공격자들은 점점 더 네트워크 침입에 직접 접근하는 방식을 취하고 있으며 일반적으로 맬웨어 사용을 피합니다. 또한 초기 손상에서 네트워크의 다른 시스템 감염으로 이동하는 데 걸리는 시간을 줄였습니다.
이는 사이버 보안 서비스 회사인 CrowdStrike에 따르면 화요일 발표된 보고서에서 표적 공격과 대화형 침입이 모두 전반적으로 증가했다고 밝혔습니다. 12월까지 18개월 동안 표적 공격은 전체 공격의 14%를 차지했으며, 회사의 원격 분석에 따르면 이전 12개월의 XNUMX%보다 증가했습니다.
공격자들은 또한 타협에 직접 접근하는 대화형 침입에 집중했으며 이러한 공격이 거의 50% 증가했다고 회사는 밝혔습니다. 놀랍지 않게 직접 공격의 증가는 맬웨어에 대한 의존도가 낮아졌다는 것을 의미합니다. CrowdStrike에서 탐지한 모든 이벤트의 71%는 맬웨어가 없는 활동을 나타냈다고 회사는 말했습니다.
기술 부문은 계속해서 가장 많은 공격의 초점이 되었으며, 거의 20%의 공격이 산업 부문을 대상으로 했으며, 통신은 10%로 두 번째로 많은 공격 대상이 되었으며 제조업은 공격의 약 8%를 차지했습니다. 사이버 범죄 공격은 CrowdStrike에서 조사한 모든 보안 사고의 43%를 차지했으며, 보고서에 명시된 회사.
국가 사이버 공격의 증가
크라우드스트라이크(CrowdStrike)의 팔콘 오버워치(Falcon OverWatch) 그룹 부회장인 패람 싱(Param Singh)은 사이버 공격자 전술의 변화는 전문 사이버 범죄 제품과 국가 차원의 공격 증가에서 비롯됐다고 말했다.
"이러한 급증은 부분적으로 전자 범죄 환경의 진화에 의해 주도되고 있습니다. 전례 없는 수의 새로운 범죄 동기 부여 적 그룹이 등장하고 금전적 이익을 위한 수익성 있는 기회를 이용하려는 시도로 폴드에 합류하는 것을 목격했습니다."라고 그는 말합니다. "또한 진화하는 지정학적 환경과 글로벌 거시적 사건에 대응하여 국가 기반 적의 표적 침입 활동이 장기간 증가했습니다."
더 많은 자격 증명과 더 많은 서비스는 공격자가 취약한 시스템을 신속하게 선택하고 기본적으로 필요에 따라 액세스할 수 있어 탈주 시간이 더 빨라진다는 것을 의미한다고 그는 말했습니다. 동시에 고급 공격자는 동일한 서비스 액세스 도구를 사용할 수 있기 때문에 교두보를 확보하고 대화식으로 피해자를 해킹할 수 있습니다.
브레이크아웃 시간이 짧으면 일반적으로 공격자가 더 많은 자동화를 사용하고 있음을 나타내지만 CrowdStrike의 위협 사냥꾼은 공격자가 대화형 해킹을 더 자주 사용하고 있음을 발견했습니다. Singh은 두 가지 별개의 경향이 있다고 말합니다.
Singh은 "서비스로서의 랜섬웨어 및 제휴 네트워크의 지속적인 급증과 액세스 브로커 활동의 보급 증가는 모두 한 가지 사실을 더합니다. 범죄 동기가 있는 적의 진입 장벽이 낮아진다는 것입니다."라고 말했습니다. "실제로 이것은 공격자가 공격을 운영할 수 있고 초기 액세스를 더 쉽게 얻고 이전에 본 것보다 빠르게 추가 호스트로 측면으로 이동할 수 있음을 의미합니다."
CrowdStrike는 러시아-우크라이나 분쟁을 표적 공격 증가의 한 요인으로 지적했지만 회사 데이터에 따르면 중국은 여전히 가장 많은 공격을 하고 있습니다.
"지금까지 발생한 수많은 지정학적 및 거시적 글로벌 이벤트를 되돌아보면 중국과 러시아 모두 노골적으로 발언하고 있음을 알 수 있습니다."라고 Singh은 말합니다. “귀인할 수 있는 악의적인 활동의 더 많은 부분이 중국과 연계된 적과 다시 연결되었지만 러시아 적들이 계속 활동하고 있다는 것이 우리의 평가입니다. 그러나 이 활동은 현재 귀속되지 않은 침입 범주에 속할 가능성이 있습니다.”
수수께끼의 습격자
한편, 탐지된 보안 사고 중 귀인이 아닌 것으로 남아 있는 비율은 계속해서 높습니다. 12년 2022월까지 38개월 동안 침입 캠페인의 39%는 특정 그룹에 긍정적으로 기여할 수 없었으며 이는 이전 12개월과 거의 동일(XNUMX%)합니다.
CrowdStrike는 "조사해야 할 거래를 나타내는 식별 가능한 인공물이나 예가 거의 없는 경우가 많으며, 이는 높은 신뢰도의 귀속을 방지합니다."라고 CrowdStrike는 다음과 같이 밝혔습니다. 보고서. "이 문제는 eCrime과 표적 침입 트레이드크래프트 및 툴링 사이의 경계가 지속적으로 흐려짐에 따라 더욱 복잡해지며, 이는 또한 신뢰도가 높은 속성을 축소합니다."
공격자의 속도를 유지하고 공격 사슬을 끊기 위해 방어자는 기술 기반 컨트롤을 배포하고 인간 기반 위협 사냥 서비스를 사용하여 공격자의 징후를 포착하고 자동화된 공격과 직접 해킹을 무력화해야 합니다.
Singh은 "이 사슬을 끊는 것과 관련하여 적이 더 빠르게 움직이고 있는 것이 현실입니다. 어떤 경우에는 단 몇 분 만에 움직이기도 합니다."라고 말합니다. "악성 프로그램에 대한 의존도가 감소하면서 손상된 계정 사용의 증가하는 확산과 이러한 관찰을 결합하면 방어자는 기술 이상의 방어 기능을 확장해야 합니다."
