代码执行、防御规避是针对公司端点的关键攻击中最常用的策略

威胁格局处于不断演变的状态，企业参与者很难跟上频繁的漏洞披露、安全更新和偶尔的零日攻击。

分析师估计，到2021年，350万个网络安全角色将无法履行，因此现有的安全专业人员不仅需要应对看似没完没了的打击网络攻击者的斗争，他们还必须在人手不足的情况下这样做——更不用说COVID-19造成的中断。

有一些工具可以帮助缓解压力。基于自动扫描仪、人工智能（AI）和机器学习（ML）的算法和软件，可管理端点安全和风险评估，提供实时威胁数据的提要等，例如MITRE ATT&CK，它提供了一个免费的知识库，用于编译当前真实世界攻击中观察到的战术和技术。

Cisco检查的正是这个数据存储库在一份新报告中，描述了当前针对企业端点和网络的攻击趋势。

周一，Cisco发布了一个基于MITRE ATT&CK分类的数据集，该数据集结合了在特定时间范围内通过公司安全解决方案接收警报的组织所经历的妥协指标（IOC）。

据该公司称，在2020年上半年，无文件威胁是最常见的攻击媒介用来对付企业。无文件攻击包括进程注入、注册表篡改和诸如kofter，一种无文件特洛伊木马程序；Poweliks，一个在合法进程背后运行的代码注入器；以及发散的，无文件节点.js恶意软件。

第二个是两用工具，包括Metasploit、PowerShell、cobaltstake和powerspolit。合法的渗透测试工具如Metasploit对整个网络安全都有好处，但不幸的是，网络攻击者也可能滥用这些解决方案谋取犯罪利益。

工具，如合法的身份验证和凭证管理系统Mimikatz，排在第三位的是，随着武器化软件转向凭证填充攻击。

在2020年上半年，Cisco表示，这些攻击向量约占观察到的严重程度IoC的75%。

如果将这些威胁应用于MITRE ATT&CK分类，这意味着57%的IoC警报都会出现防御规避，执行率为41%。

，因为现代恶意软件通常包括混淆、移动，而隐藏技术——以及启动有效载荷和篡改现有进程的能力——这一点也不奇怪，IOC可能涉及不止一个总体分类，Cisco指出，使用两用工具建立持久性的攻击者可能会通过在受损计算机上下载并执行凭证转储工具或勒索软件进行跟踪，

然而，当涉及到严重程度严重的警报时，前三大类：防御规避、执行，持续性——经历一次改组。

在严重攻击中，执行力抢占了防御规避的首位，上升了14%，使国际奥委会的警报总数达到55%。防御能力下降了27%，躲闪率下降了17%，躲闪率下降了18%，分别。

此外，一些分类完全从列表中删除，或占关键IoC警报的不到1%，包括初始访问、权限提升，而“发现”（discovery）也被称为“侦察”（Reconsibility），揭示了与整体IOC相比，关键攻击的焦点发生了转移。

防止高水平threats、Cisco建议管理员使用组策略或白名单来执行文件，如果组织需要两用工具，则应实施临时访问策略。此外，端点之间的连接应该经常被监控。

有什么建议吗？通过WhatsApp |信号安全联系，电话+447713 025 499，或访问Keybase:charlie0

新人小程序+APP定制199元起