您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
Mandiant公司2024年威脅報告的五大看點(diǎn)
根據(jù)4月23日發(fā)布的Mandiant 2024年M-Trends威脅報告,由于檢測工具的改進(jìn)和勒索軟件活動的增加,受感染系統(tǒng)的發(fā)現(xiàn)速度持續(xù)加快。該分析是Google Cloud旗下Mandiant發(fā)布的第15份年度M-Trends報告。該報告基 Mandiant 2023年調(diào)查得出的數(shù)據(jù)。Mandiant Consulting副總裁Jurgen Kutscher表示,勒索軟件“往往比其他威脅載體傳播得更快”。然而,檢測速度的提高“仍然是一個積極的[發(fā)展]示。結(jié)合報告中一個令人鼓舞的發(fā)現(xiàn),例如內(nèi)部攻擊檢測的改進(jìn),確實清楚地看到防御者正在變得更好,他們的響應(yīng)速度和檢測此類攻擊的速度越來越快。另外一點(diǎn),組織正在進(jìn)行的投資——培訓(xùn)以及技術(shù)、流程和威脅情報方面的持續(xù)改進(jìn)——正在產(chǎn)生積極的影響。
以下是Mandiant 2024年M-Trends威脅報告的五個要點(diǎn)。
攻擊者的駐留時間進(jìn)一步縮短
Mandiant報告稱,“駐留時間”(即檢測到系統(tǒng)受到損害之前的時間)再次大幅下降,這對網(wǎng)絡(luò)防御來說是一個積極的信號。該公司在報告中表示,到2023年,全球平均駐留時間將降至10天,而之前的M-Trends報告中為16天,是“十多年來的最低點(diǎn)”。值得注意的是,這比2017年101天的中位駐留時間大幅下降。
據(jù)Mandiant報道,減少駐留時間的推動因素之一是內(nèi)部檢測到的威脅比例有所提高,從前一年的37%上升到了46%。
勒索軟件攻擊明顯增加
Mandiant表示,駐留時間減少的第二個主要驅(qū)動因素并不那么令人鼓舞,勒索軟件攻擊比例的增加也是檢測加速的部分原因。Mandiant發(fā)現(xiàn)2023年,23%的事件涉及勒索軟件,而2022年這一比例為18%,這一數(shù)字又回到了2021年的水平。
Kutsche承認(rèn),Mandiant的勒索軟件統(tǒng)計還包括數(shù)據(jù)勒索攻擊,例如去年廣為人知的MOVEit攻擊活動,這可能是勒索軟件數(shù)量增加的一個因素。他還指出,俄羅斯2022年入侵烏克蘭可能是抑制當(dāng)年勒索軟件攻擊比例的一個因素,相比之下,2023年勒索軟件攻擊對網(wǎng)絡(luò)犯罪分子造成的破壞較小。
漏洞利用呈上升趨勢
2023年,利用漏洞仍然是最常見的初始入侵方法,占入侵的38%。這一比例比前一年的32%有所上升。仍位居第二的是網(wǎng)絡(luò)釣魚,其占初始感染的比例從2022年的22%下降至去年的17%。
2023年最常被利用的漏洞是MOVEit Transfer(CVE-2023-34362)中的缺陷,該漏洞引發(fā)了廣泛的數(shù)據(jù)盜竊和勒索事件。位居第二的是Oracle電子商務(wù)套件中的漏洞(CVE-2022-21587),第三個最常被利用的是Barracuda電子郵件安全網(wǎng)關(guān)中的關(guān)鍵漏洞(CVE-2023-2868)。值得注意的是,第一和第三最有針對性的漏洞與邊緣設(shè)備有關(guān)。
“大多數(shù)受害者組織沒有一個簡單的機(jī)制來檢測這些類型的邊緣設(shè)備的危害,”庫徹說?!耙虼?,它們?yōu)楣粽咛峁┝吮3珠L期堅持的強(qiáng)大地位?!?/span>
定向攻擊企業(yè)產(chǎn)品
