压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

在遭遇黑客入侵后絕望的取證調(diào)查過程中，入侵的初始點(diǎn)往往備受重視：希拉里競選經(jīng)理人 John Podesta 收到的網(wǎng)絡(luò)釣魚郵件，或者致使Equifax服務(wù)器被非授權(quán)訪問的 Apache Struts 漏洞。但安全公司CrowdStrike首席技術(shù)官 Dmitri Alperovitch 認(rèn)為，真正關(guān)鍵的時(shí)刻未必是初始滲透點(diǎn)，而是之后發(fā)生的事情——入侵者從初始滲透點(diǎn)染指整個(gè)網(wǎng)絡(luò)的速度有多快？而在這一點(diǎn)上，沒人能快過俄羅斯黑客。

2月19日發(fā)布的年度全球威脅報(bào)告中，CrowdStrike引入了新的黑客復(fù)雜度指標(biāo)：所謂的“突破”速度。2018年分析過3萬多起入侵事件后，CrowdStrike測量了黑客從初始入侵到開始拓展染指范圍或提升權(quán)限的耗時(shí)。該公司比較了4個(gè)不同國家的國家支持黑客與非國家網(wǎng)絡(luò)罪犯之間的耗時(shí)差距，結(jié)果顯示：俄羅斯黑客速度最快，從建立最初的立足點(diǎn)到擴(kuò)大自身活動(dòng)范圍，平均耗時(shí)僅18分49秒。

這些數(shù)據(jù)也暗示了防御者阻止進(jìn)行時(shí)攻擊所需的速度，特別是可能成為俄羅斯情報(bào)機(jī)構(gòu)目標(biāo)的那些組織。

CrowdStrike多年來緊密跟蹤俄羅斯黑客行動(dòng)，發(fā)現(xiàn)了2016年美國民主黨全國委員會(huì)數(shù)據(jù)泄露事件背后的2個(gè)俄羅斯黑客入侵行動(dòng)。Alperovitch表示：俄羅斯真的是最好的對手。在調(diào)查中與之交手，如此短的突破時(shí)間就是他們技術(shù)的明證。該指標(biāo)很好地捕捉到了攻擊節(jié)奏。俄羅斯黑客的速度快到令人難以置信，幾乎是第二名威脅的八倍。

工具、零日漏洞、高級(jí)惡意軟件能告訴你一些東西，但不是事件的全貌。

CrowdStrike的排名中，朝鮮黑客名列第二，從初始突破點(diǎn)擴(kuò)散到整個(gè)網(wǎng)絡(luò)的耗時(shí)平均要比俄羅斯黑客長兩個(gè)小時(shí)。中國黑客耗時(shí)約4個(gè)小時(shí)，伊朗黑客則超過5個(gè)小時(shí)，追逐利益的網(wǎng)絡(luò)罪犯平均要花近10個(gè)小時(shí)才可以提權(quán)，或?qū)⒏腥緮U(kuò)散到受害網(wǎng)絡(luò)的其他部分。

在情報(bào)機(jī)構(gòu)和軍方能從大量私營企業(yè)購買惡意軟件和漏洞的時(shí)代，CrowdStrike衡量的突破時(shí)間可能最接近攻擊運(yùn)作復(fù)雜度的真實(shí)測試。黑客國家隊(duì)不太可能像經(jīng)常購買漏洞研究成果和軟件開發(fā)工具，并將攻擊外包的經(jīng)濟(jì)黑客一樣。工具、零日漏洞、高級(jí)惡意軟件能告訴你一些東西，但不是事件的全貌，僅僅表明他們有很多資金可用而已。

案例之一就是APT29(又稱安逸熊：Cozy Bear )。從目標(biāo)點(diǎn)擊網(wǎng)絡(luò)釣魚鏈接到域管理員權(quán)限入手——也就是獲得整個(gè)目標(biāo)網(wǎng)絡(luò)的控制權(quán)，該菁英黑客團(tuán)隊(duì)僅需10分鐘。他們并不是啜飲著咖啡慢慢計(jì)劃今天該干點(diǎn)兒啥的悠閑紳士，他們有明確的目標(biāo)，一旦目標(biāo)上鉤，立即盡快捕獲，在自己被檢測到之前早早完成任務(wù)。

Ben Read 是CrowdStrike的競爭公司火眼的網(wǎng)絡(luò)間諜分析經(jīng)理，他認(rèn)為突破速度不是反映黑客危險(xiǎn)程度的唯一指標(biāo)，有些黑客組織可能會(huì)搜索更大范圍的網(wǎng)絡(luò)，但只專注于搞定某幾個(gè)上鉤的受害者。

速度是一個(gè)有趣的數(shù)據(jù)點(diǎn)，但不是攻擊復(fù)雜度的完美反映。發(fā)送1萬封網(wǎng)絡(luò)釣魚郵件也可能只真正關(guān)心5個(gè)目標(biāo)。如果你是那五個(gè)目標(biāo)之一，那他們會(huì)快速搞定你。但如果你只是一個(gè)無聊智庫的人力資源人員，那他們會(huì)幾個(gè)小時(shí)后才來瞄你一眼。

不過，CrowdStrike的研究數(shù)據(jù)還是展現(xiàn)了黑客的平均行動(dòng)力，反映出網(wǎng)絡(luò)運(yùn)營商需要?jiǎng)幼鞫嗫觳趴梢圆东@攻擊行動(dòng)并限制入侵。這家公司真的算出了自己在2018年觀測到的所有事件的平均突破時(shí)間——4小時(shí)37分鐘，比2017年的不到2小時(shí)可是長了許多，其中部分原因在于慢速攻擊者的數(shù)量增長。但即便是四五個(gè)小時(shí)的窗口時(shí)間，對檢測和響應(yīng)威脅來說也還是太窄了，一不小心就是單個(gè)用戶感染和整個(gè)網(wǎng)絡(luò)陷落的差別。

防御者應(yīng)隨時(shí)待命。突破時(shí)間指標(biāo)不僅僅反映出攻擊者的速度，也昭示著防御者清除他們所必須達(dá)到的速度。