[资安人文章分享] Sophos: 82% 的攻击中骇客停用或清除了日志，导致缺乏遥测数据

Sophos发布了《2023 年给安全从业人士的主动攻击者报告》，该研究发现在近 42% 的攻击案例中缺乏遥测日志数据。在这些案例中的 82%，骇客停用或删除了遥测数据以隐藏其踪迹。该报告涵盖了 Sophos 从 2022 年 1 月分析到 2023 年上半年的事件回应 (IR) 案例。

缺乏遥测数据会影响迫切需要的组织网路和系统可见性，尤其是攻击者停留时间 (从初始进入到被侦测到的时间) 继续下降，缩短了防守方有效回应事件的时间。

Sophos表示，在回应主动威胁时，时间非常重要；从发现初始进入事件到全面缓解威胁之间时间应该尽可能缩短。攻击者在攻击链中越深入，事件响应人员的困难度就越大。缺少遥测数据只会增加组织负担不起的补救时间。

在报告中，Sophos 将停留时间为 5 天或更短的勒索软体攻击归类为「快速攻击」，占研究案例的 38%。停留时间超过 5 天的勒索软体攻击则被归于「慢速攻击」，占研究案例的 62%。

仔细检视这些「快速」和「慢速」的勒索软体攻击时，攻击者使用的工具、技术和就地取材二进位档 (LOLBins) 并没有太大的变化，这表明虽然停留时间缩短，防守方无需重新制定新的防御策略。然而，防守方需要意识到，快速攻击和遥测数据缺乏可能妨碍快速反应，使得破坏增加。

Sophos表示，骇客只有在必要时才会创新，而且仅会做到足以达到他们目标的程度。攻击者不会改变有效的方法，即使他们在从进入到被侦测到的时间越来越快。对组织来说，这是一个好消息，因为即使攻击者加快时间表，他们亦无需彻底改变防御策略。

适用于快速攻击的侦测同样适用于所有攻击，无论速度快慢。而这包括完整的遥测、全面的保护和无所不在的监控。关键是在可能的情况下增加阻力——如果让攻击者的工作变得更难，那么你就可以争取回应的宝贵时间，拉长攻击的每个阶段。

Sophos举例在 Cuba 勒索软体的两起事件中见到了这种情况。A公司已经部署 MDR 持续监控，因此能够在数小时内发现恶意活动，阻挡攻击并防止任何资料被窃。而B 公司 没有这种防御；他们直到初始入侵后几周才发现攻击，而此时 Cuba 已外泄了 75GB 的敏感资料。

《Sophos 给安全从业人士的主动攻击者报告》是根据从 2022 年 1 月 1 日到 2023 年 6 月 30 日的 232 个 Sophos 回应 (IR) 案例，涵盖 25 个不同行业。被攻击的组织分布在六大洲的 34 个不同国家。其中 83% 的案例来自拥有不到 1,000 名员工的组织。