服務器和網絡上最易發現網絡犯罪行動

近日，Sophos 發表其最新全球調查報告《七個令人不安的端點安全真相》，顯示IT主管最有可能在其所屬機構的服務器和網絡捕捉到網絡罪犯的活動。事實上，在IT主管所遇到的最重大攻擊當中，有37%是在公司的服務器上被發現，另有同樣37%的攻擊于企業網絡上被偵測出。同時，分別只有17%和10%的攻擊是在端點及移動設備上被發現。

該調查訪問了來自美國、加拿大、墨西哥、哥倫比亞、巴西、英國、法國、德國、澳大利亞、日本、印度及南非等12個國家的企業共3100位IT決策人。

Sophos首席研究科學家Chester Wisniewski指出：“服務器存儲了企業的財務、雇員、專利資產和其他敏感數據，加上如GDPR （一般數據保護規則） 這等日趨嚴苛的法規要求企業通報數據外泄事故，使企業在服務器安全方面的風險前所未有的高。這自然使IT主管專注于保護業務關鍵服務器，并以阻止攻擊者入侵網絡為首要任務，也順理成章在這兩個領域偵測出更多的網絡犯罪活動。然而，IT主管不能忽略端點，因為絕大部分網絡攻擊都由此展開。問題是，比預期更多的IT主管仍然無法辨識到網絡威脅是如何進入系統之內的。”

根據這份調查報告，有兩成在去年遭受一次或以上網絡攻擊的IT主管未能指出攻擊者是如何得以進入系統，也有17%的受訪者不知這些威脅在被發現之前已經隱藏在系統中有多久。為了改善這種欠缺可視度的情況，IT主管需要端點偵測與響應 （EDR） 技術的協助，以曝露這些威脅的入侵源頭，以及攻擊在公司網絡上四處游走的數碼足跡。

Chester Wisniewski表示：“如果 IT主管不知攻擊的源頭或動向，他們就無法盡力降低風險，也不能中斷攻擊鏈以防范進一步滲透。EDR技術協助IT主管辨別出風險，且能為企業在安全成熟度模型 的首尾兩端落實執行程序。如果說IT人員較專注于偵測，EDR方案則能更迅速發現、阻截和補救;如果說IT人員仍是信息安全的基礎，EDR方案便是其中之一個整合部分，提供他們必需的威脅情報。”

報告指出，每月偵查到一宗或以上潛在安全事故的企業，平均每年要花48天 （即每月4天） 來調查這些事故。難怪IT主管把辨識可疑事件 （27%）、警報管理 （18%），以及為可疑事件排列優先處理次序 （13%） 為頭三大EDR解決方案必要功能，以便他們可縮短辨別安全警報重要性并作出適當反應的時間。

Chester補充：“多數撒網式 網絡攻擊都可以在端點部分瞬間被截停而不會觸發警報。頑強的攻擊者，包括那些運用SamSam這等針對性勒索軟件的黑客，會有耐心地尋找一些使用未經慎重考慮、容易猜中密碼的遠程存取系統，例如遠程桌面協議 （RDP） 、虛擬網絡控制面板 （VNC） 、虛擬私云端 （VPC） 等作為墊腳石，再靜悄悄四圍竄動直至造成禍害。假如IT主管可借EDR方案獲得深層防護，他們也能更快偵查事故并利用所得的威脅情報，協助找尋整個系統架構內的同類感染。只要網絡罪犯得知某種攻擊奏效，他們便通常在受害機構內復制這種攻擊。因此，發現且攔截這些攻擊模式將有助于減少IT主管投放在偵察潛在事故的時間。”

有57%的受訪者表示自己計劃在12個月內部署EDR方案。推行EDR方案也有助于解決技能落差問題。調查顯示，有八成IT主管希望擁有一支更強大的團隊。

Sophos的《7 Uncomfortable Truths of Endpoint Security》調查由獨立市場研究專家Vanson Bourne于2018年12月至2019年前1月期間進行。