有別於其他勒索病毒集團「亂槍打鳥」的方式,Ryuk 勒索病毒集團會鎖定特定目標,並索取較高的贖金。由於 Ryuk 犯罪集團的目標通常是一些 極為敏感的資訊,並且專門鎖定金融和國防之類的產業,因此受害機構通常會在不得已的情況下支付一筆巨額贖金。
隨著資安情勢的發展,今日的威脅經常會同時衝擊企業營運基礎架構的多重層面。為了偵測及回應像這樣的攻擊,企業通常會採用各種專為個別層面而非整體系統而設計的資安工具。
有些企業會導入資安事件管理 (SIEM) 平台來協助他們彙整每天遭遇到的各種威脅。這樣的作法雖然有效,但 SIEM 系統的價格和營運成本卻很高。此外,企業還得靠資安營運中心 (SOC) 來過濾大量的資料以進行交叉關聯分析。至於一些其他的資安解決方案,雖然各個都具備強大的偵測及回應能力,但卻缺乏完整的監測資料來看到威脅的全貌。
為了讓大家了解今日 SOC 所面臨的威脅,以及他們需要什麼樣的資安解決方案好應付這類威脅,以下此提供一個真實案例來說明。
繼續閱讀趨勢科技 Managed XDR 託管式偵測及回應服務團隊最近處理了一樁客戶資安事件,歹徒在該事件中運用了一種特殊的攻擊技巧,增加了資安團隊和研究人員釐清駭客攻擊程序的難度。
採用 端點偵測及回應 (EDR) 資安解決方案的一項主要好處就是,能讓維護及分析企業網路防禦狀況的資安團隊能掌握自身環境的可視性來提早偵測攻擊,並透過視覺化方式了解正在發生的資安事件。雖然像這樣的技術確實讓網路資安產業整體都有所提升,但歹徒的工具和技巧卻也同樣因應這樣的發展趨勢而演進。
趨勢科技 Managed XDR託管式偵測及回應服務團隊最近處理了一樁客戶資安事件,歹徒在該事件中運用了一種特殊的攻擊技巧,增加了資安團隊和研究人員釐清駭客攻擊程序的難度。
2020 年 7 月,我們經由 趨勢科技Apex One在客戶環境觀察到以下可疑的系統事件:
Process: c:\windows\system32\reg.exe CommandLine:REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v <value> /t REG_SZ /d “\”c:\Windows\system32\<random name>\”” /f
此事件有幾點值得注意:首先,該指令所建立的系統登錄數值的名稱是根據某個資安廠商來命名。其次,登錄數值的名稱 (在 <value> 部分) 出現了一個拼字錯誤 (也許是故意的,此處為了保密暫不顯示)。最後,在系統目錄當中有一個隨機命名的執行檔。這所有因素加在一起,讓我們直覺認為這是一項警訊。
結果這個執行檔確實是一個鍵盤側錄程式,它會將側錄到的滑鼠與鍵盤輸入傳送到某個 Gmail 帳號。我們在二進位檔案中發現了一些寫死的資訊,證明它是專為某個目標機構而量身訂製。不僅如此,我們也從二進位檔案中得知,駭客對該機構有相當程度的了解。
我們用這個鍵盤側錄程式的檔名和雜湊碼在系統記錄和事件當中搜尋之後發現以下情況:
繼續閱讀
一直以來,端點都是攻擊者在針對企業IT環境時的主要關注點。不過越來越多資安主管也必須去保護整個組織內的資料,無論是位在雲端、IoT裝置、電子郵件還是本地伺服器。攻擊者可能在多階段攻擊中從一個環境跳到下一個環境,甚至躲在各層之間。因此有必要擁有整體可視性,更有效地做到偵測及回應。
這就是XDR解決方案與EDR或各點解決方案不同的地方。不幸的是並非所有廠商都能做到一樣。趨勢科技與眾不同的是可以在所有層級提供成熟的安全功能,具備業界領先的威脅情報及由AI驅動的分析方法,從而產生更少、更高保真度的警報。
當今的IT安全團隊承受巨大的壓力已經不是什麼秘密了。他們面臨著的敵人能夠利用地下網路犯罪市場越來越多的工具和技術。勒索病毒 、社交工程(social engineering )、無檔案病毒(fileless malware)、漏洞攻擊碼和路過式下載(Drive by download) 都只是冰山一角。根據 Osterman Research的最新報告,”每天都有數十萬種新惡意程式或有害應用程式註冊”。它認為,雖然端點防護必須是企業安全策略的”關鍵組成”,但”只是其中之一”,需要加入雲端、網路和其他地方的防護來補強。
物聯網(IoT ,Internet of Thing)除了徹底改變了 家庭與 各種產業的樣貌之外,也讓企業發生重大的轉變,其中最明顯的轉變就是工作場所開始出現各種員工自己的 IoT 裝置。
隨著企業導入所謂的「 BYOD 」(個人自備裝置) 政策,員工可以將自己的筆電、平板、智慧型手機帶到工作場所使用,並連上辦公室網路,這已經是大家熟悉的情景,但如今又有了新的變化。現在,員工也常將自己個人的 IoT 裝置攜帶到公司以方便他們在上班時使用。這類裝置包括:智慧手錶與健身手環等穿戴裝置、電子書閱讀器與掌上型遊戲機,甚至是智慧咖啡機與智慧印表機等攜帶型家電。
然而這類 IoT 裝置大量進入工作場卻給企業 (尤其是資安團隊) 帶來了許多新的挑戰。資安團隊除了必須保護員工的筆電、平板、智慧型手機這些主流 BYOD 裝置的安全以及企業本身的資產之外,現在又必須面對消費型 IoT 裝置日益普及所帶來的風險和威脅。尤其,這類新式 IoT 裝置遭駭客入侵的一些事件已突顯出科技方便性的背後也伴隨著一些資安隱憂,而這並非所有企業目前都能應付的。
繼續閱讀過去三十年來,趨勢科技觀察到對客戶帶來強大衝擊的產業趨勢,其中一個趨勢就是,威脅會在改變 IT 基礎架構時出現。這在今日格外重要,因為大多數企業都正在改變運作並管理基礎架構的方式,而這件事本身就已經夠困難了。
但隨著數位轉型而來的是企業攻擊面持續擴大,因此資安主管要求整個企業的能見度、偵測和回應能力都要提升,這可不只是端點的問題了。
繼續閱讀