Professional Documents
Culture Documents
M-TRENDS
FIREEYE MANDIANT SERVICES | 執行摘要
執行摘要 M-TRENDS 2021 2
執行摘要
執行摘要 M-TRENDS 2021 3
分享入侵現實,擴展相關知識
資安從業者去年面臨一系列的挑戰,迫使組織進入未知的領域。當勒索軟體操作員正在攻
擊州和城市網路,以及醫院與學校之時,全球性疫情 COVID-19 回應迫使很大一部分經濟轉向遠端辦
公。組織不得不採用新的技術,並在其正常增長計畫之外迅速進行擴展。
• 勒索軟體已經演變成多方面敲詐,發動者不僅在整個受害環境中部署勒索軟體加密器,還採用了各種
其他勒索戰術,以迫使受害者遵從要求。
• 無處不在的勒索軟體活動壓低了停留時間中間值,因為威脅發動者試圖利用工作場所與全球危機的變
化趨勢。
執行摘要 M-TRENDS 2021 5
• 威脅發動者利用支援在家辦公的基礎設施,並且越來越關注漏洞利用。
數字會說話
執行摘要 M-TRENDS 2021 7
來自 FireEye Mandiant
調查的資料
依來源偵測
組織繼續提高他們發現其網路內入侵的能力。雖然 M-Trends 2020 提到與 2018 年相比,2019 年
的內部通知有所下降,但是 Mandiant 專家觀察到在 2020 年,組織內部偵測大部分事件有所回升。
內部偵測是組織獨立
2020 年組織的內部事件偵測提高到了 59%,與 2019 年相比增加了 12 個百分點。組織偵測其環境內
發現其被入侵的情況。 絕大部分入侵的回歸趨勢與過去十年中觀察到的內部偵測增加的一致。這顯示出持續致力於有機偵測與
回應能力的擴展與增強。勒索軟體活動的增加也影響著該類別。
外部通知是外部實體
通知組織其被入侵的
情況。
執行摘要 M-TRENDS 2021 8
依來源偵測,2011-2020 年
100 6% 37% 33% 31% 47% 53% 62% 59% 47% 59%
90 94%
80
70
偵測(百分比)
60
63% 67% 69%
50
53% 47% 53%
50
38% 41% 41%
30
20
10
0
2011 年 2012 年 2013 年 2014 年 2015 年 2016 年 2017 年 2018 年 2019 年 2020 年
外部
內部
地區偵測(按來源)
,2020 年
80 80 80
60 60 60
偵測(百分比)
61%
40 48% 52% 47% 53%
40 40
39%
20 20 20
0 0 0
外部 內部 外部 內部 外部 內部
地區偵測(按來源)
,2019-2020 年對比
70 30
61
美洲地區
60 39 40
53
內部偵測(百分比)
外部通知(百分比)
52 47
洲
歐洲、中東和非
50 48 52 50
48
44
區
40 56 亞太地 60
30 70
27
73
20 80
2019 年 2020 年
執行摘要 M-TRENDS 2021 9
停留時間
組織繼續以比往年更快的速度找到並遏制對手。在過去十年裡,停留時間中間值有了顯著降低,從稍長於
停留時間的計算方式為攻擊者在被 一年 (2011) 降至不到一個月 (2020)。
偵測到之前,停留在受害網路的天
數。中間值表示按大小排序的資料
組中間點的值。
全球停留時間
2020 年,全球停留時間中間值首次降至一個月以內。組織現在僅在 24 天內就能偵測事件,比 2019
停留時間中間值 年快了不至兩倍。無論通知來源是什麼,這些偵測方面的改進都有效。內部偵測事件的全球停留時間中間
值降至僅僅 12 天,而外部通知來源的事件為 73 天。
