊面。Lookout在今年RSA參會者的調查中，76％的人通過個人擁有的行動設備或平板電腦訪問了企業網路，企業電子郵件或企業雲服務。

 

這可能會產生意想不到的後果。Gartner高級主管分析師Patrick Hevesi表示，當受害設備連接到公司雲應用程式或公司局域網時，受感染的設備可能會將感染帶回企業網路。

 

“讓我們的設備被惡意軟體感染，然後進入你的組織，”Hevesi說。“你可以加入VPN，進入公司的Wi-Fi。您可以通過USB將該設備插入PC或Mac。駭客正試圖傾聽那些不同的方面[和關係]，也可能會進入你的組織。“

 

Hevesi指出，對這種風險的認識仍然很低 – 即使是高級管理人員也可以通過行動設備的安全性快速而鬆散地工作，而不是將工作與個人使用分開。

 

“我最近與一個公民社會組織進行了交談，他的首席信息官將他的公司擁有的iPad設備帶回家，並在該設備上註冊了他的整個家庭的指紋，”他說。“在這種特殊情況下，iPad成了家庭用品，但它有公司數據。”

 

還存在密碼問題，這種問題一直存在並從桌面遷移到行動世界。根據2018年的LastPass分析，幾乎一半的專業人士在工作和個人賬戶中使用相同的密碼 – 分析發現, 員工在工作期間與同事分享大約6個密碼，。

 

基於社交的行動攻擊

根據Richardson的說法，更糟糕的是，從社交工程的角度來看，攻擊者越來越擅長以行動用戶為目標，正如行動特定網路釣魚的增加所顯示的那樣。例如，Lookout的遙測技術於4月份發現了專門針對美國Verizon Wireless客戶的網路釣魚工具包。分析顯示該工具包通過電子郵件將釣魚鏈接推送給用戶，偽裝成來自Verizon客戶支持的消息。這些都是針對行動觀看量身定制 根據Lookout，在個人電腦桌機上打開惡意URL時，它看起來很草率，顯然不合法 – 但是，當在行動設備上打開時，該頁面看起來像一個完全合法的Verizon客戶支持應用程式。

 

此行動定位方法的變體有時會將用戶發送到兩個不同的位置，具體取決於所使用的設備。在一個廣告系列中，Lookout分析師發現“如果您點擊行動設備上的[網上誘騙]鏈接，您將獲得網上誘騙網頁。如果你點擊非行動設備上的那個鏈接，你實際上會得到它試圖指向你的真實網站，“理查森解釋說。

 

根據Hevesi的說法，用戶教育應該是企業的關鍵保障 – 員工應該接受培訓，從風險的角度充分了解他們的行動設備代表什麼。例如，這應該包括睜開眼睛看行動設備始終連接到互聯網，並且它有麥克風，攝像頭，公司數據，位置，存儲的密碼等 – 這是網路攻擊者的一筆財富。

 

“行動設備是您的主要設備，”Hevesi說。“我們真的需要開始將其視為一個成熟的終端……開始考慮是否存在損害，如果您的手機受到損害，下一步是什麼？什麼是駭客可能會做什麼，考慮你可能正在訪問哪些雲端應用程式？“

 

噗，去周邊

在解決這些危險時，壞消息是，許多內置於企業網路中的安全控制都是為傳統上由個人電腦桌機主導的環境建的。它們不適用於以行動為中心的員工隊伍。

 

Richardson指出，像防火牆這樣的傳統安全方法依賴於信任端點或一組憑據，因為它的位置 – 但這並不能保護行動世界中的公司資源，因為物理邊界消失了。

 

“僅僅因為設備擁有正確的用戶名和密碼並不意味著這是一個符合公司政策的設備，應該被允許訪問這些數據，”他說。“你需要基本上假設默認情況下所有設備都不受信任，直到你確認該設備是值得信任的。”

 

信任問題

零信任方法旨在通過假設所有設備都不可靠並且在確認該設備符合公司策略之前不允許訪問公司數據來實現這一目標。例如，企業可以確保遠端用戶在登錄之前使用企業託管設備和多因素身份驗證。

 

“這可以通過一個稱為連續條件訪問的系統來完成，” Richardson說。“[這是基於信息]有關此端點的當前健康狀況，此標識與訪問此數據相關聯，以及數據本身來自雲端服務提供商的角度。他們需要能夠確定具有此身份的端點是否能夠訪問該端資源。“

