Mandiant近日發(fā)布的M-Trends2024報(bào)告顯示，雖然零日漏洞利用率正在上升，但全球網(wǎng)絡(luò)安全態(tài)勢顯著改善，平均潛伏時(shí)間（攻擊者在目標(biāo)環(huán)境中未被發(fā)現(xiàn)的時(shí)間）降至十多年來的最低點(diǎn)。

M-Trends2024報(bào)告中的數(shù)據(jù)基于對(duì)2023年1月1日至2023年12月31日期間發(fā)生的針對(duì)性攻擊活動(dòng)的調(diào)查。

全球網(wǎng)絡(luò)安全態(tài)勢顯著改善

2023年，組織平均在10天內(nèi)可檢測到入侵，這比2022年的16天顯著減少，潛伏時(shí)間縮短可能與2023年勒索軟件事件占比更高（23%）有關(guān)，2022年該比例為18%。

Mandiant還跟蹤到2023年內(nèi)部泄露事件檢測率有所改善(46%)，2022年為37%。兩大指標(biāo)的改善（較短的潛伏時(shí)間和更高的內(nèi)部事件檢測率）表明全球防御者提高了檢測能力。

報(bào)告指出，防御者應(yīng)該感到自豪，但組織仍需保持警惕。M-Trends2024年的調(diào)研顯示，攻擊者正積極利用零日漏洞逃避檢測并在系統(tǒng)上停留更長時(shí)間。這進(jìn)一步凸顯了威脅搜索計(jì)劃的重要性，以及在發(fā)生漏洞利用時(shí)進(jìn)行全面調(diào)查和補(bǔ)救的必要性。

亞太地區(qū)平均潛伏時(shí)間暴降

亞太地區(qū)(JAPAC)組織的平均潛伏時(shí)間經(jīng)歷了最戲劇性的下降，從2022年的33天暴降至9天，這可能與該地區(qū)快速勒索軟件活躍有關(guān)。

相比之下，EMEA地區(qū)（歐洲、中東和非洲）的潛伏時(shí)間略有上升，從20天增加到22天。

行業(yè)方面，2023年遭受攻擊最多的是金融服務(wù)組織(17%)。緊隨其后的是商業(yè)和專業(yè)服務(wù)(13%)、高科技(12%)、零售和酒店(9%)以及醫(yī)療(8%)。

攻擊者選擇行業(yè)目標(biāo)的共同特點(diǎn)是：擁有大量敏感信息，例如專有商業(yè)數(shù)據(jù)、個(gè)人可識(shí)別信息、受保護(hù)的健康信息和財(cái)務(wù)記錄。

攻擊手段升級(jí)：零日漏洞使用率上升，勒索軟件猖獗

為了盡可能長時(shí)間地在目標(biāo)網(wǎng)絡(luò)中駐留，攻擊者越來越多地瞄準(zhǔn)邊緣設(shè)備，利用“l(fā)iving off the land”技術(shù)并利用零日漏洞。

與政府有關(guān)的間諜組織繼續(xù)優(yōu)先獲取零日漏洞和特定平臺(tái)的工具，更多針對(duì)安全解決方案最薄弱的邊緣設(shè)備和平臺(tái)，因?yàn)檫@樣可以更輕松地在未被發(fā)現(xiàn)的情況下長時(shí)間地入侵。

零日漏洞利用不再局限于少數(shù)特定行為者。勒索軟件和數(shù)據(jù)勒索組織、國家黑客組織都在積極利用零日漏洞，隨著商用“turnkey”漏洞利用包的興起，預(yù)計(jì)零日漏洞利用的增長趨勢將持續(xù)下去。

隨著云計(jì)算的發(fā)展，攻擊者針對(duì)云環(huán)境（包括混合云/本地部署配置）的攻擊也在增加。建議組織實(shí)施更嚴(yán)格的控制措施，以限制僅授權(quán)用戶訪問云資源。

最后，由于多因素認(rèn)證(MFA)日益普及，攻擊者正在積極開發(fā)繞過方法。