416
2011 年日數
24
2020 年日數
全球停留時間中間值,2011-2020
入侵通知 2011 年 2012 年 2013 年 2014 年 2015 年 2016 年 2017 年 2018 年 2019 年 2020 年
全球停留時間中間值分佈
在全球範圍內,組織在入侵的前 30 天內偵測到更多的事件,而且停留時間超過 700 天的事件也變少
了。全球停留時間的分佈繼續表明越來越多的事件停留時間為 30 天或更少。2020 年,Mandiant 專
家調查的入侵中,52% 的停留時間等於或少於 30 天,相比之下 2019 年和 2018 年分別為 41% 和
31%。另一方面也有所改善;Mandiant 觀察到停留時間超過 700 天的調查減少了 3%。
組織偵測功能的持續發展與改進,以及威脅局勢的演變能夠解釋多年的整體趨勢。
全球停留時間中間值分佈,2018-2020
35%
35
30
25
22%
調查的百分比
20
15%
15 14%
10%
10 9%
8% 8%
7% 7% 7% 7%
7% 6% 6%
5% 7%
6% 4% 4% 4% 4% 6%
5
3% 5% 3% 3%
4% 4% 4% 2%
2% 2%
3% 3% 3% 3% 1% 1% 1% 1%
2% 1% 0 1%
0
上
7
14
30
45
60
75
90
0
0
0
15
50
60
70
80
90
0
20
30
40
以
至
10
20
至
至
至
天
至
0
1至
1至
1至
1至
1至
至
1至
1至
8
61
31
15
1至
46
76
0
1至
91
0
60
40
70
50
80
15
20
30
20
90
0
10
2020
停留時間(日數)
2019 年
2018 年
執行摘要 M-TRENDS 2021 11
導致停留時間為 30 天或更少的事件比例增加的主要因素是涉及勒索軟體之調查的比例持續激增,從
2020 年的 25% 上升到 2019 年的 14%。在這些勒索軟體入侵中,與 44% 的非勒索軟體入侵相比,
涉及勒索軟體的調查
78% 的停留時間為 30 天或更少。Mandiant 專家也觀察到只有 1% 的勒索軟體入侵停留時間等於或
14
2019 年百分比
25
2020 年百分比
超過 700 天,相比之下非勒索軟體入侵為 11%。
全球停留時間(按調查類型)
,2020 年
0
10
20
7天
30
7天 14
40
14 30
中間值 中間值 中間值
50 24
天
5天
45 天
調查的百分比
30
7天
60
90
14
90
70
200
30
80 200
400
400
700
90
700 90
200
400
100 700
美洲地區停留時間中間值
2020 年,美洲地區的停留時間中間值持續降低。內部發現事件的停留時間改進最多,從 32 天降至九
美洲地區停留時間中間值變化
天。這是 Mandiant 首次在任何地區內觀察到停留時間中間值進入單位數。
60
天(2019 年)
17
天(2020 年)
倍,而且收到外部入侵通知的速度也快了 2.1 倍。
美洲地區停留時間中間值停留時間,2016-2020
140
137.5
120 124.5
80
75.5
71
60
60
46 49
40 42.5
通知 全部 35 32
外部 20
17
內部 9
0
2016 年 2017 年 2018 年 2019 年 2020 年
執行摘要 M-TRENDS 2021 13
亞太地區停留時間中間值
亞太地區 (APAC) 的停留時間中間值由 2019 年的 54 天增加至 2020 年的 76 天。亞太地區的勒
亞太地區停留時間中間值變化
