服务器和网络上最易发现网络犯罪行动

2019-06-21 08:32
中国信息化周报 2019年10期
关键词:警报端点攻击者

近日,Sophos 发表其最新全球调查报告《七个令人不安的端点安全真相》,显示IT主管最有可能在其所属机构的服务器和网络捕捉到网络罪犯的活动。事实上,在IT主管所遇到的最重大攻击当中,有37%是在公司的服务器上被发现,另有同样37%的攻击于企业网络上被侦测出。同时,分别只有17%和10%的攻击是在端点及移动设备上被发现。

该调查访问了来自美国、加拿大、墨西哥、哥伦比亚、巴西、英国、法国、德国、澳大利亚、日本、印度及南非等12个国家的企业共3100位IT决策人。

Sophos首席研究科学家Chester Wisniewski指出:“服务器存储了企业的财务、雇员、专利资产和其他敏感数据,加上如GDPR (一般数据保护规则) 这等日趋严苛的法规要求企业通报数据外泄事故,使企业在服务器安全方面的风险前所未有的高。这自然使IT主管专注于保护业务关键服务器,并以阻止攻击者入侵网络为首要任务,也顺理成章在这两个领域侦测出更多的网络犯罪活动。然而,IT主管不能忽略端点,因为绝大部分网络攻击都由此展开。问题是,比预期更多的IT主管仍然无法辨识到网络威胁是如何进入系统之内的。”

根据这份调查报告,有两成在去年遭受一次或以上网络攻击的IT主管未能指出攻击者是如何得以进入系统,也有17%的受访者不知这些威胁在被发现之前已经隐藏在系统中有多久。为了改善这种欠缺可视度的情况,IT主管需要端点侦测与响应 (EDR) 技术的协助,以曝露这些威胁的入侵源头,以及攻击在公司网络上四处游走的数码足迹。

Chester Wisniewski表示:“如果 IT主管不知攻击的源头或动向,他们就无法尽力降低风险,也不能中断攻击链以防范进一步渗透。EDR技术协助IT主管辨别出风险,且能为企业在安全成熟度模型 的首尾兩端落实执行程序。如果说IT人员较专注于侦测,EDR方案则能更迅速发现、阻截和补救;如果说IT人员仍是信息安全的基础,EDR方案便是其中之一个整合部分,提供他们必需的威胁情报。”

报告指出,每月侦查到一宗或以上潜在安全事故的企业,平均每年要花48天 (即每月4天) 来调查这些事故。难怪IT主管把辨识可疑事件 (27%)、警报管理 (18%),以及为可疑事件排列优先处理次序 (13%) 为头三大EDR解决方案必要功能,以便他们可缩短辨别安全警报重要性并作出适当反应的时间。

Chester补充:“多数撒网式 网络攻击都可以在端点部分瞬间被截停而不会触发警报。顽强的攻击者,包括那些运用SamSam这等针对性勒索软件的黑客,会有耐心地寻找一些使用未经慎重考虑、容易猜中密码的远程存取系统,例如远程桌面协议 (RDP) 、虚拟网络控制面板 (VNC) 、虚拟私云端 (VPC) 等作为垫脚石,再静悄悄四围窜动直至造成祸害。假如IT主管可借EDR方案获得深层防护,他们也能更快侦查事故并利用所得的威胁情报,协助找寻整个系统架构内的同类感染。只要网络罪犯得知某种攻击奏效,他们便通常在受害机构内复制这种攻击。因此,发现且拦截这些攻击模式将有助于减少IT主管投放在侦察潜在事故的时间。”

有57%的受访者表示自己计划在12个月内部署EDR方案。推行EDR方案也有助于解决技能落差问题。调查显示,有八成IT主管希望拥有一支更强大的团队。

Sophos的《7 Uncomfortable Truths of Endpoint Security》调查由独立市场研究专家Vanson Bourne于2018年12月至2019年前1月期间进行。

猜你喜欢
警报端点攻击者
基于北斗三号的人防警报控制系统及应用
非特征端点条件下PM函数的迭代根
基于微分博弈的追逃问题最优策略设计
不等式求解过程中端点的确定
假期终结者
正面迎接批判
是谁的责任?
拉响夏日警报定格无痕迹美肌
参数型Marcinkiewicz积分算子及其交换子的加权端点估计
基丁能虽匹配延拓法LMD端点效应处理