Mandiant-Google Cloud北亞區總經理徐海國 (Michael)左、港澳區總經理徐伊芬 (Yvonne)中 及 港澳區首席技術顧問洪文輝 (Manfred) 右 分享M-Trends 2023報告有關最新全球網絡威脅趨勢。
香港 · 2023年6月1日 – 現已成為Google Cloud 一份子Mandiant Inc.,今天公布了其M-Trends 2023 報告的調查結果。推出十四年以來,這份年度報告根據Mandiant對全球具影響力的網絡攻擊事件所作出的前線調查及補救方案,就不斷演變的威脅環境提供適時數據和專業見解。面對層出不窮的威脅,這份全新報告揭示了全球企業於進一步抵禦網絡威脅能力方面取得進展。
Google Cloud Mandiant Consulting 副總裁Jurgen Kutscher指出:「Mandiant M-Trends 2023 報告明確顯示,雖然業界於網絡保安上有所進步,但我們面對的挑戰不斷演化並日趨複雜。我們曾在 2021 年觀察到的趨勢,於2022 年仍見持續,例如越來越多新的惡意軟件家族以及不斷增加的網絡間諜活動。故此,企業必須時刻保持警覺,並運用現代網絡安全防禦措施繼續維護網絡安全。與此同時,就最新威脅的網絡韌性進行驗證,並對整體應對能力進行測試亦十分重要。」
全球網絡攻擊停留時間中位數減至僅逾兩週
根據 Mandiant M-Trends 2023 報告,全球網絡攻擊停留時間中位數(即從網絡入侵開始到被識別之間的時間)持續下降,與2021年的21天相比,2022年下降至16天。這是M-Trends報告有史以來錄得最短的全球網絡攻擊停留時間的中位數。
就威脅偵測方式作出比較時,Mandiant觀察到因過去或現存的外部實體安全措施而得到警示的企業數目整體上升。以美洲為總部的企業,55%的網絡安全事件透過外部第三方識別 (去年的數字為40%),為美洲在過去六年取得外部識別的最高百分比。同樣地,根據2022年的調查,歐洲,中東及非洲 (EMEA)的企業,有74%的入侵透過外部第三方識別,較2021年高62%。
Mandiant專家指出,在2021年至2022年期間作出的全球調查中,勒索軟件攻擊事件的百分比有所下降。與2021年的23%相比,2022年勒索軟件攻擊事件佔調查事件的18%,是Mandiant自2020年就勒索軟件攻擊作出調查以來錄得的最低百分比。
Google Cloud Mandiant Intelligence 副總裁 Sandra Joyce 指出:「雖然沒有數據明確顯示勒索軟件攻擊輕微下降的主原,但營運環境的多種變化可能是導至數字調下的原因。這些因素包括但並不限於:政府與執法部門針對勒索軟件服務及個人的攻擊行動,使攻擊者需要重組或建立新的合作夥伴;烏克蘭紛爭使攻擊者重新調整其初期入侵行動,以及巨集指令可能自動被封鎖的網絡環境。同時,企業對勒索軟件事件的偵測、預防或恢復措施亦日益完善及有效。」
網絡間諜活動及惡意軟件家族數量全球性增加
Mandiant調查了當俄羅斯於2022年2月24日入侵烏克蘭前後所發生的網絡間諜活動及資料操作。值得留意的是,Mandiant在烏克蘭被入侵前發現了UNC2589 及APT28的間諜活動,並觀察到烏克蘭於2022年首四月所發生的網絡攻擊事件,比過去八年的總破壞力更強大。
Mandiant於2022年開始追蹤 588 個全新惡意軟件家族,揭示了攻擊者持續擴展入侵方式。在最新追蹤的惡意軟件家族中,首五位為後門程式(34%)、下載程式(14%)、植入程式(11%)、勒索軟件(7%)及啟動程式 (launchers)(5%)。多年來,這些惡意軟件進佔排行榜高位,而後門程式在新型惡意軟件家族類型中仍佔三份一。
與往年一樣,多功能後門程式 BEACON 是Mandiant 在調查中最常見的惡意軟件家族。於 2022 年,BEACON 在 Mandiant 調查的所有入侵事件中佔 15%,迄今仍是跨地區調查中最多的惡意軟件,並被各種Mandiant所追蹤的威脅組織使用,如俄羅斯和伊朗等國家支持的攻擊者、商業威脅組織以及逾700個不明組織。根據報告,BEACON的普及性,與其普遍程度、容易與惡意軟件配合和簡易使用的特質有關。
Google Cloud Mandiant Consulting 首席技術總監 Charles Carmakal 指出:「Mandiant調查了數宗全新、越趨精明及高效的入侵事件。攻擊者利用地下網絡罪案市場的數據,透過語音電話及短信進行社會詐騙工程,甚至試圖賄賂員工以獲得企業網絡訪問權。這些惡意組織對企業構成重大威脅,令即使具備强大網絡保安程式的企業亦難以抵禦。隨著企業持續建立他們的保安團隊、基礎設施和防禦能力,防範並抵禦這些威脅攻擊已成爲企業設計營運策略的一部分。」
可採取行動的情報
M-Trends 的目標是讓網絡安全專業人員深入了解直接從前線得悉的最新入侵活動,並附以可實際行動的情報,以確保企業在不斷演變的威脅環境中得以安心。為實現這項目標,Mandiant 針對最活躍的威脅攻擊者及其不斷擴展的入侵策略、技術和程序 (TTP)提供見解。
爲加強支援,Mandiant額外將150種技術整合至最新的MITRE ATT&CK®框架,當中包括合共超過2,300項的Mandiant技術及跟進調查結果。企業應根據入侵事件所涉及的攻擊方式來優先選擇相關保安措施。
