今年CrowdStrike分析每個駭客集團的速度,包括來自俄羅斯的Bear、中國的Panda、北韓的Chollima、伊朗的Kitten及由個別駭客(eCrime)組成的Spider,顯示出動作最快的是Bear,平均的爆發時間只有18分49秒,遠遠領先排名第二的北韓Chollima(2小時20分鐘14秒),而Chollima的進攻時間又比中國Panda(4小時26秒)快了許多。(photo by CrowdStrike)

美國資安業者CrowdStrike在去年首度提出了網路攻擊行動中「爆發時間」(Breakout Time)的概念,指的是駭客入侵目標系統至橫向發展所需的時間,並在近期公布了各國駭客進攻的爆發時間,發現俄羅斯駭客集團Bear展開攻擊的平均爆發時間只有18分49秒,居次的北韓駭客集團Chollima卻需2小時20分14秒,約莫是Bear的8倍。

CrowdStrike把爆發時間認為是衡量駭客攻擊火力的重要指標之一,根據該公司的定義,它是駭客在目標網路上建立第一個缺口(例如讓某人點選一個惡意連結或是透過攻擊程式入侵系統)到成功轉移至目標系統所需的時間,這段時間駭客也許是在勘察網路、企圖擴張權限或是竊取憑證。

CrowdStrike共同創辦人暨技術長Dmitri Alperovitch表示,假設遭攻擊的組織未能防範第一個缺口,就應掌握此一爆發時間,以避免面臨更大也更難處理的缺口。

根據去年的統計,駭客集團的平均爆發時間為1小時58分鐘,而今年CrowdStrike則進一步分析每個駭客集團的速度,包括來自俄羅斯的Bear、中國的Panda、北韓的Chollima、伊朗的Kitten及由個別駭客(eCrime)組成的Spider,顯示出動作最快的是Bear,平均的爆發時間只有18分49秒,遠遠領先排名第二的北韓Chollima(2小時20分鐘14秒),而Chollima的進攻時間又比中國Panda(4小時26秒)快了許多,伊朗Kitten的平均爆發時間則是5小時9分4秒。

Alperovitch指出,儘管俄羅斯因擁有頂尖的情報技術,排名第一完全在意料之中,卻沒想到Bear的動作如此迅速。至於北韓的Chollima則具備了近20年的積極網路攻擊經驗,也是最早使用資訊操作的國家之一,從2009年就開始部署破壞性的攻擊行動,其實北韓的情報與能力非常先進,只是過去被低估了,其快速的爆發時間就是最好的證明。

CrowdStrike也提出了因應爆發時間的1-10-60規則,以1分鐘來偵測入侵,花10分鐘調查,並在60分鐘內修復,透過比平均爆發時間(1小時58分鐘)還快的速度來防禦攻擊行動,但也必須根據對手的能力作出調整。

爆發時間雖是可用來衡量對手實力的有效方法,但不見得是通用的,也得視企業自身的安全機制而定,例如假設企業網路的漏洞像瑞士起司一樣多,那麼爆發時間勢必會更短。


Advertisement

更多 iThome相關內容