为什么速度是事件响应和缓解的关键

攻击者不断发展，不断开发他们在攻击中使用的工具、战术和程序（TTP）。在当今的网络安全格局中，各种规模和行业的企业都发现自己面临着专业网络犯罪组织、高级持续性威胁(APT)组织甚至有国家背景的攻击者，所有这些攻击者都在利用比以往更快的攻击方法。

除了复杂的TTP和有组织的网络犯罪即服务模式之外。企业还面临着活跃威胁迅速演变成全面事件的考验。在网络安全和网络攻击中，速度是需要注意的关键指标，因为它决定了攻击或防御是否成功。

本文讨论了现代攻击的速度指标、攻击方法，以及企业安全团队如何在自己的检测和响应过程中争分夺秒。

攻击时效性越来越快

在过去的几年里，攻击技术发生了巨大的变化，变得更智能、更快、更先进。当企业使用最新的软件和工具来推进他们的业务时，攻击者也在做同样的事情来改进他们的攻击方法。

勒索软件攻击

根据M-Trends报告，全球平均攻击时间，即攻击开始的时间到被检测到的时间正在逐年缩短。

2022年的平均时间仅为16天，因为攻击者在进入系统后花费的时间更少。近些年，针对全球企业的勒索软件攻击数量激增，则很好地说明了为什么平均攻击时间在下降。

虽然检测和响应能力的提高在一定程度上减少了攻击时间，但勒索软件的流行也是主要推手，因为其目标是所有垂直行业的受害者。鉴于其在相对较短的攻击时间内具有较高的盈利潜力，勒索软件攻击对攻击者来说是非常有利可图的，考虑到相应的保护措施也在提高，其在频率和危害程度上继续升级迭代。

Drive-By 下载攻击

顾名思义，Drive-By 下载是隐蔽的、快速的，而且往往在受害者察觉之前就发生了。这种类型的网络攻击是由攻击者在受害者不知情或不同意的情况下用恶意软件攻击受害者的设备。这通常发生在他们访问一个受感染的网站或点击嵌入在电子邮件或广告中的恶意链接时。然后，该攻击利用网络浏览器、插件或操作系统中的漏洞，使恶意软件能够自动下载并在受害者的设备上执行。Drive-By 下载只需与受害者进行最低限度互动，便可以传播恶意软件、窃取敏感信息和获得未经授权访问权限。

大规模扫描漏洞

研究人员发现，有一个新的CVE在被披露后15分钟后，攻击者就开始利用其在互联网范围内对易受攻击的终端进行大规模扫描。攻击者持续监控供应商公告和软件更新渠道，以获取有关漏洞的最新公告，以及他们可以在下一次攻击中利用的概念证明。通常，这些新的漏洞为他们提供了执行远程代码执行（RCE）和访问公司网络的功能。

对于许多组织来说，补丁管理是一项持续的艰巨任务，需要安全团队努力跟上各种操作系统中所有最新的安全威胁和漏洞。由于执行这些互联网范围的扫描不需要什么专业的技能，即使是刚入门的攻击者也能利用，有时甚至把他们的扫描结果卖给更需要的人。

零日漏洞

攻击者利用零日漏洞的速度越来越快，有研究人员指出，利用时间是安全从业者的关键指标。在过去三年中，从漏洞披露到已知漏洞被利用的时间快速缩短，从2020年的30%的漏洞在一周内被利用到2022年的56%在一天内被利用。零日漏洞最常被用来为勒索软件组织提供初始访问权限。

现成工具的可用性不断提高

除了APT组织，成熟的勒索软件组织和国家支持的攻击者外，由于随时可用的现成黑客工具越来越多，刚入行的攻击者也可以向企业发起攻击。这些工具，包括漏洞利用工具包、信息窃取器、扫描器、密码破解器和攻击模拟工具，在论坛和暗网市场上很常见，大大降低了网络攻击的门槛。

随着现成攻击工具市场不断扩大，几乎没有任何技术专长的攻击者现在都能够快速找到并购买预先存在的脚本，对计算机系统和网络发动攻击。

攻击生命周期

尽管网络攻击者行动迅速，但企业还是有办法先行一步，保护其关键数据和系统。了解攻击者在攻击前和攻击期间的行动方式，可以让防御者采取正确的防护措施。

计划阶段——在攻击行动之前，攻击者将选择他们的目标，并努力确定其操作的可利用方面。这指的是任何唾手可得的成果，例如未修补的漏洞、错误配置、未受保护设备上的管理用户等。

初始攻击——基于计划阶段的发现，攻击者根据受害者设备的漏洞自定义攻击技术。

枚举阶段——一旦进入系统，攻击者将快速移动到系统内部，了解其当前权限的限制，并估计他们开始横向移动所需的权限。在这一阶段，时间至关重要，因为攻击者开始建立攻击立足点并升级他们的访问。

横向攻击——利用盗取的新证书，攻击者能够深入到受影响的系统中。此时，他们的主要目标是传播他们的恶意软件/工具集，泄漏和加密数据。

攻击完成——在删除或攻击备份和本地文件后，攻击者准备勒索受害者。

基于网络攻击生命周期，攻击和枚举阶段为网络防御者开展防御提供了一个契机。在这些初始阶段，攻击者还没有深入渗透到受攻击的网络中，也没有进入正常的网络流量。如果攻击者设法进入横向攻击阶段，检测就会变得更具挑战性。攻击者使用规避策略来避免被发现，将自己深深地嵌入网络中。在这一阶段，攻击者最常用的是离地攻击(living-off-the-land)技术，利用环境中已经存在的合法程序和工具来加强其攻击能力。

由于攻击和横向移动之间的时间跨度随着攻击技术变得更加复杂而迅速缩短，网络防御者的主要目标是专注于在枚举阶段检测攻击迹象，并在造成重大攻击之前将其隔离。

缓解措施

然而，应对这样的挑战往往超出了安全团队的资源范围，安全团队的任务是对大量警报和非上下文事件数据进行手动分类。这就是为什么自动、人工智能驱动的EDR和XDR解决方案是安全团队必须使用的工具。

像SentinelOne Singularity这样的现代安全工具不仅能自主处理已知的恶意软件攻击（从检测到缓解），甚至在勒索软件攻击成功的情况下回滚，而且还能为事件响应者提供情境化数据，以应对有针对性的攻击。

通过Singularity XDR等工具的自动上下文汇聚功能，IR团队可以利用聚合事件信息的洞察力，将从多个工具和服务收集的所有相关数据组合到一个“事件”中，而无需添加额外的工具或更多的人。

虽然功能强大，但这些工具可以通过托管检测和响应服务进行补充，以获得更高级别的安全性。全球各地的组织都依赖于SentinelOne的管理检测和响应(MDR)服务——Vigilance Response，以阻止攻击者在攻击中进行横向攻击。利用SentinelOne Singularity, Vigilance Respond能够即时防御网络攻击，并全天候监控客户环境，寻找高级威胁，并提供更快的平均响应时间（MTTR）率。

参考及来源：https://www.sentinelone.com/blog/why-speed-is-key-in-incident-response-mitigation/