管理威胁狩猎如何帮助破坏恶意内部人
英国挑战者股票经纪人FreeTrade背面谷歌云让投资更加包容
使用WhatsApp业务API的企业增长预测5,400%
数据保护看门狗呼叫警察手机停止和搜索的控件
谷歌创建数据中心任务调度程序,以限制非紧急工作以达到可再生能源期
英国 - 美国数据交易使Brexit数据充足的危险协议
北欧业务是欧洲领先的开放银行费
Smartbox移动到Nutanix HCI A催化剂的TEAD Revamp
黑人生活物质由网络攻击目标的活动家
化妆品公司Avon面临新的网络安全事件
政府资助诊断健康技术项目
三星索赔4.3Gbps 5G速度突破
检查点未展开针对Microsoft Office 365网络钓鱼活动
Transatel在路上拍摄全球连接的车辆平台
Google合作伙伴与WWF瑞典深入挖掘时尚行业的可持续发展习惯
Microsoft修补了两个零天的活动漏洞
爱立信为斯德哥尔摩提供电视电视的商业5G网络
英国政府藐视批评并引导萨特科技公司OneWeb收购
福特用沃达丰5G进入齿轮,用于未来的电动车辆生产
Facebook宣布监督委员会成员
HMRC和财政部被指控在独立贷款审查中“直接干扰”
北斯塔福德郡NHS信任为年轻人推出了心理健康平台
英国政府在非洲的旨在金融技术行业
APAC中的开源不断增长
为什么交叉业务合作需要数据桥
Gartner:最佳的公司了解CX
CommVault将Hedvig刷新高底座备份设备
Virtus确认接下来两个数据中心的Q2去直播日期,因为扩展计划收集步伐
PCCW Global Futthers Global IoT与Nayar Systems达到
Red Hat-VMware竞争与openshift虚拟化加剧
研究人员说,零日漏洞越来越多地商品化
矢量和AWS团队在“新能源平台”上
足球运动员采取法律行动,过度使用性能和跟踪数据
贷款收费国会议员拒绝了公共议院对财务票据政策修正案的投票
微软旨在为可持续发展构建行星计算机系统
Kia Motors与Google Cloud合作伙伴,将驾驶者AI的无纸化汽车手册带来
随着Devops Tooling市场加热,Gitlab扩展到澳大利亚
NCSC在安全术语中解决了无意识的偏见
2019年数据违约,美国监管机构的资本罚款$ 80M罚款
澳大利亚发布了新的云计算指南
Google-Powered算法设置为现代化保险经纪
巴斯夫伙伴关系开发了AI动力智能挖掘
海外IT董事可能需要56,100英镑的工资在英国工作
闪光后发生了什么?Weebit Nano希望其皇家皇家会将
购买安全保险时需要询问七个问题
印度的软件行业要求削减繁文缛节
SES水转动物联网点击以减少泄漏
谷歌云眼睛公共部门推动谅解备忘录谅解备忘录
无线利益相关者欢呼“历史性的FCC Wi-Fi 6GHz频谱分配决定
荷兰调查了SSI的创新隐私技术
您的位置:首页 >论坛 > 电子业界 >

管理威胁狩猎如何帮助破坏恶意内部人

2021-09-14 12:44:47 [来源]:

内幕威胁,被定义为人们通过获取公司的物理或数字资产的风险,无论是恶意还是疏忽,都是网络安全世界的普遍问题,也是不可能完全邮票的问题。

然而,使用各种技术,可以在一定程度上减轻内幕威胁,因为在2020年早些时候学到了一个未命名的EMEA咨询公司,当通过与其技术供应商的快速思考和合作结合时,它成功挫败了随着它的展开,网络攻击实时。

该事件在3月份举行,并且由于支持从其供应商,Palo Alto Networks及其Cortex XDR管理威胁狩猎(MTH)服务的目标,能够在他们做任何持久之前摆脱恶意内幕损害。

该公司承认它可能很容易成为下一个高调数据泄露受害者,并积分收到的帮助,并将其名称从新闻中脱离。那么Cortex XDR是什么?Palo Alto威胁研究臂的主要研究人员Bryan Lee将其描述为作为一种行业 - 首先检测和响应产品,它本身集成了端点,网络和云数据以停止复杂的攻击。

它用于检测以“极端准确性”的攻击,由行为分析和机器学习元素支持。李说,这可以加速调查八倍,而与执法点的紧张集成加速了遏制,使用户能够在损坏完成之前停止攻击。

“我们最近宣布Cortex XDR管理威胁狩猎(MTH),由我们国际公认的42款威胁研究团队提供技术支持的一轮时钟威胁狩猎服务。通过管理威胁狩猎,我们可以帮助客户识别否则未被发现的隐藏攻击,“他解释道。

