<
>

2018年新闻稿

十月10,2018

CrowdStrike报告揭示了威胁猎人精英团队的网络入侵趋势

人群罢工® Inc., the leader in cloud-delivered endpoint protection, today announced the release of its 从威胁搜寻的前线观察 报告。该报告分析了来自行业领先的托管威胁搜寻团队CrowdStrike Falcon OverWatch™的威胁数据,该团队可以检测复杂和隐秘对手的入侵,以揭示对攻击者策略,技术和程序(TTP)的见解。该报告还利用了CrowdStrike业界领先的威胁遥测技术,该技术每周在176个国家/地区处理1万亿次安全事件,从而为CrowdStrike OverWatch一年内停止的25,000次尝试入侵提供了更多背景信息。总体而言,发现的入侵案例中有48%是来自具有民族国家联系的对手的有针对性的入侵,而19%是由eCrime演员进行的。
 
根据该报告,技术,专业服务和酒店业最常成为网络攻击者的目标。参与者使用了多种新颖的策略,展示了在防御逃避和凭据访问TTP中的特殊创造力和毅力,例如使用Windows内部工具Active Directory Explorer进行一次性凭据转储。按行业划分的明显入侵案例百分比包括:

  • 技术: 36%

  • 专业的 服务: 17%

  • 款待: 8%

  • 国防与联邦: 7%

  • 非政府组织: 7%

“今天的对手始终坚持以目标为目标并渗透到所有类型的行业。组织不能再依靠被动方法来保持保护。相反,他们需要从一个假设开始,即有人可能已经突破了边界,并主动在系统上以24/7/365的方式寻找他们。这就是CrowdStrike率先推出威胁搜寻服务的原因,它使我们能够在客户网络的大海捞针中找到问题的根源,并识别出那些本来不会引起注意的入侵。” CrowdStrike的首席技术官兼联合创始人Dmitri Alperovitch说。
 
值得注意的发现包括:

  • 提升中文定位。 《守望先锋》数据将中国确定为2018年上半年最活跃的民族国家威胁行动者。数据显示,中国对手已针对生物多样性,国防,采矿,制药,专业服务,交通运输等多个经济领域进行了针对性的入侵尝试, 和更多。

  • eCrime参与者对加密货币采矿的兴趣日益增加: 监视发现了对法律和保险行业中的受害者的多次入侵,犯罪分子获得了对内部网络的特权访问。在这些情况下,对手通过部署加密货币矿工并利用允许他们进行广泛横向移动的技术来谋求开发后的经济收益,从而建立了尽可能大的立足点,以统筹开采资源。

  • 增加对生物技术产业的瞄准。 守望先锋观察到在生物技术产业领域,攻击者持续有针对性的关注,而工业间谍活动可能是多重攻击的动机。观察到的策略通常是来自对手,他们希望维持针对该行业组织的持续数据收集工作。

  • 连续模糊线: 关键 主题 在《 CrowdStrike 2017年全球威胁报告》中指出,高技能民族国家对手的TTP与犯罪动机的对手之间的界限模糊。随着CrowdStrike看到技能水平较低的犯罪分子采用了知名民族国家行为者使用的更先进的TTP,这一趋势仍在继续。

 
“本报告为最新的攻击者趋势和技术提供了另一层见解和分析,” CrowdStrike监督和安全响应副总裁Jennifer Ayers说。 “这是宝贵的资源,可帮助组织从战略上更好地了解威胁状况,学习新的狩猎方法并提高针对持续存在的网络对手的调查效率。”
 
CrowdStrike OverWatch跟踪其识别出的所有入侵的关键指标之一是“爆发时间”,即入侵者开始从最初的滩涂横向移动到网络中其他系统所花费的时间。当前的平均突围时间为1小时58分钟,这意味着如果防御者能够在2小时内发现,调查和补救入侵,他们可以在造成严重损害之前阻止对手。我们建议所有组织采用1-10-60规则:

  • 力争平均在1分钟内发现威胁

  • 在10分钟内调查检测结果

  • 补救并在1小时内遏制攻击

监督团队的深厚技术专长和Falcon®平台的技术能力可确保为客户提供24/7/367的保护。 CrowdStrike技术提供并统一了下一代防病毒软件,端点检测和响应(EDR),受管理的威胁搜寻,IT卫生,漏洞管理和威胁情报,所有这些都通过一个轻量级代理来提供。