全球网络安全态势显著改善，平均潜伏时间暴降

Mandiant近日发布的M-Trends2024报告显示，虽然零日漏洞利用率正在上升，但全球网络安全态势显著改善，平均潜伏时间（攻击者在目标环境中未被发现的时间）降至十多年来的最低点。

M-Trends2024报告中的数据基于对2023年1月1日至2023年12月31日期间发生的针对性攻击活动的调查。

全球网络安全态势显著改善

2023年，组织平均在10天内可检测到入侵，这比2022年的16天显著减少，潜伏时间缩短可能与2023年勒索软件事件占比更高（23%）有关，2022年该比例为18%。

Mandiant还跟踪到2023年内部泄露事件检测率有所改善(46%)，2022年为37%。两大指标的改善（较短的潜伏时间和更高的内部事件检测率）表明全球防御者提高了检测能力。

报告指出，防御者应该感到自豪，但组织仍需保持警惕。M-Trends2024年的调研显示，攻击者正积极利用零日漏洞逃避检测并在系统上停留更长时间。这进一步凸显了威胁搜索计划的重要性，以及在发生漏洞利用时进行全面调查和补救的必要性。

亚太地区平均潜伏时间暴降

亚太地区(JAPAC)组织的平均潜伏时间经历了最戏剧性的下降，从2022年的33天暴降至9天，这可能与该地区快速勒索软件活跃有关。

相比之下，EMEA地区（欧洲、中东和非洲）的潜伏时间略有上升，从20天增加到22天。

行业方面，2023年遭受攻击最多的是金融服务组织(17%)。紧随其后的是商业和专业服务(13%)、高科技(12%)、零售和酒店(9%)以及医疗(8%)。

攻击者选择行业目标的共同特点是：拥有大量敏感信息，例如专有商业数据、个人可识别信息、受保护的健康信息和财务记录。

攻击手段升级：零日漏洞使用率上升，勒索软件猖獗

为了尽可能长时间地在目标网络中驻留，攻击者越来越多地瞄准边缘设备，利用“living off the land”技术并利用零日漏洞。

与政府有关的间谍组织继续优先获取零日漏洞和特定平台的工具，更多针对安全解决方案最薄弱的边缘设备和平台，因为这样可以更轻松地在未被发现的情况下长时间地入侵。

零日漏洞利用不再局限于少数特定行为者。勒索软件和数据勒索组织、国家黑客组织都在积极利用零日漏洞，随着商用“turnkey”漏洞利用包的兴起，预计零日漏洞利用的增长趋势将持续下去。

随着云计算的发展，攻击者针对云环境（包括混合云/本地部署配置）的攻击也在增加。建议组织实施更严格的控制措施，以限制仅授权用户访问云资源。

最后，由于多因素认证(MFA)日益普及，攻击者正在积极开发绕过方法。