索軟體相關入侵數量降低了,占 2020 年所調查事件的 12.5%,相比之下 2019 年為 18%。勒索軟體
相關事件的減少可能是亞太地區停留時間中間值整體增加的促進因素。
54
天(2019 年)
76
天(2020 年)
對手繼續在大量的時間內維持對亞太地區內被入侵組織的存取。與 2019 年的觀察結果一致,2020 年
間亞太地區所調查的入侵中有 10% 表示停留時間超過三年,還有 4% 超過九年時間。
亞太地區停留時間中間值,2016-2020
1200
1,088
1000
800
停留時間(日數)
600
498
400
通知 全部
320.5
外部 200 262
204
172
內部 158 131 137
18 33
54 76
0 2016 年 2017 年 2018 年 2019 年 2020 年
執行摘要 M-TRENDS 2021 14
EMEA 停留時間中間值
EMEA 的停留時間中間值由 2019 年的 54 天增加至 2020 年的 66 天。Mandiant 專家觀察到,
EMEA 停留時間中間值變化 EMEA 28% 的事件停留時間為一週或更少,而 8% 的事件停留時間超過三年。EMEA 內的組織繼續
回應長期入侵,同時也在對抗勒索軟體之類節奏更快的入侵。
54
天(2019 年)
66
天(2020 年)
如果按照通知源劃分,EMEA 的停留時間中間值在內部發現的事件上增加了,但如果公司收收到外部
實體的入侵通知,停留時間則減少了。對於內部偵測的事件而言,EMEA 的停留時間增加了 20%,從
2019 年的 23 天增加到 2020 年的 29 天。相反地,EMEA 外部通知源的入侵之停留時間中間值減
少了 25%,從 2019 年的 301 天降至 2020 年的 225 天。
EMEA 停留時間中間值,2016-2020
500
474
400
停留時間(日數)
300
305 301
200 225
175 177
通知 全部
128
外部 100 106
83
內部 61 54
66
24.5 23 29
0 2016 年 2017 年 2018 年 2019 年 2020 年
執行摘要 M-TRENDS 2021 15
產業定位
Mandiant 觀察到,最被針對的產業繼續每年都保持一致。2020 年最被針對的前五大產業分別是商
業與專業服務、零售與酒店、金融、醫療保健與高科技。在過去十年裡,商業與專業服務和金融一直在前五
大最被針對的產業之列。整體上,最被針對的產業變化不大,但是排名中的位置則有些不固定。
重大變動
Mandiant 專家觀察到,2020 年零售與酒店業組織被針對的次數更多,與 2019 年排名 11 相比,已
經躋身第二最被針對的產業。相比 2019 年的第 8,醫療保健在 2020 年躋身第三最被針對的產業。
另一方面,Mandiant 專家觀察到對娛樂與媒體業的針對有所下降,從 2019 年最被針對的產業降至
2020 年的第六。
執行摘要 M-TRENDS 2021 16
目標產業,2015-2020
商業/
1 專業服務
零售業/
2 酒店業
醫療保健業
3 金融
5 高科技
營造/工程
6 娛樂/媒體
製造業 電信業
8 5
教育
9 政府機關
10
運輸業/
11 物流業
航太/
12 國防
13 能源產業
14 公用事業
15 生物技術 非營利
執行摘要 M-TRENDS 2021 17
針對性攻擊
首次感染媒介 2020 年,Mandiant 專家回應了各種各樣的入侵,對首次感染媒介、對手行動及受害網路進行了觀察。
(確認時)
首次感染媒介
Ⰵ 儘管網路釣魚仍是首次入侵的有效媒介,但是在 2020 年,Mandiant 觀察到對手利用漏洞比利用其
