M-TRENDS 2019 FIREEYE MANDIANT SERVICES | 特別報導 1298234298263987 4293847293847293 8472938472938472 9387429837429834 7293847293568420 3948203948029362 9387492387429387 9283473847293847 2938479129823429 8263987429384729 3847293847293847 2938472938742983 3847293847293847 2938472938742983 特別報導 | M-TRENDS 2019 2019 1298234298263987 4293847293847293 8472938472938472 9387429837429834 7293847293568420 3948203948029362 9387492387429387 9283473847293847 2938479129823429 8263987429384729 3847293847293847 2938472938742983 3847293847293847 2938472938742983 2 目錄 執行摘要 3 隱藏在合併和併購活動期間的網路釣魚風險 35 數字會說話 5 案例研究 39 5 40 停留時間 全球的停留時間中間值 依來源偵測 已調查的產業 一旦成為目標,便難再翻身 6 9 9 10 APT 11 2018 年新命名的 APT 組織 各地區 APT 活動的演變 12 22 錯誤身份憑證的例子 在攻擊者發現前找出弱點 攻擊者屬性或秘密敲門 43 58 防禦趨勢 61 預防:來自前線事件回應的最佳預防方法 來自前線事件回應的強化程式 62 70 結論 74 特別報導 | M-TRENDS 2019 執行摘要 在過去 10 年來,我們在 M-Trends® 報告中討論過許多不同的主題,包括探討攻擊生命週期的入門 讀物、攻擊者如何隱藏本身的活動、惡意軟體趨勢和案例研究,而我們進行的調查為以上主題提供了 很多技術細節。 表面來看,在過去 10 年間並沒有太多的改變。2018 跟 2017 年沒什麼兩樣,而 2017 年跟前幾年 也沒什麼差別。我們持續看到具影響力的大型事件,雖然其中被公開揭露的知名機構變少了。在加密 貨幣和無法歸類的其他支付形式的幫助下,勒索案件正在增加。加密貨幣也透過錢包、支付系統與挖 礦成為直接的目標。 我們在 2018 年看到的重大趨勢與變遷包含: • 由 政府向公眾公布的攻擊顯著增加。近年來,私營部門公布的攻擊活動顯著增加,但過去一年中, 我們看到美國、英國、荷蘭和德國以起訴書公開了大量的攻擊行動。其中有些是由私營公司,如 FireEye 所提供的資料協助找出的攻擊行動。政府並未更改他們參與的作業規則,但卻透過起訴 書公開對抗威脅。 • 隨著越來越多的客戶轉為使用服務和雲端這類軟體,攻擊者也關注這些數據。對於雲端供應商、電 信業界和其他可存取大量數據的組織之攻擊亦有所增加。 3 特別報導 | M-TRENDS 2019 4 在 2018 年宣布的幾項起訴: M-Trends 2019 透過 FireEye Mandiant 進行的 FireEye 事件回應調查所揭示的一些最新趨勢。這些趨勢包 含不同地區的進階持續性攻擊 (Advanced Persistent Threat, APT) 活動演變、合併與併購期間的網路釣魚風險 以及我們覺得是最佳作法的一些防禦趨勢。 我們也回答了大家都在問的一個問題:作為資安產業,我們在 偵測資安事件方面是否較為敏銳? 我們可以很高興的大聲說, 是的。自 2017 年 10 月 1 日至 2018 年 9 月 30 日,全球 停留時間中間值為 78 天。這代表攻擊者在他們的攻擊行動被 偵測到之前,平均來說只能作業不到三個月的時間。較去年全 三月:伊期蘭革命衛隊 在一項起訴中,美國司法部和財政部指控伊朗竊取了 300 12 名俄國情報官員 球停留時間中間值101 天大約減少了四分之一 — 實際是一個 領域中所見所聞,從而讓我們可以提供報告內容的資料,那就 34273894723094830293842039840 34273894723094830293842039840 8,000 較少見以及新興威脅所需的知識,而這個目標到今日仍未改變。 本報告中的資訊已經過處理,以保護受害者的身份及資料。 1 2 3 4 5 美國司法部(2018 年 紐約時報(2018 年 7 美國司法部(2018 年 美國司法部(2018 年 美國司法部(2018 年 選活動的來往電子郵件,以及針對選舉基礎設施和地方選舉 烏克蘭國民被指控參與一個名為 FIN7 的活躍的網路犯罪集 生的攻擊事件,其起因是攻擊者傳送一封勒索電子郵件給執行 當我們在 10 年前首度推出 M-Trends 報告時,我們只有一 個主要的目標:賦予安全團隊對抗今日最常使用的網路攻擊與 行包括竊取並隨後洩露民主黨全國委員會和希拉蕊科林頓競 團。他們被指控從事高度複雜的惡意軟體活動,導致數百萬客 FIN7 長的工作帳號。 