發生了什麼事
在最近一次備受矚目的入侵事件中,一家大型 QSR 集團的三個不同子公司遭受了嚴重的業務中斷和資料外洩。最初的入侵源於一場複雜的網路釣魚活動,目標是一名擁有高權限的中階 IT 管理員。這導致憑證成功遭竊,並隨後在企業網路中建立了立足點。
該組織依賴一家知名的託管偵測與回應 (MDR) 供應商進行 24/7 監控和事件分類。儘管該供應商對高嚴重性警報有服務水平協定 (SLA),但一個由異常管理活動和可疑網路連線觸發的關鍵警報卻在 41 小時內未獲確認。這種長時間的延遲被證明是災難性的,讓攻擊者得以提升權限並建立持久性。
在這段盲點期間,威脅行為者以驚人的效率橫向移動,利用母公司與其子公司之間建立的信任關係。他們利用錯誤設定的信任和薄弱的存取控制,從最初受損的環境轉移到另外兩個不同的業務單位。在建立持久性後不久,資料外洩便開始了,目標是敏感的客戶和營運資料。
為什麼這種模式會不斷重複
這起事件並非孤立的異常現象;它代表了外包安全營運中重複出現的故障模式。根本原因錯綜複雜,往往源於合約模糊、人為因素和技術限制的結合。MDR 合約通常會定義警報嚴重性和回應時間,但實際執行情況可能大相徑庭。
其中一個主要問題是現代企業產生的警報數量龐大。即使有進階的關聯性分析,安全營運中心 (SOC) 分析師仍面臨警報疲勞,導致錯過訊號或延遲調查。當 MDR 供應商重數量輕品質,或其內部流程缺乏對每個警報的充分監督和問責制時,這種情況會更加惡化。
另一個促成因素是一些 MDR 服務的「黑箱」性質。客戶通常無法完全了解供應商的內部分類工作流程、人員配置水平和品質控制機制。這種不透明性可能會掩蓋系統性問題,例如關鍵班次人員不足或初級分析師培訓不足,直到重大事件將其暴露出來。
「最大的漏洞不總是零日攻擊;它是安全政策與其實際實施之間的差距,尤其是在該實施外包時。」
攻擊者的逐步策略
攻擊者精心執行了一個眾所周知的策略,展現了對常見企業漏洞和防禦盲點的清晰理解。他們透過高度針對性的魚叉式網路釣魚電子郵件獲得初始存取權,其中嵌入了旨在竊取憑證的惡意文件。這項初始存取提供了一個合法的使用者帳戶。
在獲得初始存取權後,攻擊者進行了偵察,使用 BloodHound 等工具繪製內部網路圖,以識別 Active Directory 的錯誤配置和潛在的權限提升路徑。他們特別專注於識別具有廣泛權限的服務帳戶和管理群組,這是橫向移動的常見目標。
權限提升是透過一個已知漏洞(CVE-2021-42287/CVE-2021-42278 的變體)實現的,該漏洞允許他們冒充網域控制器。這賦予了他們企業管理員控制權。在權限提升後,他們建立了多個持久性機制,包括排程任務、新的服務帳戶以及對群組原則物件 (GPO) 的修改。
跨子公司的橫向移動利用了現有的 VPN 信任和 RDP 連線,這得益於受損的企業管理員憑證。他們部署了客製化的資料外洩工具,將敏感資料暫存於內部檔案共享,然後將其傳輸到攻擊者擁有的雲端儲存。這種多階段方法使偵測更具挑戰性。
防禦者錯失了什麼
初始的高嚴重性警報是由 EDR 解決方案產生的,標示了來自使用者工作站的異常程序執行模式和出站 C2 通訊嘗試。此警報應觸發立即調查和遏制協議。長達 41 小時的未確認延遲意味著 EDR 的偵測能力實際上被人為因素抵銷了。
除了錯過的警報之外,多層防禦也失敗了。多重身份驗證 (MFA) 並未普遍強制用於管理帳戶,特別是那些用於子公司之間橫向移動的帳戶。這使得受損憑證能夠重複使用,造成毀滅性影響。子公司之間的網路分段也不足,為攻擊者一旦進入內部提供了扁平網路。
