FortiGuard Labs:勒索軟件偵測量下跌 針對性攻擊數目及影響增加

焦點新聞 研究報告

自動化網絡保安方案供應商Fortinet近日發布FortiGuard Labs全球威脅型態報告。在2023上半年,FortiGuard Labs發現檢測到勒索軟件的組織數量下降、進階持續威脅(APT)組織活動增幅顯著、攻擊者使用的ATT&CK技術出現轉變等。

組織之勒索軟件偵測量下跌

FortiGuard Labs首席安全策略師兼全球威脅情報副總裁Derek Manky表示:「打擊網絡犯罪需要全球之力,而這有賴公營和私營部門之間建立牢固、可信的合作關係,以及對人工智能驅動的安全服務的投資,使不勝負荷的保安團隊可從組織內即時而可行的威脅情報中得到支援。面對空前嚴重的針對性威脅,保安團隊不能坐視不管Fortinet 的FortiGuard Labs將繼續提供創新和可行的情報,如紅區(Red Zone)以及全新的漏洞利用預測評分系統(EPSS)分析,協助保安團隊積極主動地確定修復工作的優先次序,並更迅速地應對威脅。」

Fortinet香港、澳門及蒙古區域總監馮玉明表示: 「此次FortiGuard Labs全球威脅報告顯示近期的勒索軟件偵測量較以往少,但這並不表示組織能夠鬆懈,因為網絡攻擊正變得更具針對性,以獲取更高回報。在環球經濟不穩下,數碼轉型繼續是香港企業尋求增長的重要策略。因此企業必須掌握終端的安全情況,以便更具策略性地修補漏洞,避免愈趨精密的網絡威脅妨礙轉型進程。

在2023上半年,FortiGuard Labs發現檢測到勒索軟件的組織數量下降、進階持續威脅(APT)組織活動增幅顯著、攻擊者使用的ATT&CK技術出現轉變等。

隨著攻擊者手段轉趨精密,加上針對性的攻擊有所升級,組織仍然處於被動位置。2023上半年全球威脅型態報告的持續分析有助提供珍貴情報,可用作潛在威脅活動的早期預警系統,並助安全領導人員權衡各項安全策略和修補工作的優先次序。報告重點如下:

組織檢測到勒索軟體的情況正在下降:FortiGuard Labs近年來記錄到勒索軟件變種數目有顯著增長,主要因爲勒索軟件即服務(RaaS)變得普及。然而,FortiGuard Labs發現,與五年前(22%)相比,2023年上半年發現勒索軟件的組織數量有所減少(13%)。儘管總體數字有所下降,組織仍需保持警惕。這佐證了FortiGuard Labs在過去幾年中觀察到的趨勢,由於攻擊者的技術日益精密,加上追求更高的攻擊回報率(ROI),勒索軟件和其他攻擊變得越來越有針對性。研究還發現,勒索軟件的檢測量仍然飄忽,2023年上半年比2022年年底增長了13倍,但與去年同期相比總體趨勢仍然呈下降趨勢。

與所有其他CVE相比,惡意攻擊者在七天內攻擊EPSS頂級漏洞的可能性高出327倍: 自成立以來,Fortinet一直提供漏洞利用活動數據,為漏洞利用預測評分系統(EPSS)提供支持。該項目旨在利用大量數據來源來預測漏洞被廣泛利用的可能性和時間。FortiGuard Labs分析了六年來11,000多個已發布漏洞的數據,發現高 EPSS得分(前1% 嚴重性)的公共漏洞和暴露(CVE)在七天內被利用的可能性是其他漏洞的327倍。這種前所未有的分析可作為一種危險的預警,為首席信息安全官和安全團隊提供針對性攻擊的早期跡象。與早前於威脅型態報告中曾介紹的 「紅區」(Red Zone)一樣,這項情報可助安全團隊有系統地確定修復工作的優先次序,從而最大限度地降低組織的風險。

紅區繼續幫助首席信息安全官優先進行修復工作: FortiGuard Labs圍繞EPSS廣泛攻擊的分析有助進一步決定「紅區」的範圍。「紅區」能夠為受到主動攻擊的終端量化可用漏洞的比例。 2022 年下半年,「紅區 」約佔 8.9%,這意味著在16,500多個已知 CVE中,約有 1,500 個CVE正在受到攻擊。 2023 年上半年,這數字略略下降至 8.3%。 該數字在 2022 年下半年與 2023 年上半年之間的差距很小,似乎是惡意攻擊者瞄準終端漏洞的最有效時機。不過值得注意的是,被發現、存在和被利用的漏洞數量持續浮動。這些變數和組織修補程式管理策略的有效性可能會大大減低其 「紅區」的面積。與上述的EPSS分析一樣,FortiGuard Labs將繼續投資於更有效的方法,幫助組織確定處理漏洞的優先次序並更快地堵截漏洞。

