網絡安全| 網絡攻擊停留時間下跌 勒索軟件攻擊趨勢放緩

[網絡安全]

去年，Google以54億美元現金收購Mandiant，合併成Google Cloud部門。Mandiant專長是網絡情報和IR事故響應服務，處理不少國家級攻擊研究。

每年，Mandiant推出M-Trends報告，至今已是14年。根據Mandiant對全球具影響力的網絡攻擊事件所作出的前線調查及補救方案，報告揭示全球企業於進一步抵禦網絡威脅能力方面取得進展。

全球網絡攻擊停留時間（Dwell time）中位數（即從網絡入侵開始到被識別之間的時間）持續下降，與2021年的21天相比，2022年下降至16天。這是M-Trends報告有史以來錄得最短的全球網絡攻擊停留時間的中位數。

相對而言，美國和歐洲、中東及非洲（EMEA）的網絡保安上有進步，但是亞太區卻反而倒退了。Mandiant港澳區總經理徐伊芬說，亞太區網絡攻擊停留時間中位數從2021年的21日上升至2022年的33日，內部偵察到入侵的時間平均是從22日減至19日，但入侵透過外部第三方識別的時間則從16日增至58日。

業界網絡保安上有所進步，但挑戰不斷演化並日趨複雜，越來越多新惡意軟件家族，網絡間諜活動增加。Mandiant追蹤的威脅組織有900個，其中265個是2022年才識別，4個來自中國及俄羅斯。

外部識別比例上升

從威脅偵測方式比較，從外部消息獲得入侵事故數目整體有上升趨勢。以美洲為總部企業，55%網絡安全事故都是外部第三方識別 （去年數字僅為40%），也是美洲地區過去6年由外部識別入侵的高百分比。根據2022年的調查，EMEA更有高達74%入侵事故是由外部第三方識別，較2021年高62%，美洲地區和EMEA內部偵察能力都有所提升，

以入侵方式分析，網絡漏洞連續第三年高踞32%，成為最常使用的入侵方式。雖然較2021年的37%低，網絡漏洞仍是攻擊者最主要的入侵方式，網絡釣魚 (Phishing) 佔22%，再次成爲第二種常用入侵方式。

多功能後門程式 BEACON 是Mandiant 在調查中最常見惡意軟件家族。2022 年，BEACON 在 Mandiant 調查的所有入侵事件中佔 15%，迄今仍是跨地區調查中最多的惡意軟件，被各種Mandiant所追蹤威脅組織使用；如俄羅斯和伊朗等國家支持的攻擊者、商業威脅組織以及超過700個不明組織。

根據報告，BEACON在亞太區也最普遍，入侵事件17%與BEACON有關、原因可能是易於與惡意軟件配合，加上使用簡易。亞太區另外兩種普遍使用的惡意軟件為Sodinokibi，主要攻擊Windows系統，佔8%；另外則是DragonJuice，佔去7%。

徐伊芬指，在2021年至2022年期間作出的全球調查中，勒索軟件攻擊事件的百分比有所下降。與2021年的23%相比，2022年勒索軟件攻擊事件佔調查事件的18%，是Mandiant自2020年就勒索軟件攻擊作出調查以來，錄得的最低百分比，有可能是企業對於勒索軟件早有防備，黑客更難從勒索軟件獲得收益。