 

Hevesi說，這也可以與基於設備試圖訪問的風險管理方法相吻合。他解釋說，例如，如果一名員工正在查看自助餐廳的菜單，那麼他們用來做這件事的設備, 可能不會像企業資源規劃管理員登錄到的那樣受到同樣的審查應用。

 

另一個最佳實踐是在允許設備訪問公司資源時將個人和公司“身份”分開。

 

“設備認證應該與[進入]公司容器不同，”Hevesi指出。“您應該擁有單獨的身份驗證方法，因此您可以確保至少該設備不僅可以解鎖[並自動提供]無縫訪問您的公司信息。”

 

原始設備製造商解決行動工作和遊戲的分離問題

Google的Android Enterprise計劃和Apple Business Manager都提供了一些功能來保護和管理個人設備上的公司數據。管理員可以在Android設備上為業務託管的應用和數據創建單獨的工作區，並且通過兼容的行動設備管理（MDM）服務器，IT可以通過強制執行強大的安全策略來控制在該容器內管理數據的方式。組織還可以將私有應用程式發佈到授權設備，並可以對託管的Google應用程式進行集中審批和配置。

 

對於Apple，可以將設備和特定應用程式註冊為“公司” – 然後執行某些策略，例如不將來自已註冊應用程式的數據存儲在某人的個人iCloud上。

 

在產品方面，Gartner的研究表明，端點保護平台已經

整合移動威脅防禦（MTD）供應商和MDM，為管理員提供從整體架構為主導的資安管理方式, 不受限於特定設備，無論是筆記本電腦，Chromebook還是iPad，Surface，iOS設備和Android設備等。Hevesi說，這提供了一種一致的方式來應用補丁和反惡意軟件，鎖定丟失或被盜的設備，管理用戶配置文件和訪問權限，對用戶和應用程序行為應用動態分析等等。

 

Hevesi指出，這種方法的一個好處是，對於用戶來說，它是無縫的，並且幾乎不需要改變行為。

 

“[這允許你]實際創建一個政策，說”哦，我看到一個惡意應用程式“，或者”有人試圖在公共熱點對我們的設備進行中間人攻擊“，並且系統將繼續強制VPN連接或要求卸載該應用程式，因為你有[自動管理控制]，“他解釋道。

 

談到企業行動性，顯然在新威脅和風險管理方面需要考慮很多。但Richardson認為，這一切都始於認識到行動性代表了一系列不同的考慮因素，而不是企業可能習慣於在桌面世界中處理這些因素。

 

“這是一套值得思考的新事物，其中包括底線，”他說。“這就是你必須開始的地方 – 通過認識到這一點。”

Source: https://threatpost.com/mobile-risks-post-perimeter-world/144815/

最近的統計數據顯示，60％的企業因網路一連串的網路攻擊而被迫暫停營運或無法重新營運, 這主要是由於停工造成的收入損失以及公司聲譽受損。好消息是，大多數這些威脅可以通過可靠的網路安全得到緩解。在網路攻擊方面，時間至關重要。企業應安裝能夠檢測潛在威脅的系統，以便及時做出回應。推薦的解決方案之一是AT&T Cyber​​security(前AlienVault)的服務和產品組合，提供edge to edge的保護，使企業能夠領先於威脅。

 

預防數據外洩

當網路罪犯成功攻擊持有敏感信息的系統時，就會發生數據外洩事件。對於企業而言，這可能包括關鍵信息，如員工和客戶記錄。在組織邊界洩露此類數據可能導致代價高昂的罰款和巨額貨幣損失。通過對Equifax 進行罰款後，可以看出這一點，因為它遭遇了數據外洩，暴露了1.46億人的數據。但是，企業可以使用標準安全軟體（如防病毒和入侵檢測系統）來監控敏感文件和數據傳輸，以防止數據外洩。

 

防止網路釣魚

網路釣魚涉及網路犯罪分子利用數位信息竊取信用卡信息，用戶登錄信息和其他類型的敏感數據。網路釣魚攻擊的案例一直在增加，網路上的任何業務都可以成為攻擊目標。隨著越來越多的企業意識到可疑電子郵件和鏈結帶來的風險，駭客通過使用機器學習來發惡意郵件從而提高了賭注,來針對比較脆弱體系的企業。

