Sophos今天发布一份《给企业领袖的活跃攻击者报告》，详细介绍了攻击者在2022年间使用的攻击行为和技术的变化。这份报告的数据是从超过150个Sophos事件回应（IR）案例中分析出来的，总共识别出超过500种独特的工具和技术，包括118个「就地取材」的二进位档案（LOLBins）。

与恶意软体不同，LOLBins是原本就存在於作业系统中的可执行档，因此防御人员更难在攻击者滥用它们进行恶意活动时加以阻拦。

此外，Sophos发现未修补的漏洞是攻击者获得遭锁定系统初始存取权限的最常见根本原因。事实上，在报告中约一半的调查中，攻击者是利用2021年的ProxyShell和Log4Shell漏洞来渗透组织。攻击的第二个最常见根本原因则是被破解的认证。

Sophos现场技术长John Shier表示：「当今的攻击者不是入侵系统，而是直接用窃来的帐号登入。现实情况是，威胁环境的数量和复杂性已经 达到了一个防御者找不到显着差异可以辨认的程度。对於大多数组织来说，单独应对威胁的时代已经过去。现在的威胁是全方位的，无所不在，而且一次性全部爆发。不过，对企业来说，仍然有工具和服务可以减轻部分防御负担，使他们能够专注於核心的业务工作。」

Sophos的IR团队调查发现，超过三分之二（68%）的攻击和勒索软体有关，这表明勒索软体仍然是企业最普遍的威胁之一。在过去三年中，勒索软体也高占Sophos IR调查案件的近四分之三。

虽然勒索软体仍然是威胁环境的主宰者，但是攻击者进入後的存留时间在 2022年略有减少，从15天减少到10天，所有攻击类型都是如此。在勒索软体攻击案例中，存留时间从11天减少到9天，非勒索软件攻击的存留减少更为明显。後者的存留时间从2021年时的34天降至2022年的11天。然而，与过去几年不同的是，不同规模的组织或行业之间的存留时间没有显着的变化。

Shier表示：「成功实施多层式防御并进行不断监控的组织，在防范攻击方面取得了更好的结果，但??作用是促使攻击者加快了攻击的脚步。因此，我们需要更早期的侦测来防范更快速的攻击。攻击者和防御者之间的竞争将继续升级，没有积极的监控措施的组织将遭受严重的後果。」

Sophos针对全球22个行业进行了152个事件回应（IR）调查，并根据调查结果撰写了该份Sophos活跃攻击者报告。受攻击的组织位於31个不同的国家，包括美国和加拿大、英国、德国、瑞士、义大利、奥地利、芬兰、比利时、瑞典、罗马尼亚、西班牙、澳大利亚、纽西兰、新加坡、日本、香港、印度、泰国、菲律宾、卡达、巴林、沙乌地阿拉伯、阿拉伯联合大公国、肯亚、索马利亚、奈及利亚、南非、墨西哥、巴西和哥伦比亚。最具代表性的行业是制造业（20%），其次是医疗保健（12%）、教育（9%）和零售业（8%）。