根據(jù)Mandiant的調(diào)查結(jié)果,正如2023年最常被利用的漏洞(涉及托管文件傳輸、商業(yè)軟件和電子郵件網(wǎng)關(guān))所強(qiáng)調(diào)的那樣,攻擊者越來越多地針對以企業(yè)為中心的技術(shù)。特別是,攻擊者更加關(guān)注發(fā)現(xiàn)和利用企業(yè)產(chǎn)品中的零日漏洞,例如MOVEit和Barracuda ESG中的缺陷。Mandiant研究人員觀察到2023年有36個針對企業(yè)特定技術(shù)的零日漏洞。雖然沒有前一年的確切比較數(shù)字,但Mandiant透露,2022年有22項企業(yè)技術(shù)被發(fā)現(xiàn)成為零日利用的目標(biāo)。
與此同時,消費(fèi)技術(shù)產(chǎn)品制造商“在構(gòu)建更好的流程和控制方面確實取得了巨大進(jìn)步,這使得找到零日漏洞變得更加困難,”庫徹說。他說,企業(yè)系統(tǒng)零日漏洞利用的增加“也表明了許多威脅行為者正在做出的承諾和投資”。
Mandiant報告稱,它總共跟蹤了2023年被利用的97個不同的零日漏洞,比一年前增加了約56%。
網(wǎng)絡(luò)邊緣設(shè)備成為攻擊者的新領(lǐng)域
Mandiant警告說,國家資助的黑客已將注意力轉(zhuǎn)移到邊緣設(shè)備上,以應(yīng)對改進(jìn)的網(wǎng)絡(luò)掃描,這些設(shè)備的端點(diǎn)檢測不完整,而且專有軟件阻礙了取證分析。報告稱他們觀察到與國家關(guān)系密切的攻擊者在針對邊緣設(shè)備時表現(xiàn)出了高水平的深入知識。這些知識不僅涵蓋了攻擊期間使用的惡意軟件,還涵蓋了用于訪問這些設(shè)備的零日漏洞。
俄羅斯情報黑客和俄語網(wǎng)絡(luò)犯罪分子的目標(biāo)設(shè)備包括防火墻、虛擬專用網(wǎng)絡(luò)和電子郵件過濾器。該公司在一份列出2023年活動趨勢的年度報告中表示,國家支持下的中國黑客尤其表現(xiàn)出了對邊緣設(shè)備的深入了解。許多設(shè)備(例如VPN)通常會運(yùn)行數(shù)月而不重新啟動,從而使黑客能夠獲得持久性并長時間保留在目標(biāo)網(wǎng)絡(luò)中而不被發(fā)現(xiàn)。
報告稱:攻擊者更加注重逃避。他們的目標(biāo)是避免端點(diǎn)檢測和響應(yīng)等檢測技術(shù),并通過瞄準(zhǔn)邊緣設(shè)備、利用‘靠地生存和其他技術(shù),或通過使用零日漏洞,盡可能長時間地維持網(wǎng)絡(luò)持久性。關(guān)注邊緣設(shè)備的一個副作用是:根據(jù)Mandiant的數(shù)據(jù),網(wǎng)絡(luò)釣魚雖然仍然非常常見,但在2023年有所下降。Mandiant歐洲、亞洲和非洲咨詢管理總監(jiān)斯圖爾特·麥肯齊(Stuart McKenzie)表示:“對于民族國家攻擊者來說,重點(diǎn)已轉(zhuǎn)向針對常用的低可見性工具,以進(jìn)行旨在竊取數(shù)據(jù)的秘密活動?!?/span>
當(dāng)然,肆意攻擊、指責(zé)C國,是Mandiant報告的一貫風(fēng)格。2024年M-Trends報告認(rèn)為零日漏洞利用增加的一個主要推動力是與C國有關(guān)的攻擊者活動的擴(kuò)大。邊緣設(shè)備一直是人們特別關(guān)注的焦點(diǎn),報告認(rèn)為這也與與C國關(guān)系密切。攻擊者通過利用漏洞(特別是零日漏洞)來訪問邊緣設(shè)備,并隨后部署自定義惡意軟件。
參考資源
1、https://www.crn.com/news/security/2024/5-big-takeaways-from-mandiant-s-2024-threat-report
2、https://www.securityweek.com/the-battle-continues-mandiant-report-shows-improved-detection-but-persistent-adversarial-success/
3、https://www.govinfosecurity.com/state-hackers-new-frontier-network-edge-devices-a-24920
4、https://services.google.com/fh/files/misc/m-trends-2024.pdf
文章來源:網(wǎng)空閑話plus