網路攻擊中超過一半的初始感染來自漏洞和脆弱的供應鏈

根據Mandiant進行的關於事件響應 (IR) 調查的新報告，攻擊者在受害者網路上隱藏的時間連續第四年減少，從2020年的24天下降到2021年的21天。

Mandiant在其IR案例中發現，企業調整了自己的安全檢測能力，以便快速發現最危險的攻擊，勒索軟體平均在5天內被檢測到;非勒索軟體攻擊在2021年保持活躍的時間為36天，低於2020年的45天。

總的來說，越來越多的公司正在與第三方網路安全公司合作，政府機構和安全公司經常將攻擊通知受害者，從而加快惡意軟體的檢測速度。

攻防對抗主管Stone表示，最初的威脅向量歸結於攻擊者的選擇和不同漏洞的可用性。總的來說，可以看到一些攻擊群體同時使用不同的方法，可能表現出對每個目標努力的偏好。

根據Mandiant M-Trends 2022報告，在過去10年裡，各公司顯著提高了檢測時間，將檢測攻擊者的時間減少了近20倍，從2011年的418天減少到2021年的21天。

Source: Mandiant

公司檢測能力的提高因地區而異，亞太地區公司的“dwell time”從2020年的76天大幅下降至2021年的21天。歐洲公司也出現顯著下降，從2020年的66天下降到48天，而北美公司的檢測沒有變化，保持在17天的水平。

攻擊者喜歡Cobalt Strike

最受歡迎的攻擊工具仍然是Beacon後門，佔所有已識別惡意軟體家族的28%。Beacon是Cobalt Strike滲透測試工具的一個元件，該工具也很受惡意攻擊者的歡迎。其他攻擊工具的頻率迅速下降，包括 .NET環境的Sunburst後門、Metasploit滲透測試平臺和代理工具包SystemBC。

根據 Mandiant 的資料，漏洞利用和供應鏈攻擊增加。總體而言，兩種初始攻擊方法：利用漏洞和通過供應鏈進行攻擊佔2021年所有具有確定初始感染媒介的攻擊的54%，而2020 年這一比例不到30%。這也強調，企業應該隨時根據攻擊者的技術和變化調整企業安全策略。

“鑑於利用漏洞作為初始攻擊媒介的使用持續增加，組織需要繼續專注於執行安全基礎——例如資產、風險和補丁管理，”“建立彈性的關鍵在於做好準備。制定穩健的準備計劃以及有據可查且經過安全測試的恢復流程可以幫助組織成功應對攻擊並迅速恢復正常的業務運營。”

瞄準Active Directory

另一個趨勢中，攻擊者越來越多地瞄準混合 Active Directory (AD) 安裝，因為混合身份模型中的錯誤配置，其中憑據和金鑰在本地AD服務和雲中的Azure Active Directory之間同步——導致妥協，Mandiant 在報告中說。

公司應該將混合Active Directory伺服器視為最敏感的資產級別，即0級，並且只允許來自分段網路的特權工作站的訪問。Mandiant公司全球紅隊董事總經理Evan Pena說，除了監控之外，這些措施應該會使利用變得更加困難。

隨著企業使用混合模式將資源轉移到雲上，攻擊者將把目標對準這些混合伺服器，以實現域名和雲的雙重入侵。這些混合伺服器通常擁有對本地伺服器(如域控制器)和雲資源的高階特權。

今年，企業應該通過審查和評估其活動目錄實施的漏洞或錯誤配置來應對主要威脅，瞭解如何檢測和防止其環境中不尋常的橫向移動嘗試，實現應用程式白名單和禁用巨集，以顯著限制初始訪問攻擊。同時加強 漏洞治理，減少網路攻擊面。

文章來源：