发生了什么
在最近一起备受关注的入侵事件中,一家大型QSR(快速服务餐厅)集团遭受了重大干扰,数据被窃取并波及三个不同的子公司。最初的入侵源于一场针对具有高权限的中层IT管理员的复杂网络钓鱼活动。这导致凭证成功泄露,并在公司网络内获得了初步立足点。
该组织依赖一家知名的托管检测与响应(MDR)供应商进行24/7监控和事件分类。尽管该供应商的服务水平协议(SLA)对高严重性警报有明确规定,但一个由异常管理活动和可疑网络连接触发的关键警报却在41小时内未被确认。这种长时间的延迟被证明是灾难性的,使攻击者能够升级权限并建立持久性。
在这段盲点期间,威胁行为者以惊人的效率进行横向移动,利用母公司与其子公司之间存在的信任关系。他们利用配置错误的信任和薄弱的访问控制,从最初受损的环境枢纽进入另外两个不同的业务单元。在建立持久性后不久,数据窃取便开始,目标是敏感的客户和运营数据。
这种模式为何屡次重演
这次事件并非孤立的异常现象;它代表了外包安全运营中反复出现的故障模式。根本原因 H是多方面的,通常源于合同模糊性、人为因素和技术限制的结合。MDR合同通常会定义警报严重性和响应时间,但实际执行情况可能大相径庭。
一个主要问题是现代企业中产生的警报量巨大。即使有高级关联分析,SOC分析师也会面临警报疲劳,导致错过信号或延迟调查。当MDR提供商优先考虑数量而非质量,或者其内部流程对每个警报缺乏足够的监督和问责制时,这种情况会更加严重。
另一个促成因素是一些MDR服务的“黑箱”性质。客户通常无法完全了解供应商的内部分类工作流程、人员配备水平和质量控制机制。这种不透明性可能会掩盖系统性问题,例如关键班次人手不足或初级分析师培训不足,直到发生重大事件才暴露出来。
“最大的漏洞不总是零日漏洞;它是安全策略与实际实施之间的差距,尤其是在实施外包时。”
攻击者的逐步策略
攻击者一丝不苟地执行了一套众所周知的策略,这表明他们清楚地了解常见的企业漏洞和防御盲点。他们通过高度针对性的鱼叉式网络钓鱼电子邮件获得了初始访问权限,该邮件嵌入了一个旨在窃取凭证的恶意文档。这种初始访问提供了一个合法的用户账户。
获得初始访问权限后,攻击者进行侦察,使用BloodHound等工具绘制内部网络图,以识别Active Directory配置错误和潜在的权限升级路径。他们特别关注识别具有广泛权限的服务账户和管理组,这是横向移动的常见目标。
权限升级是通过一个已知漏洞(CVE-2021-42287/CVE-2021-42278的一个变体)实现的,该漏洞允许他们冒充域控制器。这使他们获得了企业管理员控制权。获得提升的权限后,他们建立了多个持久化机制,包括计划任务、新的服务账户以及对组策略对象(GPO)的修改。
子公司间的横向移动利用了现有的VPN信任和RDP连接,这得益于被入侵的企业管理员凭证。他们部署了自定义数据窃取工具,将敏感数据暂存到内部文件共享中,然后将其传输到攻击者拥有的云存储。这种多阶段方法使得检测更具挑战性。
防御者错过了什么
最初的高严重性警报是由EDR解决方案生成的,它标记了不寻常的进程执行模式和来自用户工作站的C2通信尝试。此警报本应触发立即调查和遏制协议。41小时的确认延迟意味着EDR的检测能力实际上被人为因素抵消了。
除了错过的警报之外,多层防御都失败了。多因素身份验证(MFA)并未对所有管理账户普遍强制执行,特别是那些用于子公司之间横向移动的账户。这使得受损凭证能够被重复使用并造成毁灭性后果。子公司之间的网络分段也不足,一旦攻击者进入,网络就变得扁平化。
此外,对关键基础设施(如Active Directory和关键服务器)的日志记录和审计要么不够全面,要么未能正确集成到MDR的监控堆栈中。这限制了MDR分析师的可见性,即使警报得到了及时确认。事件后分析显示日志保留和可访问性存在重大差距。
最后,事件响应计划本身可能存在缺陷。虽然可能存在书面的IR计划,但长时间未能确认关键警报表明该计划的实际操作存在漏洞,尤其是在与外部MDR提供商的交接和升级程序方面。
实用的防御清单
- 强制执行通用MFA: 对所有管理账户、VPN访问和关键业务应用程序,特别是那些用于子公司间访问的应用程序,实施强大的、防网络钓鱼的MFA。
- 严格划分网络: 在业务单元和关键资产之间实施零信任原则和强大的网络分段。默认情况下限制横向移动路径。
- 持续审计MDR性能: 为您的MDR供应商建立清晰、可衡量的绩效指标,包括警报确认时间、调查彻底性和误报率。定期进行独立审计。
- 验证日志记录和遥测: 确保所有关键系统(AD、EDR、网络设备、云服务)都将全面的日志发送到您的SIEM/MDR。定期测试日志摄取和警报生成。
- 进行红蓝对抗演练: 将攻击性安全测试(红队)与防御性分析(蓝队)结合起来,以识别检测和响应中的漏洞。模拟真实世界的TTP(战术、技术和程序),包括那些利用已知CVE和横向移动技术的TTP。
- 审查和测试事件响应计划: 定期更新和桌面演练事件响应计划,重点关注涉及外部提供商的场景。包括针对错过警报和供应商问责制的具体程序。
- 实施云安全态势管理(CSPM): 对于混合或多云环境的组织,持续监控配置,以发现可能导致未经授权访问或数据泄露的配置错误。
现代攻击性测试本可以如何发现这一点
高级攻击性安全演练,特别是那些专注于持续红队或入侵和攻击模拟(BAS)的演练,旨在精确地暴露这些操作盲点。一次执行良好的红蓝对抗演练会利用相同或类似的初始访问向量,尝试触发EDR和其他安全控制的警报。
关键的区别在于即时反馈循环。在此类演练中,当生成警报时,测试团队会期望监控团队能够迅速确认和调查。如果警报被错过,它将在演练汇报期间立即被指出是一个关键故障,从而在真正的攻击者利用它之前解决问题。
此外,一个有效的BAS平台会不断模拟攻击者技术,检查安全控制是否生成了预期的遥测数据,以及监控团队是否对其采取了行动。每个信号都会被记录并带有时间戳,确保任何错过的检测或延迟响应都能立即量化和审计,防止此类故障被掩盖。这种客观、可验证的记录使问责制变得清晰。
接下来需要关注什么
行业将继续努力应对外包关键安全功能的复杂性。预计MDR合同细节将受到更严格的审查,尤其是在SLA、警报处理工作流程以及供应商运营透明度方面。监管机构也可能为依赖第三方安全服务的组织引入更严格的指导方针,强调尽职调查和持续监督。
在技术方面,推动AI驱动的异常检测和自动化响应的趋势将加剧。然而,在解释复杂警报和做出关键遏制决策方面,人为因素仍然至关重要。挑战在于如何在有效集成AI的同时,不引入新的盲点或过度依赖缺乏上下文理解的自动化。
最后,安全运营和攻击性安全测试的融合将变得更加明显。组织将寻求不仅能检测威胁,还能主动验证其防御能力以应对不断演变的TTP的解决方案,确保NIST框架的“检测”功能真正有效并持续改进。重点将从仅仅拥有MDR转向确保MDR在实际压力下能够出色表现。
