最新報告揭示新型攻擊模式 56% 駭客靠「登入」而非「入侵」系統

CNEWS匯流新聞網記者王佐銘、李衣綸/台北報導
作為全球領先的資安解決方案提供者,Sophos 致力於對抗網路攻擊。近日Sophos 公布了《2025主動攻擊者報告》,該報告深入分析了 2024 年超過 400 起託管式偵測與回應 (MDR) 及事件回應 (IR) 案例,並揭示了攻擊者的行為模式及使用的技術手段。報告顯示,攻擊者獲得網絡初步存取權的主要方式,佔所有 MDR 與 IR 案件的 56%,是透過利用有效帳號來攻擊外部遠端服務,這些服務包括邊緣設備,如防火牆和 VPN。
攻擊者利用合法帳號從遠端登入系統,這已成為大多數攻擊發生的主要原因之一。連續第二年,「帳號憑證遭入侵」成為最常見的攻擊根本原因,佔比 41%,其後依序為 「已遭利用的漏洞」 (21.79%) 和 「暴力破解攻擊」(21.07%)。
在對 MDR 與 IR 案件進行調查時,Sophos X-Ops 團隊特別關注了勒索軟體、資料外洩及資料勒索等案件,評估攻擊者在組織內部的攻擊速度。報告指出,在這三類案件中,從攻擊開始到資料外洩的中位時間為 72.98 小時 (約 3 天),而從資料外洩到攻擊被偵測的中位時間則僅為 2.7 小時。
Sophos 外勤首席資安長 John Shier 強調,在當前環境中,被動防護已經無法滿足需求。雖然預防仍然至關重要,但迅速回應才是關鍵。企業必須主動監控其網絡環境,並迅速針對觀察到的遙測數據採取行動。面對具備強烈動機的攻擊者,企業更需要協同防禦。對許多組織而言,這意味著必須結合自身的業務知識與專家主導的偵測與回應能力。我們的報告證實,具備主動監控機制的組織能夠更快速地偵測攻擊,並取得更有效的防禦成果。
報告還指出,攻擊者最快 11 小時即可控制系統,從發起初始攻擊到首次成功入侵 Active Directory (AD) 的中位時間為 11 小時。AD 是任何 Windows 網絡中的核心資產,一旦被入侵,攻擊者可更輕易地完全控制組織系統。2024 年最常見的勒索軟體集團為 Akira,其後依次為 Fog 和 LockBit,儘管多國政府聯手打擊 LockBit,該集團仍然活躍。
整體潛伏時間(從攻擊開始到被偵測的時間)已經從 4 天縮短至 2 天,這主要得益於 MDR 案件資料的加入,對結果產生了顯著影響。在 IR 案件中,勒索軟體攻擊的潛伏時間維持在 4 天,而非勒索軟體攻擊的潛伏時間則為 11.5 天。MDR 調查中的潛伏時間則顯示,勒索軟體攻擊的潛伏時間為 3 天,而非勒索軟體攻擊縮短至 1 天,顯示出 MDR 團隊能夠更快速地偵測並回應攻擊。
報告還強調,2024 年有 83% 的勒索軟體執行檔是在目標企業的非上班時間部署,顯示出攻擊者偏好在深夜時段發動攻擊。而遠端桌面通訊協定 (RDP) 仍然是最常被濫用的 Microsoft 工具,涉及 84% 的 MDR/IR 案件。
為加強防禦,Sophos 建議企業採取一些關鍵措施,例如關閉暴露的 RDP 連接埠、啟用多重身份驗證 (MFA)、及時修補漏洞系統,並部署 EDR 或 MDR 進行 24 小時主動監控。此外,企業應該建立完整的事件回應計畫,並透過模擬演練或情境推演來定期檢測其有效性。
更多CNEWS匯流新聞網報導:
【文章轉載請註明出處】
