随着组织跟上数字化转型的需求,攻击面变得比以往任何时候都更广泛。网络犯罪分子有许多切入点——从物联网生态系统中的漏洞到供应链中的盲点,再到内部人员滥用他们对业务的访问权限。Darktrace 每天都能看到这些威胁。有时,就像上面将在本博客中讨论的真实示例一样,它们可能发生在同一次攻击中。
在逃避检测和发起攻击时,内部威胁可以利用他们对系统的熟悉程度和访问级别作为关键优势。但内部人员不一定是恶意的。每个员工或承包商都是潜在的威胁:点击网络钓鱼链接或意外发布数据通常会导致大规模泄露。
同时,工作空间中的连接——每个物联网设备都通过自己的 IP 地址与企业网络和互联网通信——是一个紧迫的安全问题。例如,访问控制系统通过跟踪谁进入办公室以及何时进入,增加了一层物理安全性。然而,这些相同的控制系统通过引入一组传感器、锁、警报系统和键盘来危及数字安全,这些传感器、锁、警报系统和键盘保存敏感的用户信息并连接到公司基础设施。
此外,很大一部分物联网设备是在没有考虑安全性的情况下构建的。供应商优先考虑上市时间,并且通常没有资源投资于内置的安全措施。考虑制造物联网的初创企业的数量——超过 60%的家庭自动化公司的员工少于 10 人。
Cyber AI 检测到的内部威胁
2021 年 1 月,一家中型北美公司在第三方供应商连接到智能门的控制单元时遭受了供应链攻击。供应商公司的技术人员进来进行定期维护。他们被授权直接连接到门禁控制单元,但不知道他们使用的笔记本电脑是从组织外部带进来的,已经感染了恶意软件。
一旦笔记本电脑与控制单元连接,恶意软件就会检测到一个开放的端口,识别出漏洞,并开始横向移动。几分钟之内,人们就看到物联网设备与稀有的外部 IP 地址建立了极不寻常的连接。这些连接是使用 HTTP 建立的,并且包含可疑的用户代理和 URI。
然后,Darktrace 检测到控制单元正在尝试下载木马和其他有效负载,包括upupx2.exe和36BB9658.moe。其他连接用于发送包含设备名称和组织外部 IP 地址的 base64 编码字符串。
不久之后检测到使用 Monero (XMR) CPU 矿工进行的加密货币挖矿活动。该设备还利用 SMB 漏洞在端口 445 上建立外部连接,同时使用过时的 SMBv1 协议搜索易受攻击的内部设备。
一小时后,该设备连接到与第三方远程访问工具 TeamViewer 相关的端点。几分钟后,可以看到该设备将超过 15 MB 的数据上传到一个 100% 罕见的外部 IP。
供应链中的安全威胁
一旦控制单元遭到破坏,网络 AI 就会立即标记对客户的内部威胁。攻击成功绕过了组织的其余安全堆栈,原因很简单,它是直接从受信任的外部笔记本电脑引入的,而物联网设备本身由第三方供应商管理,因此客户几乎无法看到它。
传统的安全工具对此类供应链攻击无效。从SolarWinds 黑客攻击到供应商电子邮件妥协, 2021 年为基于签名的安全性敲响了棺材——证明我们不能依靠昨天的攻击来预测明天的威胁。
国际供应链以及与现代组织合作的大量不同合作伙伴和供应商因此构成了严重的安全困境:我们如何允许外部供应商进入我们的网络并保持系统的密闭?
第一个答案是零信任访问。这涉及将公司网络内外的每台设备都视为恶意设备,并要求在所有阶段进行验证。第二个答案是可见性和响应。安全产品必须清楚地了解云和物联网基础设施,并在整个企业出现细微异常时自动做出反应。
物联网调查
Darktrace 的网络人工智能分析师报告了攻击的每个阶段,包括第一个恶意可执行文件的下载。网络 AI 分析师调查了 C2 连接,提供了活动的高级摘要。IoT 设备访问了带有随机生成的字母数字名称的可疑 MOE 文件。人工智能不仅检测到活动的每个阶段,而且在攻击开始几分钟后的 16:59 发生高分模型违规后,客户还通过主动威胁通知收到警报。
陌生人的危险
第三方来调整设备设置和调整网络可能会产生意想不到的后果。随着 5G 和工业 4.0 的出现,我们所生活的超连接世界已成为网络犯罪分子的数字游乐场。
在上述真实案例研究中,物联网设备不安全且配置错误。随着物联网生态系统的快速创建、相互交织的供应链以及连接到企业基础设施的大量个人和设备,现代组织不能指望依靠预定义规则来阻止内部威胁和其他高级网络攻击的简单安全工具。
该组织对门禁控制单元的管理没有可见性。尽管如此,尽管事先不知道攻击类型或物联网设备中存在的漏洞,Darktrace 还是立即检测到了行为异常。如果没有 Cyber AI,感染可能会在客户的环境中持续数周或数月,从而提升权限、默默地进行加密挖掘并泄露敏感的公司数据。