[網絡安全]
去年,Google以54億美元現金收購Mandiant,合併成Google Cloud部門。Mandiant專長是網絡情報和IR事故響應服務,處理不少國家級攻擊研究。
每年,Mandiant推出M-Trends報告,至今已是14年。根據Mandiant對全球具影響力的網絡攻擊事件所作出的前線調查及補救方案,報告揭示全球企業於進一步抵禦網絡威脅能力方面取得進展。
全球網絡攻擊停留時間(Dwell time)中位數(即從網絡入侵開始到被識別之間的時間)持續下降,與2021年的21天相比,2022年下降至16天。這是M-Trends報告有史以來錄得最短的全球網絡攻擊停留時間的中位數。
相對而言,美國和歐洲、中東及非洲(EMEA)的網絡保安上有進步,但是亞太區卻反而倒退了。Mandiant港澳區總經理徐伊芬說,亞太區網絡攻擊停留時間中位數從2021年的21日上升至2022年的33日,內部偵察到入侵的時間平均是從22日減至19日,但入侵透過外部第三方識別的時間則從16日增至58日。
業界網絡保安上有所進步,但挑戰不斷演化並日趨複雜,越來越多新惡意軟件家族,網絡間諜活動增加。Mandiant追蹤的威脅組織有900個,其中265個是2022年才識別,4個來自中國及俄羅斯。
外部識別比例上升
從威脅偵測方式比較,從外部消息獲得入侵事故數目整體有上升趨勢。以美洲為總部企業,55%網絡安全事故都是外部第三方識別 (去年數字僅為40%),也是美洲地區過去6年由外部識別入侵的高百分比。根據2022年的調查,EMEA更有高達74%入侵事故是由外部第三方識別,較2021年高62%,美洲地區和EMEA內部偵察能力都有所提升,
以入侵方式分析,網絡漏洞連續第三年高踞32%,成為最常使用的入侵方式。雖然較2021年的37%低,網絡漏洞仍是攻擊者最主要的入侵方式,網絡釣魚 (Phishing) 佔22%,再次成爲第二種常用入侵方式。
多功能後門程式 BEACON 是Mandiant 在調查中最常見惡意軟件家族。2022 年,BEACON 在 Mandiant 調查的所有入侵事件中佔 15%,迄今仍是跨地區調查中最多的惡意軟件,被各種Mandiant所追蹤威脅組織使用;如俄羅斯和伊朗等國家支持的攻擊者、商業威脅組織以及超過700個不明組織。
根據報告,BEACON在亞太區也最普遍,入侵事件17%與BEACON有關、原因可能是易於與惡意軟件配合,加上使用簡易。亞太區另外兩種普遍使用的惡意軟件為Sodinokibi,主要攻擊Windows系統,佔8%;另外則是DragonJuice,佔去7%。
徐伊芬指,在2021年至2022年期間作出的全球調查中,勒索軟件攻擊事件的百分比有所下降。與2021年的23%相比,2022年勒索軟件攻擊事件佔調查事件的18%,是Mandiant自2020年就勒索軟件攻擊作出調查以來,錄得的最低百分比,有可能是企業對於勒索軟件早有防備,黑客更難從勒索軟件獲得收益。