攻击者在目标网络里待的时间越来越短,企业想早点发现它们其实也变得容易多了。曼迪安特最近搞了个调研,说这四年里潜伏时间一直在往下掉:2020年大概要待24天,2021年就缩短到21天。去年勒索软件被抓到的时间平均也就5天以内,比其他软件快了不少。潜伏时间变短了,不一定是攻击者没干好事,反而是因为大家的检测速度变快了。大家跟第三方公司合作,还有跟政府分享情报、用云端的威胁情报系统,这些一起织了一张“快速发现网”。 检测速度快了到底是好事还是坏事?勒索软件给我们提了个醒,五天内把它揪出来不一定就能把数据解密。高级总监Steven Stone觉得,快速检测可能只是个开头戏,一旦到了勒索步骤,数据早就被加密了,这时候企业反而失去了最佳的恢复机会。看看过去十年的数据,从发现恶意代码到开始行动,时间从418天猛降到了21天,减少了快95%。亚洲和欧洲在这方面进步挺大,北美倒是没怎么变。 说到工具,Cobalt Strike和Beacon后门是今年的主角,占了所有恶意软件种类的28%。像Sunburst、Metasploit、SystemBC这些以前常用的工具现在都不太用了。漏洞利用加上供应链攻击现在已经占了感染路径的一大半(54%),比2020年的30%多了不少。服务交付执行副总裁Jurgen Kutscher提醒大家说:“战术总是在变,企业得随时更新知识储备,不然老漏洞就会变成新大门。” 混合活动目录(AD)现在变成了大家攻击的新目标。因为本地AD和Azure AD同步的时候如果出了错,攻击者就能跑到云资源上去了。全球红队总经理Evan Pena强调说:“正确设置混合AD并不难,关键是得把这些步骤做出来。” 防御的清单也出来了:修修权限配置、用白名单阻止宏脚本、建立异常行为的基线用AI报警、练练“断开—评估—恢复”的流程。只要提前把防线布好,不管潜伏时间多短都没用了。把检测速度从小时级推到分钟级,大家就能守得更牢了。