Mandiant M-Trends 2023 報告 提供直接由前線收集之關鍵威脅情報

Google Cloud的 一份子Mandiant Inc.，今天公布了其M-Trends 2023 報告的調查結果。推出十四年以來，這份年度報告根據Mandiant對全球具影響力的網絡攻擊事件所作出的前線調查及補救方案，就不斷演變的威脅環境提供適時數據和專業見解。面對層出不窮的威脅，這份全新報告揭示了全球企業於進一步抵禦網絡威脅能力方面取得進展。

Google Cloud Mandiant Consulting 副總裁Jurgen Kutscher指出：「Mandiant M-Trends 2023 報告明確顯示，雖然業界於網絡保安上有所進步，但我們面對的挑戰不斷演化並日趨複雜。我們曾在 2021 年觀察到的趨勢，於2022 年仍見持續，例如越來越多新的惡意軟件家族以及不斷增加的網絡間諜活動。故此，企業必須時刻保持警覺，並運用現代網絡安全防禦措施繼續維護網絡安全。與此同時，就最新威脅的網絡韌性進行驗證，並對整體應對能力進行測試亦十分重要。」

全球網絡攻擊停留時間中位數減至僅逾兩週

根據 Mandiant M-Trends 2023 報告，全球網絡攻擊停留時間中位數（即從網絡入侵開始到被識別之間的時間）持續下降，與2021年的21天相比，2022年下降至16天。這是M-Trends報告有史以來錄得最短的全球網絡攻擊停留時間的中位數。

就威脅偵測方式作出比較時，Mandiant觀察到因過去或現存的外部實體安全措施而得到警示的企業數目整體上升。以美洲為總部的企業，55%的網絡安全事件透過外部第三方識別 (去年的數字為40%)，為美洲在過去六年取得外部識別的最高百分比。同樣地，根據2022年的調查，歐洲，中東及非洲 (EMEA)的企業，有74%的入侵透過外部第三方識別，較2021年高62%。

Mandiant專家指出，在2021年至2022年期間作出的全球調查中，勒索軟件攻擊事件的百分比有所下降。與2021年的23%相比，2022年勒索軟件攻擊事件佔調查事件的18%，是Mandiant自2020年就勒索軟件攻擊作出調查以來錄得的最低百分比。

Google Cloud Mandiant Intelligence 副總裁 Sandra Joyce 指出：「雖然沒有數據明確顯示勒索軟件攻擊輕微下降的主原，但營運環境的多種變化可能是導至數字調下的原因。這些因素包括但並不限於：政府與執法部門針對勒索軟件服務及個人的攻擊行動，使攻擊者需要重組或建立新的合作夥伴；烏克蘭紛爭使攻擊者重新調整其初期入侵行動，以及巨集指令可能自動被封鎖的網絡環境。同時，企業對勒索軟件事件的偵測、預防或恢復措施亦日益完善及有效。」

網絡間諜活動及惡意軟件家族數量全球性增加

Mandiant調查了當俄羅斯於2022年2月24日入侵烏克蘭前後所發生的網絡間諜活動及資料操作。值得留意的是，Mandiant在烏克蘭被入侵前發現了UNC2589 及APT28的間諜活動，並觀察到烏克蘭於2022年首四月所發生的網絡攻擊事件，比過去八年的總破壞力更強大。

Mandiant於2022年開始追蹤 588 個全新惡意軟件家族，揭示了攻擊者持續擴展入侵方式。在最新追蹤的惡意軟件家族中，首五位為後門程式（34%）、下載程式（14%）、植入程式（11%）、勒索軟件（7%）及啟動程式 (launchers)（5%）。多年來，這些惡意軟件進佔排行榜高位，而後門程式在新型惡意軟件家族類型中仍佔三份一。

與往年一樣，多功能後門程式 BEACON 是Mandiant 在調查中最常見的惡意軟件家族。於 2022 年，BEACON 在 Mandiant 調查的所有入侵事件中佔 15%，迄今仍是跨地區調查中最多的惡意軟件，並被各種Mandiant所追蹤的威脅組織使用，如俄羅斯和伊朗等國家支持的攻擊者、商業威脅組織以及逾700個不明組織。根據報告，BEACON的普及性，與其普遍程度、容易與惡意軟件配合和簡易使用的特質有關。

Google Cloud Mandiant Consulting 首席技術總監 Charles Carmakal 指出：「Mandiant調查了數宗全新、越趨精明及高效的入侵事件。攻擊者利用地下網絡罪案市場的數據，透過語音電話及短信進行社會詐騙工程，甚至試圖賄賂員工以獲得企業網絡訪問權。這些惡意組織對企業構成重大威脅，令即使具備强大網絡保安程式的企業亦難以抵禦。隨著企業持續建立他們的保安團隊、基礎設施和防禦能力，防範並抵禦這些威脅攻擊已成爲企業設計營運策略的一部分。」

可採取行動的情報

M-Trends 的目標是讓網絡安全專業人員深入了解直接從前線得悉的最新入侵活動，並附以可實際行動的情報，以確保企業在不斷演變的威脅環境中得以安心。為實現這項目標，Mandiant 針對最活躍的威脅攻擊者及其不斷擴展的入侵策略、技術和程序 (TTP)提供見解。

爲加強支援，Mandiant額外將150種技術整合至最新的MITRE ATT&CK®框架，當中包括合共超過2,300項的Mandiant技術及跟進調查結果。企業應根據入侵事件所涉及的攻擊方式來優先選擇相關保安措施。

其他M-Trends 2023 報告的摘要：

● 入侵方式：網絡漏洞連續第三年以32%成為攻擊者最常使用的入侵方式。雖然較2021年的37%低，網絡漏洞仍然是攻擊者最主要的入侵方式。與2021年的12%相比，佔22%的網絡釣魚 (Phishing) 亦再次成爲第二常見的入侵方式。

受影響行業：與2021年的9%相較，與政府有關的機構佔調查事件的25%，反映了Mandiant就針對烏克蘭作出的網絡攻擊活動事件所作出的支援。2022年首四個最常被攻擊者入侵的行業與2021年的結果一致，分別為商業及專業服務、金融業、科技，以及醫療保健行業。這些行業皆輕易成爲懷有經濟及間諜行動動機的攻擊者的目標。

身份盜竊：Mandiant調查發現，2022年身份信息盜竊及買賣事件比往年有所增加。調查經常發現，重複使用密碼或在公司裝置上使用個人賬戶，是導致大部分身份資料於企業外部環境被盜取並藉此入侵企業的原因。

數據竊取：Mandiant專家指出2022年發生的入侵事件中，40%以數據盜竊為優先。與往年相比，Mandiant防禦者觀察到威脅攻擊者在2022年更頻繁地試圖竊取或進行數據盜竊活動。

北韓使用加密貨幣：除了一貫的情報收集任務和網絡攻擊外，朝鮮企業在2022年對盜用加密貨幣產生更大的興趣。這類營運利潤豐厚，并可能會在2023年期間持續增加。有關北韓威脅攻擊者利用網絡犯罪支持其間諜活動的更多資訊，可瀏覽Mandiant’s APT43 report.

M-Trends 2023報告調查方法:

M-Trends 2023 報告的是基於 Mandiant 對 2022年 1 月 1 日至 2022年 12 月 31 日期間進行的 針對性攻擊活動的調查。收集的訊息已被清理以保護目標的身份及其數據。