歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
Sophos: 82% 的攻擊中駭客停用或清除了日誌,導致缺乏遙測數據
2023 / 11 / 16
編輯部
Sophos發佈了《2023 年給安全從業人士的主動攻擊者報告》,該研究發現在近 42% 的攻擊案例中缺乏遙測日誌數據。在這些案例中的 82%,駭客停用或刪除了遙測數據以隱藏其蹤跡。該報告涵蓋了 Sophos 從 2022 年 1 月分析到 2023 年上半年的事件回應 (IR) 案例。
缺乏遙測數據會影響迫切需要的組織網路和系統可見性,尤其是攻擊者停留時間 (從初始進入到被偵測到的時間) 繼續下降,縮短了防守方有效回應事件的時間。
Sophos表示,
在回應主動威脅時,時間非常重要;從發現初始進入事件到全面緩解威脅之間時間應該盡可能縮短。
攻擊者在攻擊鏈中越深入,事件響應人員的困難度就越大。缺少遙測數據只會增加組織負擔不起的補救時間。
在報告中,Sophos 將停留時間為 5 天或更短的勒索軟體攻擊歸類為「快速攻擊」,佔研究案例的 38%。停留時間超過 5 天的勒索軟體攻擊則被歸於「慢速攻擊」,佔研究案例的 62%。
仔細檢視這些「快速」和「慢速」的勒索軟體攻擊時,攻擊者使用的工具、技術和就地取材二進位檔 (LOLBins) 並沒有太大的變化,這表明雖然停留時間縮短,防守方無需重新制定新的防禦策略。然而,防守方需要意識到,快速攻擊和遙測數據缺乏可能妨礙快速反應,使得破壞增加。
Sophos表示,駭客只有在必要時才會創新,而且僅會做到足以達到他們目標的程度。
攻擊者不會改變有效的方法,即使他們在從進入到被偵測到的時間越來越快。對組織來說,這是一個好消息,因為即使攻擊者加快時間表,他們亦無需徹底改變防禦策略。
適用於快速攻擊的偵測同樣適用於所有攻擊,無論速度快慢。而這包括完整的遙測、全面的保護和無所不在的監控。關鍵是在可能的情況下增加阻力——如果讓攻擊者的工作變得更難,那麼你就可以爭取回應的寶貴時間,拉長攻擊的每個階段。
Sophos舉例在 Cuba 勒索軟體的兩起事件中見到了這種情況。A公司已經部署 MDR 持續監控,因此能夠在數小時內發現惡意活動,阻擋攻擊並防止任何資料被竊。而B 公司 沒有這種防禦;他們直到初始入侵後幾週才發現攻擊,而此時 Cuba 已外洩了 75GB 的敏感資料。
《Sophos 給安全從業人士的主動攻擊者報告》是根據從 2022 年 1 月 1 日到 2023 年 6 月 30 日的 232 個 Sophos 回應 (IR) 案例,涵蓋 25 個不同行業。被攻擊的組織分佈在六大洲的 34 個不同國家。其中 83% 的案例來自擁有不到 1,000 名員工的組織。
勒索攻擊
身分驗證
遙測日誌數據
最新活動
2024.11.07
2024上市櫃高科技製造業資安論壇
2024.11.08
資安人講堂: 2025必須關注的資安10大趨勢
2024.11.22
2024台灣資安通報應變年會
2024.11.13
漢昕科技 X 線上資安黑白講【駭客迷宮:完美堵住駭客從端點到伺服器的每條縫】
2024.11.14
.NET/Java 安全程式開發達人集訓班
看更多活動
大家都在看
思科緊急修補遭駭客積極利用的 ASA 與 FTD 軟體漏洞
Apple 推出私有雲計算虛擬機,邀請研究人員尋找漏洞
2025年SaaS安全風險報告:90% SaaS 應用程式及AI工具仍未受到管理
2024數位經濟資安趨勢論壇:打造零售、物流、旅遊業資安防護網
思科預測「人工智慧」將成為營收主要來源!基礎建設、網路安全和客戶體驗為關鍵驅動力
資安人科技網
文章推薦
QNAP 修補兩個零日漏洞,用戶應盡速更新
「午夜暴雪」發動大規模網攻,微軟:受害者遍及全球
2024數位經濟資安趨勢論壇:打造零售、物流、旅遊業資安防護網