被称为“图书管理员食尸鬼”的组织已经渗透了俄罗斯、白俄罗斯和哈萨克斯坦的技术大学和工业组织的网络，整个过程没有立即引发警报。他们通过利用合法的登录凭证在内部网络中进行横向移动，使用有效的凭据并避免了触发警报。

与许多其他高级持续性威胁（APT）组织不同，“图书管理员食尸鬼”不依赖于定制恶意软件。相反，他们利用合法的第三方工具，如远程访问软件、压缩工具和SMTP实用程序，来策划近乎完美的网络钓鱼活动，包括使用受密码保护的文件和能够实时变形的多态恶意软件。这些战术使攻击者几乎可以悄无声息地绕过传统的检测控制。

这一事件是网络安全工具在孤岛中运行时面临的更广泛且日益严峻挑战的一部分：攻击者利用这些工具之间的间隙。端点检测与响应（EDR）、防火墙和身份验证系统各自扮演着重要角色，但缺乏集成时，它们只能提供部分可见性。

例如，EDR解决方案可能会忽略合法的管理工具，如果这些工具没有表现出明显的恶意行为。防火墙会标记异常的出站连接，但通常缺乏判断发起用户或端点的上下文。身份验证日志可能捕获了一系列有效的登录，却无法识别出横向移动的模式。

由此得出的教训很清楚——跨安全层的集成化可见性至关重要。关联来自多个工具的警报信号对于检测复杂、多阶段的攻击至关重要，没有任何单一解决方案能够独自完全发现这类攻击。没有这种统一的视角，组织可能会错过全局，直到为时已晚。

由于多个安全解决方案都在生成警报，许多组织在一种虚假的安全感中运营。没有集成，安全防护是碎片化的，为复杂的攻击留下了可利用的间隙，有时可达数周或数月之久。

如何防范规避检测的威胁

组织需要对其环境有一个统一的视图，并具备实时响应的能力。这正是托管检测与响应（MDR）发挥作用的地方。MDR结合了高级威胁检测、分析和人类专业知识，对威胁进行全天候（24/7）的监控、调查和响应。与孤立工作的传统工具不同，MDR能够关联来自端点、网络、云环境和身份系统的信号，从而更快、更准确地检测可疑活动。

战略性的MDR方法使组织能够以孤立工具无法比拟的速度和准确度来检测和响应威胁。防火墙可能会阻断异常连接，EDR可能会发现异常行为，但当这些信号独立运作时，关键的模式可能会被遗漏。MDR利用人工智能和自动化技术来连接这些分散的警报，从而能够在几分钟内识别出真正的威胁。即使攻击者刻意将其活动与正常操作混合在一起，MDR也同样有效。

一旦检测到真正的威胁，响应速度就至关重要。通过提供跨网络、端点和身份层的统一视图，MDR加速了调查过程，减少了业务中断，有助于维持业务连续性并保护组织的声誉。同时，人工智能驱动的关联功能可以过滤掉噪音和误报，只突出显示最相关的警报，并提供安全团队果断行动所需的上下文。这种聚焦对于资源有限的环境尤其宝贵，因为在那里每一秒都至关重要，而警报疲劳可能会削弱防御的有效性。

“图书管理员食尸鬼”的入侵事件表明，当解决方案之间缺乏协调时，攻击者就能绕过防御。这就像大海捞针。MDR通过关联不同的信号、过滤误报并提供基础设施的统一视图来应对这一挑战。通过这样做，它放大了每一层安全防护的价值：EDR获得了识别异常的上下文，防火墙能更好地解释网络连接，身份系统则能更准确地标记可疑的访问。