 

敏感數據也可能受到合作夥伴和承包商等第三方的影響。企業應採用有效的策略尋找合作夥伴和承包商，以降低他們所帶來的安全風險。員工培訓，安全系統安裝和所有軟體更新是大幅減少網路釣魚攻擊的重要方法。

 

勒索軟體預防和檢測

對於世界各地的許多企業來說，勒索軟體可能是一場噩夢。該平均勒索攻擊的成本公司高達美元$ 133,000。網路犯罪分子利用惡意軟體加密受害者的數據，然後要求贖金來解密數據，支付這些贖金並不總能得到保證，因為犯罪分子不可信，所以企業應該採取措施避免這種情況。其中一項措施是使用更新的安全軟體，制定良好的備份和恢復計劃，並培訓員工如何避免可能攜帶勒索軟體的電子郵件。

 

雖然網路安全的重要性不能過分強調，但網路犯罪分子正在採用複雜的方法來攻擊企業。因此，不要等到為時已晚，立即保護您的企業網路!

Source: https://www.alienvault.com/blogs/security-essentials/critical-cyber-security-features-that-your-business-needs-to-survive?utm_medium=Social&utm_source=Twitter&utm_content=blog

研究人員追踪了2019年使用惡意附件的五個大垃圾郵件活動,

從傳播Gandcrab的ZIP附件到分發Trickbot的DOC文件.

F-Secure的研究人員追踪到目前為止, 在2019年最常使用與垃圾郵件相關的頂級惡意附件和廣告。在大型垃圾郵件活動中比任何其他類型的附件常用的是

ZIP，PDF和MS辦公文件（如DOC和XLSM文件附件）

 

此外，研究人員注意到，光碟映像文件（存儲整個磁碟的內容和結構的ISO或IMG文件，如DVD或藍光）越來越多地用於傳播惡意軟體。研究人員稱，在越來越多的小型廣告系列中發現了AgentTesla惡意軟體和NanoCore遠端木馬程式。

F-Secure的研究人員說：“在2月和3月，我們看到了大量垃圾郵件活動，使用ZIP文件發送GandCrab勒索軟體，用DOC和XLSM文件分發Trickbot “在同一時期，我們看到了針對美國運通客戶的同樣大型廣告系列，以及使用PDF文件附件的‘Winner騙局’。

 

ZIP文件傳播GandCrab

研究人員表示，在2月和3月，有大量的垃圾郵件活動散播著GandCrab勒索軟體。這些廣告系列使用的是ZIP文件，旨在向某人發送照片。

 

但是，實際上ZIP文件包含一個模糊的JavaScript下載程式，它執行下載並執行GandCrab勒索軟體執行製文件的PowerShell 的script。如果有效成功下載並執行，它則會加密受害者的機器並顯示勒索軟體。

 

DOC / XLSM文件提供Trickbot

研究人員還注意到，3月份以稅收為主題的垃圾郵件活動大幅增加，這些活動利用DOC和XLSM文件來提供Trickbot模組化的銀行木馬。這封電子郵件宣稱該活動的目的是提供稅收賬單記錄，其中包含Office doc附件，其中包含使用bitsadmin工具下載和執行有效的惡意巨集。BitsAdmin是一個合法的命令執行工具，可用於下載或上載作業並監視進度。

 

研究人員表示，一旦下載並執行，Trickbot樣本就開始執行，並在受害者的機器上創建模組，竊取“盡可能多的數據” – 包括銀行憑證等。

 

TrickBot金融惡意軟體最初是在2016年發現的,最近幾個廣告系列展示了其發展背後的快節奏演變。研究人員已經注意到惡意軟體的新代碼注入技術，更新的信息竊取模組和自定義的方法。

 

美國運通網路釣魚中使用的PDF文件

3月份另一個受歡迎的垃圾郵件活動, 利用PDF文件對準美國運通客戶的網路釣魚攻擊。

 

 

 

研究人員說：“利用PDF文件中,最高峰是3月份針對美國運通的網絡釣魚活動。”

 

