【伏匿匿】部署勒索軟件 黑客潛伏期究竟幾多日?
黑客入侵企業後,平均多久才會被發現?網絡安全公司 Sophos 發表最新一份調查報告,就指出平均須 11 日才能被偵測得到。不過這只針對勒索軟件 (ransomware) 而言,如黑客以搜集機密資料為目標,現形的時間或許會更長。
早前另一間網絡安全公司 FireEye 的研究報告指出,2020 年企業偵測到入侵行為的時間,首次縮減至一個月內,達到平均約須 24 日這個好成績,較去年的 56 日大減約六成。而Sophos的研究報告看似更理想,因為平均時間進一步減至只須 11 日。不過,Sophos 專家卻先戴好頭盔,指快未必一定是好事!
Sophos 專家首先指出,他們的數據全部來自企業客戶,而在過去一年中,他們的客戶主要面對的是勒索軟件攻擊,從數字來看,差不多佔了 81%。專家又解釋說,由於勒索軟件是一種破壞性活動,一經啟動,電腦系統便會出現異常,就連普通人也能發現,因此與專門竊取機密資料的間諜行為,在本質上有很大分別,故此有理由相信其報告內的 11 日數據,並不代表企業的網絡安全防禦有很大進步,反而單純是因為勒索軟件的特性而出現。
專家進一步分析,11 日相當於 264 小時,如果全用來進行惡意活動,例如分析公司內部網絡的結構、大範圍搜集各種重要資料,其實已經綽綽有餘,以現時勒索軟件攻擊均會以數據外洩作雙重勒索 (double extortion) 手段來看,黑客毋須左揀右揀而只須以量取勝,一旦已竊取大量資料,便會盡快啟動加密 (encryption) 程序,令受害企業無法截斷攻擊或做好備份工作,亦是另一個平均偵測時間大跌的主因。
報告內另有提及多個要點:
- 黑客正大量利用 Remote Desktop Protocol (RDP) 攻擊企業,30% 以 RDP 作為入侵企業的起點,69% 則以 RDP 進行後續攻擊。
- 約 12% 個案以釣魚攻擊作為入侵起點,已知系統漏洞約佔 10%
- 41% RDP入侵個案中由內部網絡發現,由外部攻擊則佔 4%
- 勒索軟件中以 REvil 最猖獗,與排第二位的 Ryuk 於 2020 年共賺取了 1.5 億美元贖金