Sophos是創新和提供新一代網路安全即服務的全球領導者,今日發佈了《2023 年給安全從業人士的主動攻擊者報告》,該研究發現在近 42% 的攻擊案例中缺乏遙測日誌數據。在這些案例中的 82%,駭客停用或刪除了遙測數據以隱藏其蹤跡。該報告涵蓋了 Sophos 從 2022 年 1 月分析到 2023 年上半年的事件回應 (IR) 案例。

缺乏遙測數據會影響我們迫切需要的組織網路和系統可見性,尤其是攻擊者停留時間 (從初始進入到被偵測到的時間) 繼續下降,縮短了防守方有效回應事件的時間。

Sophos 現場技術長 John Shier 表示:「在回應主動威脅時,時間非常重要;從發現初始進入事件到全面緩解威脅之間時間應該盡可能縮短。攻擊者在攻擊鏈中越深入,回應人員的困難度就越大。缺少遙測數據只會增加組織負擔不起的補救時間。這就是為什麼完整而準確的日誌記錄極其重要,但我們太常見到組織並沒有他們所需的這些資料。」

在報告中,Sophos 將停留時間為 5 天或更短的勒索軟體攻擊歸類為「快速攻擊」,佔研究案例的 38%。停留時間超過 5 天的勒索軟體攻擊則被歸於「慢速攻擊」,佔研究案例的 62%。

仔細檢視這些「快速」和「慢速」的勒索軟體攻擊時,攻擊者使用的工具、技術和就地取材二進位檔 (LOLBins) 並沒有太大的變化,這表明雖然停留時間縮短,防守方無需重新制定新的防禦策略。然而,防守方需要意識到,快速攻擊和遙測數據缺乏可能妨礙快速反應,使得破壞增加。

Shier 補充:「駭客只有在必要時才會創新,而且僅會做到足以達到他們目標的程度。攻擊者不會改變有效的方法,即使他們在從進入到被偵測到的時間越來越快。對組織來說,這是一個好消息,因為即使攻擊者加快時間表,他們亦無需徹底改變防禦策略。適用於快速攻擊的偵測同樣適用於所有攻擊,無論速度快慢。而這包括完整的遙測、全面的保護和無所不在的監控。關鍵是在可能的情況下增加阻力——如果你讓攻擊者的工作變得更難,那麼你就可以爭取回應的寶貴時間,拉長攻擊的每個階段。

「例如,在勒索軟體攻擊中,如果有更多的阻力,你就可以延遲資料外洩的時間;外洩通常發生在其被偵測出來之前,也是攻擊中代價最高的部分。我們在 Cuba 勒索軟體的兩起事件中見到了這種情況。一家公司 (A 公司) 已經部署 MDR 持續監控,因此我們能夠在數小時內發現惡意活動,阻擋攻擊並防止任何資料被竊。另一家公司 (B 公司) 沒有這種防禦;他們直到初始入侵後幾週才發現攻擊,而此時 Cuba 已外洩了 75GB 的敏感資料。那時他們才趕快聯絡我們的事件回應團隊。一個月後,他們仍在努力恢復正常運作。」

《Sophos 給安全從業人士的主動攻擊者報告》是根據從 2022 年 1 月 1 日到 2023 年 6 月 30 日的 232 個 Sophos 回應 (IR) 案例,涵蓋 25 個不同行業。被攻擊的組織分佈在六大洲的 34 個不同國家。其中 83% 的案例來自擁有不到 1,000 名員工的組織。

《Sophos 給安全從業人士的主動攻擊者報告》提供可行的情報,指導安全從業人士如何妥善制定他們的防禦策略。

若要了解更多攻擊者行為、工具和技術的資訊,請閱讀位於 Sophos.com 的《給安全從業人士的主動攻擊者》。

了解更多資訊

關於 Sophos

Sophos 是先進網路安全解決方案的全球領導者和創新者,提供託管式偵測和回應 (MDR) 和事件回應服務,以及可幫助企業抵禦網路攻擊的多種端點、網路、電子郵件和雲端安全產品組合。作為最大型的純網路安全供應商之一,Sophos 保護全球超過 50 萬個組織和超過 1 億個使用者免受主動攻擊者、勒索軟體、網路釣魚、惡意軟體等的攻擊。Sophos 的服務和產品可經由雲端式 Sophos Central 管理主控台連線,並由旗下跨領域威脅情報部門 Sophos X-Ops 提供支援。Sophos X-Ops 情報會最佳化整個 Sophos 自適應網路安全生態系統,包括一個提供一整組開放式 API 的集中式資料湖,可供客戶、合作夥伴、開發人員和其他網路安全和資訊技術廠商使用。Sophos 為需​​要完全託管、一站式安全解決方案的組織提供了網路安全即服務,客戶還可以使用 Sophos 的安全營運平台直接管理網路安全,或是採用混合式作法,利用 Sophos 的服務來補強自己的內部團隊,包括威脅捕獵和補救措施。Sophos 透過全球經銷商合作夥伴和託管服務供應商 (MSP) 進行銷售。Sophos 總部位於英國牛津。如需詳細資訊請瀏覽 www.sophos.com

熱門新聞

Advertisement