29% 他媒介更頻繁。在首次入侵媒介被發現的案例中,在 29% 的入侵中發現了漏洞入侵的證據,然而網路釣
魚在入侵中占 23%。Mandiant 專家還在 19% 的調查中觀察到對手使用了被盜取的憑證或蠻力作為
首次攻擊媒介。在確認為首次入侵的入侵中,之前的入侵占 12%。
對手行動
23% 對手繼續使用入侵牟取金錢利益,所使用的方法包括敲詐、勒索、付款卡盜竊及非法轉帳。直接金錢利益
可能是 36% 的入侵之動機,還有 2% 的入侵可能是以轉售存取為目的。
笪騟ꆥ눴
36% 環境
在 29% 的案例中,Mandiant 專家在受害網路中確認了不止一個不同的威脅組織,這是 2019 年所提
到比例的將近兩倍。
2%
鱲㈒㶸《
目標:竊取資料
甦《须俲
32%
9% IP/
镄崞⹛
確認的多個威脅組織
(每個環境)
15
2019 年百分比
29
2020 年百分比
執行摘要 M-TRENDS 2021 18
倞鷆髠ⵌ 威脅組織
涸㪮腙꧌㕰
在 Mandiant 的歷史過程中,Mandiant 專家已經追蹤了超過 2,400 個威脅組織,包括 2020 年
新追蹤的 650+ 個威脅組織。Mandiant 專家在這些年裡合併或消除了大約 500 個威脅組織,此時
倞鷆髠ㄤ錚㻌 追蹤超過 1,900 個不同的威脅組織。透過擴大和完善一個龐大的威脅發動者知識庫,Mandiant 可以
支援廣泛的調查,同時保持該資料集內的保真度。2020 年,Mandiant 專家基於對活動重疊的大量研
652 ⵌ涸㪮腙꧌㕰
威脅組織,2020 年
2
活躍的 FIN 組織
來自這些地理位置
• 俄羅斯
• 烏克蘭
55 4
活躍的 UNC 組織來 活躍的 FIN 組織
自這些地理位置
• 中國
• 伊朗
• 奈及利亞 6
• 北韓 來自這些國家的活躍
• 俄羅斯 236 APT 組織
• 瑞典 活躍的 UNC • 中國
• 瑞士 組織 11 • 伊朗
• 斯洛維尼亞 FIN 組織 • 越南
• 烏干達 (1 個升級) 6
• 烏克蘭 活躍的 APT 組
• 越南 織
652
在 2020 年間
FIN
41
確認的 UNC APT 組織
組織
(75 個合併)
AP
C
UN
1900+
組織總數
2020 2020 追蹤的
年活躍的地理位置 年的活動 總工作量
1. FireEye(2020 年 12 月 17 日)
。DebUNCing 歸因:Mandiant 如何追蹤未分類的威脅發動者。
執行摘要 M-TRENDS 2021 19
惡意軟體
倞鷆髠ⵌ涸䟅
䠑鮿넓停纈
Mandiant 根據從一線 Mandiant 調查、公開報導、資訊分享及其他研究獲取的見解,持續擴展其惡意
軟體族群知識庫。2020 年,Mandiant 開始追蹤超過 500 個新的惡意軟體族群。相比之下,這一數字
與上一年新追蹤的惡意軟體族群數量不相上下。
514 倞鷆髠ㄤ錚㻌ⵌ
涸䟅䠑鮿넓停纈
惡意軟體族群是一個程式或成
員間有足夠的「程式碼重疊」的
一組程式,FireEye 視其為同
一種東西,即「族群」 。「族群」一
詞擴大了單個惡意軟體的範圍,
因為它可以隨著時間的變化而
變化,這反過來又會創造新的,
但從根本上而言又是重疊的惡
意軟體。
執行摘要 M-TRENDS 2021 20
惡意軟體族群(按類別劃分)
惡意軟體類別分部仍然每年都保持相對一致。在 2020 年新追蹤到的 514 個惡意軟體族群中,前五大
類別分別是後門 (36%)、下載器 (16%)、植入程式 (8%)、啟動器 (7%) 以及勒索軟體 (5%)。
惡意軟體類別描述一個惡意軟
體族群的主要目標。每個惡意軟
體族群都只會分配一個最能描
