各個(gè)組織正在更快地檢測和遏制攻擊，全球停留時(shí)間中位數(shù)(即網(wǎng)絡(luò)入侵開始到被識(shí)別之間的持續(xù)時(shí)間)已縮短為56天。根據(jù)FireEye的數(shù)據(jù)，這比上一年的78天中位數(shù)低了28%。

顧問將這種趨勢歸因于組織改善了其檢測程序，以及攻擊者行為的改變。例如破壞性攻擊(勒索軟件、加密貨幣礦工等)的持續(xù)增加，而些攻擊的駐留時(shí)間通常比其他攻擊類型短。

全球內(nèi)部和外部檢測時(shí)間也縮短了。

• 組織通過外部得知入侵：停留時(shí)間中位數(shù)為141天，比上一個(gè)M-Trends報(bào)告(184天)減少了23%。
• 組織自我檢測到入侵事件：停留時(shí)間中位數(shù)為30天，比去年同期(50.5天)減少40%。盡管內(nèi)部檢測時(shí)間的改善程度最大，但仍有12%的受訪組織的內(nèi)部檢測的停留時(shí)間在700天以上。

內(nèi)部檢測占比達(dá)四年來的最低水平

盡管組織內(nèi)部識(shí)別的入侵的停留時(shí)間縮短了，但與外部來源相比，自我檢測到的安全事件的總體百分比也有所下降——比起去年下降了12個(gè)百分點(diǎn)。而自2011年以來，內(nèi)部檢測數(shù)量一直是穩(wěn)定增長的。

也就是說，2019年是四年來外部通知首次超過內(nèi)部檢測。這種轉(zhuǎn)變可能是由于多種因素引起的，例如執(zhí)法和網(wǎng)絡(luò)安全供應(yīng)商通知的增加，公共披露規(guī)范的變化以及合規(guī)性提升。

同時(shí)，由于其他指標(biāo)顯示組織檢測和響應(yīng)是在持續(xù)改進(jìn)的，所以這種轉(zhuǎn)變不太可能是因?yàn)榻M織檢測入侵的能力降低。

確定了數(shù)百個(gè)新的惡意軟件家族

報(bào)告詳細(xì)介紹了2019年觀察到的所有惡意軟件家族的情況，其中41%從未見過。此外，確定的樣本中有70%屬于五個(gè)最常出現(xiàn)的家族之一，并且這些家族基于開源工具積極進(jìn)行開發(fā)。

這些表明，不僅惡意軟件作者正在創(chuàng)新，網(wǎng)絡(luò)犯罪分子還在外包任務(wù)，以更快地通過運(yùn)營獲利。

還要注意的是，大多數(shù)新的惡意軟件家族都影響了Windows或多個(gè)平臺(tái)，僅影響Linux或Mac的新的惡意軟件家族活動(dòng)仍然是少數(shù)。

更多的勒索軟件攻擊

在專業(yè)人員響應(yīng)的攻擊中，絕大多數(shù)(29%)可能是出于直接獲得經(jīng)濟(jì)利益的動(dòng)力，包括了勒索，贖金，盜竊卡和非法轉(zhuǎn)賬等。其次(22%)是數(shù)據(jù)盜竊，可能是出于獲得知識(shí)產(chǎn)權(quán)或間諜活動(dòng)的目的。

勒索軟件攻擊的成功獲利，以及勒索軟件即服務(wù)(RaaS)商業(yè)模式的可用性，都促成了勒索軟件案件總數(shù)的增加。歷史上以個(gè)人和信用卡信息為目標(biāo)的老牌網(wǎng)絡(luò)犯罪集團(tuán)也越來越多地將勒索軟件作為創(chuàng)收的輔助手段。

考慮到勒索軟件攻擊的難易程度以及攻擊者在獲利上的持續(xù)成功，可以預(yù)期，勒索軟件將繼續(xù)被用作輔助手段。