各個(gè)組織正在更快地檢測(cè)和遏制攻擊，全球停留時(shí)間中位數(shù)(即網(wǎng)絡(luò)入侵開(kāi)始到被識(shí)別之間的持續(xù)時(shí)間)已縮短為56天。根據(jù)FireEye的數(shù)據(jù)，這比上一年的78天中位數(shù)低了28%。

顧問(wèn)將這種趨勢(shì)歸因于組織改善了其檢測(cè)程序，以及攻擊者行為的改變。例如破壞性攻擊(勒索軟件、加密貨幣礦工等)的持續(xù)增加，而些攻擊的駐留時(shí)間通常比其他攻擊類型短。

全球內(nèi)部和外部檢測(cè)時(shí)間也縮短了。

• 組織通過(guò)外部得知入侵：停留時(shí)間中位數(shù)為141天，比上一個(gè)M-Trends報(bào)告(184天)減少了23%。
• 組織自我檢測(cè)到入侵事件：停留時(shí)間中位數(shù)為30天，比去年同期(50.5天)減少40%。盡管內(nèi)部檢測(cè)時(shí)間的改善程度最大，但仍有12%的受訪組織的內(nèi)部檢測(cè)的停留時(shí)間在700天以上。

內(nèi)部檢測(cè)占比達(dá)四年來(lái)的最低水平

盡管組織內(nèi)部識(shí)別的入侵的停留時(shí)間縮短了，但與外部來(lái)源相比，自我檢測(cè)到的安全事件的總體百分比也有所下降——比起去年下降了12個(gè)百分點(diǎn)。而自2011年以來(lái)，內(nèi)部檢測(cè)數(shù)量一直是穩(wěn)定增長(zhǎng)的。

也就是說(shuō)，2019年是四年來(lái)外部通知首次超過(guò)內(nèi)部檢測(cè)。這種轉(zhuǎn)變可能是由于多種因素引起的，例如執(zhí)法和網(wǎng)絡(luò)安全供應(yīng)商通知的增加，公共披露規(guī)范的變化以及合規(guī)性提升。

同時(shí)，由于其他指標(biāo)顯示組織檢測(cè)和響應(yīng)是在持續(xù)改進(jìn)的，所以這種轉(zhuǎn)變不太可能是因?yàn)榻M織檢測(cè)入侵的能力降低。

確定了數(shù)百個(gè)新的惡意軟件家族

報(bào)告詳細(xì)介紹了2019年觀察到的所有惡意軟件家族的情況，其中41%從未見(jiàn)過(guò)。此外，確定的樣本中有70%屬于五個(gè)最常出現(xiàn)的家族之一，并且這些家族基于開(kāi)源工具積極進(jìn)行開(kāi)發(fā)。

這些表明，不僅惡意軟件作者正在創(chuàng)新，網(wǎng)絡(luò)犯罪分子還在外包任務(wù)，以更快地通過(guò)運(yùn)營(yíng)獲利。

還要注意的是，大多數(shù)新的惡意軟件家族都影響了Windows或多個(gè)平臺(tái)，僅影響Linux或Mac的新的惡意軟件家族活動(dòng)仍然是少數(shù)。

更多的勒索軟件攻擊

在專業(yè)人員響應(yīng)的攻擊中，絕大多數(shù)(29%)可能是出于直接獲得經(jīng)濟(jì)利益的動(dòng)力，包括了勒索，贖金，盜竊卡和非法轉(zhuǎn)賬等。其次(22%)是數(shù)據(jù)盜竊，可能是出于獲得知識(shí)產(chǎn)權(quán)或間諜活動(dòng)的目的。

勒索軟件攻擊的成功獲利，以及勒索軟件即服務(wù)(RaaS)商業(yè)模式的可用性，都促成了勒索軟件案件總數(shù)的增加。歷史上以個(gè)人和信用卡信息為目標(biāo)的老牌網(wǎng)絡(luò)犯罪集團(tuán)也越來(lái)越多地將勒索軟件作為創(chuàng)收的輔助手段。

考慮到勒索軟件攻擊的難易程度以及攻擊者在獲利上的持續(xù)成功，可以預(yù)期，勒索軟件將繼續(xù)被用作輔助手段。