May 31, 2024
평균 체류 시간이 급감하면서 2023년 사이버 공격은 더 빠르게 전개될 것입니다.
denisismagilov - stock.adobe.com 평균 체류 시간(공격자가 피해자의 시스템에 액세스한 시점부터 공격이 탐지되거나 실행되는 시점까지의 시간)이 크게 감소했습니다.
denisismagilov-stock.adobe.com
평균 체류 시간(공격자가 피해자의 시스템에 액세스한 시점부터 공격이 탐지되거나 실행되기까지의 시간)이 크게 줄어들었습니다. 2023년 1월부터 7월 사이에는 10일에서 8일로 줄었고, 2022년에는 15일에서 10일로 5일이 줄었습니다. 2021년 급격한 상승 후.
이는 Sophos X-Ops 사고 대응(IR) 사례에서 추출한 데이터에 따른 것입니다. 이 데이터는 오늘 회사의 기술 리더를 위한 활성 적 보고서 2023에서 발표되었습니다.
헤드라인 통계는 최종 사용자 보안 팀의 탐지 기능이 향상되고 있다는 신호로 좋은 소식으로 받아들여질 수도 있지만, 반대로 점점 더 조직화되고 기술적으로 능숙하며 운영상 효율적인 위협 행위자가 무엇인지 알고 있음을 반영할 수도 있습니다. 그들이 원하는 것과 그것을 얻는 방법.
실제로 X-Ops는 공격자가 피해자의 중요한 AD(Active Directory) 자산에 접근하는 데 약 16시간이 걸린다는 사실을 발견했습니다. Sophos 현장 최고 기술 책임자(CTO)인 John Shier는 이러한 자산이 일반적으로 조직 리소스에 대한 ID와 액세스를 관리하므로 자신의 권한을 확대하려는 위협 행위자에게 금광이 된다고 설명했습니다.
“조직의 Active Directory 인프라를 공격하는 것은 공격적인 관점에서 볼 때 합리적입니다.”라고 그는 말했습니다. “AD는 일반적으로 네트워크에서 가장 강력하고 권한이 있는 시스템으로, 공격자가 공격에 이용할 수 있는 시스템, 애플리케이션, 리소스 및 데이터에 대한 광범위한 액세스를 제공합니다. 공격자가 AD를 제어하면 조직을 제어할 수 있습니다. Active Directory 공격의 영향, 확대 및 복구 오버헤드가 공격의 표적이 되는 이유입니다.
“공격 체인에서 Active Directory 서버에 접근하고 제어권을 얻으면 공격자에게 몇 가지 이점이 제공됩니다. 그들은 다음 움직임을 결정하기 위해 들키지 않고 머물 수 있으며, 일단 갈 준비가 되면 방해받지 않고 피해자의 네트워크를 뚫고 나갈 수 있습니다.
Shier는 “도메인 손상으로부터 완전히 복구하려면 시간이 많이 걸리고 힘든 노력이 필요할 수 있습니다.”라고 말했습니다. “이러한 공격은 조직의 인프라가 의존하는 보안 기반을 손상시킵니다. AD 공격이 성공하면 보안 팀이 처음부터 다시 시작해야 하는 경우가 많습니다.”
보고서는 또한 랜섬웨어 공격의 경우 평균 체류 시간이 5일로 단축되었음을 밝혔는데, 이는 Progress Software의 MOVEit에 대한 Clop의 최근 캠페인과 같이 랜섬웨어 보관함이 배포되지 않은 랜섬웨어 공격의 증가와 관련이 있을 수 있습니다. 도구.
랜섬웨어 공격은 X-Ops 팀이 작업한 IR 사례에서 가장 널리 퍼진 공격 유형으로 참여의 69%를 차지했습니다. 그러나 Shier는 알려진 랜섬웨어 사건을 제외하면 상당수의 공격이 침입으로 구성된 네트워크 침해인 것으로 보였지만 명확한 동기가 없는 것으로 나타나 실제로 랜섬웨어 공격을 저지한 경우가 얼마나 되는지 의문을 제기했습니다.
Shier는 “악명 높은 랜섬웨어 제공업체인 Cuba와 Vice Society가 자행한 여러 공격을 식별할 수 있었지만 결정적으로 이러한 공격은 랜섬웨어 단계에 도달하지 못했습니다.”라고 말했습니다.
“여기서 비즈니스 리더십이 얻을 수 있는 교훈은 즉각적인 조치를 취하면 랜섬웨어에서 사용하는 것과 같이 입증된 공격 체인도 깨뜨릴 수 있다는 것입니다. 이러한 여러 사건의 경우 아마도 그런 일이 일어났을 것입니다.”
2021년 7월 4일 Kaseya 사건과 같이 주말이나 공휴일에 랜섬웨어를 실행하는 위협 행위자들 사이에서 오랫동안 관찰되었지만 일반적으로 정량화되지 않은 추세를 반영하여 Sophos는 관찰된 랜섬웨어 공격의 81%에서 최종 페이로드가 외부에서 폭발했다고 밝혔습니다. 근무 시간, 근무 시간 중에 배치된 일 중 평일에는 단 5회만 이루어졌습니다.
X-Ops의 원격 측정에서 탐지된 공격 수는 일반적으로 주가 진행됨에 따라 증가했으며, 랜섬웨어 공격의 43%는 보안 팀이 주말 동안 업무를 마무리하거나 사무실에 완전히 자리를 비우는 금요일이나 토요일에 탐지되었습니다.