其他 M-Trends 2023 報告的摘要:
● 入侵方式:網絡漏洞連續第三年以32%成為攻擊者最常使用的入侵方式。雖然較2021年的37%低,網絡漏洞仍然是攻擊者最主要的入侵方式。與2021年的12%相比,佔22%的網絡釣魚 (Phishing) 亦再次成爲第二常見的入侵方式。
● 受影響行業:與2021年的9%相較,與政府有關的機構佔調查事件的25%,反映了Mandiant就針對烏克蘭作出的網絡攻擊活動事件所作出的支援。2022年首四個最常被攻擊者入侵的行業與2021年的結果一致,分別為商業及專業服務、金融業、科技,以及醫療保健行業。這些行業皆輕易成爲懷有經濟及間諜行動動機的攻擊者的目標。
● 身份盜竊:Mandiant調查發現,2022年身份信息盜竊及買賣事件比往年有所增加。調查經常發現,重複使用密碼或在公司裝置上使用個人賬戶,是導致大部分身份資料於企業外部環境被盜取並藉此入侵企業的原因。
● 數據竊取:Mandiant專家指出2022年發生的入侵事件中,40%以數據盜竊為優先。與往年相比,Mandiant防禦者觀察到威脅攻擊者在2022年更頻繁地試圖竊取或進行數據盜竊活動。
● 北韓使用加密貨幣:除了一貫的情報收集任務和網絡攻擊外,朝鮮企業在2022年對盜用加密貨幣產生更大的興趣。這類營運利潤豐厚,并可能會在2023年期間持續增加。有關北韓威脅攻擊者利用網絡犯罪支持其間諜活動的更多資訊,可瀏覽Mandiant’s APT43 report.
M-Trends 2023報告調查方法:
M-Trends 2023 報告的是基於 Mandiant 對 2022年 1 月 1 日至 2022年 12 月 31 日期間進行的 針對性攻擊活動的調查。收集的訊息已被清理以保護目標的身份及其數據。
相關資料:
● M-Trends 2023報告: www.mandiant.com/m-trends (中文版)
● Blog 博客: https://www.mandiant.com/resources/blog/m-trends-2023
關於 Mandiant
作爲 Google Cloud 的一份子,Mandiant 在動態網絡防禦解決方案、威脅情報、網絡威脅應對服務上都是備受認可的領導者。Mandiant 具備數十年的前線網絡安全經驗,能夠增強企業對 防禦和應對網絡威脅的準備及信心。
關於 Google Cloud
Google Cloud 加速每個企業在業務上的數位轉型進程。透過 Google 的尖端技術,在業界最乾 淨的雲端環境中提供企業解決方案。目前已有 200 多個國家與地區的客戶選擇 Google Cloud 做為他們信任的合作夥伴,協助他們實現成長並解決最關鍵的業務問題。
附錄 – M-Trends 2023 報告有關亞太地區的資料
Mandiant觀察到發生於亞太地區的一系列網絡攻擊事件,按其攻擊動機可分爲以下幾類:有關經濟動機的攻擊、有關間諜行動的攻擊(一般以國家層面進行)及有關由黑客行動主義或信息操作組成的意識形態攻擊。
在這些類別中,有些威脅行動的攻擊次數較其他頻繁,如勒索軟件攻擊是最廣爲人知的威脅之一,攻擊者透過嘗試以勒索方式盡可能詐騙受害者的金錢。商務電子郵件入侵 (Business Email Compromise) 是另一種主要威脅,攻擊者冒充受信任的員工,並試圖通過各種社會工程技術將合法款項匯入攻擊者所控制的戶口中。
每個企業都有各自不同的網絡威脅情況,並根據企業的地理位置、行業、營運資金和數碼轉型水平以訂立。而企業應根據網絡威脅情報評估對他們構成最大風險的網絡威脅類別。
網絡攻擊停留時間指從網絡入侵開始到被識別之間的時間。Mandiant助其協助響應攻擊的受害企業測量網絡攻擊停留時間。亞太地區的網絡攻擊平均停留時間從2021年的21天上升至2022年的33天。雖然難以確認增長原因,但這些因素可能是導致網絡攻擊停留天數增加的原因。2020年亞太地區的網絡攻擊停留時間為76天,因此2021年的大幅下降可能只是異常現象,而2022的數字則是修正後的結果。
最重要的是,亞太地區網絡攻擊停留時間總體趨向下降現象,這在很大程度上是由於檢測及響應技術和服務如端點偵測與回應 (Endpoint Detection and Response)、網路偵測與回應 (Network Detection and Response)、延伸偵測及回應 (Extended Detection Response)及託管式偵測與回應 (Managed Detection and Response)的廣泛應用。
Google Cloud Mandiant港澳區總經理徐伊芬表示:「網絡攻擊通常會對企業造成重大影響,其構成的影響範圍并不局限於IT系統。由於威脅形勢不斷演變,因此隨時了解與企業行業及地區相關的資訊内容有助於在網絡攻擊事件發生之前、期間和之後作出決策。許多香港企業正迅速進行數碼轉型,雖然數碼轉型有利於企業及其客戶的業務發展,但同時也爲攻擊者透過漏洞獲取敏感資料提供了新機會。企業在進行數碼轉型時必須監察其攻擊面以了解未知的資產風險,並採取主動的風險管理行動。」
