APT可在中小型企业网络内部停留数年

风险软件平均停留时间可长达 869 天。

根据 Infocyte 今天发布的一份报告指出,威胁的停留时间——即威胁被企业组织发现并成功删除前在网络中所花费的时间——已经成为中小型企业 (SMB) 面临的一个重要安全问题。

该报告分析了超过 339,000 个有关恶意活动的帐户和行为日志,调查对象则主要聚焦于拥有 99 至 5,000 名员工且年收入高达 10 亿美元的公司。

调查结果显示,勒索软件攻击的停留时间平均为 43 天。另一方面,所有其他持续性威胁(非勒索软件)的平均停留时间则为 798 天,而风险软件(包括不需要的应用程序、网络跟踪器和广告软件)的平均停留时间更是高达 869 天。

根据 Infocyte 公司联合创始人兼首席产品官 Chris Gerritz 的说法,72% 的中小型企业网络中存在风险软件和不需要的应用程序,而这些东西需要超过 90 天才能移除完毕。虽然它们通常只是一些风险较低的问题,但由此引发的更大的问题是,未能控制风险软件的网络通常无法在发现高优先级威胁时做出及时地响应。

调查发现,60% 的恶意软件是由防病毒供应商使用一般签名机制识别的,而这些一般签名机制根本无法说明问题所在,所以这也就解释了为什么中小型企业始终无法了解高优先级和低优先级风险之间的差异。

Infocyte 的报告还解释了为什么一些持续性威胁 (APT) 和风险软件的停留时间可以高达 2 年之久。例如,存在于被检查系统上的一些活动性感染被配置为sinkholed的域名并且不构成直接威胁。

也就是说,研究人员发现的一个感染家族可以追溯到十年前。虽然之后几年,随着一系列僵尸网络运营商被逮捕,这些感染家族并没有构成什么威胁,但是多年以后,当研究人员发现这些恶意软件仍然活跃在看似受保护的端点上还是不免令人心惊。

如果无法或没有能力进行持续性的监控,Gerritz 建议中小型企业可以以每年至少一次的频率引入第三方进行 “侵害评估”,同时进行漏洞评估和渗透测试。

Gerritz 表示,如果公司无法负担得起持续性的威胁分析,他们至少应该每年进行一次这些测试,如此一来,安全专业人员就可以检查那些长时间停留的活跃恶意软件,这些恶意软件很可能已在网络中活跃了很多年。

451 Research 的高级分析师 Aaron Sherrill 表示,Infocyte 的研究揭示了大多数小公司缺乏标准安全控制的情况。

Sherrill 表示,他们可能没有更新技术和签名,而且还会经常忽略警报和事件通知,或者说他们可能根本就没有足够的宽带来完成所有的工作。在公司能够负担得起的情况下,侵害评估应该是一年多次的事情。

很多时候,公司会把这些评估视为 “对框打勾” 的项目,而且经常会忽视甚至忘记它们。但是要知道,这些威胁中的大多数都是十分复杂的,且设计得不易被安全人员和防病毒软件觉察到。所以说,公司每天都无异于在冒险。而他们真正需要做的就是持续地监控他们的网络。

上一篇:锐捷智慧身份平台SourceID出手 助力大连海事大学智慧校园建设

下一篇:检测与响应时代 统一SOC才是成功之路