对抗持续升级：Mandiant报告显示安全检测能力的提升不敌持续的入侵突破

Mandiant每年都会发布一份针对敌对攻击行为的年度分析报告——即《M-Trends》报告。这份报告指出了一些防御者的进步，但同时也显示出未来的挑战依然严峻。

最近发布的Mandiant M-Trends报告中，统计数字源于该公司对2023年1月1日至同年12月31日期间的目标攻击调查。这些数据反映了Mandiant的内部观测，并不能提供全球完整或准确的统计数据。然而，正如报告标题所示，它为我们提供了一种有效的方法，可以隔离和比较目标攻击活动的一般趋势。

这份来自谷歌旗下Mandiant的最新M-Trends报告中，好消息和坏消息并存。好消息是攻击者在目标系统上的停留时间(从开始入侵到检测到已入侵的时间段)进一步减少，这表明防御者在识别恶意入侵者方面的技能正在不断提高。

在2023年，全球入侵者的平均停留时间从2022年的16天下降到10天。Mandiant公司称：“在2024年的M-Trends报告中，全球网络安全态势明显改善。” 但随之而来的坏消息是：入侵者滞留时间仍然太长——Mandiant自己的红队通常在5到7天内实现目标。根据这些数据，攻击者仍然很可能在被发现之前就已得逞。

报告中的许多数据，包括停留时间，都受到了勒索软件影响而呈现出偏差。勒索软件攻击成功率高且持续增长，通常进展迅速。这种效应缩短了入侵停留的时间，但这是由于成功攻击而非失败攻击所造成的。

通常情况下，随着滞留时间的增加，其事件的数量会减少。截至2023年，43.3%被调查的攻击事件滞留时间为一周或更短；22.3%的事件滞留时间为六个月或更少，而6.0%的事件滞留时间为五年或更少。

这些数字可能揭示了两种攻击者的特性差异：一种是广泛存在的普通犯罪分子，比如勒索软件，他们的目标是迅速获取经济利益；另一种则是更专业、受国家支持的黑客，他们追求的是长期潜伏，进行间谍活动。Mandiant 咨询公司的EMEA区医疗总监Stuart McKenzie博士确认了这一点：“一个由国家支持的黑客会设法在数月、数年甚至更长的时间里保持隐秘和持续的存在。”

报告采用另一种统计指标来评估防守者成功率：内部检测与外部通知的对比。若入侵是通过外部来源发现，那么攻击者可能已经得逞。相反，如果是在内部检测中发现异常，这意味着安全措施发挥了作用，受害者有机会阻止攻击者达成其目的。

首先，数据整体上是积极的。从外部通知的比例来看，2022年63%的事件到2023年减少到了54%，这表明防御系统在检测对抗性入侵方面正变得越来越有效。实际情况可能比这个数字所表达还要好，这在一定程度上受到了勒索软件的影响。据统计，高达70%的勒索软件案例是通过外部来源发现的（这意味着攻击已经成功）；也就是说只有30%的情况被检测出来，并且有可能被安全控制措施阻止。

在排除2023年大约15%与数据泄露相关的勒索软件攻击后，内部检测与外部通知的比例达到持平的50%。令人欣慰的是，在2023年的数据中，关于勒索软件的外部通知相比2022年下降了9个百分点。

根据Mandiant的研究数据，尽管可以乐观地认为防守能力有所提升，这一点可能是真实的。然而，现实情况是，同样的统计数据也揭示了攻击者依然占据上风。

感染的主要途径仍然是漏洞利用——相较于2022年的32%，2023年这一比例提升至38%。最常见的被利用漏洞包括MOVEit Transfer中的CVE-2023-34362（SQL注入），Oracle E-Business Suite中的CVE-2022-21587（无验证上传），以及Barracuda ESG中的CVE-2023-2868（命令注入）。Mandiant指出，第一和第三种途径与边缘设备相关，并将这一现象与攻击者通过减少对防御者的可见性来增加隐匿趋势的增长联系起来。

网络钓鱼诈骗依然位列第二，但占比已从22%下降到17%。Mandiant在报告中单独提到了一代人工智能技术的增强。尽管这种技术应当并且必须用于防御，但它无疑也会增强未来网络钓鱼攻击的规模和质量。

第三个感染途径是预先漏洞突破，即攻击者获取了权限，但随后将这种访问权卖给其他犯罪分子。这一比例从12%增长到15%。Mandiant认为，这种增加可能与日益扩大的勒索软件生态系统有关。在勒索软件关联组织中，有人会通过中介购买现成的访问权限。

被盗凭证成为第四大最常见的感染途径，尽管这一比例从14%下降到10%，Mandiant警告说，网络窃贼的活跃度和成功率可能仍对安全构成威胁态势。

暴力破解攻击位居第五，占比为5%。Mandiant认为，有效实施多因素认证(MFA)已减缓了暴力破解的成功率，但也警告称，攻击者现在正在使用中间人攻击(AitM)来绕过MFA。

McKenzie指出网络安全普遍提升是一个大趋势，但他也强调报告揭示了攻击手段的不断演变。"过去，网络钓鱼是最常见的组织被渗透的方式，"他说道，"现在我们看到攻击者利用漏洞进行攻击。"

零日漏洞的利用频率也在提升。"犯罪分子正在运用零日漏洞，"他接着说。"这种高度复杂的技术以前主要被国家行为体所掌控。现在我们开始看到网络犯罪分子能够真正进入一个我们之前认为只有最尖端的国家才能达到的高度。"

他还强调了攻击者适应新环境的速度（采用中间人攻击对抗多因素认证就是一个例子）。“我们不能满足现状，只考虑自己做的有多好。我们必须持续寻找提升现有防御措施的方法。例如，现在攻击者知道EDR非常有效，所以他们转而寻找那些EDR不普及的活跃设备。他们会关注一些边缘设备，如路由器或交换机，并设法驻留在这些设备上，因为它们被发现的可能性较低。对于组织来说，始终了解自己的安全整体状态和保护水平至关重要。因为攻击者的手段极其高超。”

* 本文为陈发明编译，原文地址：https://www.securityweek.com/the-battle-continues-mandiant-report-shows-improved-detection-but-persistent-adversarial-success/
图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

原文始发于微信公众号（数世咨询）：对抗持续升级：Mandiant报告显示安全检测能力的提升不敌持续的入侵突破