2022年新的威胁组和恶意软件家族不断涌现

Mandiant宣布了一份年度报告的调查结果，该报告根据全球高影响力网络攻击的前线调查和补救提供了及时的数据和见解。跟踪2020年10月1日至2021年12月31日之间调查指标的2022年报告显示，尽管在以下方面取得了重大进展威胁检测和响应，对手仍在不断创新和适应，以在目标环境中完成他们的任务。

全球平均停留时间降至三周

根据该报告，全球平均驻留时间——计算为攻击者在被检测到之前在目标环境中的平均天数——从2020年的24天减少到2021年的21天。报告进一步指出，APAC地区的平均停留时间下降幅度最大，从2020年的76天下降到2021年的21天。EMEA的平均居住时间也有所下降，从一年前的66天降至2021年的48天。在美洲，平均停留时间稳定在17天。

在比较不同地区检测威胁的方式时，该报告发现，在EMEA和APAC，2021年的大部分入侵是由外部第三方发现的(分别为62%和76%)，这与2020年观察到的情况相反。在美洲，按来源检测保持不变，大多数入侵是由组织自身内部检测到的(60%)。

根据该报告，组织威胁可见性和响应能力的提高以及勒索软件的普遍存在——其平均停留时间比非勒索软件入侵短得多——可能是平均停留时间缩短的驱动因素。

随着中国加强间谍活动，新的威胁也出现了

Mandiant开始跟踪733新恶意软件家族报告称，其中86%没有公开发布，延续了新恶意软件家族受到限制或可能是私人开发的趋势。

该报告还指出，我国网络间谍活动将进行调整和重组，以配合2021年中国第十四个五年计划的实施。该报告警告称，该计划中包含的国家级优先事项“表明，未来几年，针对知识产权或其他具有重要战略意义的经济问题，以及国防工业产品和其他军民两用技术的入侵企图将会增加。”

另外

• 1.感染媒介：漏洞攻击连续第二年成为最常见的初始感染媒介。事实上，Mandiant在报告期内应对的事件中，37%始于利用安全漏洞，而网络钓鱼仅占11%。供应链妥协大幅增加，从2020年的不到1%增加到2021年的17%。
• 2.受影响的目标行业：商业和专业服务以及金融是对手瞄准的两大行业(分别为14%)，其次是医疗保健(11%)、零售和酒店业(10%)以及科技和政府(均为9%)。
• 3.新的多方面勒索和勒索软件TTP：Mandiant观察到多方面的勒索和勒索软件攻击者使用新的战术、技术和程序(TTP)在整个业务环境中快速高效地部署勒索软件，并指出虚拟化基础架构在企业环境中的普遍使用使其成为勒索软件攻击者的主要目标。

Mandiant服务交付执行副总裁Jurgen Kutscher“今年的M-Trends报告揭示了对威胁行为体如何演变以及如何使用新技术进入目标环境的新见解。虽然漏洞攻击继续获得关注，仍然是最常见的感染媒介，但报告指出，供应链攻击显著增加。相反，今年的网络钓鱼明显减少，反映了组织提高了更好地检测和阻止这些尝试的意识和能力。”

Jurgen Kutscher还表示：“鉴于利用漏洞作为初始妥协手段的使用不断增加，各组织需要继续关注安全基础设施的执行——比如资产、风险和补丁管理”。

查尔斯·卡尔马卡，SVP和Mandiant首席技术官指出，“今年的M-Trends报告特别关注政府组织，以及在多个网络间谍活动参与者中使用相同的恶意软件家族，这可能是由于不同团体共享资源和工具。此外，随着2021年中国第十四个五年计划的实施，我们预计未来几年网络间谍活动将继续加速，以支持中国的国家安全和经济利益”。