2022年8月4日，北京——全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè)Palo Alto Networks（納斯達(dá)克代碼：PANW）（派拓網(wǎng)絡(luò)）最近發(fā)布《2022年Unit 42事件響應(yīng)報告》。報告指出，投機的網(wǎng)絡(luò)攻擊者大量利用軟件漏洞和弱點實施攻擊。報告基于Palo Alto Networks（派拓網(wǎng)絡(luò)）豐富的事件響應(yīng)（IR）經(jīng)驗，為企業(yè)提供了許多專業(yè)見解，并通過600多個Unit 42事件響應(yīng)案例，幫助企業(yè)CISO和安全團隊了解他們所面臨的主要威脅，以及如何決定優(yōu)先事項。

從行業(yè)角度來看，金融和房地產(chǎn)的贖金金額位于第一梯隊，平均分別被勒索近800萬美元和520萬美元。總體而言，勒索軟件和商業(yè)電子郵件泄露（BEC）是事件響應(yīng)團隊在過去12個月中做出響應(yīng)的首要事件類型，約占事件響應(yīng)案例的70%。

Palo Alto Networks（派拓網(wǎng)絡(luò)）高級副總裁兼Unit 42負(fù)責(zé)人Wendi Whitmore表示：“低成本和高回報使得網(wǎng)絡(luò)犯罪的入行門檻較低。不熟練的新手攻擊者往往使用黑客即服務(wù)等工具，這些工具在暗網(wǎng)上可以輕易獲取且日漸流行。而勒索軟件攻擊者在與網(wǎng)絡(luò)犯罪分子和受害企業(yè)接觸的過程中，也通過客戶服務(wù)和滿意度調(diào)查使自身行為變得越來越有序。 

報告還對網(wǎng)絡(luò)安全的一些主要趨勢做出了詳細(xì)闡述。

勒索軟件日益猖獗，贖金金額持續(xù)走高

據(jù)統(tǒng)計，平均每四個小時泄密網(wǎng)站上就會出現(xiàn)一個新的勒索軟件受害者。因此，識別勒索軟件攻擊對企業(yè)至關(guān)重要。通常情況下，勒索軟件攻擊者只有在文件加密后才會被發(fā)現(xiàn)，并且受害企業(yè)會收到勒索信。Unit 42發(fā)現(xiàn)，勒索軟件攻擊的中位停留時間（即攻擊者被檢測到之前在目標(biāo)環(huán)境中花費的時間）為 28 天。贖金高達(dá)3,000萬美元，實際支付800 萬美元，與《2022年Unit 42勒索軟件報告》的結(jié)果相比正穩(wěn)步增長。而且越來越多的攻擊者開始使用雙重勒索，如果不支付贖金就會公開企業(yè)敏感信息。

兼顧隱蔽性和性價比，BEC攻擊獲青睞

為了實施商業(yè)電子郵件泄露（BEC）通信欺詐，犯罪分子使用了多種技術(shù)。他們憑借網(wǎng)絡(luò)釣魚等社交工程的隱蔽性且性價比高的方式來輕易獲得訪問權(quán)限。很多情況下，犯罪分子做的只是欺騙目標(biāo)交出憑據(jù)。獲得訪問權(quán)限后，商業(yè)電子郵件泄露攻擊的中位停留時間為38天，平均被盜金額為28.6萬美元。

金融、專業(yè)和法律服務(wù)等行業(yè)成為攻擊主要目標(biāo)

當(dāng)涉及目標(biāo)行業(yè)時，攻擊者會追逐利益；但他們經(jīng)常投機取巧——通過掃描網(wǎng)絡(luò)尋找可以利用已知漏洞的系統(tǒng)。Unit 42發(fā)現(xiàn)，事件響應(yīng)案例中受影響最大的行業(yè)包括金融、專業(yè)和法律服務(wù)、制造、醫(yī)療保健、高科技以及批發(fā)和零售。這些行業(yè)內(nèi)的企業(yè)往往會存儲、傳輸和處理大量攻擊者可以從中獲利的敏感信息。

報告還針對事件響應(yīng)案例中的不同方面做了具體統(tǒng)計。

●     攻擊者利用最多的三個初始訪問媒介是網(wǎng)絡(luò)釣魚、利用已知軟件漏洞和主要針對遠(yuǎn)程桌面協(xié)議（RDP）的暴力憑據(jù)攻擊。這三者相加構(gòu)成了77%的可疑入侵根源。

●     ProxyShell占全部被用于初始訪問的漏洞的一半以上（55%），其次是Log4J（14%）、SonicWall（7%）、ProxyLogon（5%）和Zoho ManageEngine ADSelfService Plus（4%）。

●     在一半事件響應(yīng)（IR）案例中，企業(yè)在面向互聯(lián)網(wǎng)的關(guān)鍵系統(tǒng)上缺乏多因素身份驗證，例如：企業(yè)網(wǎng)絡(luò)郵件、虛擬專用網(wǎng)絡(luò)（VPN）和其他遠(yuǎn)程訪問解決方案。

●     在13%的案例中，企業(yè)沒有針對暴力憑據(jù)攻擊采取措施鎖定帳戶。

●     在28%的案例中，不合格的補丁管理程序?qū)е鹿粽哂袡C可乘。

●     在44%的案例中，企業(yè)沒有端點檢測和響應(yīng)（EDR）或擴展檢測和響應(yīng)（XDR）安全解決方案，或是沒有完全部署在最初受影響的系統(tǒng)上以檢測和對惡意攻擊做出響應(yīng)。

●     75%的內(nèi)部威脅案例涉及企業(yè)前雇員。

Unit 42事件響應(yīng)服務(wù)24/7守護企業(yè)網(wǎng)絡(luò)安全

Palo Alto Networks（派拓網(wǎng)絡(luò)）Unit 42擁有一支經(jīng)驗豐富的安全顧問團隊，背景跨越公共和私營部門，曾處理過歷史上最大規(guī)模的網(wǎng)絡(luò)攻擊。他們可以化解復(fù)雜的網(wǎng)絡(luò)風(fēng)險并應(yīng)對高級威脅，包括國家級別的攻擊、高級持續(xù)性威脅或APT，以及復(fù)雜的勒索軟件調(diào)查。他們采用的方法和工具是從成千上萬起調(diào)查事件的實際經(jīng)驗中研發(fā)而來，經(jīng)過大量驗證和檢驗。Unit 42事件響應(yīng)專家為客戶提供24/7全天候服務(wù)，幫助客戶了解攻擊性質(zhì)，快速采取遏制和補救措施，消除攻擊威脅。