假设您是全球扩展检测和响应 (XDR) 服务的安全运营中心 (SOC) 的安全分析师,为多个组织提供第一道防线。
每天,您都会受到警报和事件的轰炸,为每个组织拼凑出其网络和端点、云资产、应用程序、电子邮件和服务器上的潜在威胁之谜。
Barracuda XDR 的安全运营中心发现的三起现实网络攻击凸显了当公司的数字安全防护不完整时可能发生的情况。
事件1:针对一家 IT 公司的勒索软件攻击
安全盲点:设备保护不完整、身份验证薄弱以及 SOC 没有连接的安全可见性
威胁行为者在最初的违规行为中泄露了 VPN 凭据,利用零日漏洞建立了立足点。然后,攻击者在网络中横向移动,危害服务器、升级权限、操纵管理员帐户和组,并与恶意命令和控制 (C&C) 服务器建立未经授权的通信通道。
由于缺乏跨网络基础设施多层的强大安全措施,攻击者可以利用各种漏洞,从而对网络造成重大损害和危害。
在攻击过程中,威胁行为者利用各种工具来利用安全盲点、破坏系统、执行恶意活动并逃避检测。其中包括用于远程控制、建立持久网络连接、促进横向移动或支持数据泄露的工具。
与许多其他威胁行为者一样,攻击者转向使用商用 IT 工具,这些工具如果单独检测到,不会立即引起怀疑。在攻击者手中,这些工具用于远程下载恶意负载或脚本等活动;或扫描网络以识别开放端口、正在运行的服务以及可用于进一步利用或查找其他目标的其他网络属性。
勒索软件攻击还包括数据泄露,导致运营中断,导致服务停止并可能造成重大财务损失。数据盗窃加剧了知识产权、客户数据损失和合规违规的损失。
事件2:一家制造公司的数据泄露
安全盲点:安全配置错误、缺乏可靠的身份验证和可访问的备份
在这次攻击中,威胁行为者利用受损的凭据来未经授权地进入远程桌面协议 (RDP) 服务器,并使用通用工具暴力破解 VPN 帐户。
攻击者充分利用了安全错误配置,例如不正确地排除基本系统目录。这些重大疏忽导致 100 多台设备受到损害,对受害者的 ERP 系统造成严重破坏。威胁行为者还删除了该组织的备份数据。
与第一起事件一样,威胁行为者使用了各种工具来破坏系统、执行暴力攻击、提取密码、检查安全漏洞以及协助横向移动和远程代码执行。
此次安全漏洞严重扰乱了公司的运营,导致重大财务损失。网络泄露导致生产活动停止,生产计划脱轨。此外,备份数据的丢失延长了停机时间和恢复过程。该公司用了两个多月的时间才全面恢复运营。
事件3:零售商的数据泄露
安全盲点:公开暴露的资产、弱身份验证以及无连接的安全可见性
安全疏忽导致关键服务器的远程桌面协议 (RDP) 暴露在公共互联网上。威胁行为者利用开放的 RDP 通道渗透网络,以域控制器 (DC) 为目标,他们在其中创建并随后删除帐户以掩盖其踪迹。
这种访问级别使威胁行为者能够损害网络的完整性和机密性。然后,威胁行为者从文件服务器中窃取敏感数据,并在暗网上出售窃取的信息。
攻击者利用了一种常见的威胁模拟工具,该工具可用于维持持久性、升级权限、横向移动和窃取数据。密码破解工具以及可以帮助攻击者更好地理解和映射受害者环境以进一步利用的工具对此进行了补充。
此次泄露的影响集中在暗网上敏感数据的盗窃和暴露。攻击期间受损的关键文件服务器包含宝贵的知识产权和敏感的客户信息,未经授权的泄露会导致声誉受损并破坏客户信任。
迫切需要全方位安全
这些事件清楚地提醒我们,不完整的安全措施可能会使组织容易受到攻击,从而在财务和声誉方面产生深远的后果。此外,整个环境中缺乏安全可见性意味着可疑活动更难发现并与其他活动关联起来。
通过 XDR 集成网络、端点、服务器、云和电子邮件安全,实现了前所未有的威胁检测和响应能力。这是因为数据。
借助全面的 XDR 解决方案,IT 基础设施的每个角落(从电子邮件到云应用程序)都受到高级安全措施、全方位防御工具以及主动威胁搜寻和响应策略的监控和保护。
这样可以迅速采取行动,并最大限度地减少威胁行为者的机会之窗。
版权归原作者 网络研究观 所有, 如有侵权,请联系我们删除。