全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè)Palo Alto Networks(納斯達(dá)克代碼:PANW)(派拓網(wǎng)絡(luò))最近發(fā)布《2022年Unit 42事件響應(yīng)報(bào)告》。報(bào)告指出,投機(jī)的網(wǎng)絡(luò)攻擊者大量利用軟件漏洞和弱點(diǎn)實(shí)施攻擊���。報(bào)告基于Palo Alto Networks(派拓網(wǎng)絡(luò))豐富的事件響應(yīng)(IR)經(jīng)驗(yàn)�,為企業(yè)提供了許多專業(yè)見解���,并通過600多個(gè)Unit 42事件響應(yīng)案例,幫助企業(yè)CISO和安全團(tuán)隊(duì)了解他們所面臨的主要威脅���,以及如何決定優(yōu)先事項(xiàng)���。
從行業(yè)角度來看,金融和房地產(chǎn)的贖金金額位于第一梯隊(duì)�����,平均分別被勒索近800萬美元和520萬美元?�?傮w而言���,勒索軟件和商業(yè)電子郵件泄露(BEC)是事件響應(yīng)團(tuán)隊(duì)在過去12個(gè)月中做出響應(yīng)的首要事件類型��,約占事件響應(yīng)案例的70%��。
Palo Alto Networks(派拓網(wǎng)絡(luò))高級(jí)副總裁兼Unit 42負(fù)責(zé)人Wendi Whitmore表示:“低成本和高回報(bào)使得網(wǎng)絡(luò)犯罪的入行門檻較低。不熟練的新手攻擊者往往使用黑客即服務(wù)等工具���,這些工具在暗網(wǎng)上可以輕易獲取且日漸流行��。而勒索軟件攻擊者在與網(wǎng)絡(luò)犯罪分子和受害企業(yè)接觸的過程中��,也通過客戶服務(wù)和滿意度調(diào)查使自身行為變得越來越有序���。
報(bào)告還對(duì)網(wǎng)絡(luò)安全的一些主要趨勢(shì)做出了詳細(xì)闡述。
勒索軟件日益猖獗��,贖金金額持續(xù)走高
據(jù)統(tǒng)計(jì)��,平均每四個(gè)小時(shí)泄密網(wǎng)站上就會(huì)出現(xiàn)一個(gè)新的勒索軟件受害者�����。因此,識(shí)別勒索軟件攻擊對(duì)企業(yè)至關(guān)重要���。通常情況下��,勒索軟件攻擊者只有在文件加密后才會(huì)被發(fā)現(xiàn)�����,并且受害企業(yè)會(huì)收到勒索信����。Unit 42發(fā)現(xiàn)�����,勒索軟件攻擊的中位停留時(shí)間(即攻擊者被檢測(cè)到之前在目標(biāo)環(huán)境中花費(fèi)的時(shí)間)為 28 天�。贖金高達(dá)3,000萬美元,實(shí)際支付800 萬美元���,與《2022年Unit 42勒索軟件報(bào)告》的結(jié)果相比正穩(wěn)步增長���。而且越來越多的攻擊者開始使用雙重勒索�����,如果不支付贖金就會(huì)公開企業(yè)敏感信息�����。
兼顧隱蔽性和性價(jià)比���,BEC攻擊獲青睞
為了實(shí)施商業(yè)電子郵件泄露(BEC)通信欺詐,犯罪分子使用了多種技術(shù)����。他們憑借網(wǎng)絡(luò)釣魚等社交工程的隱蔽性且性價(jià)比高的方式來輕易獲得訪問權(quán)限�。很多情況下,犯罪分子做的只是欺騙目標(biāo)交出憑據(jù)�。獲得訪問權(quán)限后,商業(yè)電子郵件泄露攻擊的中位停留時(shí)間為38天��,平均被盜金額為28.6萬美元�����。
金融��、專業(yè)和法律服務(wù)等行業(yè)成為攻擊主要目標(biāo)
當(dāng)涉及目標(biāo)行業(yè)時(shí),攻擊者會(huì)追逐利益�����;但他們經(jīng)常投機(jī)取巧——通過掃描網(wǎng)絡(luò)尋找可以利用已知漏洞的系統(tǒng)�����。Unit 42發(fā)現(xiàn)��,事件響應(yīng)案例中受影響最大的行業(yè)包括金融�、專業(yè)和法律服務(wù)、制造�、醫(yī)療保健、高科技以及批發(fā)和零售�����。這些行業(yè)內(nèi)的企業(yè)往往會(huì)存儲(chǔ)�����、傳輸和處理大量攻擊者可以從中獲利的敏感信息����。
報(bào)告還針對(duì)事件響應(yīng)案例中的不同方面做了具體統(tǒng)計(jì)�����。
● 攻擊者利用最多的三個(gè)初始訪問媒介是網(wǎng)絡(luò)釣魚����、利用已知軟件漏洞和主要針對(duì)遠(yuǎn)程桌面協(xié)議(RDP)的暴力憑據(jù)攻擊�����。這三者相加構(gòu)成了77%的可疑入侵根源��。
● ProxyShell占全部被用于初始訪問的漏洞的一半以上(55%)�����,其次是Log4J(14%)�����、SonicWall(7%)�、ProxyLogon(5%)和Zoho ManageEngine ADSelfService Plus(4%)�����。
● 在一半事件響應(yīng)(IR)案例中,企業(yè)在面向互聯(lián)網(wǎng)的關(guān)鍵系統(tǒng)上缺乏多因素身份驗(yàn)證���,例如:企業(yè)網(wǎng)絡(luò)郵件�����、虛擬專用網(wǎng)絡(luò)(VPN)和其他遠(yuǎn)程訪問解決方案�。
● 在13%的案例中����,企業(yè)沒有針對(duì)暴力憑據(jù)攻擊采取措施鎖定帳戶。
● 在28%的案例中����,不合格的補(bǔ)丁管理程序?qū)е鹿粽哂袡C(jī)可乘。
● 在44%的案例中�,企業(yè)沒有端點(diǎn)檢測(cè)和響應(yīng)(EDR)或擴(kuò)展檢測(cè)和響應(yīng)(XDR)安全解決方案,或是沒有完全部署在最初受影響的系統(tǒng)上以檢測(cè)和對(duì)惡意攻擊做出響應(yīng)�。
● 75%的內(nèi)部威脅案例涉及企業(yè)前雇員。
Unit 42事件響應(yīng)服務(wù)24/7守護(hù)企業(yè)網(wǎng)絡(luò)安全
Palo Alto Networks(派拓網(wǎng)絡(luò))Unit 42擁有一支經(jīng)驗(yàn)豐富的安全顧問團(tuán)隊(duì)����,背景跨越公共和私營部門,曾處理過歷史上最大規(guī)模的網(wǎng)絡(luò)攻擊�����。他們可以化解復(fù)雜的網(wǎng)絡(luò)風(fēng)險(xiǎn)并應(yīng)對(duì)高級(jí)威脅,包括國家級(jí)別的攻擊�����、高級(jí)持續(xù)性威脅或APT����,以及復(fù)雜的勒索軟件調(diào)查。他們采用的方法和工具是從成千上萬起調(diào)查事件的實(shí)際經(jīng)驗(yàn)中研發(fā)而來�����,經(jīng)過大量驗(yàn)證和檢驗(yàn)���。Unit 42事件響應(yīng)專家為客戶提供24/7全天候服務(wù)����,幫助客戶了解攻擊性質(zhì)��,快速采取遏制和補(bǔ)救措施��,消除攻擊威脅���。