該電子郵件聲稱來自美國運通，稱受害者的帳戶已被標記，並且標有“正在審核中”的PDF文件。當該PDF文件打開時，它會顯示一個鏈接，引導用戶並假裝“安全消息”來自美國運通客戶安全團隊。實際上，該鏈接會將受害者帶到一個帶有縮短URL的惡意登陸頁面 – 進一步騙欺受害者 – 並詢問他們的銀行憑據。

 

用於“Winner騙局”的PDF文件

研究人員還發現了一個“贏家”騙局，他們說這是使用通過電子郵件傳播的PDF文件附件的第二高的廣告系列。

 

 

聲稱由Google發送的附件,告訴受害者他們贏得了由Google基金會和軟件產品促進基金會組織的140萬美元的電子郵件在線抽獎活動。

 

該表格隨後要求提供個人詳細信息，並且可以通過受害者電子郵件將其付款驗證信息發送給Google首席執行官Sunday Pichai，電子郵件地址為“sundarpicha@gmail.com”。

 

“這個騙局要求受害者提供個人詳細信息，如全名，地址，國家/國籍，電話/手機號碼，職業，年齡/性別和私人電子郵件地址，”研究人員說。

 

電子郵件末尾的消息告訴受害者：“出於安全原因，建議您將此通知保密，作為我們預防措施的一部分，以避免雙重索賠和無理濫用此程式。”

 

ISO和IMG傳送AgentTesla

有趣的是，研究人員表示他們已經注意到自2018年7月以來使用光碟映像文件（ISO和IMG文件）傳播惡意軟體的攻擊者數量激增, ISO映像文件是CD數據和佈局的快照; 而各種光碟應用程式創建的IMG是光碟映像文件。

 

最值得注意的是，研究人員已經看到越來越多的活動 – 儘管規模較小 – 使用這種技術來傳送AgentTesla信息竊取惡意軟體和NanoCore RAT。

 

“有趣的是，我們還看到最近的垃圾郵件活動提供了兩種類型的附件：惡意Office Doc和ISO映像文件 – 都安裝了AgentTesla信息輸出器，”他們說。

 

在這些活動中，一個有意義的文檔會執行一個巨集來下載和執行; 而ISO文件中包含惡意執行文件。

 

“無論受害者選擇打開兩種附件類型中的哪一種，都要安裝AgentTesla – 一種能夠從常用的已安裝軟體（如瀏覽器，電子郵件客戶端和ftp客戶端）收集受害者系統信息和憑據的信息輸出器”研究人員。

 

垃圾郵件活動不斷發展

垃圾郵件活動繼續採用新的策略，使其更難以發現 – 並且使用新類型的附件（例如上述ISO映像文件）只會使攻擊者更容易欺騙受害者。

 

事實上，根據最近的研究，垃圾郵件是網路犯罪分子在2018年整體傳播惡意軟

體的最常用方法，佔全年每10次感染企業中的9次。

 

大約69％的垃圾郵件活動試圖欺騙用戶訪問惡意URL以下載惡意軟體文件或提交另一個導致感染的在線操作。

 

其餘31％的廣告系列使用了惡意附件。

 

“惡意軟體作者傾向於在他們的活動中更喜歡特定類型的文件附件來分發惡意內容，”F-Secure的研究人員強調說。

 

I

 

 

 

 

 

信息共享可減少網路資安漏洞…

網路資安漏洞來自現代企業的多個方面，但有關現實世界漏洞的信息共享 – 無論好壞 – 提供了寶貴的情報。

2019年4月，美國超導公司總裁兼首席執行官Daniel McGahn在波士頓網路安全大會上舉行的網路瘋狂案例研究會議期間表示，他有一個簡單的理由來分享公司的經驗與會者。

“我不希望任何人經歷我們所經歷的事情，”McGahn說。

2011年，美國超導公司（American Superconductor）裁減了數百個工作崗位，並在2011年盜竊軟件後損失了超過10億美元的股東權益。美國超導公司使用該軟體來調節風力渦輪機的動力。

據法院文件顯示，中國風力發電機組製造商華銳風電集團有限公司被指控犯有盜竊罪。McGahn說，這次違規行為最終導致了美國超導公司的IT控制和保護流程的全面改造，但更重要的是讓公司領導者意識到運營現代企業所帶來的無休止的網路資安漏洞。

