攻擊者"就地取材",Sophos 報告揭露RDP成攻擊重災區
全球網路安全領導者Sophos近日發佈《2025主動攻擊者報告》,綜合分析2024年全年超過400起由其託管式偵測與回應(MDR)及事件回應(IR)團隊處置的攻擊事件。報告顯示,攻擊者利用合法帳戶入侵外部遠端服務(如防火牆、VPN 等邊緣設備)成為最普遍的入侵途徑,佔所有案例的 56%。此外,憑證被盜連續第二年成為頭號攻擊根源(41%),未及時修補漏洞(21.79%)及暴力破解(21.07%)分列其次。
入侵外部遠端如防火牆、VPN等邊緣設備
憑證竊取占攻擊根源
未及時修補漏洞占攻擊根源
暴力破解占攻擊根源
- 合法帳戶成黑客入侵「利器」
報告指出,攻擊者經常利用受害機構的合法帳戶,通過遠端服務登入系統,避開傳統防禦措施。這種「合法登入」方式不僅增加了攻擊的隱蔽性,也令防禦更為困難。Sophos X-Ops 團隊分析發現,攻擊者從發起攻擊到成功入侵 Active Directory(AD)平均只需 11 小時。由於 AD 是 Windows 網絡的核心資產,一旦被控制,攻擊者即可掌握整個企業網絡。
- 攻擊速度驚人&反應時間極短
Sophos 特別分析勒索軟件、資料外洩及資料勒索案件,發現攻擊者平均只需約 3 天(72.98 小時)即可完成資料竊取,這種快速的攻擊節奏,要求企業必須具備主動監控和快速應變能力。
- 勒索軟件集團活躍&夜間攻擊成趨勢
2024 年,勒索軟件攻擊主要由 Akira、Fog 及 LockBit 三大組織主導。值得注意的是,83% 的勒索軟件攻擊發生在非辦公時間,顯示黑客刻意選擇深夜或假期發動攻擊,以避開監控和快速反應。
- 遙距桌面通訊協定(RDP) 成攻擊重災區
RDP 繼續成為黑客濫用的主要工具,涉及 84% 的 MDR 和 IR 案例。由於 RDP 廣泛用於遠端接入,且許多組織未妥善管理其安全性,成為攻擊者首選的入侵通道。
- 託管式偵測與回應(MDR) 縮短攻擊滯留時間
報告顯示,整體攻擊滯留時間(從入侵到被偵測的時間)已從 2023 年的 4 天縮短至 2 天。具體來看,勒索軟件攻擊在 IR 案例中的滯留時間維持約 4 天,非勒索攻擊約 11.5 天;而在 MDR 案例中,勒索攻擊滯留時間僅 3 天,非勒索攻擊更縮短至 1 天,反映出 MDR 團隊能更快速偵測和回應攻擊。
.關閉洩露的 RDP 連接埠,減少遠端入侵風險。
.啟用抗網絡釣魚的多重身份驗證(MFA),加強帳戶安全。
.及時修補安全漏洞,尤其是面向外部的系統和設備。
.部署全天候監控的端點偵測與回應(EDR)或託管偵測與回應(MDR)解決方案,提升偵測和響應速度。
.制定完善的事故應變計劃,並定期進行模擬演練,確保團隊具備快速處理能力。