狠狠色丁香婷婷综合尤物/久久精品综合一区二区三区/中国有色金属学报/国产日韩欧美在线观看 - 国产一区二区三区四区五区tv

Sophos在其2024年的活躍對(duì)手報(bào)告中表示，它在2023年調(diào)查的大多數(shù)網(wǎng)絡(luò)攻擊涉及勒索軟件，而90%的事件都包含了對(duì)遠(yuǎn)程桌面協(xié)議的濫用。

這家安全供應(yīng)商在周三發(fā)布了其2024年的活躍對(duì)手報(bào)告，該報(bào)告基于它在2023年進(jìn)行的150多起事件響應(yīng)（IR）調(diào)查的數(shù)據(jù)。數(shù)據(jù)集的分析顯示，88%的調(diào)查來自于員工數(shù)少于1000人的組織，而55%涉及的公司員工數(shù)不超過250人。代表了26個(gè)行業(yè)，制造業(yè)連續(xù)第四年成為最多尋求Sophos IR團(tuán)隊(duì)幫助的行業(yè)。

報(bào)告追蹤了攻擊類型、初始訪問向量和根本原因，并發(fā)現(xiàn)這些趨勢(shì)在過去兩年中保持一致。雖然攻擊者經(jīng)常濫用遠(yuǎn)程桌面協(xié)議（RDP）和憑證訪問來滲透受害者的網(wǎng)絡(luò)，但企業(yè)仍然讓RDP暴露在外，而且通常缺乏多因素認(rèn)證（MFA）協(xié)議。

Sophos補(bǔ)充說，企業(yè)在確保足夠的日志可見性方面也做得不夠，這可能會(huì)妨礙IR調(diào)查。

報(bào)告指出：“通常，被侵犯和未被侵犯的組織之間唯一的區(qū)別在于1) 選擇并部署合適工具的準(zhǔn)備工作，以及2) 在需要時(shí)具備的知識(shí)和準(zhǔn)備采取行動(dòng)的能力。報(bào)告中描述的大多數(shù)工具和技術(shù)都有解決方案，或至少有減輕其危害的緩解措施，但防御措施簡(jiǎn)直沒法跟上。”

就像許多其他供應(yīng)商一樣，Sophos發(fā)現(xiàn)在2023年，勒索軟件是最常見的攻擊類型；這種威脅占其調(diào)查的70%。供應(yīng)商響應(yīng)了108起勒索軟件攻擊。網(wǎng)絡(luò)入侵排在第二，但僅占調(diào)查的19%。然而，Sophos推測(cè)這兩種攻擊類型之間可能存在聯(lián)系。報(bào)告說：“雖然我們不能在所有情況下都肯定，但有越來越多的證據(jù)表明，許多網(wǎng)絡(luò)入侵實(shí)際上是失敗的勒索軟件攻擊。”

Sophos確認(rèn)已知的勒索軟件團(tuán)伙進(jìn)行了它調(diào)查的五次網(wǎng)絡(luò)入侵。供應(yīng)商還將網(wǎng)絡(luò)入侵與勒索軟件攻擊按季度進(jìn)行了比較，發(fā)現(xiàn)當(dāng)勒索軟件活動(dòng)減少時(shí)，入侵增加。盡管44%的勒索軟件攻擊案例涉及數(shù)據(jù)泄露，Sophos發(fā)現(xiàn)72%的網(wǎng)絡(luò)入侵調(diào)查“沒有數(shù)據(jù)泄露的證據(jù)”。

Sophos還追蹤了勒索軟件部署的時(shí)間線，并發(fā)現(xiàn)了一個(gè)一致的模式。去年，91%的勒索軟件有效載荷是在傳統(tǒng)工作時(shí)間之外部署的，與2022年相比僅下降了3%。Sophos將“傳統(tǒng)工作時(shí)間”定義為周一至周五的上午8點(diǎn)至下午6點(diǎn)，但報(bào)告指出，這些數(shù)據(jù)也考慮了不遵循該時(shí)間表的國(guó)家。

Sophos追蹤了它在2023年事件響應(yīng)調(diào)查中看到的主要攻擊類型。Sophos的2024年活躍對(duì)手報(bào)告發(fā)現(xiàn)，去年勒索軟件超過了所有其他攻擊類型。另一個(gè)一致的趨勢(shì)是勒索軟件家族的分布。報(bào)告發(fā)現(xiàn)，LockBit勒索軟件組織去年仍是最活躍的團(tuán)伙。報(bào)告將24起勒索軟件攻擊，即22%的IR調(diào)查歸因于LockBit。很難說LockBit是否會(huì)繼續(xù)在2024年主宰這一領(lǐng)域。這個(gè)臭名昭著的團(tuán)伙在2月份被國(guó)際執(zhí)法行動(dòng)暫時(shí)打亂。雖然LockBit操作者迅速恢復(fù)了他們的服務(wù)器，但該團(tuán)伙的復(fù)出嘗試遭遇了挫折。

Sophos的威脅情報(bào)領(lǐng)域首席技術(shù)官John Shier告訴TechTarget Editorial，這次稱為“克羅諾斯行動(dòng)”的執(zhí)法行動(dòng)成功地阻止了加盟LockBit的附屬成員。Shier說，在擾亂之后，經(jīng)紀(jì)人和附屬成員在地下論壇上表達(dá)了這種情緒。“LockBit部分因其規(guī)模而蓬勃發(fā)展。沒有了犯罪伙伴合作和信任的侵蝕，我們希望看到LockBit繼續(xù)其走向無關(guān)緊要的下滑。”

