2023年中期主动攻击者报告

我们发布了面向科技领导者的2023年中期主动攻击者报告，分析了Sophos事件响应团队在2023年上半年收集到的数据。这是今年第二份主动攻击者报告。

先前发布的专注于商业领袖。在信息安全的背景下，商业领袖负责制定战略和监督组织的财务状况。对于网络安全问题，商业领袖需要对当前威胁及其对组织的风险保持广泛的了解。他们必须理解降低这些风险的措施，尽管不必掌握所有细节。凭借这些知识，他们可以设定合适的优先事项和预算。反过来，他们希望拥有可靠的指标来帮助他们评估部门在他们提出的战略中的表现。

科技领导者——此报告的目标受众——负责实际执行战略。他们部署必要的资源，无论是资金还是人力，以最有效地实现战略设定的目标。这些领导者必须小心平衡制定受托政策的利益相关者与进行威胁猎捕的实际操作人员（下一份主动攻击者报告将讨论这一群体）之间的优先级。说到底，他们是企业信息安全的粘合剂。

这份中期报告旨在帮助领导者更好地决策，合理分配资源，以最大程度满足公司战略并更好地保护组织。接下来是一些我们认为与此过程相关的关键发现，展示了通过明智的行动可以产生最大影响的“瓶颈”。该报告还概述了在面向目标的攻击者眼中，他们将目标视为日程安排的问题、需要解决的一系列难题，以及旨在产生特定利润结果的一系列不同操作。

报告展示了X-
Ops事件响应（IR）团队在处理全球安全危机时所了解到的当前攻击者的现状。这份报告的数据基于从2023年上半年选择的80个案例。我们还将把这一数据集与早期主动攻击者数据进行比较，以观察事态如何变化。报告末尾提供了此分析所代表的各个人口统计的更详细信息。

关键要点

• 被盗凭据持续带来问题
• MFA是成熟而理智的朋友
• Dwell时间正在迅速下降
• 犯罪分子不会休假；你也无法休假
• Active Directory服务器：攻击者的终极工具
• RDP：高风险的时刻
• 缺失的遥测数据让事情变得更加困难

*当然，个别犯罪分子会以休息和恢复，但不是所有的犯罪分子都会同时休假。我们当然不建议防御者永远不要休息，这样只会招致灾难。相反，你的组织需要具备24/7/365的检测和响应能力。有关支持这一主张的数据，请继续阅读。

数据来源

之前的报告专注于对年度事件响应数据的回顾性分析。为了更好地洞察当前攻击者的行为，我们决定将本报告集中于2023年上半年的数据，并在相关的情况下与早期数据进行比较。这使得我们能够为读者提供最新的数据和见解，同时助于我们识别之前报告的数据演变。附录A提供了本报告选定案件的详细信息。

在适当情况下，我们为每种讨论的技术包含MITRE ATT&CK分类。我们在报告末尾的附录中扩展了所有ATT&CK参考，并附上每种技术的潜在减轻措施说明。

发现

凭据：结果显著，差异明显，且具有影响力的威胁潜力

事件响应调查的一个方面是找出攻击是如何开始的。在分类数据时，我们不仅标记初始的访问方法（即攻击者是如何进入网络的），还尝试将其成功归因于某一根本原因（即为何成功）。

在此报告期内，外部远程服务（）在初始访问技术中排名第一，紧随其后的是利用公共面向应用程序（