|
为了向安全团队提供对抗网络攻击的可见性和解决方案,Microsoft威胁保护(Microsoft Threat Protection ,MTP)将跨多个域和点的威胁信号关联起来,包括端点、身份、数据和应用程序。这种全面的可见性允许MTP跨Microsoft 365数据协调预防、检测和响应。
MTP实现这一承诺的许多方法之一是通过事件的概念提供高质量的攻击证据整合,事件结合了企业内部的相关警报和攻击行为。一个事件的例子是所有行为的合并,表明勒索软件存在于多台计算机上,并且通过暴力将横向移动行为与初始访问联系起来。在最新的MITER ATT&CK评估中可以找到另一个示例,其中Microsoft Threat Protection将80个不同的警报自动关联为两个事件,这些事件反映了两个攻击模拟。
事件视图有助于使防御者快速了解并响应实际攻击的端到端范围。在此文中,我们将分享有关数据驱动方法的详细信息,该方法用于通过统计建模检测到的横向移动的行为证据来识别和增加事件。这种新颖的方法是数据科学与安全专业知识的结合,已得到Microsoft威胁专家的验证和利用,可以识别和理解攻击范围。
识别横向运动
攻击者横向移动以提升特权或从受到威胁的网络中的特定计算机窃取信息,横向移动通常涉及攻击者试图采用合法的管理和业务运营功能,包括服务器消息块(SMB),Windows管理规范(WMI),Windows远程管理(WinRM)和远程桌面协议(RDP)之类的应用程序。攻击者将这些合法使用于维护网络功能的技术作为攻击目标,因为它们提供了充分的机会来融入大量预期的监控技术,并提供通往目标的路径。最近,我们观察到攻击者进行横向移动,然后使用上述WMI或SMB将勒索软件或数据清除恶意软件部署到网络中的多个目标计算机。PARINACOTA组织最近的一次攻击以部署Wadhrama勒索软件的人为攻击而闻名,该攻击以使用多种方法进行横向移动而著称。通过RDP暴力获得对面向互联网的服务器的初始访问权限后,攻击者通过扫描端口3389(RDP),445(SMB)和22(SSH)来搜索网络中其他易受攻击的计算机。在新一代勒索软件中,比较流行的一类趋势是“Smash-and-Grab”技术。攻击者暴力入侵系统,在不到一个小时的时间内部署勒索软件、盗窃凭证或进行其他恶意活动,时间短减少了受害者进行干预的机会。
今年3月,微软的研究人员对一个利用此方法的恶意组织进行了18个月的跟踪调查,该组织被称为Parinacota,主要部署Wadhrama勒索软件。随着时间的推移,现在Parinacota平均每周攻击3~4个企业或机构,将受感染的机器用于各种目的,包括加密货币挖掘、发送垃圾邮件或代理其他攻击。
攻击者下载并使用Hydra通过SMB和SSH对目标进行暴力破解,此外,他们还使用通过Mimikatz的凭据转储窃取的凭证,通过远程桌面登录到其他多台服务器上。在他们能够访问的所有其他计算机上,攻击者主要执行相同的活动,转储凭证和搜索有价值的信息。
值得注意的是,攻击者对未启用远程桌面的服务器特别感兴趣。他们将WMI与PsExec结合使用以允许服务器上的远程桌面连接,然后使用netsh禁用防火墙中端口3389的阻止,这使攻击者可以通过RDP连接到服务器。
他们最终使用该服务器将勒索软件部署到组织的服务器计算机基础结构的很大一部分中,这次攻击是人为操作勒索软件的一个例子,破坏了该组织的大部分功能,表明检测和缓解横向移动是至关重要的。
其实,这个消息要闻中有两个关键点:
-
允许永久远程办公,但是特殊职位比如:硬件实验室,数据中心,现场培训这样的工作,是远程办公无法执行的,是必须到公司办公的。
-
薪酬和福利将根据区域位置而有所变化。
第一条我们可以理解哈,其实,第二个关键点很有意思,就是:薪酬和福利将根据区域位置而有所变化。具体怎么变化没有说,但是估计薪酬和福利会根据远程办公所在地的市场行情,生活成本进行变化的,就是一线城市生活成本高,市场行情薪资高,那么就高,如果你在三线城市,生活成本低,薪资市场行情也低,那么就会调整到对等的。
那么问题来了,如果你在三线城市进行远程办公,但是你的技术水平比在一线城市远程办公的同事水平高,那么你能接受工资比他们低吗?
另外一个很有意思的考虑就是:假如远程办公条件很成熟了,同等技术水平的程序员,一群在一线城市,一群在三线城市,是不是三线城市做同样的工作,公司付出的成本比一线城市低呢?那么从公司成本的角度来讲,可能将来很多任务和工作都会分配给三线城市的子公司。
那像微软这样的国际化的公司,在全世界各地都有很多分公司,子公司,办事处等等吧,那用印度人的成本比欧洲人,比中国人的成本低,印度人可能一天 300 块钱就够了,中国人需要 500 ,那么这样在未来的工作分配上会是什么呢?
微软实行在家永久办公,其实真的挺有魄力的,为什么?因为实行远程办公的条件就是:考验公司的管理能力,比如在线文档的管理能力,在线协同沟通的能力等等,当然了,技术已经很成熟了,很多公司为什么不敢实行远程办公呢?原因就是:管理能力可能跟不上,导致效率低。
其实,很多职场人感觉实行远程办公非常好,都非常欢欣鼓舞,省去了通勤时间,在家也很舒服,也可以偷懒,可以干别的。但是,一旦一个公司敢于实行远程办公的时候,或许并不是员工天堂,而是地狱。
公司实行远程办公肯定经过很多考虑和算计的,公司省去了房租,电费,水费等各种物业成本,而员工呢?看似在家舒服,但是竞争却加剧了,成为了全世界各地所有同事一起竞争了,哪里便宜我用哪里,对公司的好处是最大的,而对于员工来讲,有时候是变相的损失。可能不用等你到 35 岁,你就开始被压的喘不过气来了,就会被淘汰了。
所以,很多人都说危机,危险中存在机会。但是,我们中国有句传统的古话就是:福兮祸之所倚。看似是福,背后有时候是祸。
我只是谈一谈我的看法,这个话题是开放性的, 对于微软的永久远程办公,你们大家是怎么看的呢?欢迎大家一起留言,一起交流。
(编辑:广安站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
