面对网路攻击者的行为，第一线威胁搜寻和事件回应人员应该利用什麽策略、技术和程序(TTP)来防御，是确保网路安全与运作的关键。新一代网路安全技术厂商Sophos今天发表《2021年主动攻击者的剧本》(Active Adversary Playbook 2021)报告，详细介绍在2020年间在外界看到相关作法，也提供2021年初的TTP侦测资料。研究结果表明，攻击者在被发现之前的平均停留时间为11天(264小时)，未被发现的最长入侵时间为15个月。81%的事件和间谍软体有关，69%的攻击使用远端桌面通讯协定(RDP)在网路内横向移动。

这份报告的资料是来自Sophos遥测技术，和Sophos Managed Threat Response(MTR)威胁搜寻和分析人员以及Sophos Rapid Response事件回应团队对81次事件的调查和结果。目的是协助安全团队了解攻击者在攻击过程中的行为，以及如何发现和防御网路上的恶意活动。

该报告发现，攻击者被发现之前的平均停留时间为11天，也就是说攻击者在11天之内有264小时可以进行恶意活动，包括横向移动、侦察、凭证倾印、资料外泄和其他行为。其中某些行为可能只需要几分钟或几小时，而且通常是在夜间或非上班时间进行，所以11天足可让攻击者有充裕的时间对企业网路造成损害。值得注意的是，勒索软体攻击的停留时间通常比「隐匿式」攻击要短，因为它们只在??破坏力。

此外，90%的攻击和远端桌面通讯协定(RDP)有关。在所有案例中，有69%的攻击者使用RDP进行内部横向移动。通常保护RDP的安全措施，例如VPN和多因素验证等，往往只着重在防护来自外部的存取，但如果攻击者已存在於网路内部，这些保护都会无效。在主动的人为攻击，例如和勒索软体有关的攻击中，使用RDP进行内部横向移动的情形越来越普遍。

Sophos也发现，受害者网路的前五大工具之间具有关联性。例如，当在攻击中使用PowerShell时，Cobalt Strike占58%，PsExec占49%，Mimikatz占33%，GMER占19%。27%的攻击同时使用了Cobalt Strike和PsExec，而31%的攻击同时使用了Mimikatz和PsExec。同时使用Cobalt Strike、PowerShell和PsExec的组合占所有攻击的12%。这种关联性很重要，因为一旦侦测到，就可以作为即将发生的攻击的预警，或用於确认是否存在作用中的攻击。

Sophos调查的攻击中，81%和勒索软体有关。通常在勒索软体出现後，IT安全团队才会看到攻击，因此Sophos回应的事件大都和勒索软体有关不足为奇。Sophos发现，其他攻击类型还包括仅进行渗透、加密挖矿、银行木马、抹除程式、下载投放程式、渗透测试试/攻击工具等。

Sophos资深安全顾问John Shier表示：「威胁形势变得越来越复杂且多变。在过去的一年中，我们的事件回应人员协助抵挡了超过37个攻击团体发动的攻击，使用的工具超过400种。而且许多工具与IT系统管理员和安全专家用於执行日常工作的相同，因此很难辨识出良性和恶意活动之间的区别。」

他也强调：「由於攻击者在网路中平均躲了11天，并将攻击混在一般正常的IT作业中进行，因此安全团队必须了解哪些警讯应该要注意，以便进行调查。最重要的是，安全部门要记住技术虽然可以完成很多工作，但在当今的威胁形势下，仅靠技术是不够的。人类的经验和回应能力，是任何安全解决方案的重要一环。」