2022年8月4日,北京——全球网络安全领导企业Palo Alto Networks(纳斯达克代码:PANW)(派拓网络)最近发布《2022年Unit 42事件响应报告》。报告指出,投机的网络攻击者大量利用软件漏洞和弱点实施攻击。报告基于Palo Alto Networks(派拓网络)丰富的事件响应(IR)经验,为企业提供了许多专业见解,并通过600多个Unit 42事件响应案例,帮助企业CISO和安全团队了解他们所面临的主要威胁,以及如何决定优先事项。
从行业角度来看,金融和房地产的赎金金额位于第一梯队,平均分别被勒索近800万美元和520万美元。总体而言,勒索软件和商业电子邮件泄露(BEC)是事件响应团队在过去12个月中做出响应的首要事件类型,约占事件响应案例的70%。
Palo Alto Networks(派拓网络)高级副总裁兼Unit 42负责人Wendi Whitmore表示:“低成本和高回报使得网络犯罪的入行门槛较低。不熟练的新手攻击者往往使用黑客即服务等工具,这些工具在暗网上可以轻易获取且日渐流行。而勒索软件攻击者在与网络犯罪分子和受害企业接触的过程中,也通过客户服务和满意度调查使自身行为变得越来越有序。
报告还对网络安全的一些主要趋势做出了详细阐述。
勒索软件日益猖獗,赎金金额持续走高
据统计,平均每四个小时泄密网站上就会出现一个新的勒索软件受害者。因此,识别勒索软件攻击对企业至关重要。通常情况下,勒索软件攻击者只有在文件加密后才会被发现,并且受害企业会收到勒索信。Unit 42发现,勒索软件攻击的中位停留时间(即攻击者被检测到之前在目标环境中花费的时间)为28天。赎金高达3,000万美元,实际支付800万美元,与《2022年Unit 42勒索软件报告》的结果相比正稳步增长。而且越来越多的攻击者开始使用双重勒索,如果不支付赎金就会公开企业敏感信息。
兼顾隐蔽性和性价比,BEC攻击获青睐
为了实施商业电子邮件泄露(BEC)通信欺诈,犯罪分子使用了多种技术。他们凭借网络钓鱼等社交工程的隐蔽性且性价比高的方式来轻易获得访问权限。很多情况下,犯罪分子做的只是欺骗目标交出凭据。获得访问权限后,商业电子邮件泄露攻击的中位停留时间为38天,平均被盗金额为28.6万美元。
金融、专业和法律服务等行业成为攻击主要目标
当涉及目标行业时,攻击者会追逐利益;但他们经常投机取巧——通过扫描网络寻找可以利用已知漏洞的系统。Unit 42发现,事件响应案例中受影响最大的行业包括金融、专业和法律服务、制造、医疗保健、高科技以及批发和零售。这些行业内的企业往往会存储、传输和处理大量攻击者可以从中获利的敏感信息。
报告还针对事件响应案例中的不同方面做了具体统计。
攻击者利用最多的三个初始访问媒介是网络钓鱼、利用已知软件漏洞和主要针对远程桌面协议(RDP)的暴力凭据攻击。这三者相加构成了77%的可疑入侵根源。
ProxyShell占全部被用于初始访问的漏洞的一半以上(55%),其次是Log4J(14%)、SonicWall(7%)、ProxyLogon(5%)和Zoho ManageEngine ADSelfService Plus(4%)。
在一半事件响应(IR)案例中,企业在面向互联网的关键系统上缺乏多因素身份验证,例如:企业网络邮件、虚拟专用网络(VPN)和其他远程访问解决方案。
在13%的案例中,企业没有针对暴力凭据攻击采取措施锁定帐户。
在28%的案例中,不合格的补丁管理程序导致攻击者有机可乘。
在44%的案例中,企业没有端点检测和响应(EDR)或扩展检测和响应(XDR)安全解决方案,或是没有完全部署在最初受影响的系统上以检测和对恶意攻击做出响应。
75%的内部威胁案例涉及企业前雇员。
Unit 42事件响应服务24/7守护企业网络安全
Palo Alto Networks(派拓网络)Unit 42拥有一支经验丰富的安全顾问团队,背景跨越公共和私营部门,曾处理过历史上最大规模的网络攻击。他们可以化解复杂的网络风险并应对高级威胁,包括国家级别的攻击、高级持续性威胁或APT,以及复杂的勒索软件调查。他们采用的方法和工具是从成千上万起调查事件的实际经验中研发而来,经过大量验证和检验。Unit 42事件响应专家为客户提供24/7全天候服务,帮助客户了解攻击性质,快速采取遏制和补救措施,消除攻击威胁。