APT可在中小型企業網絡內部停留數年
責編:gltian |2019-07-18 10:37:06風險軟件平均停留時間可長達?869?天。
根據 Infocyte 今天發布的一份報告指出,威脅的停留時間——即威脅被企業組織發現并成功刪除前在網絡中所花費的時間——已經成為中小型企業 (SMB) 面臨的一個重要安全問題。
該報告分析了超過 339,000 個有關惡意活動的帳戶和行為日志,調查對象則主要聚焦于擁有 99 至 5,000 名員工且年收入高達 10 億美元的公司。
調查結果顯示,勒索軟件攻擊的停留時間平均為 43 天。另一方面,所有其他持續性威脅(非勒索軟件)的平均停留時間則為 798 天,而風險軟件(包括不需要的應用程序、網絡跟蹤器和廣告軟件)的平均停留時間更是高達 869 天。
根據 Infocyte 公司聯合創始人兼首席產品官 Chris Gerritz 的說法,72% 的中小型企業網絡中存在風險軟件和不需要的應用程序,而這些東西需要超過 90 天才能移除完畢。雖然它們通常只是一些風險較低的問題,但由此引發的更大的問題是,未能控制風險軟件的網絡通常無法在發現高優先級威脅時做出及時地響應。
調查發現,60% 的惡意軟件是由防病毒供應商使用一般簽名機制識別的,而這些一般簽名機制根本無法說明問題所在,所以這也就解釋了為什么中小型企業始終無法了解高優先級和低優先級風險之間的差異。
Infocyte 的報告還解釋了為什么一些持續性威脅 (APT) 和風險軟件的停留時間可以高達 2 年之久。例如,存在于被檢查系統上的一些活動性感染被配置為sinkholed的域名并且不構成直接威脅。
也就是說,研究人員發現的一個感染家族可以追溯到十年前。雖然之后幾年,隨著一系列僵尸網絡運營商被逮捕,這些感染家族并沒有構成什么威脅,但是多年以后,當研究人員發現這些惡意軟件仍然活躍在看似受保護的端點上還是不免令人心驚。
如果無法或沒有能力進行持續性的監控,Gerritz 建議中小型企業可以以每年至少一次的頻率引入第三方進行 “侵害評估”,同時進行漏洞評估和滲透測試。
Gerritz 表示,如果公司無法負擔得起持續性的威脅分析,他們至少應該每年進行一次這些測試,如此一來,安全專業人員就可以檢查那些長時間停留的活躍惡意軟件,這些惡意軟件很可能已在網絡中活躍了很多年。
451 Research 的高級分析師 Aaron Sherrill 表示,Infocyte 的研究揭示了大多數小公司缺乏標準安全控制的情況。
Sherrill 表示,他們可能沒有更新技術和簽名,而且還會經常忽略警報和事件通知,或者說他們可能根本就沒有足夠的寬帶來完成所有的工作。在公司能夠負擔得起的情況下,侵害評估應該是一年多次的事情。
很多時候,公司會把這些評估視為 “對框打勾” 的項目,而且經常會忽視甚至忘記它們。但是要知道,這些威脅中的大多數都是十分復雜的,且設計得不易被安全人員和防病毒軟件覺察到。所以說,公司每天都無異于在冒險。而他們真正需要做的就是持續地監控他們的網絡。