您所在的位置: 首页 >
新闻资讯 >
威胁情报 >
Mandiant公司2024年威胁报告的五大看点
根据4月23日发布的Mandiant 2024年M-Trends威胁报告,由于检测工具的改进和勒索软件活动的增加,受感染系统的发现速度持续加快。该分析是Google Cloud旗下Mandiant发布的第15份年度M-Trends报告。该报告基 Mandiant 2023年调查得出的数据。Mandiant Consulting副总裁Jurgen Kutscher表示,勒索软件“往往比其他威胁载体传播得更快”。然而,检测速度的提高“仍然是一个积极的[发展]示。结合报告中一个令人鼓舞的发现,例如内部攻击检测的改进,确实清楚地看到防御者正在变得更好,他们的响应速度和检测此类攻击的速度越来越快。另外一点,组织正在进行的投资——培训以及技术、流程和威胁情报方面的持续改进——正在产生积极的影响。
以下是Mandiant 2024年M-Trends威胁报告的五个要点。
攻击者的驻留时间进一步缩短
Mandiant报告称,“驻留时间”(即检测到系统受到损害之前的时间)再次大幅下降,这对网络防御来说是一个积极的信号。该公司在报告中表示,到2023年,全球平均驻留时间将降至10天,而之前的M-Trends报告中为16天,是“十多年来的最低点”。值得注意的是,这比2017年101天的中位驻留时间大幅下降。
据Mandiant报道,减少驻留时间的推动因素之一是内部检测到的威胁比例有所提高,从前一年的37%上升到了46%。
勒索软件攻击明显增加
Mandiant表示,驻留时间减少的第二个主要驱动因素并不那么令人鼓舞,勒索软件攻击比例的增加也是检测加速的部分原因。Mandiant发现2023年,23%的事件涉及勒索软件,而2022年这一比例为18%,这一数字又回到了2021年的水平。
Kutsche承认,Mandiant的勒索软件统计还包括数据勒索攻击,例如去年广为人知的MOVEit攻击活动,这可能是勒索软件数量增加的一个因素。他还指出,俄罗斯2022年入侵乌克兰可能是抑制当年勒索软件攻击比例的一个因素,相比之下,2023年勒索软件攻击对网络犯罪分子造成的破坏较小。
漏洞利用呈上升趋势
2023年,利用漏洞仍然是最常见的初始入侵方法,占入侵的38%。这一比例比前一年的32%有所上升。仍位居第二的是网络钓鱼,其占初始感染的比例从2022年的22%下降至去年的17%。
2023年最常被利用的漏洞是MOVEit Transfer(CVE-2023-34362)中的缺陷,该漏洞引发了广泛的数据盗窃和勒索事件。位居第二的是Oracle电子商务套件中的漏洞(CVE-2022-21587),第三个最常被利用的是Barracuda电子邮件安全网关中的关键漏洞(CVE-2023-2868)。值得注意的是,第一和第三最有针对性的漏洞与边缘设备有关。
“大多数受害者组织没有一个简单的机制来检测这些类型的边缘设备的危害,”库彻说。“因此,它们为攻击者提供了保持长期坚持的强大地位。”
定向攻击企业产品
根据Mandiant的调查结果,正如2023年最常被利用的漏洞(涉及托管文件传输、商业软件和电子邮件网关)所强调的那样,攻击者越来越多地针对以企业为中心的技术。特别是,攻击者更加关注发现和利用企业产品中的零日漏洞,例如MOVEit和Barracuda ESG中的缺陷。Mandiant研究人员观察到2023年有36个针对企业特定技术的零日漏洞。虽然没有前一年的确切比较数字,但Mandiant透露,2022年有22项企业技术被发现成为零日利用的目标。
与此同时,消费技术产品制造商“在构建更好的流程和控制方面确实取得了巨大进步,这使得找到零日漏洞变得更加困难,”库彻说。他说,企业系统零日漏洞利用的增加“也表明了许多威胁行为者正在做出的承诺和投资”。
Mandiant报告称,它总共跟踪了2023年被利用的97个不同的零日漏洞,比一年前增加了约56%。
网络边缘设备成为攻击者的新领域
Mandiant警告说,国家资助的黑客已将注意力转移到边缘设备上,以应对改进的网络扫描,这些设备的端点检测不完整,而且专有软件阻碍了取证分析。报告称他们观察到与国家关系密切的攻击者在针对边缘设备时表现出了高水平的深入知识。这些知识不仅涵盖了攻击期间使用的恶意软件,还涵盖了用于访问这些设备的零日漏洞。
俄罗斯情报黑客和俄语网络犯罪分子的目标设备包括防火墙、虚拟专用网络和电子邮件过滤器。该公司在一份列出2023年活动趋势的年度报告中表示,国家支持下的中国黑客尤其表现出了对边缘设备的深入了解。许多设备(例如VPN)通常会运行数月而不重新启动,从而使黑客能够获得持久性并长时间保留在目标网络中而不被发现。
报告称:攻击者更加注重逃避。他们的目标是避免端点检测和响应等检测技术,并通过瞄准边缘设备、利用‘靠地生存和其他技术,或通过使用零日漏洞,尽可能长时间地维持网络持久性。关注边缘设备的一个副作用是:根据Mandiant的数据,网络钓鱼虽然仍然非常常见,但在2023年有所下降。Mandiant欧洲、亚洲和非洲咨询管理总监斯图尔特·麦肯齐(Stuart McKenzie)表示:“对于民族国家攻击者来说,重点已转向针对常用的低可见性工具,以进行旨在窃取数据的秘密活动。”
当然,肆意攻击、指责C国,是Mandiant报告的一贯风格。2024年M-Trends报告认为零日漏洞利用增加的一个主要推动力是与C国有关的攻击者活动的扩大。边缘设备一直是人们特别关注的焦点,报告认为这也与与C国关系密切。攻击者通过利用漏洞(特别是零日漏洞)来访问边缘设备,并随后部署自定义恶意软件。
参考资源
1、https://www.crn.com/news/security/2024/5-big-takeaways-from-mandiant-s-2024-threat-report
2、https://www.securityweek.com/the-battle-continues-mandiant-report-shows-improved-detection-but-persistent-adversarial-success/
3、https://www.govinfosecurity.com/state-hackers-new-frontier-network-edge-devices-a-24920
4、https://services.google.com/fh/files/misc/m-trends-2024.pdf
文章来源:网空闲话plus