2021 FIREEYE MANDIANT 服务 | 特别报告
Expanding Knowledge by Sharing Intrusion Realities
在过去的一年里,安全从业人员面临着一系列挑战,这些挑战迫使组织进入了未知领域。 随着勒索软件运营商与医院和学校一起攻击州和市政网络,全球对 COVID-19 的大流行应对措施需要在很大一部分经济体中转向远程工作。 组织必须采用新技术并在其正常增长计划之外快速扩展。 随着组织对“正常”有了新的认识,可疑的民族国家威胁行为者 UNC2452 开展了近代史上最先进的网络间谍活动之一。 许多安全团队*暂停围绕采用远程工作策略的广泛分析,转而专注于来自受信任平台的供应链攻击。
国家对 COVID 研究采取网络间谍活动,威胁团体共同努力实现其目标,利用快速采用的在家工作策略以及对全球供应链妥协的警钟——2020 年的经验将塑造安全政策多年来。 M-Trends 2021 涵盖的主题包括: : ? Mandiant 去年调查的安全事件中有 59% 最初是由组织自己检测到的,比上一年提高了 12%。 ?勒索软件已经演变成多方面的勒索,参与者不仅在受害者环境中部署勒索软件加密器,而且还采用各种其他勒索策略来强迫受害者遵守要求。 ? FIN11 是一个最近被命名为出于经济动机的威胁组织,负责广泛的网络钓鱼活动,该活动进行了多次多方面的勒索行动。 ?随着威胁行为者试图利用工作场所不断变化的趋势和全球危机,无处不在的勒索软件活动降低了中位停留时间。
? UNC2452 是一个疑似国家资助的组织,在将一个木马化 DLL 注入 SolarWinds Orion 构建过程后,开展了一场大规模的间谍活动。 Mandiant 确定了该活动并与执法机构和行业合作伙伴合作,以保护组织并应对对手。 ? Mandiant 专家观察到了 63% 的 MITRE ATT&CK 技术的使用,并且在超过 5% 的入侵中看到了超过三分之一的技术。 ?威胁参与者利用支持在家工作的基础设施,更加关注漏洞利用。 2019 年 10 月 1 日至 2020 年 9 月 30 日期间,最引人注目的趋势之一是全球停留时间中位数显着减少。在 24 天时,这是 Mandiant 第一次观察到全球停留时间中位数下降到一个月以下。虽然这种停留时间的减少可能与更好的可见性和响应相关,但勒索软件的优势也可能有助于缩短初始感染和识别之间的时间。包含了上面列出的所有观察结果、增加了 By The Numbers 中报告的新指标、引入了命名威胁组 FIN11、新案例研究和许多其他主题,M-Trends 2021 建立在我们的透明度之上,继续提供为那些负责保卫组织的人提供重要知识。本报告中的信息已经过净化,以保护受害者的身份及其数据。
M-Trends 2021 中报告的指标基于 FireEye Mandiant 对 2019 年 10 月 1 日至 2020 年 9 月 30 日期间进行的针对性攻击活动的调查。源组织的检测继续提高他们发现其环境中的危害的能力。 尽管 M-Trends 2020 注意到 2019 年的内部通知与 2018 年相比有所下降,但 Mandiant 专家观察到,2020 年组织内部检测到的大多数事件有所回归。到 2020 年,组织将内部事件检测率提高到 59%——与 2018 年相比增加了 12 个百分点 到 2019 年。这种回归到在其环境中检测到大多数入侵的组织符合过去十年观察到的内部检测增加的总体趋势。 它显示了对扩展和增强有机检测和响应能力的持续奉献。 勒索软件活动的增加也会影响这一类别。
Internal detection is when an organization independently discovers it has been compromised. External notification is when an outside entity informs an organization it has been compromised。
从报告里给的定义看!!!
内部威胁:就是对应内网威胁!!!
外部威胁:就是入口突破那些。
全局停留时间
停留时间:as the number of days
an attacker is present
in a victim environment
before they are detected.
The median represents
a value at the midpoint
of a data set sorted
by magnitude.
2020 年,全球平均停留时间首次降至 1 个月以下。 组织现在只需 24 天即可检测到事件,是 2019 年的两倍多。无论通知来源如何,检测方面的这些改进都是正确的。 内部检测到的事件的全球平均停留时间下降到仅 12 天,而外部通知来源的事件则为 73 天。==》也就是检测周期!!!
就是说,APT的攻击时间要24天才可以检测出来。
导致停留时间为 30 天或更短的事件比例增加的一个主要因素是涉及勒索软件的调查比例持续飙升,从 2019 年的 14% 上升到 2020 年的 25%。在这些勒索软件入侵中,78 与 44% 的非勒索软件入侵相比,% 的停留时间为 30 天或更短。 Mandiant 专家还观察到,只有 1% 的勒索软件入侵的停留时间为 700 天或更长,而非勒索软件入侵的这一比例为 11%。
==》非勒索软件的攻击调查时间更短!!!
行业定位
Mandiant 观察到,最具针对性的行业每年都保持一致。 2020 年最受关注的五个行业是商业和专业服务、零售和酒店、金融、医疗保健和高科技。 在过去的十年中,商业和专业服务以及金融一直位居前五名最受关注的行业。 总体而言,排名靠前的行业变化不大,而排名中的位置则有些不稳定。 Big Movers Mandiant 专家观察到,零售和酒店组织在 2020 年成为第二大目标行业,而 2019 年为第 11 位。医疗保健从 2019 年的第 8 位上升至 2020 年第三大目标行业。 另一个方向,Mandiant 专家观察到娱乐和媒体的定位有所下降,从 2019 年的最有针对性的行业下降到 2020 年的第 6 位。