Sophos今天發布一份《給企業領袖的活躍攻擊者報告》，詳細介紹了攻擊者在2022年間使用的攻擊行為和技術的變化。這份報告的數據是從超過150個Sophos事件回應（IR）案例中分析出來的，總共識別出超過500種獨特的工具和技術，包括118個「就地取材」的二進位檔案（LOLBins）。

與惡意軟體不同，LOLBins是原本就存在於作業系統中的可執行檔，因此防禦人員更難在攻擊者濫用它們進行惡意活動時加以阻攔。

此外，Sophos發現未修補的漏洞是攻擊者獲得遭鎖定系統初始存取權限的最常見根本原因。事實上，在報告中約一半的調查中，攻擊者是利用2021年的ProxyShell和Log4Shell漏洞來滲透組織。攻擊的第二個最常見根本原因則是被破解的認證。

Sophos現場技術長John Shier表示：「當今的攻擊者不是入侵系統，而是直接用竊來的帳號登入。現實情況是，威脅環境的數量和複雜性已經 達到了一個防禦者找不到顯著差異可以辨認的程度。對於大多數組織來說，單獨應對威脅的時代已經過去。現在的威脅是全方位的，無所不在，而且一次性全部爆發。不過，對企業來說，仍然有工具和服務可以減輕部分防禦負擔，使他們能夠專注於核心的業務工作。」

Sophos的IR團隊調查發現，超過三分之二（68%）的攻擊和勒索軟體有關，這表明勒索軟體仍然是企業最普遍的威脅之一。在過去三年中，勒索軟體也高占Sophos IR調查案件的近四分之三。

雖然勒索軟體仍然是威脅環境的主宰者，但是攻擊者進入後的存留時間在 2022年略有減少，從15天減少到10天，所有攻擊類型都是如此。在勒索軟體攻擊案例中，存留時間從11天減少到9天，非勒索軟件攻擊的存留減少更為明顯。後者的存留時間從2021年時的34天降至2022年的11天。然而，與過去幾年不同的是，不同規模的組織或行業之間的存留時間沒有顯著的變化。

Shier表示：「成功實施多層式防禦並進行不斷監控的組織，在防範攻擊方面取得了更好的結果，但副作用是促使攻擊者加快了攻擊的腳步。因此，我們需要更早期的偵測來防範更快速的攻擊。攻擊者和防禦者之間的競爭將繼續升級，沒有積極的監控措施的組織將遭受嚴重的後果。」

Sophos針對全球22個行業進行了152個事件回應（IR）調查，並根據調查結果撰寫了該份Sophos活躍攻擊者報告。受攻擊的組織位於31個不同的國家，包括美國和加拿大、英國、德國、瑞士、義大利、奧地利、芬蘭、比利時、瑞典、羅馬尼亞、西班牙、澳大利亞、紐西蘭、新加坡、日本、香港、印度、泰國、菲律賓、卡達、巴林、沙烏地阿拉伯、阿拉伯聯合大公國、肯亞、索馬利亞、奈及利亞、南非、墨西哥、巴西和哥倫比亞。最具代表性的行業是製造業（20%），其次是醫療保健（12%）、教育（9%）和零售業（8%）。