网络安全公司SafeBreach近期发布了最新版本的“黑客秘笈”（Hacker’s Playbook）报告，报告指出许多组织机构仍难以应对最常见的渗透、数据渗漏和横向移动攻击方式。

3400种攻击研究结果

SafeBreach公司为用户提供一个持续性安全验证平台，采用集中管理系统，结合完整的黑客入侵网络方法“秘笈”，从中心位置管理分布式网络的入侵模拟器，模拟器能够在现实世界中扮演虚拟黑客的角色，通过持续模拟攻击活动与违规行为的方式测试企业的防御能力。

在此次发布的黑客秘笈第三版中，SafeBreach公司分析了2017年1月至11月期间所获得的约1150万次自动化模拟数据。相关模拟活动涉及超过3400种攻击方法——包括漏洞利用工具包以及用于暴力破解及证书收集的恶意软件——可帮助企业明确发现攻击者被哪些保护因素所阻止，又在哪些场景下顺利完成入侵。

勒索软件、银行木马攻击依然很有效

在对恶意软件所采用的前五大渗透方法进行分析后，该公司发现超过55%的攻击尝试获得了成功。在SafeBreach的模拟过程中，臭名昭著的恶意软件家族——包括利用SMB的WannaCry勒索软件以及依靠HTTP的Carbanak（Anunak）银行木马——分别在模拟中获得了63.4%与59.8%的“好成绩”。

其它流行的渗透方法还包括将恶意可执行文件打包在CHM、VBS以及JavaScript文件当中。这种作法将帮助攻击者骗过最终用户以及高级扫描工具，其成功率普遍在50%到61%之间。

企业内部恶意软件扫描能力差

一旦攻击者得以接入目标企业的网络，其将能够利用多种方法进行横向移动。各类最为常见的横向移动方法（全部采用某种恶意软件或漏洞利用手段）在SafeBreach的模拟当中获得了65%到70%的成功比例。此类攻击相对较高的成功率证明：企业往往未能实施适当的分割控制机制。一旦防护外围被攻破，网络内部不再具备恶意软件扫描能力，而攻击者将能够轻松由一台设备移动到其它设备。

攻击者数据渗漏常用端口

在数据渗漏方面，涉及MySQL查询、TLS、SSL、HTTP POST以及HTTP GET的方法拥有40%到57%的成功率。而最常见的目标端口分别为123（NTP）、443（HTTPS）以及80（HTTP）。

结论：攻击者更乐于采取简单的方式

SafeBreach公司在其报告中指出，“攻击者会始终优先尝试最简单的路线；遗憾的是，这类尝试往往会直接获得成功。利用DNS隧道技术或者在数据包标头上缓存数据从而缓慢窃取数据的作法确实不致引起怀疑，而且手段相当高明。但攻击者采取这类创造性的技术并不会得到额外的收益；事实上，他们只需要清除或加密数据发送网络流量即可得到相同的结果——很明显，攻击者更乐于采取简单的方式。”

该公司补充称，“我们还深入查看了这种流量，并确认传统网络流量确实是导致数据泄露的主要风险。然而，也有其它一些隐匿手段同样被广泛使用，因为我们通常能够通过NTP——其通常保持开放且未经扫描——进行数据窃取。”

WannaCry、Locky以及Cryptolocker的出现已经令众多企业意识到勒索软件应该得到高度重视。然而，SafeBreach公司发现即使已部署的安全解决方案能够正常运作，此类攻击活动往往仍可获得成功。

优化现有技术防御效果更好

该公司指出，大多数客户通过优化现有安全控制措施而显著降低了攻击成功率。企业安全团队已经具备实现安全保障所必要的工具/控制方案。通常情况下，安全团队并无必要一味追逐最新的安全技术潮流，而应对现有技术进行优化。”