Mandiant M-Trends 2024報告提供來自前線網絡攻擊調查綜合的觀點

現已成為Google Cloud一份子的Mandiant，今天公布了其M-Trends 2024報告的調查結果。推出十五年以來，這份年度報告根據Mandiant在2023年進行的前線網絡攻擊調查及建議方案，提供及時的專業見解。最新報告揭示全球企業於防禦能力方面取得明顯的進步，比過去幾年能更快地識別影響企業的惡意活動。這份報告亦分析了主要的網絡攻擊者和活動，就不同地區提供詳細的威脅活動分析。

Google Cloud Mandiant Consulting 副總裁Jurgen Kutscher指出：「攻擊者經常調整策略、技術和程序以達到他們的目標，這對於防禦者而言具有一定的挑戰性。儘管如此，我們的前線調查人員發現企業在2023年於保護系統和偵測威脅方面表現有所進步。」

他更指：「企業應感到自豪，但仍需保持警覺。M-Trends 2024報告其中一個關鍵主題是攻擊者正採取措施以逃避偵測和在系統上停留更長的時間，其中一種方式便是利用零日漏洞。這進一步顯示採取一個有效的威脅偵測的重要性，以及需要在發生攻擊後進行全面調查和修復。」

全球網絡攻擊停留時間中位數下降至有記錄以來的新低

即使使用零日漏洞的情況有所增加，M-Trends 2024報告揭示全球網絡安全勢態有顯著的改善。全球網絡攻擊停留時間中位數（攻擊者在目標環境內未被偵測到的時間）達到十多年以來的新低。在2023年，企業在中位數10天內偵測到攻擊入侵，相比起2022年的16天，錄得明顯跌幅。相比2022年 (18%)，2023年 (23%)勒索軟件事件的比例較高，以使停留時間縮短。Mandiant還觀察到2023年的內部威脅偵測提升至 (46%)，相較於2022年的37%。這兩個趨勢（停留時間縮短和內部偵測事件上升）顯示全球企業機構已提升偵測能力。

不同地區的停留時間

更多的研究顯示停留時間中位數於不同地區有所不同。位於日本及亞太地區（JAPAC）的企業錄得最明顯的下降，停留時間中位數從2022年的33天下降至9天。這個轉變可能是由於該地區事件中使用的勒索軟件活動迅速，在2023年，有關勒索軟件的入侵事件是最主要的調查類型，超越任何其他地區。相反，位於歐洲、中東和非洲地區 (EMEA) 的停留時間有輕微上升，從20天增加至22天。這微小的變化可能是由於2022年Mandiant於烏克蘭進行大量工作後，地區數據正常化所得出的結果。

垂直行業成為目標

M-Trends 2024報告顯示網絡攻擊者有尋找行業目標的主要趨勢。在2023年，Mandiant最常在金融服務行業(17%)處理網絡攻擊者的入侵，其次是商業和專業服務業(13%)、高科技業(12%)、零售和酒店業(9%)，以及醫療保健業(8%)。

這些被視為首要攻擊目標的行業的共通點是擁有大量敏感資料，包括專有的商業數據、個人身份資料、受保護的健康資料和財務記錄。對竊取這類敏感數據的攻擊者而言，這些行業成為別具吸引力的目標。

其他報告摘要：

• 更關注偵測逃避：為了盡可能維持網絡的持久性，攻擊者更頻繁地針對邊緣設備，利用「離地攻擊」技術和零日漏洞進行攻擊。
• 零日漏洞增加：零日漏洞不再局限於少數特定的攻擊者。隨著勒索軟件和數據勒索群不斷利用、持續的國家支持漏洞，以及商用漏洞工具包的興起等因素，零日漏洞可用性的上升趨勢預計將會持續。有關攻擊者利用零日漏洞的更多資訊，可瀏覽Mandiant與Google Threat Analysis Group小組首份相關該主題的共同報告。
• 雲端目標與應用一致：隨著雲端應用普及化，攻擊者視雲平台為主要攻擊目標，包括混合雲及在地配置。我們建議企業實施更嚴格的控制，只允許獲得授權的使用者存取雲端資源。
• 運用大型語言模型（Large Language Models，LLMs）和人工智能（AI）的可能性：像其他網絡安全專員一樣，提供評估企業漏洞偵測和回應主動攻擊者事件的Mandiant Red Team，可在訓練中透過LLMs和AI使用案例，為模型訓練生成數據，同時讓AI開發人員找到保護訓練模型的訪問權限方法。這種協同合作可以顯著提升Mandiant Red Team的效率，以及幫助企業對抗網絡威脅。
• 繞過MFA的策略不斷演變：隨著多重身份驗證（Multi-Factor Authentication，MFA）成為常規程序，攻擊者正在研發繞過這些保護的方法。一個令人擔心的趨勢是透過網絡代理和中間人攻擊（Adversary-in-The-Middle，AiTM）釣魚網頁的崛起，有效地繞過MFA，以竊取登入保安編碼。

Google Cloud Security港澳區總經理徐伊芬表示:「在當今快速變化的威脅情況，企業需保持穩健的安全態勢，香港企業必須採取積極主動的方法。 這需要積極監控攻擊面、識別未知資產和漏洞。 同時，威脅情報在主動網絡安全策略中也發揮著至關重要的作用。透過威脅情報，企業可以收集有關新興網絡威脅、攻擊技術和惡意攻擊者的最新資訊。這些情報可以幫助機構及時了解網絡犯罪分子使用的最新趨勢和策略，使機構能夠更有效地做好準備和減低潛在風險。」

M-Treads 2024報告調查方法

M-Trends 2024報告的是基於 Mandiant 對 2023年 1 月 1 日至 2023年 12 月 31 日期間進行的針對性攻擊活動的調查。收集的訊息已被清理以保護目標的身份及其數據。