針對性攻擊數目及影響持續增加

近三分之一的APT組織在2023年上半年保持活躍: FortiGuard Labs在全球威脅型態報告裏首次追蹤了趨勢背後的威脅攻擊者數量。研究顯示,在 MITRE 追蹤的138個網絡威脅組織中,有41個(30%)在 2023 年上半年非常活躍。其中,根據惡意軟件檢測結果,Turla、StrongPity、Winnti、OceanLotus 和 WildNeutron最為活躍。鑑於APT和國家級網絡組織的活動具特定目的性和相對短暫,這與網絡犯罪分子的長期和持久活動相比,與該領域相關的活動演變和數量將會是未來報告中值得期待的內容。

五年比較揭示獨有漏洞、惡意軟件變種和殭屍網絡持久性的爆炸式增長

  • 獨有漏洞不斷增加:在2023年上半年,FortiGuard Labs 檢測到超過10,000種獨有漏洞,較五年前增加 68%。數字激增反映安全團隊必須注意龐大的惡意攻擊數量,以及攻擊如何在相對短時間內變得更多和多樣化。報告還顯示,在五年內,每個組織面對的攻擊嘗試下降了75% 以上,而嚴重攻擊亦下降了 10%,顯示雖然惡意攻擊者的攻擊工具有所增長,但攻擊的針對性比五年前更高。
  • 惡意軟件家族和變種激增,分別增長 135% 和 175%:除了惡意軟件家族和變種的顯著增加外,另一個令人驚訝的發現是,於過去五年間,能夠傳播至全球至少10%組織(一個反映普及程度的重要分水嶺)的惡意軟件家族數目增多了一倍。無論是惡意軟件的數量和普及程度均有所增加,背後源於越來越多的網絡犯罪和進階持續威脅(APT)組織近年擴大行動範圍和攻擊多樣性。在上一份全球威脅型態報告,與俄烏衝突相關的惡意清除軟件之增長成為重點,這情況在2022年仍然持續,但在2023年上半年放緩。FortiGuard Labs 繼續發現由國家級攻擊者使用的惡意清除軟件,縱使網絡犯罪分子針對科技、製造、政府、電信和醫療保健等行業的組織而採用該類惡意軟件的數量亦持續增加。
  • 僵屍網絡在網絡中逗留的時間比以往長:報告發現過去五年中,活躍的僵屍網絡數量增加了27%,而感染組織的發生率亦增加了126%,唯其中一個更令人震驚的發現,是「活躍天數」急速增長。FortiGuard Labs 將活躍天數定義為僵屍網絡嘗試在傳感器上第一次攻擊和最後一次攻擊之間經過的時間。在2023年上半年,僵屍網絡在命令和控制(C2)通信停止之前的平均持續時間為83天,比五年前增加了超過1,000倍。這再一次反映縮短反應時間至關重要,因為組織允許僵屍網絡停留的時間越長,對其業務的損害和風險就越大。

打擊網絡犯罪需採取全面方法

過去十年,FortiGuard Labs對威脅情報的貢獻在全球有重大影響,幫助改善客戶、合作夥伴和政府在打擊網絡犯罪時的保護。打破區隔並提升可行威脅情報的品質助組織減低風險,同時提高網絡安全行業的整體成效。現時,網絡保護者具有工具、知識和援助來逆轉不法分子的優勢,但全行業仍需致力合作和共享情報,創建更大型的顛覆性生態圈,助業界在對抗網絡不法分子時佔據上風。

作為企業級網絡安全與網絡的創新領導者,Fortinet 協助保護全球超過 50 萬組織,其中包括國際企業、服務供應商和政府組織。值得注意的是,Fortinet 持續開發人工智能,並應用於 FortiGuard Labs 和產品組合之中,現正加快對已知及未知威脅的預防、檢測和回應。

具體來說,FortiGuard人工智能驅動的安全服務已透過網絡和雲端基礎設施,在終端和應用程式的安全控制中採用。利用人工智能引擎和雲端分析的專用偵測及回應(包括終端偵測及回應(EDR)、網絡偵測及回應(NDR)等)也可部署以作為該類安全控制的整合式擴展。Fortinet 還提供集中的回應工具,如延伸偵測及回應(XDR)、安全資訊與事件管理(SIEM)、安全性協調流程、自動化和回應(SOAR)、數碼風險保護服務(DRPS) 等,這些工具利用不同的人工智能、自動化和協調來加快修復速度,以在整個攻擊面和網絡攻擊鏈上有效地阻止網絡犯罪。

報告概覽

最新《全球威脅型態報告》發表的觀點是由FortiGuard Labs集體情報匯集而成。Fortinet以大量的傳感器收集2023上半年全球數十億宗威脅事件。MITRE ATT&CK框架把攻擊手段、技術和流程(TTP)分類, FortiGuard Labs的全球威脅型態報告以此方式,描述攻擊者如何針對漏洞、建立惡意基礎設施,以及利用目標對象。