网络攻击也要快狠准，俄罗斯骇客的攻击速度是北朝鲜骇客的8倍快

美国资安业者CrowdStrike在去年首度提出了网络攻击行动中“爆发时间”（Breakout Time）的概念，指的是骇客入侵目标系统至横向发展所需的时间，并在近期公布了各国骇客进攻的爆发时间，发现俄罗斯骇客集团Bear展开攻击的平均爆发时间只有18分49秒，居次的北朝鲜骇客集团Chollima却需2小时20分14秒，约莫是Bear的8倍。

CrowdStrike把爆发时间认为是衡量骇客攻击火力的重要指标之一，根据该公司的定义，它是骇客在目标网络上建立第一个缺口（例如让某人点选一个恶意连结或是透过攻击程式入侵系统）到成功转移至目标系统所需的时间，这段时间骇客也许是在勘察网络、企图扩张权限或是窃取凭证。

CrowdStrike共同创办人暨技术长Dmitri Alperovitch表示，假设遭攻击的组织未能防范第一个缺口，就应掌握此一爆发时间，以避免面临更大也更难处理的缺口。

根据去年的统计，骇客集团的平均爆发时间为1小时58分钟，而今年CrowdStrike则进一步分析每个骇客集团的速度，包括来自俄罗斯的Bear、中国的Panda、北朝鲜的Chollima、伊朗的Kitten及由个别骇客（eCrime）组成的Spider，显示出动作最快的是Bear，平均的爆发时间只有18分49秒，远远领先排名第二的北朝鲜Chollima（2小时20分钟14秒），而Chollima的进攻时间又比中国Panda（4小时26秒）快了许多，伊朗Kitten的平均爆发时间则是5小时9分4秒。

Alperovitch指出，尽管俄罗斯因拥有顶尖的情报技术，排名第一完全在意料之中，却没想到Bear的动作如此迅速。至于北朝鲜的Chollima则具备了近20年的积极网络攻击经验，也是最早使用资讯操作的国家之一，从2009年就开始部署破坏性的攻击行动，其实北朝鲜的情报与能力非常先进，只是过去被低估了，其快速的爆发时间就是最好的证明。

CrowdStrike也提出了因应爆发时间的1-10-60规则，以1分钟来侦测入侵，花10分钟调查，并在60分钟内修复，透过比平均爆发时间（1小时58分钟）还快的速度来防御攻击行动，但也必须根据对手的能力作出调整。

爆发时间虽是可用来衡量对手实力的有效方法，但不见得是通用的，也得视企业自身的安全机制而定，例如假设企业网络的漏洞像瑞士起司一样多，那么爆发时间势必会更短。