隨著各國尋求美國公司的知識產權，美國超導國家的民族國家襲擊正在上升。McGahn指出，公司應該為這些威脅做好準備，但是當大多數業務流程發生在電子商務的狂野西部時，風險管理是一個持續的鬥爭。

“你不會帶著很多錢進入一個糟糕的社區，”McGahn說。“但當我與聯邦調查局特工交談時，我說，‘你必須意識到我們所有的電子商務都發生在世界上最糟糕的街區：它被稱為互聯網。”

法律公司 – 及其客戶 – 易受攻擊

網路瘋狂會議的主持人表示，律師事務所是攻擊者特別誘人的目標。電子軟體開發商Relativity的首席銷售總監 Amanda Fennell表示，擁有大量客戶群的公司不僅要警惕商品攻擊，還要注意民族國家的威脅和駭客攻擊行為。

法律公司也是完美的供應鏈目標：一家律師事務所可以擁有1000名客戶，為駭客創造一個目標豐富的環境，她補充道。

“考慮兼併和收購，知識產權 – 如果你想要追求涉及大量資金的事情，你想影響決策，強迫人民，那麼律師事務所和法律技術可能是你成為一個好地方看看，“Fennell說。

美國超導公司總裁兼首席執行官

但是，雖然看起來駭客戰術會變得更加複雜，但像中毒文件和網路釣魚這樣的方法仍然很常見。例如，員工在入住酒店時可以更新他們的社交媒體，然後收到要求點擊關於他們酒店發票的消息的電子郵件。如果該員工點擊，駭客可以訪問他們的設備。

Fennell說：“這真的是針對攻擊的，這種情況正是基於我們對離開那裡非常貪婪的信息而發生的，肯定會讓很多人咬傷。”

她補充道，這使得公司非常脆弱，因為只需要一個人犯錯誤。

Fennell說：“可能貴公司有人會或你的律師事務所有人會在Google Docs上發帖，或者在手機上留下一些東西。”

‘家庭邊緣‘網路資安漏洞

公司的另一個巨大漏洞來自一個意想不到的來源：Wi-Fi的安全性和人們家中的設備。物聯網安全平台Minim的創始人Jeremy Hitchcock表示，物聯網和其他互聯網設備的大量湧入對現代消費者來說很方便，而且風險也很大。

“與家庭邊緣相比，公司真的很安全，”Hitchcock在網路瘋狂會議上說道。“你們當中有多少人知道你家中的所有設備是否都更新到最新版本？”

MITRE公司的網路整合主管Emily Frye表示，設備通常具有功能，並且是快速推向市場的首要任務。同時，安全性通常是這些設備的一個小問題，有時甚至會出現內置的網路資安漏洞，如後門，為駭客提供方便的訪問。

“在那裡沒有建立功能，快速上市，安全的激勵，”Frye說。“你對進入你生活空間的擴展攻擊空間的軟體質量幾乎無法控制。”

網路瘋狂會議上的眾多節目主持人回應了McGahn關於分享網路資安體驗（好的和壞的）的重要性的言論，以便改善未來的風險管理流程。

發言人表示，對攻擊及其後果的可見性和信息共享是預防的關鍵，同時還要製定質量指標和對網路資安人才的投資。

Source: http://ow.ly/YIhv50tmoFg

 

AT & T Cybersecurity的Senior Product Marketing Manager “Tawnya Lancaster” 在 Alien Labs的Blog 說道,

一個如何檢測平台或服務攻擊的範例

Oh那些我們在雲端使用的應用程式… 

由Proofpoint發布的一項為期六個月的全面研究報告顯示，攻擊者“正在利用傳統‎安全協定和憑據轉儲,來提高大規模暴力破解程序的速度和效率。”

威脅參與者設計針對平台或服務的威脅，這些威脅將為他們提供最大的投資回報率。這意味著針對擁有最多用戶的系統進行攻擊。因此，今天的大多數攻擊都針對Microsoft Office 365（世界上使用最廣泛的生產力套件）和G-Suite。

他們進去後會發生什麼？

根據該報告，一旦駭客進入“受信任”帳戶，他們就會發起內部網路釣魚攻擊或企業電子郵件洩密（BEC）攻擊，其最終目標是將他們的範圍擴展到組織中，這樣他們就可以做壞事諸如竊取金錢或信息之類的東西（經濟收益是這類攻擊的一大動機）。以下是其工作原理的概述：