述其主要目的的類別,無論其功
能是否不止適合一個類別。
惡意軟體類別 主要目的
後門程式 該程式的主要目的是讓威脅發動者能互動式地向安裝了該程式的系統發出命令。
憑證竊取器 該公用程式的主要目的是存取、複製或竊取身分驗證憑證。
下載器 該程式的唯一目的是從特定地址下載(也許還會啟動)一個檔案,並且不會提供任何額外的功
能或支援任何其他互動式命令。
病毒植入程式 該程式的主要目的是提取、安裝並可能會啟動或執行一個或多個檔。
啟動器 該程式的主要目的是啟動一個和多個檔案。與植入程式或安裝器的區別之處在於它不包含或
不會對檔案進行配置,只是會執行或載入檔案。
勒索軟體 該程式的主要目的是執行一些惡意操作(如加密資料)
,其目標為牟取受害者付款,以避免或
撤銷惡意操作。
其他 包括所有其他惡意軟體類別,如公用程式、鍵盤記錄器、銷售點 (POS)、隧道器和資料採擷器。
最新追蹤到的惡意軟體族群(按類別劃分)
,2020 年
䖕玑䒭
25%
36%
Ⱖ➮
㉬⹛㐼
4%
5%
⹗程鮿넓
7%
䤊阮甦《㐼 8% 16%
♴鯺㐼
氻嫬嗃Ⰵ玑䒭
執行摘要 M-TRENDS 2021 21
觀察到的惡意軟體族群(按類別劃分)
後門是對手的主要手段,一直是調查期間觀察到的最大惡意軟體族群類別。Mandiant 專家觀察到攻擊
者在超過一半所調查的入侵種都部署了至少一個後門。在 2020 年新追蹤到的 294 個惡意軟體族群
觀察到的惡意軟體族群是
Mandiant 專家調查期間確認 中,前五大類別分別是後門 (41%)、下載器 (9%)、植入程式 (9%)、勒索軟體 (8%) 以及啟動器 (6%)。
的惡意軟體族群。
觀察到的惡意軟體族群(按類別劃分)
,2020 年
䖕玑䒭
Ⱖ➮ 22%
41%
䤊阮甦《㐼
4%
6%
㉬⹛㐼
8%
⹗程鮿넓 9% 9%
♴鯺㐼
氻嫬嗃Ⰵ玑䒭
執行摘要 M-TRENDS 2021 22
新追蹤的惡意軟體族群(按可用性劃分)
Mandiant 專家觀察到 81% 新追蹤的惡意軟體族群都是非公開的,而 19% 是可公開獲取的。儘管對
手確實使用公開可用的工具和代碼,但是絕大部分追蹤到的惡意軟體族群都有可能是私人開發的,或者
其可用性受到限制。
新追蹤的惡意軟體族群(按可用性劃分)
,2020 年
公開可用的工具或代碼族群很 Ⱇ
容易獲取,沒有限制。這包括可 19%
以在互聯網上自由獲取的工具,
以及出售或購買的工具,只要能
被任何買家購買的工具都屬於
該範疇。
非公開工具或代碼族群,據我們 81%
所知,是無法公開獲取的(免費
ꬌⰗ
或出售)。它們可能包括私人開
發、持有或使用的工具,以及在
受限制的客戶群體中共用或出
售的工具。
執行摘要 M-TRENDS 2021 23
觀察到的惡意軟體族群(按可用性劃分)
與新追蹤的惡意軟體族群之可用性類似,2020 年,Mandiant 專家觀察到對手在入侵期間所使用的惡
意軟體族群有 78% 是非公開的,而 22% 是公開可用的。
觀察到的惡意軟體族群(按可用性劃分)
,2020 年
Ⱇ
22%
78%
ꬌⰗ
執行摘要 M-TRENDS 2021 24
最常見的惡意軟體族群
Mandiant 專家調查的入侵取件最常見的五大惡意軟體族群分別是 BEACON、EMPIRE、MAZE、
NETWALKER 和 METASPLOIT。BEACON 在 2020 年非常普遍,以至於在 Mandiant 調查
的全部入侵中有將近四分之一觀察到它。Mandiant 專家也觀察到在事件之間使用的惡意軟體缺乏交
叉授粉。 入侵期間看到的惡意軟體族群中只有 3.4% 是在 10 個或更多入侵中觀察到,而所看到的惡意
軟體族群中有 70% 僅在單個入侵期間觀察到。