美國司法部宣布起訴 12 名俄羅斯情報官員在 2016 年總統 選舉之前對民主黨進行大規模網路行動。這些官員涉及的罪 八月:FIN7 網路犯罪集團 不是 M-Trends 了。今天,我們會透過深入探討涉及現在已屬 性為 TEMP.Demon 威脅組織的事件,來顯示早期識別的關 鍵地位。我們也會討論一個以東南亞為主的國際電信公司所發 七月:俄國情報官員 官員,企圖干擾選舉。2 不錯的改進。 如果我們無法包含各種不同的案例研究,以確切證明我們在該 多所大學以及政府機構和金融服務公司的知識產權。1 萬客戶 戶信用卡和簽帳金融卡的卡號遭竊。3 九月:金融機構遭駭 美國司法部宣布起訴和引渡一名俄羅斯駭客,該駭客被控參 與 2014 年摩根大通的駭客行為,導致超過 8,000 萬客戶 資料遭竊, 「這是美國歷史上單一金融機構最大的客戶數據遭 竊事件。」4 九月:北韓索尼遭駭 美國司法部宣布起訴 Park Jin Hyok,他是一名涉嫌參 與 2014 年索尼駭客行為、2016 年從孟加拉國銀行竊取 8,100 萬美元以及 WannaCry 勒索軟體攻擊的駭客。5 。九名伊朗人代表伊斯蘭革命衛隊進行大規模網路竊盜活動。 3 月 23 日) 月 13 日) 。12 名俄國特工在穆勒調查案中遭到起訴。 月 日) 。 惡名昭彰的國際網路犯罪集團 「Fin7」中的三名成員因攻擊 100 多家美國公司而受到拘留。 8 1 。曼哈頓美國檢察官宣布引渡被指控負責美國金融機構、經紀公司、主要新聞出版社和其他公司大規模網路入侵的俄國駭客。 9 月 7 日) 。北韓政權支持的程式人員被控陰謀進行多次網路攻擊和入侵。 9 月 6 日) 特別報導 | M-TRENDS 2019 數字會 說話 5 停留時間的計算方式為攻擊者 停留在受害網路的天數(自首 次偵測到入侵證據起算) 。中間 值表示排序資料組中間點的值。 M-Trends 2019 報告的統計資料,來源於 FireEye Mandiant 的調查, 在 2017 年 10月 1 日至 2018 年 9 月 30 日期間進行的有針對性的攻擊活動。 129823429 429384729 847293847 938742983 729384729 394820394 938749238 928347384 2938479129 826398742 384729384 293847293 384729384 293847293 特別報導 | M-TRENDS 2019 6 公司因更快偵測到入侵而獲得較好的結果。在過去八年以來,停留時間 已大大減少 — 從 2011 年的 416 天到 2018 年的 78 天。 停留時間中間值 416 78 天(2011 年) 天(2018 年) 全球停留時間的中間值 入侵通知 2011 年 2012 年 2013 年 2014 年 2015 年 2016 年 2017 年 2018 年 416 243 229 205 146 99 101 78 外部 320 107 186 184 內部 56 80 57.5 50.5 全部 全球停留時間中間值的分佈 20 15% 10% 9% 7% 6% 7% 7% 4% 2018 年,Mandiant 調查的入侵中,31% 的停留天數少於 30 天,2017 年則有 28% 的入侵少於此天數。2018 年的調查中,12% 的入侵天數高於 700 天,與 2017 年的 21% 相比已有下降。在30 天內被偵測到的入侵有所增加,我們歸因於更多勒索軟 體和加密貨幣挖礦的加入,它們能更快被偵測到。另外,客戶也透過更好的工具整體提升 了數據的能見度,因此能更快回應。 2018 年調查的百分比 + 90 0 90 1至 0 80 80 1至 70 0 關鍵 70 1至 60 0 60 1至 0 50 50 1至 0 40 40 1至 30 0 30 1至 20 0 20 1至 1至 15 0 15 至 91 至 90 75 76 61 至 至 60 45 46 31 至 30 至 14 15 8 至 7 至 0 停留時間(天數) 1% 0 0 1% 0 20 0 2% 1% 0 0 2% 20 3% 0 4% 至 5 7% 6% 10 0 7% 0 10 10 0 2018 年調查的百分比 15 特別報導 | M-TRENDS 2019 7 美洲停留時間中間值 140 137.5 124.5 120 停留時間(天數) 100 104 99 80 75.5 71 60 40 通知 46 42.5 全部 35 外部 20 內部 0 2016 年 2017 年 2018 年 美洲的停留時間中間值從 2017 年的 75.5 天,下降到 2018 年的 71 天。雖然停留時間僅輕微下 降,但接觸的停留時間卻有相當大程度的分別。我們看到以金融為動機的入侵增加,
rpt-mtrends-2019
编程开发 >
开发测试 >
其他 >
文档预览
76 页
2 下载
1117 浏览
0 评论
0 收藏
3.0分
温馨提示:当前文档最多只能预览 20 页,若文档总页数超出了 20 页,请下载原文档以浏览全部内容。