-
内部威胁飙升:内部威胁占未授权访问事件的35%,主要与员工离职过程相关,员工可能窃取数据或公司机密。案例研究表明,离职员工通过复制数据到云存储、创建私人账户等方式进行数据盗窃。
-
威胁事件类型:网络攻击小幅回升,恶意软件(不包括勒索软件)从第二季度的1%跃升至5%,主要与信息窃取恶意软件(如URSA、Vidar等)传播有关。电子邮件泄露率稳定在30%,勒索软件攻击比例下降,未授权访问(27%)、网页篡改(7%)和恶意软件(5%)有所增长。
-
初始访问方法:使用合法凭据访问账户(有效账户)成为最受欢迎的初始访问方法,钓鱼攻击(尤其是短信钓鱼Smishing)和容器文件(如.iso)恶意负载使用增加。凭证市场交易和初始访问经纪人通过提供合法凭据在勒索软件生态圈中运行。
-
USB攻击兴起:混合办公模式下USB设备使用增加,威胁行为者通过投放感染恶意软件的USB驱动器进行攻击。案例中USB设备包含多种恶意软件变种,试图安装加密货币挖掘程序或RaspberryRobin恶意软件。
-
勒索软件活动:LockBit 3.0发布后案件显著增加,教育行业成为高调目标,占近10%的勒索软件攻击。其他变体如Hive、Vice Society等也针对教育行业发起攻击。
-
行业分析:专业服务行业成为最受攻击的领域,占21%的Kroll案件。常见威胁事件包括电子邮件泄露(40%)、未授权访问(27%)和勒索软件(10%)。
-
最佳实践:建议进行稳健的日志和审计、管理特权访问凭据、部署EDR、与安全运营中心合作、禁用USB设备、利用数字风险保护解决方案、监控预警指标(如远程访问、异常数据出口等)。
-
趋势与结论:尽管电子邮件篡改和勒索软件攻击有所下降,但内部威胁显著上升。新冠疫情影响、劳动力市场流动性和远程办公模式加剧了安全威胁,组织需从内外角度评估安全风险。
