根据安全公司Rapid7的最新季度网络威胁报告,网络攻击者正在提出更加说服的方式来窃取用户凭据。
该报告称,凭证盗窃,重用和随后的可疑登录是跨大型组织最常见的大型事件。
报告警告说,通过使用合法凭据使用合法凭据登录第三方服务,如Doplbox,Microsoft Office365,DocuSign以及经常使用的各种其他服务。
这些凭据可以以几种不同的方式公开,包括猜测,蛮力攻击,凭据泄漏或网络钓鱼活动,旨在欺骗用户进入其凭据。
“一旦获得凭据,就可以将敌人登录到服务,就好像它们是用户一样。在某些情况下,登录活动将被标记为恶意,如果它来自一个可疑地点,例如组织没有做生意的外国,但隐身的对手将找到与正常登录流量混合的方法,使其更加努力报告称,识别他们的活动。
报告称,数据试图将近三倍于较大组织的员工从较大组织的员工窃取凭证,而是可能由于目标的员工人数而言,这可能是由于目标的数量。
IT防守者的第二个关键领域是使用MISCONPD MEMCACHED服务器进行扩增攻击的新分布式拒绝服务(DDOS)攻击技术的首次亮相。
三,报告突出显示了服务器消息块(SMB)协议和思科智能安装(SMI)协议攻击者探测和攻击等级。
报告称,攻击SMB漏洞的漏洞继续定义Windows网络周围的“新正常”后台恶意行为级别,而利用SMI漏洞的攻击正在塑造这种相对新的攻击载体核心路由器基础架构。
该报告强调了在公共互联网上不暴露SMI(端口4785)的重要性。实际上,该报告称,组织仅在内部,孤立的网络管理子网上公开港口4785,如果有的话。
在行业网络攻击趋势方面,该报告显示了第一季度在第一季度金融,专业和行政行业的主要关注的持续趋势,因为对手向其他具有有价值的数据的行业看,对卫生保健的活动大幅增加部门,使其成为最终目标的期间。
该报告称,医疗保健也持有大量的敏感数据,包括财务和个人可识别的信息,攻击者已经清楚地表明他们有兴趣窃取。
该报告称,医疗保健部门一直是对敌人的理想目标,由于2015年至少自2015年以来,袭击事件增加。攻击者正在利用复杂的,分布式的IT基础架构,难以解决的遗留系统和专有医疗设备,使它们难以快速获得安全。
报告称,医疗保健系统通常依靠系统可用性来保持运营运行运行运行运行,并且对其使用策略(例如赎金软件或电话拒绝)的策略来追溯到压倒性电话线,而对手经常针对策略。
报告除医疗保健外,报告还表示,对建筑,制造和批发业务运营的网络攻击活动增加,但数据显示,对手目前只关注几个攻击这些行业的攻击传统。
虽然威胁运动和远程进入仍然是顶级事件类型,但2018年第一季度表示危险的用户行为大幅增加。这包括访问恶意网站或安装和运行可疑软件的用户,特别是在大型组织中,危险的用户行为占本季度事件的35%,比上年的12%。
虽然危险的用户行为在所有组织上增加了本季度,但报告称,对于更大的组织而言,远程进入尝试效果并为较小的组织增加。
报告称,2018年第一季度表示,披露了几种漏洞,允许远程访问,包括思科智能安装;针对暴露系统的几项活动,例如Goscanssh;并继续使用ETERERELBLUE,它在赎金软件活动中利用SMB漏洞。
报告称,“所有组织都识别出暴露的系统,以确保他们是最新的,以确保它们是最新的,并将报告称,他们是最新的补丁和不必要的任何港口。
第一季度的前四种重要事件类型,该报告列表作为可疑登录,网络钓鱼,恶意软件和系统和非法加密货币挖掘。
该报告称,,大量可疑登录与遍布整个季度识别的大量远程进入警报相关联的遥控器警报相关联:网络钓鱼的第二大威胁。
本季度的大多数网络钓鱼涉及向用户发送用户模仿身份验证站点,这些网站旨在窃取用户凭据,随后使攻击者能够登录网络。
根据报告的调查结果,Rapid7研究人员建议组织:
跟踪正常的用户行为以防止基于凭证的违规行为;检查它们是否没有贡献可以在DDOS攻击中使用的MEMCACHED服务器的arsenals;确保至少在端口445的入站和出站连接尝试被阻止周边,理想情况下,在Windows网络不需要跨网络段来阻止SMB攻击的其他任何地方;通过阻止对端口4785的任何访问来降低思科智能安装(SMI)攻击的可能性。版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。