Sophos是一家全球領先的創新和提供安全服務的公司,今日發佈了《2023 年給科技領袖的活躍攻擊者報告》,深入探討了在 2023 年上半年的攻擊者行為和工具。在分析 2023 年 1 月至 7 月的 Sophos 事件回應案例後,Sophos X-Ops 發現攻擊者停留時間 (即從攻擊開始到被偵測到的時間) 的中位數有所變化。對所有攻擊而言,時間從 10 天縮短至 8 天,勒索軟體攻擊則是縮短至 5 天。在 2022 年,攻擊者停留時間的中位數從 15 天減少至 10 天。
此外,Sophos X-Ops 發現攻擊者平均只需不到一天的時間 (大約 16 小時) 就能夠進入 Active Directory (AD),而 AD 是企業最關鍵的資產之一。AD 通常負責在組織內管理身分和資源存取,這意味著攻擊者可以利用 AD 輕鬆提升他們在系統上的權限,僅需登入即可進行各種惡意活動。
Sophos 現場技術長 John Shier 表示:「從攻擊的角度來看,攻擊組織的 Active Directory 基礎架構是有道理的。AD 通常是網路中最強大和權限最高的系統,可存取多種系統、應用程式、資源和資料,而它們正是攻擊者的目標。只要攻擊者控制了 AD,就能夠控制整個組織。Active Directory 的影響力、權限提升能力和復原成本,正是它成為攻擊目標的原因。
「在攻擊鏈中,只要能進入並控制 Active Directory 伺服器,就能讓攻擊者取得幾項優勢。他們可以在不被察覺的情況下徘徊,擬定下一步行動。一旦準備就緒,便可以毫不受阻地在受害者的網路中移動。
「當一個網域受到入侵到完全復原,可能需要長時間且艱辛的努力。這種攻擊會損害組織基礎架構所依賴的安全基礎。很多情況下,只要 AD 被攻陷,安全團隊就必須從零開始。」
勒索軟體攻擊的停留時間也縮短了。在我們分析的事件回應案例中,勒索軟體攻擊是最常見的攻擊類型,佔所有案例的 69%,而這些攻擊的中位停留時間僅有 5 天。在 81% 的勒索軟體攻擊中,最後的裝載都是上班時間外發動的,而那些在上班時間內部署的攻擊,僅有 5 起會在發生在上班時間發動。