Mandiant 發布了第 16 年度 M-Trends 報告,提供來自第一線資安事件應變的關鍵洞察,這份報告顯示目前網路威脅格局中的重大轉變,反映出攻擊者戰術的顯著演變。
該報告基於超過 450,000 小時的 Mandiant 諮詢調查,深入分析了 2024 年 1 月 1 日至 2024 年 12 月 31 日期間的目標性攻擊活動。
五大關鍵變化:資安威脅格局重塑
- 憑證竊取超越釣魚攻擊
2024 年最顯著的轉變之一是被竊取的憑證(16%)首次超過了電子郵件釣魚攻擊(14%),成為僅次於漏洞利用(33%)的第二大初始感染途徑。漏洞利用仍然是最常見的初始感染途徑,佔調查案例的 33%。威脅行為者透過地下論壇購買憑證、挖掘大規模數據洩露,以及部署資訊竊取惡意軟體,積極獲取使用者登入資訊。
- 全球停留時間首次反彈
自 2010 年首次發布趨勢報告以來,全球中位數停留時間首次出現增長,從 2023 年的 10 天上升至 11 天。這一數據依通知來源而顯著不同:外部實體通知為 26 天,攻擊者通知(通常是勒索軟體案例)為 5 天,內部發現為 10 天。
- 邊緣安全設備成為主要攻擊目標
2024 年最常被利用的漏洞主要針對網路邊緣的安全設備,包括 Palo Alto Networks PAN-OS、Ivanti Connect Secure VPN 和 FortiClient Endpoint Management Server。這些漏洞中有三個是作為零日漏洞被首次利用的,顯示攻擊者戰術的轉變。
• CVE-2024-3400: Palo Alto Networks PAN-OS GlobalProtect
• CVE-2023-46805 和 CVE-2024-21887: Ivanti Connect Secure VPN
• CVE-2023-48788: FortiClient Endpoint Management Server
- 北韓 IT 工作者作為內部威脅崛起
內部威脅通常在 Mandiant 的調查中佔比很小,但 2024 年北韓 IT 工作者使用虛假身份求職的情況導致內部威脅佔到了 5% 的初始感染途徑。Mandiant 主要將這類活動追蹤為 UNC5267。
- Web 入侵比例大幅提升
通過 Web 入侵的比例從 2023 年的 5% 上升到 2024 年的 9%,這包括惡意廣告、搜索引擎優化(SEO)中毒和受損網站等多種途徑。專家建議組織應採取多層防禦方法,包括端點腳本封鎖和惡意重定向內容過濾。
攻擊複雜度提升,中國相關駭客組織技術優化
根據 Mandiant 的調查,中國相關的威脅組織展現出特別高的攻擊技術複雜度,包括
建立客製化惡意軟體生態系統、識別並利用安全設備中的零日漏洞、利用類似殭屍網路的代理網路、針對缺乏端點偵測與回應的邊緣設備,以及在惡意軟體中使用客製化混淆器。
Mandiant 副總裁 Jurgen Kutscher 表示:「威脅行為者通過提高攻擊的複雜性,不斷適應網絡防禦架構的演變。這種趨勢在我們的許多調查中都很明顯,特別是在應對中國關聯駭客組織時。」
產業分布與新興威脅趨勢
金融業繼續成為最常被攻擊的產業,佔調查案例的 17.4%,其次是商業和專業服務業(11.1%)與高科技(10.6%)。勒索軟體相關攻擊佔所有事件的五分之一(21%),其中暴力破解攻擊(26%)是最常見的初始感染途徑,其次是被竊取的憑證和漏洞利用(各佔 21%)。
在亞太地區(JAPAC),漏洞利用則是壓倒性的主要入侵途徑(64%),且該地區的中位數停留時間僅為 6 天,遠低於全球平均的 11 天。
此外,報告還揭示了其他新興威脅,包括伊朗關聯威脅行為者針對以色列對象加強網路行動、攻擊者針對雲端集中式授權存儲,如單一登入入口網站等攻擊手段增加,以及針對 Web3 技術,如加密貨幣和區塊鏈的攻擊活動增多,這些攻擊主要用於盜竊、洗錢和資助非法活動。
安全建議
基於這些發現,Mandiant 建議組織:
- 實施強調良好基礎的分層安全方法,如漏洞管理、最小權限和系統強化
- 在所有用戶帳戶(特別是特權帳戶)上強制執行符合 FIDO2 的多因素認證
- 投資於進階偵測技術並制定健全的事件回應計劃
- 改善日誌記錄和監控實踐,以識別可疑活動並減少停留時間
- 考慮進行威脅狩獵演練,主動搜索入侵指標
- 為雲端遷移和部署實施強大的安全控制
- 定期評估和稽核雲環境中的漏洞和錯誤配置