最常見的惡意軟體族群,2020 年
25
24%
20
入侵百分比
15
10
8%
5 5%
4%
3%
0 BEACON EMPIRE MAZE NETWALKER METASPLOIT
• MAZE是個勒索軟體族群,會加密本機存放區和網路上分享的檔案。MAZE 可以配置成感染遠端與
可攜式磁碟機,以及透過 HTTP 發送基本系統資訊。Mandiant 已經觀察到有十幾個不同的以經濟
為動機的威脅組織利用 MAZE 勒索軟體。
作業系統有效性
為了符合之前的趨勢,絕大部分新追蹤到的族群都在 Windows 上有效。只有 8% 和 3% 新追蹤到的
惡意軟體族群分別在 Linux 和 MacOS 上有效。
惡意軟體族群的作業系統有效性
是可以在上面使用惡意軟體的作
業系統。
新追蹤到的惡意軟體族群的有效性(按作業系統劃分)
,2020 年
94% Windows 剤佪
89% ⫦ꣳ Windows
8% Linux 剤佪
3% ⫦ꣳ Linux
514
⦐剓倞鷆髠ⵌ
涸䟅䠑鮿넓停纈
3% MacOS 剤佪
1% ⫦ꣳ MacOS
與新追蹤到的惡意軟體族群所看到的趨勢類似,Mandiant 調查期間觀察到的絕大部分惡意軟體族群
都在 Windows 上有效。也有觀察到在 Linux 和 MacOS 上有效的惡意軟體,但是它們在惡意軟體
族群中分別只占 13% 和 5%。
觀察到的惡意軟體族群的有效性(按作業系統劃分)
,2020 年
95% Windows 剤佪
86% ⫦ꣳ Windows
13% Linux 剤佪
4% ⫦ꣳ Linux
294
⦐錚㻌ⵌ涸
䟅䠑鮿넓停纈
5% MacOS 剤佪
0% ⫦ꣳ MacOS
執行摘要 M-TRENDS 2021 26
威脅技術
Mandiant 繼續將其調查結果映射到 MITRE ATT&CK 架構,以支援社群與產業活動。2020
MITRE ATT&CK® 是個可 年,MITRE ATT&CK 框架發生了重大變化,引入了子技術,並在企業 ATT&CK 中融入了 PRE-
以公開存取的攻擊者戰術與技 ATT&CK。部分由於這些變化及其資料模型的持續改進,Mandiant 現在擁有的 MITRE ATT&CK
術知識庫,以現實生活中的觀察
技術能映射到超過 1,800 個 Mandiant 技術與後續調查結果。
結果為基礎。在私營部門、政府
及網路安全產品與服務社區內,
ATT&CK 知識庫被用作特定 在做出安全決定時,組織必須考慮特定技術在入侵期間使用的可能性。2020 年,Mandiant 專家觀察
威脅模型與方法的開發基礎。 到攻擊者使用 63% 的 MITRE ATT&CK 技術和 24% 的子技術。然而,觀察到的技術中只有 37%
(全部技術的 23%)在超過 5% 的入侵中出現。
Mandiant 锅叆⚥錚㻌ⵌ涸
63%
馄麕 5% 涸Ⰵ⚥溏ⵌ涸
23%
執行摘要 M-TRENDS 2021 27
經常被針對的技術,2020 年
初步偵察 初步破壞
事前勘查 初始存取
T1190:利用面向公眾的應用 21.0%
T1595:主動掃描 0.2% 程式
T1566:網路釣魚 T1566.001:魚叉式網路釣魚
資源開發
14.2%
附件
8.1%
T1199:可信關係 3.2%
T1189:路過式入侵 1.5%
T1091:透過可移動媒介複製 0.5%
T1200:硬體添加 0.5%
Mandiant 攻擊生命週期
MITRE ATT&CK 架構
20+
10–19.99
5–9.99
2–4.99
0–1.99
執行摘要 M-TRENDS 2021 29
建立據點 提升權限
持續 提升權限
T1078:有效帳戶 6.8%