LockBit是自Sophos在2021年發(fā)布第一份活躍對(duì)手報(bào)告以來調(diào)查的許多勒索軟件團(tuán)伙之一，包括Cuba和Snatch。

去年3月出現(xiàn)的勒索軟件團(tuán)伙Akira排在第二位，共發(fā)動(dòng)了12次攻擊。Sophos對(duì)Akira超過Alphv/BlackCat勒索軟件團(tuán)伙感到驚訝，后者排在第三位。

操作者以瞄準(zhǔn)醫(yī)療保健組織而聞名，并聲稱對(duì)去年的MGM度假村進(jìn)行了

一次顯著攻擊。12月，美國(guó)司法部宣布FBI暫時(shí)擾亂了Alphv/BlackCat，并開發(fā)了一個(gè)解密工具來幫助受害組織，但該團(tuán)伙仍然活躍。Alphv/BlackCat行動(dòng)者在2月份對(duì)UnitedHealthcare的Change Healthcare發(fā)動(dòng)了一次大規(guī)模攻擊。

報(bào)告說：“關(guān)于勒索軟件攻擊的流行程度、工具和時(shí)間線已達(dá)到一個(gè)平衡點(diǎn)。不幸的是，我們每年仍然看到防御者犯著同樣的錯(cuò)誤。考慮到這一點(diǎn)，我們認(rèn)為組織迫切需要參與自救。”

Sophos列出了防御者繼紺犯的許多錯(cuò)誤，例如暴露VPN和RDP。Sophos警告說，攻擊者利用這些錯(cuò)誤獲得受害者環(huán)境的初始訪問。例如，Cisco在8月詳細(xì)描述了一次攻擊活動(dòng)，其中Akira和LockBit行動(dòng)者針對(duì)使用其VPN但未啟用MFA的組織。

報(bào)告強(qiáng)調(diào)，外部遠(yuǎn)程服務(wù)一直是Sophos發(fā)布的每份活躍對(duì)手報(bào)告中的首要初始訪問方法。

Sophos在其8月發(fā)布的年中活躍對(duì)手報(bào)告中敦促企業(yè)保護(hù)RDP。供應(yīng)商警告說，這個(gè)協(xié)議在2023年上半年涉及的攻擊中占了95%。然而，這個(gè)威脅向量在一年中的剩余時(shí)間里仍然給組織帶來了問題。報(bào)告強(qiáng)調(diào)，去年RDP仍然是“所有Microsoft LOLBins（借地生存的二進(jìn)制文件）中被濫用最多的”。

報(bào)告說：“RDP濫用已達(dá)到新高度，90%的攻擊利用它進(jìn)行內(nèi)部橫向移動(dòng)，20%用于外部遠(yuǎn)程訪問。對(duì)于仍然將RDP暴露在互聯(lián)網(wǎng)上的18%的組織，你應(yīng)該問問自己，‘我的天，我做了什么？’”

Shier詳細(xì)說明了為什么企業(yè)繼續(xù)努力保護(hù)RDP。基于IR數(shù)據(jù)，他說組織分為兩類。“一類是組織不知道將RDP暴露在互聯(lián)網(wǎng)上可能帶來的危害，并且長(zhǎng)期保護(hù)不足，另一類是他們根本就不在乎。”

企業(yè)在確保憑證的安全方面也繼續(xù)面臨挑戰(zhàn)。Sophos將被盜憑證歸為攻擊的第一大根本原因，這一比例幾乎是2022年的兩倍。“更糟糕的是，憑證加固的狀態(tài)令人痛心。在43%的調(diào)查中，沒有配置多因素認(rèn)證（MFA）。”報(bào)告說。

Sophos補(bǔ)充說，MFA技術(shù)現(xiàn)在已經(jīng)有三十年的歷史了。

報(bào)告敦促企業(yè)還要保護(hù)它們的Active Directory（AD），攻擊者越來越多地將目標(biāo)對(duì)準(zhǔn)了AD。Sophos在2023年開始追蹤時(shí)間至Active Directory的指標(biāo)，并發(fā)現(xiàn)所有攻擊的中位數(shù)時(shí)間至AD為0.64天。

關(guān)于AD威脅，報(bào)告建議企業(yè)運(yùn)行工具以檢測(cè)可疑活動(dòng)，更重要的是，持續(xù)監(jiān)控并響應(yīng)可疑信號(hào)。在IR調(diào)查期間，Sophos還發(fā)現(xiàn)日志可見性是一個(gè)問題。在供應(yīng)商調(diào)查的54%的攻擊中，遙測(cè)數(shù)據(jù)缺失。

“雖然日志不可用的原因有幾個(gè)，但在大多數(shù)情況下，這是因?yàn)榻M織沒有采取必要措施確保在最需要時(shí)它們會(huì)在那里。”報(bào)告說。

報(bào)告補(bǔ)充說：“在事件響應(yīng)上下文中最重要的是如何攻擊者侵入了組織以及為什么他們成功了。”