SOPHOS,下一代網絡安全的全球領導者,今天發布“積極的對手劇本 2022", il report che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response di Sophos nel corso del 2021.
研究得出的數據表明, 到 36 年,網絡犯罪分子留在受影響系統中的時間增加 2021% 中位數為 15 天,而 11 年為 2020 天。
該報告還強調了 Microsoft Exchange 中 ProxyShell 漏洞的影響,Sophos 認為某些初始訪問代理 (IAB) 會利用這些漏洞破壞網絡,然後將其訪問權限轉售給其他人。
“網絡犯罪的世界已經變得非常多樣化和專業化。 這 初始訪問代理 (為網絡犯罪行業提供訪問公司 IT 系統的權限)已經開發出一個真正的行業,該行業可以侵入目標,探索其 IT 環境或安裝後門,然後轉售給與之打交道的團伙的訪問權限。 勒索 Sophos 高級安全顧問 John Shier 解釋道。 “在這種日益動態和專業化的情況下,公司可能很難跟上網絡犯罪分子使用的工具和方法的發展步伐。 防御者必須知道在攻擊序列的每個階段要尋找什麼,以便他們能夠盡快檢測並消除破壞企圖”。
“網絡犯罪分子對大公司的價值更高,因此他們更有動力進入,做他們必須做的事情,然後離開。 較小的公司具有較低的感知“價值”,因此攻擊者可以在網絡中停留更長的時間。 在這些情況下,攻擊者也有可能經驗不足,因此需要更多時間來弄清楚一旦進入網絡該做什麼。 小型企業通常對攻擊序列的可見性也較低,因此更難檢測和消除違規行為,從而延長了網絡犯罪分子的存在時間,”Shier 評論道。 “由於未解決的 ProxyLogon 和 ProxyShell 漏洞以及初始訪問代理的傳播帶來的機會,我們越來越多地檢查同一受害者中的多個攻擊者。 如果網絡中有更多的犯罪分子,他們每個人都會希望盡快採取行動以按時擊敗競爭對手”。
“應該提醒 IT 安全經理的跡象包括在網絡上意外點或意外時刻檢測到工具、工具組合或活動,”Shier 解釋說。 “值得記住的是,有時可能很少或沒有活動,但這並不意味著公司沒有被黑客入侵。 例如,可能存在比目前已知的更多的 ProxyLogon 或 ProxyShell 違規行為,其中安裝了 Web Shell 和後門以獲得持久訪問權,並且在訪問權被使用或轉售給其他人之前,它們當前保持非活動狀態。 需要應用補丁來修復關鍵錯誤,特別是在流行軟件中,並且作為優先事項,加強遠程訪問服務的安全性。 在暴露的入口點被關閉並且攻擊者為建立和維護訪問權限所做的一切被根除之前,任何人都可以與他們一起進入,而且可能會”。
最具代表性的行業是工業(17%)、零售(14%)、醫療保健(13%)、IT(9%)、建築(8%)和學校(6%)。
Sophos 報告的目標是幫助網絡安全管理人員了解他們的對手在攻擊期間正在做什麼,以及如何檢測和保護自己免受網絡上傳播的惡意活動的侵害。 有關網絡犯罪分子的行為、工具和技術的更多信息,請參閱 Sophos News 上的 Sophos Active Adversary Playbook 2022。