“变”成“机器人”
|
业界在勒索软件攻击防御方面的注意力大多集中在攻击者在网络中横向移动的方法,一个关键方面却常常被忽略:攻击者的驻留时间,也就是入侵者在企业网络内部潜伏且未被检测到的时间长度。 过去十年,大多数勒索软件攻击都属于“无差别”抢劫式攻击,成功部署的恶意文件将以尽可能快的速度加密尽可能多的文件和计算机,然后以锁定屏幕的形式“收网”。最近,勒索软件攻击开始变得更加隐蔽和有针对性,会潜伏在网络中进行侦察,并耐心等待,以期发现更高价值的资产。
与其他恶意软件相比,勒索软件的攻击驻留时间相对较短,平均为43天,而高级持续攻击APT的驻留时间可长达数月甚至数年。但是,43天对于勒索软件攻击者和受害者来说都过于漫长,驻留时间每增加一天,攻击者的怒火和潜在破坏性都在增长。 可以看到出现用户警告:应用程序请求管理权限。 那么远程执行的管理任务是什么呢?有两种可能。 1. 属于主机“Administrators”组成员的域帐户都可以请求它们,在这种情况下,不会为此帐户激活UAC,他可以执行其管理任务。 2. 是由主机的“Administrators”组成员的本地帐户请求的,在这种情况下,UAC在某些情况下是启用的,但不是一直启用。 为了理解第二种情况,让我们看一下两个注册表项,这两个注册表项有时是未知的,但是当使用本地管理帐户进行NTLM身份验证后尝试执行管理任务时,有两个注册表项(LocalAccountTokenFilterPolicy,FilterAdministratorToken)扮演了关键角色。
下表总结了这两个注册表项的每种组合,每种组合都可以通过主机的身份验证。 我们从连接的用户中检索所有NT哈希,由于我们已经是这些计算机的管理员,所以不会显示来自计算机帐户的文件。 传递哈希限制 传递哈希值是一项在服务器上启用NTLM身份验证时始终有效的技术,默认情况下,该技术是有效的。但是,Windows中有一些机制可以限制或可能限制管理任务。
在Windows上,使用访问令牌执行权限管理,从而可以知道谁有权做什么。“Administrators”组的成员有两个令牌。一个具有标准用户权限,另一个具有管理员权限。默认情况下,当管理员执行任务时,它是在标准的、有限的上下文中执行的。另一方面,如果需要管理任务,那么Windows将显示这个称为UAC(用户帐户控制)的众所周知的窗口。 支持物联网的设备和系统使用各种通信协议,例如以太网/ IP,Modbus,Wi-Fi,蓝牙/ LE和ZigBee,具体取决于设备,用途和环境。物联网网关可在本地Intranet上在这些设备与基于云的系统或更高级别的系统(例如MES(制造执行系统)或SCADA(监控和数据采集))之间建立连接和通信。对于工业自动化和处理应用程序,物联网网关本质上“弥合了OT(运营技术)和IT(信息技术)系统之间的鸿沟”。 但是,物联网网关的功能不只是实现通信的基本任务。在将数据从设备发送到更高级别的系统之前,它还会加密,处理,过滤,更新和处理数据。这些功能,尤其是预处理和过滤,减少了传输,处理和存储需求。网关还可以执行数据缓存和日志记录,并在本地存储数据,以确保保持连续的历史记录,尤其是当设备位于连接不可靠的偏远地区时。 当物联网网关成为智能网关 在讨论物联网或工业物联网时经常使用的术语是“边缘设备”,指的是启用物联网的传感器,执行器和其他设备。术语“边缘”通常是指物理世界(设备)和云(或更高级别的系统)之间的边界。 类似地,可以执行高级功能(例如过滤,操作和处理数据)的物联网网关有时也称为“边缘网关”或“智能网关”。当数据分析从云或远程网络移至边缘(通常移至网关或设备本身)时,这称为“边缘计算”。 将一些处理功能从云移到边缘(到设备本身以及到IoT网关),有助于确保关键数据及时,准确和可靠。它还减少了IIoT应用所需的带宽和计算资源。 使用边缘网关(尤其是在IIoT应用程序中)的好处是,将数据处理功能从云移到边缘有助于确保准确性和可靠性。与云之间进行数据传输需要花费时间,而对于工业运营中发生的许多关键任务决策和流程而言,毫秒级的时间也太长。在将数据发送到云并从中获取响应所花费的时间中,数据很容易变得过时,从而导致失去采取行动的机会,损坏的组件或产品或设备或人员安全的风险。边缘设备还可以直接向其他设备发送数据或命令以立即采取行动。
通过边缘网关进行边缘计算,还可以将“敏感数据”保留在“现场”以确保其安全性。还有实用性的问题。一些设备或系统生成的数据太多,以至于云处理这些数据所需的带宽和资源太昂贵。边缘网关可以确定将哪些数据发送到云,并以最有效,最实用的形式进行传输。 (编辑:鞍山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
