Richard Stiennon:自主网络防御是未来
2018-11-29 14:23:35爱云资讯559
行业分析公司IT-Harvest的创始人理查德•斯蒂恩农(Richard Stiennon)表示,网络攻击的未来将是预先编程的自主工具,它可以感染组织的网络,移动到目标,并在几分钟内窃取或破坏它们。
然而,即使在最佳实践组织中,当前事件响应时间也以小时计算。 Stiennon说,随着网络攻击者变得自动化和自主化,网络防御者也必须如此。
NotPetya是针对乌克兰的俄罗斯行动,但损害在全球范围内通过集装箱运输巨头马士基等组织传播。
“在敖德萨,有一位财务总监坚持认为他需要一份MEDoc副本,并且在Maersk,感染从最初的感染种子传播到大约48小时内的所有台式机,”Stiennon在由星期二悉尼的Cybereason。
花了九天时间来清理这些烂摊子。马士基表示,耗资3亿美元,包括收入损失。
“当你有一个攻击可以进入大约两分半钟的时候,进行横向移动,找到它后面的资源,然后将它们渗出来怎么办?这就是为什么我们也需要自主反应,”斯蒂恩农说。
这意味着自主安全协调处理所有事情,包括尽早检测入侵,决定如何响应,识别和隔离受感染的计算机,以及推出防火墙规则集,网络分段和访问控制的更新。
“对我们大多数人来说,这是一个可怕的前景。我们的大多数流程都不信任那么多,但我们必须达到我们可以相信的程度,我们可以用这种自动方式来保护自己。”
那么,您如何说服管理层掏出资金建立安全协调的自治权? Stiennon建议做洛克希德马丁公司2011年所做的事情,并使用威胁情报帮助他们了解风险。
洛克希德·马丁分析了网络杀伤链各个阶段的恶意活动,并将其与特定的高级持续威胁(APT)小组联系起来,而不必将这些APT归因于特定的民族国家或犯罪行为者。
“CISO周刊将向她的高层管理人员报告,他们会说,这些是针对我们的14个活跃的活动,这是他们本周获得的,以及我们如何阻止他们,”Stiennon说。
他说,大多数组织没有洛克希德·马丁公司的资源,但像Cybereason这样的公司开始提供托管服务,将这些功能带给小型组织。
根据Cybereason亚洲区域主管Charles Cote的说法,当前安全支出的80%用于预防,而且必须改变。
“作为一个组织,我们相信预防。防火墙,IPS,反病毒,你需要它。但我们也相信这会失败,”Cote说。
“如果你没有能力立即发现和缓解,那么附带损害就会扩大。”
隐藏在图像文件中的恶意软件和被盗数据
Cybereason的Nocturnus安全研究团队分析了使用隐写术将网络攻击元素嵌入图像文件的攻击。
数据被加密编码为图像的RGB颜色值的最低有效位。那些看似正常的图像文件然后被托管在合法的域上。从那里,它们已经通过远程访问工具(RAT)下载到目标网络中。
从合法服务器下载图像文件不会触发安全监视,因为没有任何迹象表明它们可能是恶意的。
“我们正在向您展示一种相当容易绕过传统控制的方法......总体来说这是隐身的,很难被发现,”首席安全顾问马修格林说。
该技术可用于隐藏任何类型的数据。这可能包括攻击的下一阶段所需的恶意软件,要执行的脚本或重新配置攻击者基础结构的命令,例如,指向新的命令和控制服务器。
Nocturnus团队还看到了用于数据泄露的隐写术。被盗数据被编码为大约5千兆字节的图像文件,然后将这些文件放入组织的网络目录中。从那里,攻击者可以简单地下载它们。
上个月,Cybereason宣布与英国半导体公司Arm合作,为Arm Pelion IoT平台开发分层保护,检测和响应。两家公司计划到2035年保护一万亿台连接设备。
