Более половины кибератак начинаются с эксплоитов и компрометации цепочки поставок

[Artifact]

Самым популярным средством атаки киберпреступников остается бэкдор Beacon.

Продолжительность времени, в течение которого злоумышленники остаются незамеченными в сети жертвы, сокращается четвертый год подряд — до 21 дня в 2021 году по сравнению с 24 днями в 2020 году. Программы-вымогатели обнаруживались в среднем в течение пяти дней, тогда как прочие атаки оставались незамеченными в течение 36 дней в 2021 году по сравнению с 45 днями в 2020 году.
Однако в целом ситуация становится лучше, поскольку все больше компаний сотрудничают со сторонними фирмами, занимающимися кибербезопасностью, а государственные учреждения и ИБ-компании часто уведомляют жертв об атаках, что приводит к более быстрому обнаружению.
Согласно отчету Mandiant M-Trends 2022, компании значительно улучшили время обнаружения киберугроз за последнее десятилетие, сократив его почти в 20 раз (с 418 дней в 2011 году до 21 дня в 2021 году). Улучшение возможностей компаний по обнаружению киберугроз значительно различалось в зависимости от региона — компании в Азиатско-Тихоокеанском регионе столкнулись с резким сокращением так называемого «времени ожидания» до 21 дня в 2021 году по сравнению с 76 днями в 2020 году. В европейских компаниях также наблюдалось значительное снижение до 48 дней с 66 дней в 2020 году, в то время как обнаружение киберугроз североамериканскими компаниями не изменилось и осталось на уровне 17 дней.
Самым популярным средством атаки киберпреступников остается бэкдор Beacon, на долю которого пришлось 28% всех выявленных видов вредоносных программ. Beacon является компонентом инструмента Cobalt Strike, который также популярен среди злоумышленников.
По словам экспертов, на использование уязвимостей и атаки через цепочку поставок приходится 54% всех атак с выявленным первоначальным вектором заражения в 2021 году, по сравнению с менее чем 30% атак в 2020 году.
Другая тенденция заключается в том, что злоумышленники все чаще нацеливаются на гибридные установки Active Directory (AD), поскольку неправильные настройки в гибридной модели идентификации, когда учетные данные и ключи синхронизируются между локальными службами AD и Azure Active Directory в облаке, приводят к повышенному риску компрометации.