Sophos 给企业领袖的《活跃攻击者报告》指出 2022 年骇客利用了超过 500 种独特的工具和策略

Sophos 发布一份《给企业领袖的活跃攻击者报告》，详细介绍了攻击者在 2022 年间使用的攻击行为和技术的变化。这份报告的数据是从超过 150 个 Sophos 事件回应 (IR) 案例中分析出来的，总共识别出超过 500 种独特的工具和技术，包括 118 个「就地取材」的二进位档案 (LOLBins)。与恶意软体不同，LOLBins 是原本就存在于作业系统中的可执行档，因此防御人员更难在攻击者滥用它们进行恶意活动时加以阻拦。

此外，Sophos 发现未修补的漏洞是攻击者获得遭锁定系统初始存取权限的最常见根本原因。事实上，在报告中约一半的调查中，攻击者是利用 2021 年的 ProxyShell 和 Log4Shell 漏洞来渗透组织。攻击的第二个最常见根本原因则是被破解的认证。

Sophos 现场技术长 John Shier 表示：「当今的攻击者不是入侵系统，而是直接用窃来的帐号登入。现实情况是，威胁环境的数量和复杂性已经达到了一个防御者找不到显著差异可以辨认的程度。对于大多数组织来说，单独应对威胁的时代已经过去。现在的威胁是全方位的，无所不在，而且一次性全部爆发。不过，对企业来说，仍然有工具和服务可以减轻部分防御负担，使他们能够专注于核心的业务工作。」

Sophos 的 IR 团队调查发现，超过三分之二 (68%) 的攻击和勒索软体有关，这表明勒索软体仍然是企业最普遍的威胁之一。在过去三年中，勒索软体也高占 Sophos IR 调查案件的近四分之三。

虽然勒索软体仍然是威胁环境的主宰者，但是攻击者进入后的存留时间在 2022 年略有减少，从 15 天减少到 10 天，所有攻击类型都是如此。在勒索软体攻击案例中，存留时间从 11 天减少到 9 天，非勒索软件攻击的存留减少更为明显。后者的存留时间从 2021 年时的 34 天降至 2022 年的 11 天。然而，与过去几年不同的是，不同规模的组织或行业之间的存留时间没有显著的变化。

Shier 表示：「成功实施多层式防御并进行不断监控的组织，在防范攻击方面取得了更好的结果，但副作用是促使攻击者加快了攻击的脚步。因此，我们需要更早期的侦测来防范更快速的攻击。攻击者和防御者之间的竞争将继续升级，没有积极的监控措施的组织将遭受严重的后果。」

Sophos 针对全球 22 个行业进行了 152 个事件回应 (IR) 调查，并根据调查结果撰写了该份Sophos 活跃攻击者报告。受攻击的组织位于 31 个不同的国家，包括美国和加拿大、英国、德国、瑞士、义大利、奥地利、芬兰、比利时、瑞典、罗马尼亚、西班牙、澳大利亚、纽西兰、新加坡、日本、香港、印度、泰国、菲律宾、卡达、巴林、沙乌地阿拉伯、阿拉伯联合大公国、肯亚、索马利亚、奈及利亚、南非、墨西哥、巴西和哥伦比亚。最具代表性的行业是制造业 (20%)，其次是医疗保健 (12%)、教育 (9%) 和零售业 (8%)。

这份 Sophos 给企业领袖的《活跃攻击者报告》提供可执行的威胁情报和深入信息，可帮助组织最佳化安全策略和防御。