“我们的威胁猎人使用本地建立的独特的数据相关和检测功能进入Cortex XDR平台,以帮助客户找到最先进的攻击。和Cortex XDR,管理威胁狩猎跨集成端点,网络和云数据进行了独特的操作,以实现完全可见性。“

在这种情况下,在帕洛阿尔托的MTH团队之一被艾丽西亚发现了内幕攻击,在调查客户的网络时被警告到了一些错误活动的迹象。狩猎和收集威胁的专家和逆向工程恶意软件,Alicia的核心使命是通过提供上下文来帮助客户,解释正在执行的攻击,以及为什么,为什么,所有帮助授权的安全运营中心(SOC)更好地捍卫他们的组织。

Alicia首先观察了一名员工,显然是黑客攻击自己的笔记本电脑,以获取本地管理员凭据。这是使用称为粘滞密钥的技术完成的,实际上内置于Windows中的可访问性功能,可以使用登录屏幕的特定键组合启动。

“虽然该技术被称为粘滞键,但它实际上是推动利用某些版本的Windows的方式将执行为辅助功能的应用程序而设计,”Lee说。

“在Windows的易受攻击的版本中,当通过一组关键组合启动这些可访问性功能时(粘性键的换档五次,按Windows实用程序管理器等的”Windows + U“),Windows将简单地启动相关的应用程序特权状态的硬编码路径。

“攻击此功能的攻击性可以简单地将应用程序二进制替换为其中一个选择。只要FilePath和FileName是用于快捷键组合的指定键,Windows将执行它。这种技术相当众所周知,作为恢复Windows密码的方法,并已被过去的对手使用。“

李补充说:“除了调用可访问功能外,替换具有完全不同的可访问性功能应用程序的组合应引起任何安全专家的怀疑。”

端点代理在Cortex XDR中的日志中,即现在Insider已成功地授予本地管理员凭据并继续攻击。他们首先使用CMD.exe替换其计算机上的utilman.exe程序,Windows命令shell,这是触发警报的原因。

艾丽西亚及时通知客户的SoC的Dudite分析师,他确认了她的分析。李说,SoC分析师可能已经注意到这一点,但在这种情况下没有,虽然这不是对他们的能力的反思。

“由于自动化,后台行为以及人类驱动行为,在任何组织中都有大量的网络和端点活动,既由于人为驱动的行为,也可能极难过滤噪音,并在干草堆中寻找众所周知的针头, “ 他说。

“使用Cortex XDR,我们能够突出这些行为或行为的组合,以确保他们的优先考虑并进一步调查。”

然后艾莉娅挖掘深入到Cortex XDR数据和日志中,发现员工已运行命令以重置本地管理员密码并列出先前登录其笔记本电脑的本地用户帐户。

在最好的情况下,员工只是试图升级他们的笔记本电脑以更容易完成工作,但更多的是本地账户的枚举是一个人试图访问其他用户账户或偶数域名的标志管理员凭据。

然后,用户密码可以用于从用户窃取机密信息,而管理员密码可能让攻击者将整个公司网络与本地管理员权限关闭。

即便如此,内部人不应该能够作为常规用户这样做 - Windows内有丰富的机制来防止这种滥用,因此艾莉娅挖掘了日志,以查找更多的线索,可以帮助SoC分析师了解用户的方式升级了他们的特权。

她最终发现他们已经将USB粘贴到他们的笔记本电脑上,重新启动了机器,从Stick启动了一个现场Linux发行版,将Windows分区安装,然后将Cmd.exe复制到Utilman.exe上,因为Windows覆盖Windows安全性实际上没有跑步。

然后,他们重新启动了他们的系统,删除了USB棒,向上启动了Windows分区,按下了登录屏幕上的Windows + U,并面临着运行高等权限的空白命令窗口,准备好并等待执行其命令。

通过这些见解,SoC分析师能够快速,预防性行动。他们使用Cortex XDR实时终端连接到流氓笔记本电脑,将其脱机并禁用员工的账户,然后升级到小时。接下来发生了什么可以合理推断出来,更重要的是,恶意演员在攻击中足够早就陷入了持久的损害。

除了通过第三方供应商管理服务外,Cisos还有一些步骤,他们的安全团队可以试图确保他们应该发现自己在恶意内人身上他们有优势。首先识别和管理关键和敏感的资产,并实现访问管理工具和策略,以抵消未经授权的访问。正确完成,这可以在他们开始之前逮捕攻击者的进步。

安全策略还需要彻底记录和强制执行。有时,如果他们不了解此类政策,员工可能会成为偶然的内幕威胁。注意概述可接受使用组织资产,如何使用特权账户,谁拥有知识产权等。这些政策需要向员工合理。

最后,组织可以从创造内部威胁的反应策略中受益。虽然消除了完全不可行的可能性是不可行的,但是使安全团队能够迅速应对问题,可以帮助最大限度地减少对业务的损害。人们还可以考虑在跨部门和职能的工作组创建一个工作组,或任务专用人员负责内幕事件。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。