Sophos 發現 2023 年上半年攻擊者的停留時間縮短至 8 天

Sophos發佈《2023 年給科技領袖的主動攻擊者報告》，深入探討了在 2023 年上半年的攻擊者行為和工具。在分析 2023 年 1 月至 7 月的 Sophos 事件回應案例後，Sophos X-Ops 發現攻擊者停留時間 (即從攻擊開始到被偵測到的時間) 的中位數有所變化。對所有攻擊而言，時間從 10 天縮短至 8 天，勒索軟體攻擊則是縮短至 5 天。在 2022 年，攻擊者停留時間的中位數從 15 天減少至 10 天。

此外，Sophos X-Ops 發現攻擊者平均只需不到一天的時間 (大約 16 小時) 就能夠進入 Active Directory (AD)，而 AD 是企業最關鍵的資產之一。AD 通常負責在組織內管理身分和資源存取，這意味著攻擊者可以利用 AD 輕鬆提升他們在系統上的權限，僅需登入即可進行各種惡意活動。

Sophos 現場技術長 John Shier 表示：「從攻擊的角度來看，攻擊組織的 Active Directory 基礎架構是有道理的。AD 通常是網路中最強大和權限最高的系統，可存取多種系統、應用程式、資源和資料，而它們正是攻擊者的目標。只要攻擊者控制了 AD，就能夠控制整個組織。Active Directory 的影響力、權限提升能力和復原成本，正是它成為攻擊目標的原因。

「在攻擊鏈中，只要能進入並控制 Active Directory 伺服器，就能讓攻擊者取得幾項優勢。他們可以在不被察覺的情況下徘徊，擬定下一步行動。一旦準備就緒，便可以毫不受阻地在受害者的網路中移動。

「當一個網域受到入侵到完全復原，可能需要長時間且艱辛的努力。這種攻擊會損害組織基礎架構所依賴的安全基礎。很多情況下，只要 AD 被攻陷，安全團隊就必須從零開始。」

勒索軟體攻擊的停留時間也縮短了。在我們分析的事件回應案例中，勒索軟體攻擊是最常見的攻擊類型，佔所有案例的 69%，而這些攻擊的中位停留時間僅有 5 天。在 81% 的勒索軟體攻擊中，最後的裝載都是上班時間外發動的，而那些在上班時間內部署的攻擊，僅有 5 起會在發生在上班時間發動。

一週開始後，我們偵測到攻擊數量逐漸增加，尤其是勒索軟體攻擊更為明顯。將近一半 (43%) 的勒索軟體攻擊是在週五或週六被偵測到的。

Shier 補充說：「從某些方面來看，過去的成功為我們自己帶來了更多挑戰。隨著越來越多組織採用像 XDR (擴展式偵測和回應) 和 MDR (託管式偵測和回應) 等技術，我們能夠更快偵測到攻擊。但偵測時間縮短導致對方反應更快，因為對攻擊者來說意味著可以操作的空窗期更短。同時，犯罪分子仍不斷精進他們的策略，特別是經驗豐富且資源充足的勒索軟體集團成員。在用戶防禦能力提升的情況下，他們還能持續加快各種會觸發警示的攻擊。

 「不過，這並不意味著我們更安全了。非勒索軟體攻擊的停留時間趨於平穩證明了這一點。攻擊者仍能進入我們的網路，而且當他們沒有被發現時，往往會逗留不去。然而，即使擁有全世界的工具，如果警覺性不夠，也無法獲得保護。適當的工具和持續主動的監控，能確保您總是領先犯罪分子一步。這正是 MDR 能夠真正縮小攻擊者與防禦人員之間的差距的地方，因為即使您下班了，我們還在。」

Sophos 針對企業領袖的《主動攻擊者報告》是一份針對全球 25 個不同行業的 Sophos 事件回應 (IR) 案件所做的調查，時間範圍從 2023 年 1 月至 7 月。受調查的組織分佈在六大洲、33 個不同國家。其中 88% 的案例來自擁有 1000 名員工以下的組織。

Sophos《給技術領袖的主動攻擊者報告》能為安全專業人員提供具體的威脅情報和深入資訊，可幫助組織更有效地實施他們的安全策略。

若要深入瞭解攻擊者行為、工具和技巧，請閱讀 Sophos.com 上的《時光飛逝：2023 年給科技領袖的主動攻擊者報告》。

了解更多資訊

• 從根據 Sophos 事件回應案例的分析結果撰寫的《2023 年給科技領袖的主動攻擊者報告》，了解攻擊者的行為、技術和策略的改變

• IT 和資訊安全領袖如何看待《2023 年資訊安全現況：攻擊者對防禦者的商業影響 

• 從《Sophos 2023 年威脅報告》了解影響網路安全的威脅現況和趨勢

• 訂閱 Sophos X-Ops 部落格了解 Sophos X-Ops 及其開創性的威脅研究

• 了解《2022 年勒索軟體現況》(於 2022 年 5 月發布)

• 從勒索軟體威脅情報中心了解不同的勒索軟體威脅行為者、他們的 TTP 以及 Sophos 的最新勒索軟體研究

關於 Sophos

Sophos 是先進網路安全解決方案的全球領導者和創新者，提供託管式偵測和回應 (MDR) 和事件回應服務，以及可幫助企業抵禦網路攻擊的多種端點、網路、電子郵件和雲端安全產品組合。作為最大型的純網路安全供應商之一，Sophos 保護全球超過 50 萬個組織和超過 1 億個使用者免受主動攻擊者、勒索軟體、網路釣魚、惡意軟體等的攻擊。Sophos 的服務和產品可經由雲端式 Sophos Central 管理主控台連線，並由旗下跨領域威脅情報部門 Sophos X-Ops 提供支援。Sophos X-Ops 情報會最佳化整個 Sophos 自適應網路安全生態系統，包括一個提供一整組開放式 API 的集中式資料湖，可供客戶、合作夥伴、開發人員和其他網路安全和資訊技術廠商使用。Sophos 為需​​要完全託管、一站式安全解決方案的組織提供了網路安全即服務，客戶還可以使用 Sophos 的安全營運平台直接管理網路安全，或是採用混合式作法，利用 Sophos 的服務來補強自己的內部團隊，包括威脅捕獵和補救措施。Sophos 透過全球經銷商合作夥伴和託管服務供應商 (MSP) 進行銷售。Sophos 總部位於英國牛津。如需詳細資訊請瀏覽 www.sophos.com。