根据CrowdStrike的数据,从2021年到2022年,威胁行为者从受损主机横向移动所需的平均时间下降了14%,这给事件响应团队带来了进一步的压力。
这家威胁情报公司根据其端点保护平台生成的数万亿次日常事件,以及其威胁搜索团队的洞察,编制了《2023年全球威胁报告》。
该公司警告称,去年在初步妥协后,事故应对人员控制漏洞的时间甚至更少。
报告解释说:“通过在突破时间窗口内做出响应,防御者可以最大限度地减少攻击者造成的成本和其他损害。我们鼓励安全团队遵守1-10-60规则,即为在第一分钟内发现威胁,在十分钟内了解威胁,并在六十分钟内做出响应。”
检测可疑活动的挑战也变得更加严峻,因为攻击者继续避开恶意软件,而倾向于滥用有效的访问和持久性凭据。
在2022年的所有检测中,无恶意软件活动占71%,高于2012年的62%,而交互式入侵(即手动、非自动攻击)在此期间激增了50%。
CrowdStrike称,这些手握键盘技术使得传统的反恶意软件工具更难检测恶意活动。
此外,该报告还指出,社会工程策略的增加,如直接让受害者下载恶意软件,以及SIM卡交换和MFA疲劳,以规避多因素身份验证(MFA)。
云系统成为2022年的关键目标。云工作负载的利用增长了95%,涉及云意识参与者的案例是2021年的三倍。报告称,恶意行为者越来越多地寻求面向公众的应用程序进行初始访问,并依赖于损害特权帐户。
CrowdStrike还发现了一个令人担忧的趋势,即删除帐户访问权限,破坏数据,删除资源和停止服务。
网络犯罪供应链在2022年似乎有所加强,CrowdStrike记录的暗网上初始访问代理广告同比增长了112%。
CrowdStrike的情报主管亚当·迈耶斯(Adam Meyers)认为,2022年出现了一系列独特的网络威胁。
