攻击者可以通过转移安全解决方案的四种方式来渗透组织

使用当今市场上众多安全解决方案之一并不意味着您的组织就不会受到渗透的影响–从头条不断的黑客攻击中可以明显看出这一点。认识到即使是最好的产品也无法为想要访问并渗透到您系统中的恶意威胁参与者提供100%的保护。

此外,市场上有数百种安全产品,每周都会以成千上万的警报对IT工作者进行轰炸,其中大多数都是某种迹象,不一定是坏事。实际上,通过尝试在大海捞针中寻找针头几乎是不可能的,这些实际上使真正的威胁可以越过安全专业人员。

但是,问题超出了这些问题。即使理论上我们拥有阻止直接渗透到公司的完美安全产品,想要介入的威胁参与者也会找到方法。称其为渗透。

攻击者可以通过以下四种常见的安全解决方案来渗透到组织中:

1.在供应链中尽早感染设备。 在这种情况下,威胁参与者会感染操作系统附带的第三方组件。这些第3方组件通常是由OEM制造商运送的预装软件产品,用于促销某些服务和产品,例如防盗功能和定向广告。问题在于,大多数这些“额外软件包”都是永久性的,即使在进行专业系统清理或更换整个磁盘驱动器后,它们仍保留在系统中。风险?这些软件包获得最高级别的系统特权,从而使它们能够执行任何活动。本质上,这些软件包使操作系统供应商实施的任何安全措施均无用。实际上,其中一些软件包被称为后门。最近,一个大规模的间谍软件活动暴露出来,表明在过去的二十年中,许多常见的固件包实际上是间谍软件工具。今年早些时候,发现预装在某些笔记本电脑上的广告软件Superfish程序容易受到攻击,从而使威胁行为者能够对受害者发起中间人攻击。

2.感染组织使用的云服务。 在这种情况下,威胁参与者会通过恶意软件感染通用文件共享服务。由于组织的员工后来与该服务同步,因此现在所有员工都被感染了。实际上,Dropbox正是针对这种威胁发出警告,鼓励用户在同步文件时考虑采取其他安全措施。

3.利用设计漏洞。 复杂的攻击者将发现并利用OS和应用程序作者以及创建试图防止恶意代码渗透的解决方案的人所无法预料的设计缺陷。例如,以Windows组件中出现的设计缺陷漏洞Sandworm为例。本质上,Sandworm可以导致远程执行代码。去年,Sandworm被用于俄罗斯的一次网络间谍活动,其目标包括:北约,乌克兰,波兰,欧盟,欧洲电信和能源部门。攻击者能够轻松地绕过防御,直到发现漏洞和漏洞,并开发出签名或新的变通检测技术并将其固定在面向渗透的解决方案上。

4.仅数据攻击。 在这种情况下,基于常见内存损坏漏洞(例如Buffer-Overflow和Use-After-Free)的利用可实现任意远程代码执行。使这种情况如此独特并因此使渗透工具很难检测的原因是,仅通过操纵现有数据来完成利用。换句话说,攻击不会引入有效负载,而是通过仅处理应用程序地址范围内的数据来更改应用程序行为。 Francisco Falcon在Black Hat Europe中提出了这样的攻击“在Control Flow Guard时代利用Adobe Flash Player”.

我们如何通过设计解决渗透?在感染点赶上恶意代码的想法失败了。重要的是要认识到,攻击者必须创建既能实现其目标的恶意代码,也能发现并泄露有价值的数据或勒索系统,同时还要使其不受系统用户和系统标准防御的关注。

鉴于不可避免要损害我们的系统,我们需要像对待慢性病一样进行攻击,这意味着要控制而不是治愈疾病。如上所述,在网络安全的情况下,这意味着防止渗透的后果,即,盗窃有价值的数据。正如正确的治疗可以减轻痛苦并提高寿命一样,组织必须学会面对不断受到威胁的网络时如何安全地工作。

分享这个