根据Mandiant进行的关于事件响应 (IR) 调查的新报告，攻击者在受害者网络上隐藏的时间连续第四年减少，从2020年的24天下降到2021年的21天。

Mandiant在其IR案例中发现，企业调整了自己的安全检测能力，以便快速发现最危险的攻击，勒索软件平均在5天内被检测到;非勒索软件攻击在2021年保持活跃的时间为36天，低于2020年的45天。

总的来说，越来越多的公司正在与第三方网络安全公司合作，政府机构和安全公司经常将攻击通知受害者，从而加快恶意软件的检测速度。

攻防对抗主管Stone表示，最初的威胁向量归结于攻击者的选择和不同漏洞的可用性。总的来说，可以看到一些攻击群体同时使用不同的方法，可能表现出对每个目标努力的偏好。

根据Mandiant M-Trends 2022报告，在过去10年里，各公司显著提高了检测时间，将检测攻击者的时间减少了近20倍，从2011年的418天减少到2021年的21天。

Source: Mandiant

公司检测能力的提高因地区而异，亚太地区公司的“dwell time”从2020年的76天大幅下降至2021年的21天。欧洲公司也出现显着下降，从2020年的66天下降到48天，而北美公司的检测没有变化，保持在17天的水平。

攻击者喜欢Cobalt Strike

最受欢迎的攻击工具仍然是Beacon后门，占所有已识别恶意软件家族的28%。Beacon是Cobalt Strike渗透测试工具的一个组件，该工具也很受恶意攻击者的欢迎。其他攻击工具的频率迅速下降，包括 .NET环境的Sunburst后门、Metasploit渗透测试平台和代理工具包SystemBC。

根据 Mandiant 的数据，漏洞利用和供应链攻击增加。总体而言，两种初始攻击方法：利用漏洞和通过供应链进行攻击占2021年所有具有确定初始感染媒介的攻击的54%，而2020 年这一比例不到30%。这也强调，企业应该随时根据攻击者的技术和变化调整企业安全策略。

“鉴于利用漏洞作为初始攻击媒介的使用持续增加，组织需要继续专注于执行安全基础——例如资产、风险和补丁管理，”“建立弹性的关键在于做好准备。制定稳健的准备计划以及有据可查且经过安全测试的恢复流程可以帮助组织成功应对攻击并迅速恢复正常的业务运营。”

瞄准Active Directory

另一个趋势中，攻击者越来越多地瞄准混合 Active Directory (AD) 安装，因为混合身份模型中的错误配置，其中凭据和密钥在本地AD服务和云中的Azure Active Directory之间同步——导致妥协，Mandiant 在报告中说。

公司应该将混合Active Directory服务器视为最敏感的资产级别，即0级，并且只允许来自分段网络的特权工作站的访问。Mandiant公司全球红队董事总经理Evan Pena说，除了监控之外，这些措施应该会使利用变得更加困难。

随着企业使用混合模式将资源转移到云上，攻击者将把目标对准这些混合服务器，以实现域名和云的双重入侵。这些混合服务器通常拥有对本地服务器(如域控制器)和云资源的高级特权。

今年，企业应该通过审查和评估其活动目录实施的漏洞或错误配置来应对主要威胁，了解如何检测和防止其环境中不寻常的横向移动尝试，实现应用程序白名单和禁用宏，以显著限制初始访问攻击。同时加强漏洞治理，减少网络攻击面。

文章来源：

https://www.darkreading.com/threat-intelligence/exploits-supply-chain-compromises-comprise-over-half-of-initial-infections-leading-to-cyberattacks

[课程]FART 脱壳王！加量不加价！FART作者讲授！