此外,對於 Active Directory 和關鍵伺服器等關鍵基礎設施的日誌記錄和稽核,要麼不夠全面,要麼沒有正確整合到 MDR 的監控堆疊中。這限制了 MDR 分析師可用的可見性,即使警報已及時確認。事件後分析揭示了日誌保留和可訪問性方面的重大差距。
最後,事件回應計畫本身可能存在缺陷。雖然書面上可能存在 IR 計畫,但長時間未能確認關鍵警報表明該計畫的實際操作中存在漏洞,特別是在與外部 MDR 供應商的交接和升級程序方面。
實用的防禦檢查清單
- 強制執行全面 MFA: 對所有管理帳戶、VPN 存取和關鍵業務應用程式,特別是那些用於子公司間存取的應用程式,實施強大、可防範網路釣魚的 MFA。
- 嚴格劃分網路: 在業務單位和關鍵資產之間實施零信任原則和強大的網路分段。預設情況下限制橫向移動路徑。
- 持續稽核 MDR 效能: 為您的 MDR 供應商建立明確、可衡量的效能指標,包括警報確認時間、調查徹底性以及誤報率。定期進行獨立稽核。
- 驗證日誌記錄與遙測: 確保所有關鍵系統(AD、EDR、網路設備、雲端服務)將全面的日誌傳送到您的 SIEM/MDR。定期測試日誌擷取和警報生成。
- 進行紫隊演練: 將攻擊性安全測試(紅隊)與防禦性分析(藍隊)相結合,以識別偵測和回應中的漏洞。模擬真實世界的 TTP,包括那些利用已知 CVE 和橫向移動技術的 TTP。
- 審查和測試事件回應計畫: 定期更新和桌面演練事件回應計畫,重點關注涉及外部供應商的場景。包括針對錯過警報和供應商問責制的具體程序。
- 實施雲端安全態勢管理 (CSPM): 對於混合或多雲環境的組織,持續監控配置中可能導致未經授權存取或資料外洩的錯誤配置。
現代攻擊性測試如何捕捉到這一點
進階攻擊性安全參與,特別是那些專注於持續紅隊或入侵與攻擊模擬 (BAS) 的參與,旨在揭露這些操作盲點。一次執行良好的紫隊練習會利用相同或類似的初始存取向量,嘗試觸發 EDR 和其他安全控制的警報。
關鍵的區別在於即時回饋循環。在這種練習中,當警報生成時,測試團隊會期望監控團隊迅速確認和調查。如果警報被錯過,它將在練習總結期間立即被標記為關鍵失敗,在真正的攻擊者利用它之前。
此外,一個有效的 BAS 平台會不斷模擬攻擊者技術,檢查安全控制是否生成了預期的遙測數據,以及監控團隊是否對其採取了行動。每個訊號都經過日誌記錄並標記時間戳,確保任何錯過的偵測或延遲的回應都能立即量化和稽核,防止此類失敗被掩蓋。這種客觀、可驗證的記錄使問責制變得清晰。
接下來要注意什麼
業界將繼續努力應對外包關鍵安全功能的複雜性。預計將加強對 MDR 合約細節的審查,特別是關於 SLA、警報處理工作流程以及供應商營運的透明度。監管機構也可能為依賴第三方安全服務的組織引入更嚴格的指導方針,強調盡職調查和持續監督。
在技術上,推動 AI 驅動的異常偵測和自動化回應將會加劇。然而,解釋複雜警報和做出關鍵遏制決策的人為因素仍然至關重要。挑戰將是如何有效地整合 AI,而不會引入新的盲點或過度依賴缺乏上下文理解的自動化。
最後,安全營運和攻擊性安全測試的融合將變得更加明顯。組織將尋求不僅能偵測威脅,還能主動驗證其防禦能力以應對不斷演變的 TTP 的解決方案,確保 NIST 框架的「偵測」功能真正有效並持續改進。重點將從僅僅擁有 MDR 轉向確保 MDR 在實際壓力下表現出色。
