Sophos：82% 駭客停用或清除了日誌　導致缺乏遙測數據

缺乏遙測數據會影響我們迫切需要的組織網路和系統可見性，尤其是攻擊者停留時間(從初始進入到被偵測到的時間)繼續下降，縮短了防守方有效回應事件的時間。

Sophos現場技術長John Shier表示，在回應主動威脅時，時間非常重要；從發現初始進入事件到全面緩解威脅之間時間應該盡可能縮短。攻擊者在攻擊鏈中越深入，回應人員的困難度就越大。缺少遙測數據只會增加組織負擔不起的補救時間。這就是為什麼完整而準確的日誌記錄極其重要，但我們太常見到組織並沒有他們所需的這些資料。

在報告中，Sophos將停留時間為5天或更短的勒索軟體攻擊歸類為「快速攻擊」，佔研究案例的38%。停留時間超過5天的勒索軟體攻擊則被歸於「慢速攻擊」，佔研究案例的62%。

仔細檢視這些「快速」和「慢速」的勒索軟體攻擊時，攻擊者使用的工具、技術和就地取材二進位檔(LOLBins)並沒有太大的變化，這表明雖然停留時間縮短，防守方無需重新制定新的防禦策略。然而，防守方需要意識到，快速攻擊和遙測數據缺乏可能妨礙快速反應，使得破壞增加。

Shier補充，駭客只有在必要時才會創新，而且僅會做到足以達到他們目標的程度。攻擊者不會改變有效的方法，即使他們在從進入到被偵測到的時間越來越快。對組織來說，這是一個好消息，因為即使攻擊者加快時間表，他們亦無需徹底改變防禦策略。適用於快速攻擊的偵測同樣適用於所有攻擊，無論速度快慢。而這包括完整的遙測、全面的保護和無所不在的監控。關鍵是在可能的情況下增加阻力，如果你讓攻擊者的工作變得更難，那麼你就可以爭取回應的寶貴時間，拉長攻擊的每個階段。

例如，在勒索軟體攻擊中，如果有更多的阻力，你就可以延遲資料外洩的時間；外洩通常發生在其被偵測出來之前，也是攻擊中代價最高的部分。在Cuba勒索軟體的兩起事件中見到了這種情況。一家公司(A公司)已經部署MDR持續監控，因此能夠在數小時內發現惡意活動，阻擋攻擊並防止任何資料被竊。另一家公司(B公司)沒有這種防禦；直到初始入侵後幾週才發現攻擊，而此時Cuba已外洩了75GB的敏感資料。那時才趕快聯絡事件回應團隊。一個月後，仍在努力恢復正常運作。

Sophos給安全從業人士的主動攻擊者報告—是根據從2022年1月1日到2023年6月30日的232個Sophos回應(IR)案例，涵蓋25個不同行業。被攻擊的組織分佈在六大洲的34個不同國家。其中83%的案例來自擁有不到1,000名員工的組織。