本文来自微信公众号“GoUpSec”。
Mandiant近日发布的M-Trends2024报告显示,虽然零日漏洞利用率正在上升,但全球网络安全态势显著改善,平均潜伏时间(攻击者在目标环境中未被发现的时间)降至十多年来的最低点。
M-Trends2024报告中的数据基于对2023年1月1日至2023年12月31日期间发生的针对性攻击活动的调查。
全球网络安全态势显著改善
2023年,组织平均在10天内可检测到入侵,这比2022年的16天显著减少,潜伏时间缩短可能与2023年勒索软件事件占比更高(23%)有关,2022年该比例为18%。
Mandiant还跟踪到2023年内部泄露事件检测率有所改善(46%),2022年为37%。两大指标的改善(较短的潜伏时间和更高的内部事件检测率)表明全球防御者提高了检测能力。
报告指出,防御者应该感到自豪,但组织仍需保持警惕。M-Trends2024年的调研显示,攻击者正积极利用零日漏洞逃避检测并在系统上停留更长时间。这进一步凸显了威胁搜索计划的重要性,以及在发生漏洞利用时进行全面调查和补救的必要性。
亚太地区平均潜伏时间暴降
亚太地区(JAPAC)组织的平均潜伏时间经历了最戏剧性的下降,从2022年的33天暴降至9天,这可能与该地区快速勒索软件活跃有关。
相比之下,EMEA地区(欧洲、中东和非洲)的潜伏时间略有上升,从20天增加到22天。
行业方面,2023年遭受攻击最多的是金融服务组织(17%)。紧随其后的是商业和专业服务(13%)、高科技(12%)、零售和酒店(9%)以及医疗(8%)。
攻击者选择行业目标的共同特点是:拥有大量敏感信息,例如专有商业数据、个人可识别信息、受保护的健康信息和财务记录。
攻击手段升级:零日漏洞使用率上升,勒索软件猖獗
为了尽可能长时间地在目标网络中驻留,攻击者越来越多地瞄准边缘设备,利用“living off the land”技术并利用零日漏洞。
与政府有关的间谍组织继续优先获取零日漏洞和特定平台的工具,更多针对安全解决方案最薄弱的边缘设备和平台,因为这样可以更轻松地在未被发现的情况下长时间地入侵。
零日漏洞利用不再局限于少数特定行为者。勒索软件和数据勒索组织、国家黑客组织都在积极利用零日漏洞,随着商用“turnkey”漏洞利用包的兴起,预计零日漏洞利用的增长趋势将持续下去。
随着云计算的发展,攻击者针对云环境(包括混合云/本地部署配置)的攻击也在增加。建议组织实施更严格的控制措施,以限制仅授权用户访问云资源。
最后,由于多因素认证(MFA)日益普及,攻击者正在积极开发绕过方法。