T1543:建立或修改系統處理序 9.0% T1543.003:Windows 服務 9.0%
T1134:存取權杖操縱 5.9% T1134.001:權杖偽裝/盜竊 0.2%
T1078:有效帳戶 6.8%
T1547:啟動或登入自動啟動 4.2% T1547.001:登錄執行執行金 4.2%
執行 鑰 / 開機資料夾
T1136:建立帳戶 6.1% T1136.001:本機帳戶 0.2%
內部偵察 橫向移動
發現 橫向移動
T1021.006:Windows 遠 1.0%
T1497:虛擬化 / 沙箱規避 12.7% T1497.001:系統檢查 1.5% 端系統管理
T1087.002:網域帳戶 0.2%
T1010:應用程式視窗發現 2.4%
T1046:網路服務掃描 1.7%
T1124:系統時間發現 1.0%
T1018:遠端系統發現 0.2%
T1135:網路共用發現 0.2%
T1217:瀏覽器書籤發現 0.2%
T1538:雲端服務儀表板 0.2%
T1580:雲端基礎設施發現 0.2%
執行摘要 M-TRENDS 2021 31
持續存取 任務完成
持續 收集
T1133:外部遠端服務 11.5%
T1056:輸入擷取 4.9% T1056.001:鍵盤記錄 4.9%
T1115:剪貼板數據
T1136:建立帳戶 T1136.001:本機帳戶
2.7%
6.1% 0.2%
T1530:來自雲端儲存物件的
T1136.002:網域帳戶
0.5%
資料
0.2%
T1547:啟動或登入自動啟動 T1547.001:登錄執行執行金
T1074:資料已分級
4.2% 4.2%
執行 鑰 / 開機資料夾
0.2%
T1123:音訊擷取
T1547.009:快捷方式修改
0.2%
0.2%
T1125:視訊擷取 0.2%
T1546:事件觸發執行 3.2% T1546.008:可存取性功能 1.2%
滲透
T1546.011:應用程式勻場 1.2%
T1531:帳戶存取移除 1.0%
整個生命週期
憑證存取 命令與控制
執行
T1059.003:Windows 命 15.4%
令 Shell
T1059.007:JavaScript/ 2.7%
JScript
T1059.006:Python 1.0%
T1204.002:惡意檔案 4.2%
T1203:用戶端執行的利用 4.9%
T1047:Windows 2.7%
Management
Instrumentation
整個生命週期
防禦規避
結論
執行摘要 M-TRENDS 2021 35
更多安全意識,構建最佳實踐
2020 年讓我們想起了物質世界中的事件是如何與網路安全相互交錯的。在過去的
M-Trends 中,我們報告了地緣政治事件如何經常對網路安全產生影響。2020 年,我們看到全球疫情
如何改變企業經營,並因此改變大多數企業的受攻擊面和風險狀況。由於攻擊者利用了這些前所未有的
時期,世界各地的組織都在努力適應新的常態,並維持他們的防禦。
我們也見證了勒索軟體如何演變成多方面敲詐並繼續升級。2020 年,除了加密器部署外,我們還看到
「點名羞辱」網站的興起。威脅發動者利用初次存取的新舊漏洞,從部署用於支援遠端辦公人員的基礎設
施中牟利。這些趨勢強調了良好基礎的重要性,如漏洞與修補程式管理、最小特權與硬化。
資安組織需要繼續為威脅發動者的持續升級做好準備,並應對其自身環境與受攻擊面的變化。儘管很多
方面都保持不變,但是我們看到過去的趨勢正在持續演變,要求資安團隊保持警惕、不斷適應和發展。
要知道更多關於 FireEye,請前往: www.FireEye.com
若要深入瞭解 Mandiant 解決方案,請參訪: www.FireEye.com/mandiant