資安廠商Sophos報告的調查顯示,組織在應對網路安全事件時,超過 42% 的案例中存在遙測日誌的缺失。在這些案例中,攻擊者不僅成功地關閉了遙測日誌,還可能清除了相關的日誌資訊,使得組織的安全專業人員在追蹤和分析攻擊活動方面面臨了嚴重的阻礙,對整個網路受到了嚴重的阻礙。
遙測日誌的缺乏對組織的安全性會產生直接且嚴重的影響,尤其是入侵事件的檢測和應對時間變得更加有限。
Sophos指出,這種缺失將增加組織應對威脅的時間成本,因為日誌的缺乏會造成沒有足夠的資訊及時的識別和應對。這也提醒組織的安全團隊要特別注意保持完整和準確的日誌記錄,以確保在發生安全事件時擁有足夠的資料來追蹤攻擊者的行為和策略。
報告進一步指出,儘管整體而言,勒索軟體攻擊的時間逐漸縮短,但在戰術和程序上(tactics, techniques and procedures)的變化相對較小。這表明防守者無需完全改變其防禦策略,但仍應該保持警惕,因為攻擊者可能在其他方面加強其攻擊手法。然而,攻擊者似乎也意識到檢測能力的提高,因此他們更努力地逃避檢測。
修改遙測日誌成為攻擊者相對輕鬆的勝利之一。在快速發動的攻擊中,遙測的缺乏可能對防守者的應對產生重大影響,因為攻擊者能夠深入網路而不被發現。這突顯了組織需要在安全措施中更加著重於保護和監控遙測日誌的完整性,以確保檢測到潛在的安全威脅。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:
Fast-acting cyber gangs increasingly disabling telemetry logs.檢自:https://www.computerweekly.com/news/366559416/Fast-acting-cyber-gangs-increasingly-disabling-telemetry-logs (Nov.14,2023)
Disable INFO open telemetry log from BigQuery.檢自:https://lightrun.com/answers/apache-airflow-disable-info-open-telemetry-log-from-bigquery (Dec.17,2020)
Disabling Application Insights Dependency Logging for Azure Web App.檢自:https://copyprogramming.com/howto/disabling-dependency-logging-for-application-insights-on-azure-app-service-web-app (Apr.16,2023)
