攻擊的最常見根本原因是未修補的漏洞和被破解的認證,而勒索軟體仍然是最常見的「終局」手段
攻擊的持續時間 (從開始攻擊到被偵測到的時間) 由 15 天減少成 10 天
Sophos 是一家全球領先的創新和提供安全服務的公司,發布一份《給企業領袖的主動攻擊者報告》,詳細介紹了攻擊者在 2022 年間使用的攻擊行為和技術的變化。這份報告的數據是從超過 150 個 Sophos 事件回應 (IR) 案例中分析出來的,總共識別出超過 500 種獨特的工具和技術,包括 118 個「就地取材」的二進位檔案 (LOLBins)。與惡意軟體不同,LOLBins 是原本就存在於作業系統中的可執行檔,因此防禦人員更難在攻擊者濫用它們進行惡意活動時加以阻攔。
此外,Sophos 發現未修補的漏洞是攻擊者獲得遭鎖定系統初始存取權限的最常見根本原因。事實上,在報告中約一半的調查中,攻擊者是利用 2021 年的 ProxyShell 和 Log4Shell 漏洞來滲透組織。攻擊的第二個最常見根本原因則是被破解的認證。
Sophos 現場技術長 John Shier 表示:「當今的攻擊者不是入侵系統,而是直接用竊來的帳號登入。現實情況是,威脅環境的數量和複雜性已經達到了一個防禦者找不到顯著差異可以辨認的程度。對於大多數組織來說,單獨應對威脅的時代已經過去。現在的威脅是全方位的,無所不在,而且一次性全部爆發。不過,對企業來說,仍然有工具和服務可以減輕部分防禦負擔,使他們能夠專注於核心的業務工作。」
Sophos 的 IR 團隊調查發現,超過三分之二 (68%) 的攻擊和勒索軟體有關,這表明勒索軟體仍然是企業最普遍的威脅之一。在過去三年中,勒索軟體也高占 Sophos IR 調查案件的近四分之三。
雖然勒索軟體仍然是威脅環境的主宰者,但是攻擊者進入後的存留時間在 2022 年略有減少,從 15 天減少到 10 天,所有攻擊類型都是如此。在勒索軟體攻擊案例中,存留時間從 11 天減少到 9 天,非勒索軟件攻擊的存留減少更為明顯。後者的存留時間從 2021 年時的 34 天降至 2022 年的 11 天。然而,與過去幾年不同的是,不同規模的組織或行業之間的存留時間沒有顯著的變化。
Shier 表示:「成功實施多層式防禦並進行不斷監控的組織,在防範攻擊方面取得了更好的結果,但副作用是促使攻擊者加快了攻擊的腳步。因此,我們需要更早期的偵測來防範更快速的攻擊。攻擊者和防禦者之間的競爭將繼續升級,沒有積極的監控措施的組織將遭受嚴重的後果。」
Sophos 針對全球 22 個行業進行了 152 個事件回應 (IR) 調查,並根據調查結果撰寫了該份Sophos 主動攻擊者報告。受攻擊的組織位於 31 個不同的國家,包括美國和加拿大、英國、德國、瑞士、義大利、奧地利、芬蘭、比利時、瑞典、羅馬尼亞、西班牙、澳大利亞、紐西蘭、新加坡、日本、香港、印度、泰國、菲律賓、卡達、巴林、沙烏地阿拉伯、阿拉伯聯合大公國、肯亞、索馬利亞、奈及利亞、南非、墨西哥、巴西和哥倫比亞。最具代表性的行業是製造業 (20%),其次是醫療保健 (12%)、教育 (9%) 和零售業 (8%)。
這份 Sophos 給企業領袖的《主動攻擊者報告》提供可執行的威脅情報和深入資訊,可幫助組織最佳化安全策略和防禦。
若要了解更多攻擊者的行為、工具和技術,請到 Sophos.com 瀏覽《2023 年給企業領袖的主動攻擊者報告》。
