安全公司卡巴斯基在最新發布的事件響應報告中表示，攻擊者入侵企業和政府網絡的三大策略包括暴力破解密碼、利用未修補的漏洞以及通過惡意電子郵件進行社會工程。

　　最糟糕的現實是，攻擊者正在繼續使用以前見過的策略來入侵企業網絡，然后使用可識別的工具來偵察并獲取對目標系統的高級訪問權限，之后他們通常會釋放勒索軟件、竊取數據或實施其他犯罪計劃。特別是對于勒索軟件攻擊而言，入侵到文件被強制加密的時間可能只需幾個小時，或者幾天。

　　在很多情況下，受害者還未來及針對入侵進行調查，實際的損害就已經發生了。在報告中，卡巴斯基表示，雖然其負責的53%的事件響應調查是在檢測到可疑活動后啟動的，但仍有高達37%的事件響應調查是在文件已被強制加密后啟動的，7%是在已發生數據泄露后啟動的，甚至有3%是在發生資金損失后啟動的。

　　不過，幸運的一點是，對于一些公司來說，大約10%的調查結果被證實是誤報——例如，來自網絡傳感器、端點保護產品或可疑數據泄漏的可疑活動被證實為非惡意的。

　　攻擊者的首要目標

　　然而，對于其余非誤報的入侵行為而言，1/3的入侵導致勒索軟件感染——表明這種類型的攻擊已經變得十分普遍——而15%會導致數據泄露，這也可能與勒索軟件攻擊者竊取數據以試圖迫使受害者支付贖金有關。此外，11%的入侵導致攻擊者保持對網絡的持續訪問，這意味著他們可能是在為后續攻擊做準備。

　　卡巴斯基表示，勒索軟件攻擊者使用了幾乎所有常見的初始訪問場景。從理論上講，以暴力破解開始的攻擊很容易被檢測到，但在實踐中，只有一小部分在產生影響之前被識別了出來。

　　為什么犯罪分子會針對不同的部門？主要動機包括勒索軟件（黃色）、數據泄露（灰色）、竊取資金（綠色）和廣義的“可疑活動”（橙色）。政府部門沒有顯示數據泄漏，可能是因為政府個人身份信息較多的系統通常由電信和IT提供商托管。

　　挑戰：舊日志、意外證據破壞

　　在近一半的案例中，對于攻擊者究竟是如何闖入的問題，仍然是未解之謎。

　　卡巴斯基表示，我們在55%的案例中確定了初始向量，還有近一半仍是未解之謎。造成這種情況的原因包括不可用的日志、受害組織（非）故意銷毀證據以及供應鏈攻擊等等。

　　攻擊工具

　　在MITRE攻擊框架的不同階段使用的工具（來源：卡巴斯基）

　　安全團隊面臨的一個挑戰是，攻擊者正繼續依賴IT團隊可以合法使用的大量工具。而且在許多情況下，攻擊者還使用可免費獲得的易于訪問且非常有效的攻擊性工具。

　　卡巴斯基表示，幾乎一半的事件案例包括使用現有的操作系統工具，如LOLbins——指的是攻擊者可能轉向惡意使用的合法操作系統二進制文件——以及來自GitHub的知名攻擊工具——例如Mimikatz、AdFind、Masscan以及Cobalt Strike等專門的商業框架。

　　基本防御：回歸基礎

　　為了阻止攻擊者使用此類工具，卡巴斯基建議防御者“實施規則以檢測對手使用的廣泛工具”，并盡可能“消除內部IT團隊使用類似工具”，并測試組織的安全運營中心發現、跟蹤和阻止使用此類工具的速度和有效性。

　　該報告提出的另一項重要建議是，消除已知漏洞，并盡可能通過實施雙因素身份驗證加大攻擊者訪問難度，促使許多攻擊者將目光投向別處。

　　卡巴斯基表示，在其調查的所有可識別初始向量的入侵事件中，有13%可以追溯到受害者尚未修補的產品中存在已知漏洞。而且大多是2020年最常被利用的主要漏洞。

　　卡巴斯基表示，當攻擊者準備實施他們的惡意活動時，他們希望找到一些容易實現的途徑，例如具有眾所周知的漏洞和已知漏洞的公共服務器。僅實施適當的補丁管理策略就可以將淪為受害者的可能性降低30%，而實施強大的密碼策略則能夠將可能性降低60%。

　　建議組織擁有強大的密碼策略、廣泛使用多因素身份驗證——特別是對于具有管理級別訪問權限，以及遠程桌面協議和VPN連接的帳戶——以及強大的漏洞管理程序已經是老生常談的事情了。但是，這些基礎信息安全計劃的普遍缺失提醒人們：為了更有效地防御網絡攻擊，許多組織還需要回歸根本，從夯實基礎做起。