国家赞助和刑事网络攻击之间的线路模糊

网络犯罪团体越来越多地使用与国家行动者相同的策略和方法，过去一年中的群体服务团队处理的事件响应（IR）案件表明。

这些策略和方法包括无用的恶意软件和“生活离开土地”技术，涉及原产于Windows操作系统的流程，例如PowerShell和Windows管理仪表（WMI）。

许多事件也使用了反上取证工具和方法，以削弱其存在的迹象并在检测到它们之前探索网络的时间，通常称为“停留时间”。

根据该报告的说法，对远程桌面协议（RDP）服务器上的蛮力攻击在这些情况下也在普遍存在，这突出了两种其他趋势，这些趋势需要了解企业需要了解。

过去一年中的第二个趋势是自我繁殖技术增加了对赎金软件和破坏性攻击的新扭曲，从而提高了他们瘫痪了目标组织的能力。

过去的一年已经看到破坏性恶意软件伪装成赎金软件在全球范围内制作头条新闻，其中包含诸如Wannacry，Notpetya和Badbit的最佳攻击。

以前，感染通常需要某种用户干预，但现在Crowdstrike调查看到采用旨在传播的技术旨在传播系统感染的恶意软件变体。

全世界受害者组织经历了未能保持关键系统的反映，并依赖无效的遗留安全技术。

Crowdstrike IR案件揭示的第三个趋势是，随着公司加速迁移到云端，风险和袭击遵循。

Gartner预测到2020年，由于客户监督或忽视，将发生95％的云安全失败。无论是私人还是公众，受损的凭据和误解应用程序只是云中的安全风险的两个例子。

无论组织是否选择在公共或私有云中托管IT基础架构，Crowdstrike表示准备对于防止或响应云环境中发生的最终攻击至关重要。

报告称，这些趋势使其明确说，任何依赖于主要关于传统安全措施和工具的组织，如签名的抗病毒或防火墙，都无法检测到或抵御确定的复杂的威胁演员。

由于攻击者更加繁忙，并且他们的攻击技术继续发展，该报告建议组织同样必须发展其安全战略，以主动为下一次攻击做准备。

但是，该报告发现，组织继续提高他们自我检测违规行为的能力。在过去一年的客户中携带的Crowdstrike服务，68％能够在内部检测违约，这比上年增加11％。

该报告称，这种改进反映了组织的整体努力，以便在投资安全工具和资源以检测攻击，包括端点检测和响应（EDR）工具。

根据该报告，平均攻击​​者停留时间为86天，这意味着攻击者有大约三个月的时间来查找，消除或破坏有价值的数据或扰乱业务运营。

在一些极端情况下，Crowdstrike IR团队认为停留时间在800到1000天之间。报告指出，自动化系统最终可能会检测到入侵，而是当时人工人员被警告和意识到它往往为时已晚。

在Crowdstrike团队处理的IR案件中，最普遍的方式攻击者首次在目标环境中获得立足点是Web服务器，Web应用程序，Web shell漏洞资源或文件上传器（37％），远程访问（23％），供应链妥协（12％），社交工程，如网络钓鱼（11％），基于云的服务利用和攻击外部可访问的电子邮件门户或其他未经授权的访问（11％），以及仅侦察或其他（6％）。

无恶意攻击占大多数攻击（66％）。Crowdstrike将恶意软件攻击定义为初始策略不会导致文件或文件片段的文件或文件片段写入磁盘。示例包括攻击，其中代码从内存执行，或者被盗凭据用于远程登录的地方。

该报告称，攻击者还可以利用客户IT基础设施中固有的弱点，目前攻击机会，该报告称，攻击者的入侵机会，他们不想留下其侵入痕迹的攻击者。

Filest Forte示例包括使用诸如RDP或虚拟专用网络（VPN）的远程工具（如RDP或Avirtual Private Network（VPN）），使用网络钓鱼和社交工程从内存执行代码，以收取凭据，并在客户端堆栈中使用固有的弱点，例如Apache Struts漏洞，允许恶性XML馈送到Struts服务器，如据报道，Equifax Breach中发生。

Crowdstrike IR团队确定的最普遍的攻击目标是知识产权（IP）盗窃，盗窃资金，盗窃个人身份信息（PII），以及赎金或勒索。

组织Crowdstrike Services的规模各不相同，代表着广泛的行业部门 - 数据清楚地表明，没有组织对网络侵入免疫，所有组织都必须准备抵御下一次攻击。

根据Crowdstrike的说法，报告中详述的案例研究分享了几个常见的特征，即任何组织的安全利益相关者应该注意，因为它们不断评估他们所建立的员工，流程和技术以获得安全性弹性：