 

攻擊者>通過網路釣魚活動攻擊雲端帳戶或竊取員工的憑據

一旦他們控制了帳戶>他們就會在SaaS環境中橫向移動以破壞其他用戶帳戶（我們正在談論多個） – 這更容易做到，因為其他員工信任他們從中獲取電子郵件或附件的帳戶>

從那裡，攻擊者可以做很多事情，包括發起中間人（MITM）攻擊或設置“郵件委託”（即當你授予他人訪問你的帳戶時）

最終目標>通常是為了獲得金錢或信息

如果您想了解更多有關BEC攻擊的信息。查看Trustwave的Blog，  該Blog總結了詐騙者採取的許多方法，包括在電子郵件中使用業務域，這些電子郵件看起來類似於目標公司的高管的電子郵件。

 

保持領先雲端，領先於壞人

在保護您的雲端資產所需的“分層安全性”中，AT&T USM Anywhere Office 365應用程式,可用於監控雲端活動，包括過多的登錄失敗，例如Proofpoint報告中提到的登錄。

 

例如，圖1中的屏幕截圖顯示了Microsoft Azure目錄的儀表板，其中包含有關登錄活動的信息 – 登錄嘗試失敗了很多次。

 

一個特定的用戶“愛麗絲”顯然是主要罪魁禍首（或有人試圖扮成愛麗絲）。你也可以看到按原籍國登錄，在這種情況下，我們看到來自Botswana的登錄峰值 – 嗯。。。可能值得考慮“愛麗絲” 不在美國辦公室工作。

 

 

登錄嘗試失敗的Microsoft Azure目錄的儀表板

我們可以深入了解Alice的登錄活動的更多細節，注意到登錄的源資產肯定來自Botswana – 嗯，這看起來不太好。

 

來自Botswana的登錄失敗

 

深入研究，我們可以看到更多信息（圖3）。除非愛麗絲最近去非洲旅行，並且現在正試圖在度假時工作，這絕對表明某些事情是不對 – 可能是暴力認證攻擊。從這裡，您有多個選項，例如進入和阻止該特定IP地址。

更有罪的信息，可能想阻止這個IP

 

此外，在AlienVault USM Anywhere中，您還可以建立“警報規則alarm rule”。

 

 

建立USM警報規則

AT&T Alien Labs團隊定期更新我們的威脅情報並編寫Correlation rule關聯規則以檢測雲端的威脅，包括在Office 365 SaaS環境中。（警告：不可能為宇宙中的每個威脅編寫關聯規則，但我們建立了數百個，並且不斷更新這些規則以及每天添加更多規則）。 

 

例如，對於Office 365，我們建立了Delivery＆Attack |” 暴力認證| IMAP的關聯規則““即使用自動化通過使用隨機輸入（例如字典術語或已知的用戶名/密碼列表）重複測試用戶名/密碼字段。

圖5中的屏幕截圖顯示了“暴力破解後成功認證”觸發的警報摘要。這還包括所有相關事件（許多失敗的用戶登錄），警報優先級，用戶名，IP等。

 

 

針對Office 365的強制身份驗證

用戶可以深入了解以獲取更多信息，包括相關事件（即我們可以看到許多用戶登錄嘗試和失敗）。此外，警報顯示MITRE ATT & CK“規則攻擊策略”（憑證訪問）和“規則攻擊技術”（暴力） – 對於那些使用ATT和CK框架作為威脅檢測和響應的最佳實踐的人有好處戰略。（Alien Labs已將其所有相關規則映射到ATT和CK框架。

警報還包括有關下一步操作以及如何操作的建議（圖7）。

 

有關如何調查身份驗證活動的建議

在保護雲端帳戶方面的最後一個考慮因素是：它們並非生活在真空中。如果您喜歡那裡的大部分組織，那麼您可能正在使用多個雲端服務提供商（IaaS，PaaS和Saas）與您的本地網路相結合。在一個地方獲得所有這些環境的可見性 – 以及對它們的威脅 – 是能夠保持領先於雲端計算中的強力帳戶妥協等關鍵。

 

從SaaS應用程序收集數據

 

Source: http://ow.ly/AJkN50txmNA