المهاجمون يزدادون سرعة. يكشف بحث جديد أنهم قد حلقوا بضع دقائق أخرى من الوقت الذي يحتاجون إليه للانتقال من الوصول الأولي إلى النظام ، إلى محاولتهم مهاجمة أجهزة أخرى على نفس الشبكة.

يجد CrowdStrike متوسط ​​التسلل المطلوب 79 دقيقة بعد الاختراق الأولي قبل شن هجوم على أنظمة أخرى على الشبكة. هذا أقل من 84 دقيقة في عام 2022. CrowdStrike's تقرير صيد التهديدات لعام 2023، الذي نُشر يوم الثلاثاء ، يكشف أيضًا أن أسرع وقت كان سبع دقائق بين الوصول الأولي ومحاولات تمديد الحل الوسط ، استنادًا إلى أكثر من 85,000 حادثة تمت معالجتها في عام 2022.

الهدف الرئيسي للمهاجم هو الانتقال إلى أنظمة أخرى وإثبات وجوده في الشبكة ، بحيث أنه حتى إذا قام المستجيبون للحوادث بعزل النظام الأصلي ، فلا يزال بإمكان المهاجم العودة ، كما يقول بارام سينغ ، نائب رئيس خدمة أمان OverWatch في CrowdStrike. بالإضافة إلى ذلك ، يريد المهاجمون الوصول إلى أنظمة أخرى عبر بيانات اعتماد المستخدم المشروعة ، كما يقول.

يقول سينغ: "إذا أصبحوا وحدة تحكم المجال ، فستنتهي اللعبة ، وأصبح بإمكانهم الوصول إلى كل شيء". "ولكن إذا لم يتمكنوا من أن يصبحوا مشرفين على النطاق ، فسوف يلاحقون الأفراد الرئيسيين الذين يتمتعون بوصول أفضل إلى الأصول [القيمة] ... ويحاولون تصعيد امتيازاتهم لهؤلاء المستخدمين."

وقت الاختراق هو أحد مقاييس سرعة المهاجمين عند تعريض شبكات الشركة للخطر. مقياس آخر يستخدمه المدافعون هو الوقت الذي يستغرقه المدافعون بين التسوية الأولية واكتشاف المهاجم ، والمعروف باسم الوقت المكوث ، والذي وصل إلى أدنى مستوى له في 16 يومًا في عام 2022 ، وفقًا لشركة الاستجابة للحوادث Mandiant's. تقرير M-Trends السنوي. يشير المقياسان معًا إلى أن معظم المهاجمين يستفيدون بسرعة من التسوية ويتمتعون بتفويض مطلق لأكثر من أسبوعين قبل أن يتم اكتشافهم.

التدخلات التفاعلية الآن هي القاعدة

واصل المهاجمون تحولهم إلى التدخلات التفاعلية ، التي نمت بنسبة 40٪ في الربع الثاني من عام 2023 ، مقارنة بالربع نفسه من العام الماضي ، وتمثل أكثر من نصف جميع الحوادث ، وفقًا لـ CrowdStrike.

تضمنت غالبية التدخلات التفاعلية (62٪) إساءة استخدام الهويات المشروعة ومعلومات الحساب. انطلق أيضًا جمع معلومات الهوية ، مع زيادة 160٪ في الجهود المبذولة "لجمع المفاتيح السرية ومواد الاعتماد الأخرى" ، بينما نما جمع معلومات Kerberos من أنظمة Windows للتكسير اللاحق ، وهي تقنية تُعرف باسم Kerberoasting ، بما يقرب من 600٪ ، ذكر تقرير CrowdStrike Threat Hunting.

يقوم المهاجمون أيضًا بمسح المستودعات حيث تنشر الشركات عن طريق الخطأ مواد الهوية. قال CrowdStrike إنه في تشرين الثاني (نوفمبر) 2022 ، دفعت إحدى المنظمات عن طريق الخطأ بيانات اعتماد الوصول إلى حساب الجذر الخاص بها إلى GitHub ، مما أدى إلى استجابة سريعة من المهاجمين.

وذكر التقرير أنه "في غضون ثوانٍ ، حاولت أجهزة الفحص الآلي والعديد من الجهات الفاعلة في مجال التهديد استخدام بيانات الاعتماد المخترقة". "تشير السرعة التي بدأ بها هذا الانتهاك إلى أن العديد من الجهات الفاعلة في التهديد - في إطار الجهود المبذولة لاستهداف البيئات السحابية - تحافظ على أدوات مؤتمتة لمراقبة الخدمات مثل GitHub للحصول على بيانات اعتماد سحابية مسربة."

بمجرد الوصول إلى النظام ، يستخدم المهاجمون الأدوات المساعدة الخاصة بالجهاز - أو تنزيل أدوات شرعية - للتهرب من الإشعار. ما يسمى ب "الذين يعيشون على الأرض"تمنع اكتشاف برامج ضارة أكثر وضوحًا. مما لا يثير الدهشة ، أن الخصوم ضاعفوا استخدامهم لأدوات الإدارة والمراقبة عن بُعد (RMM) المشروعة ثلاث مرات ، مثل AnyDesk و ConnectWise و TeamViewer ، وفقًا لـ CrowdStrike.

يواصل المهاجمون التركيز على السحابة

نظرًا لأن الشركات اعتمدت السحابة لمعظم بنيتها التحتية التشغيلية - خاصة بعد بدء جائحة فيروس كورونا - فقد اتبع المهاجمون. لاحظ CrowdStrike المزيد من الهجمات "الواعية بالسحابة" ، مع تضاعف استغلال السحابة تقريبًا (بزيادة 95٪) في عام 2022.

غالبًا ما تركز الهجمات على Linux ، لأن عبء العمل الأكثر شيوعًا في السحابة هو حاويات Linux أو الأجهزة الافتراضية. قال CrowdStrike إن أداة تصعيد الامتياز LinPEAS تم استخدامها في عمليات اقتحام أكثر بثلاث مرات من الأداة التالية الأكثر إساءة استخدامًا.

يقول سينغ من CrowdStrike إن هذا الاتجاه سيتسارع فقط.

يقول: "إننا نرى أن الجهات الفاعلة في التهديد أصبحت أكثر وعيًا بالسحابة - فهم يفهمون بيئة السحابة ، ويفهمون التكوينات الخاطئة التي تظهر عادةً في السحابة". "ولكن الشيء الآخر الذي نراه هو ... دخول الفاعل المهدِّد إلى آلة على الجانب الداخلي ، ثم استخدام بيانات الاعتماد وكل شيء للانتقال إلى السحابة ... والتسبب في الكثير من الضرر."

بشكل منفصل ، أعلنت شركة CrowdStrike أنها تخطط لدمج فرق استخبارات التهديدات والبحث عن التهديدات في كيان واحد ، وهو مجموعة Counter Adversary Operations ، حسبما قالت الشركة في بيان صحفي أغسطس 8.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
• المصدر https://www.darkreading.com/threat-intelligence/attacker-breakout-time-shrinks-again-underscoring-need-for-automation