報告： 2023 年上半年攻擊者的停留時間縮短至 8 天

Sophos發佈《2023 年給科技領袖的主動攻擊者報告》，深入探討了在 2023 年上半年的攻擊者行為和工具。在分析 2023 年 1 月至 7 月的 Sophos 事件回應案例後，Sophos X-Ops 發現攻擊者停留時間 (即從攻擊開始到被偵測到的時間) 的中位數有所變化。對所有攻擊而言，時間從 10 天縮短至 8 天，勒索軟體攻擊則是縮短至 5 天。在 2022 年，攻擊者停留時間的中位數從 15 天減少至 10 天。

此外，Sophos X-Ops 發現攻擊者平均只需不到一天的時間 (大約 16 小時) 就能夠進入 Active Directory (AD)，而 AD 是企業最關鍵的資產之一。AD 通常負責在組織內管理身分和資源存取，這意味著攻擊者可以利用 AD 輕鬆提升他們在系統上的權限，僅需登入即可進行各種惡意活動。

Sophos表示，從攻擊的角度來看，攻擊組織的AD是有道理的。AD 通常是網路中最強大和權限最高的系統，可存取多種系統、應用程式、資源和資料，而它們正是攻擊者的目標。只要攻擊者控制了 AD，就能夠控制整個組織。 很多情況下，只要 AD 被攻陷，安全團隊就必須從零開始。

勒索軟體攻擊的停留時間縮短

在分析的事件回應案例中，勒索軟體攻擊是最常見的攻擊類型，佔所有案例的 69%，而這些攻擊的中位停留時間僅有 5 天。在 81% 的勒索軟體攻擊中，最後的裝載都是非上班時間發動的。根據Sophos報告，將近一半 (43%) 的勒索軟體攻擊是在週五或週六被偵測到的。

Sophos認為，隨著XDR (擴展式偵測和回應) 和 MDR (託管式偵測和回應)逐漸普及，攻擊偵測可以更快。對攻擊者來說意味著可以操作的空窗期更短。經驗豐富且資源充足的勒索軟體集團成員不斷精進他們的策略。

Sophos提醒即使擁有全世界的工具，如果警覺性不夠，也無法獲得保護。適當的工具和持續主動的監控，才能確保可以領先犯罪分子一步。