2018年全球威脅報告：日均千億次攻擊，平均「突破時間」2小時

E安全3月2日訊 違規行為實際並非一蹴而就，安全廠商 CrowdStrike 公司研究確定，平均網路突破時間不足2小時。

突破時間：

指入侵者脫離其已經入侵的初始系統，並橫向移動至網路內其它設備處所需要的時間。

網路安全廠商 CrowdStrike 公司於2018年2月26日發布了其2018年全球威脅報告，其中囊括提取自該公司全球分散式網路所處理的、日均高達約1000億次事件。

這份長達74頁的報告包含諸多亮點，其中最重要的一項在於 CrowdStrike 公司所提到的平均突破時間，這將成為幫助各類組織機構緩解風險的一項關鍵性指標。根據事件觀察，2018年 CrowdStrike 全球威脅報告確定2017年年內平均「突破時間」為1小時58分。

報告主要發現

2017年，在所有觀察到攻擊活動中，39%的惡意活動採用傳統反病毒方案無法檢測到的無惡意軟體入侵手段，此類無惡意軟體攻擊活動主要指向製造業、專業服務以及製藥行業。

先進戰略的傳播已經模糊了國家戰爭與貿易對抗之間的界限，這使得威脅局面超出了傳統安全措施的防禦範疇。數據勒索與武器化已經在網路犯罪分子當中佔據主流，且嚴重影響到政府以及醫療衛生等重要行業部門。與民族國家相關的攻擊與針對性勒索軟體正在快速崛起，甚至被用於地緣政治乃至軍國主義等目的。供應鏈違規以及加密欺詐與挖掘為國家資助黑客及電子犯罪參與者提供了新的攻擊載體。

CrowdStrike 公司首席技術官兼聯合創始人迪米特里·阿爾帕羅維奇表示，攻擊者從所能入侵的初始計算機處脫離所需要的近兩個小時。在典型攻擊場景下，無論攻擊向量具體體現為釣魚活動抑或是基於 Web 的安全漏洞，最初受害者在大多數情況下並非攻擊者所指向的最終目標。攻擊者通常希望進一步深入網路內部以尋找最具價值的數據。安全保護人員可能藉助這段時間來遏制實際安全事件的發生。違規行為往往不是一蹴而就的。

在近兩小時的「突破時間」內，阿爾帕羅維奇表示人類攻擊者會對目標系統進行偵察，從而確定下一步應入侵哪裡以及如何提升自身許可權。儘管搶在攻擊者登陸初始感染點的作法十分重要，但在網路邊界處抵禦入侵活動同樣非常重要，如果企業未能盡量預防並攔截各類惡意軟體與攻擊活動，那麼安全團隊將沒有時間正確追蹤並分析更為複雜的威脅因素。

2017年網路攻擊活動中最為顯著的一種，在於通過複雜的供應鏈實施攻擊。2018年9月即出現過一例此類攻擊，當時CClenaer工具遭遇黑客入侵，並導致數百萬用戶在下載或更新該軟體時因此感染後門惡意軟體。當前，合法的應用程序正被惡意人士所利用。

企業需要關注哪些重點

阿爾帕羅維奇表示，檢測時間、調查時間與補救時間這三項關鍵性指標可用於盡可能降低安全風險。

檢測時間：是指企業檢測到初始威脅所需要的時間。最出色的企業應該能夠在一分鐘之內利用自動化技術檢測到威脅活動。

調查時間：則應持續得到追蹤，旨在確定檢測時間的具體長度。調查工作可能涉及企業內產員工，具體周期大約為10分鐘。

阿爾帕羅維奇認為，對於最出色的企業來說，補救時間的標準應為1個小時。在此期間，企業需要清理攻擊者所執行的任何操作，並將其從內部網路當中清除。

如果企業能夠滿足以上速度要求，則可有效控制安全事件並防止違規問題的發生。

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com/news/1476757056.shtml

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！