在遭遇黑客入侵后绝望的取证调查过程中,入侵的初始点往往备受重视:希拉里竞选经理人 John Podesta 收到的网络钓鱼邮件,或者致使Equifax服务器被非授权访问的 Apache Struts 漏洞。但安全公司CrowdStrike首席技术官 Dmitri Alperovitch 认为,真正关键的时刻未必是初始渗透点,而是之后发生的事情——入侵者从初始渗透点染指整个网络的速度有多快?而在这一点上,没人能快过俄罗斯黑客。
2月19日发布的年度全球威胁报告中,CrowdStrike引入了新的黑客复杂度指标:所谓的“突破”速度。2018年分析过3万多起入侵事件后,CrowdStrike测量了黑客从初始入侵到开始拓展染指范围或提升权限的耗时。该公司比较了4个不同国家的国家支持黑客与非国家网络罪犯之间的耗时差距,结果显示:俄罗斯黑客速度最快,从建立最初的立足点到扩大自身活动范围,平均耗时仅18分49秒。
这些数据也暗示了防御者阻止进行时攻击所需的速度,特别是可能成为俄罗斯情报机构目标的那些组织。
CrowdStrike多年来紧密跟踪俄罗斯黑客行动,发现了2016年美国民主党全国委员会数据泄露事件背后的2个俄罗斯黑客入侵行动。Alperovitch表示:俄罗斯真的是最好的对手。在调查中与之交手,如此短的突破时间就是他们技术的明证。该指标很好地捕捉到了攻击节奏。俄罗斯黑客的速度快到令人难以置信,几乎是第二名威胁的八倍。
工具、零日漏洞、高级恶意软件能告诉你一些东西,但不是事件的全貌。
CrowdStrike的排名中,朝鲜黑客名列第二,从初始突破点扩散到整个网络的耗时平均要比俄罗斯黑客长两个小时。中国黑客耗时约4个小时,伊朗黑客则超过5个小时,追逐利益的网络罪犯平均要花近10个小时才可以提权,或将感染扩散到受害网络的其他部分。
在情报机构和军方能从大量私营企业购买恶意软件和漏洞的时代,CrowdStrike衡量的突破时间可能最接近攻击运作复杂度的真实测试。黑客国家队不太可能像经常购买漏洞研究成果和软件开发工具,并将攻击外包的经济黑客一样。工具、零日漏洞、高级恶意软件能告诉你一些东西,但不是事件的全貌,仅仅表明他们有很多资金可用而已。
案例之一就是APT29(又称安逸熊:Cozy Bear )。从目标点击网络钓鱼链接到域管理员权限入手——也就是获得整个目标网络的控制权,该菁英黑客团队仅需10分钟。他们并不是啜饮着咖啡慢慢计划今天该干点儿啥的悠闲绅士,他们有明确的目标,一旦目标上钩,立即尽快捕获,在自己被检测到之前早早完成任务。
Ben Read 是CrowdStrike的竞争公司火眼的网络间谍分析经理,他认为突破速度不是反映黑客危险程度的唯一指标,有些黑客组织可能会搜索更大范围的网络,但只专注于搞定某几个上钩的受害者。
速度是一个有趣的数据点,但不是攻击复杂度的完美反映。发送1万封网络钓鱼邮件也可能只真正关心5个目标。如果你是那五个目标之一,那他们会快速搞定你。但如果你只是一个无聊智库的人力资源人员,那他们会几个小时后才来瞄你一眼。
不过,CrowdStrike的研究数据还是展现了黑客的平均行动力,反映出网络运营商需要动作多快才可以捕获攻击行动并限制入侵。这家公司真的算出了自己在2018年观测到的所有事件的平均突破时间——4小时37分钟,比2017年的不到2小时可是长了许多,其中部分原因在于慢速攻击者的数量增长。但即便是四五个小时的窗口时间,对检测和响应威胁来说也还是太窄了,一不小心就是单个用户感染和整个网络陷落的差别。
防御者应随时待命。突破时间指标不仅仅反映出攻击者的速度,也昭示着防御者清除他们所必须达到的速度。