每年,IBM X-Force都会发布《威胁情报指数报告》,以描绘网络威胁形势的变化和趋势,并提供主动型安全建议。在最新的《2024年威胁情报指数报告》中同样有如下许多值得注意的发现:
滥用有效的帐户凭据成为最大威胁
网络犯罪分子更喜欢采取阻力最小的途径来实现他们的目标,因此,在此次研究中,滥用有效账户首次成为网络犯罪分子入侵受害者环境的首选手段,这一事实令人担忧。使用被盗凭据访问有效账户的情况比前一年激增了71%,占X-Force在2023年应对的所有事件的30%,与网络钓鱼并列成为头号感染媒介。
【初始攻击向量,2023年VS 2022年】
随着防御者检测和防御能力的增强,攻击者发现获取有效凭据是实现其目标“更容易”的途径。考虑到在暗网上可以轻易获取大量有效凭据,这一点也就不足为奇了。然而,攻击者的这种入侵方式通常很难被检测到,需要组织做出复杂的响应,以区分网络上的合法和恶意用户活动。
此外,网络钓鱼——无论是通过附件、链接还是作为服务——也占X-Force在2023年应对的所有事件的30%,只不过网络钓鱼的数量比2022年下降了44%。研究人员观察到,经由网络钓鱼实现的危害显著下降,这可能反映了网络钓鱼缓解技术的持续采用,以及攻击者转向使用有效凭据。
X-Force还发现,在事件响应过程中,“Kerberoasting”增加了100%。Kerberoasting是一种通过Kerberos票据泄露Microsoft Windows Active Directory凭据的技术。这表明攻击者获取身份以执行其操作的技术发生了变化。
这些变化表明,威胁行为者已经将凭据重新视为可靠和首选的初始访问媒介。
随着勒索软件组织方式转变,信息窃取恶意软件数量上升
滥用有效账户作为顶级访问技术的同时,信息窃取恶意软件也出现了激增,旨在窃取信息以获取凭据。调查数据显示,信息窃取恶意软件激增了266%,以前专门从事勒索软件的组织开始纷纷转向信息窃取。
X-Force观察到,尽管勒索软件(20%)仍然是最常见的攻击方式,但企业勒索软件事件下降了11.5%。这种下降很可能是由于大型组织在勒索软件被部署之前就终止了攻击,并选择不支付赎金,以便在勒索软件占据主导地位时进行重建。
【常见攻击方式】
虽然X-Force发现勒索软件攻击有所下降,但基于勒索的攻击仍然是过去一年网络犯罪的主要推动力,仅次于数据盗窃和泄露。例如,通过利用MOVEit(一种常用的管理文件传输工具)中先前未知的漏洞,X-Force应对了与CL0P勒索软件组织广泛的数据勒索攻击相关的多起事件。
虽然像这样的零日漏洞臭名昭著,但现实情况是,零日漏洞只占漏洞攻击面很小的比例——仅占X-Force跟踪的所有漏洞的3%。与2022年相比,2023年的零日漏洞数量下降了72%,只有172个新的零日漏洞。虽然零日攻击的总数下降了,但组织仍应致力于了解其攻击面,识别和修补其环境中的漏洞,以防止更多潜在攻击。
生成式人工智能攻击有潜力,但还不是直接威胁
去年将作为人工智能的“突破之年”载入史册。政策制定者、企业高管和网络安全专业人士都感受到了在运营中采用人工智能的压力。目前,采用新一代人工智能的热潮超过了行业对这些新功能将带来的安全风险的理解能力。然而,一旦人工智能的采用达到临界质量,一个通用的人工智能攻击面将成为现实,迫使组织优先考虑能够适应大规模人工智能威胁的安全防御。
为了得出这一结论,X-Force反思了过去助长网络犯罪活动的技术推动因素和里程碑,以预测我们何时会看到人工智能攻击面成熟的指标。X-Force预测,一旦单一人工智能技术的市场份额接近50%,或者当市场整合为三种或更少的技术时,这种情况就会发生。
此外,尽管有迹象表明网络犯罪分子对利用新一代人工智能进行攻击很感兴趣,但迄今为止,X-Force还没有观察到任何由新一代人工智能设计的网络攻击的具体证据。网络钓鱼预计将成为网络犯罪分子投资的第一批人工智能恶意用例之一,将制作令人信服的信息的时间从数天减少到几分钟。不过,X-Force评估称,在企业采用人工智能的步伐成熟之前,扩散活动不会建立。
结语与建议
2023年,信息窃取程序的激增和滥用有效账户凭据以获得初始访问权限的结合,加剧了防御者的身份和访问管理挑战。此外,由于有效的、可重复的攻击路径(如大规模利用MFA工具和使用kerberos的攻击),入侵的速度也已得到大幅提升。虽然勒索软件和其他恶意软件继续困扰着企业,但网络犯罪分子已经开始探索在其运营中利用人工智能的方式。
考虑到这些趋势,组织应该如何应对,又该从何着手呢?
在环境中的所有服务器和工作站上部署EDR工具有助于检测恶意软件,包括信息窃取程序和勒索软件。这些工具还可以检测异常行为,例如数据泄露、查询敏感信息或在敏感系统上创建新帐户或文件夹。
强化凭据管理实践,通过实现MFA和强密码策略来保护组织的系统或域凭据,并利用强化的系统配置,加剧访问凭据的困难性。
此外,凭据收集攻击也经常通过网络钓鱼和水坑攻击进行。因此,建议定期向员工提供攻击者使用的最新网络钓鱼技术教育。仔细检查所有第三方流量,并将其视为不可信的,除非进行其他检查。
网络安全爆炸半径指的是给定特定用户、设备或数据泄露的事件的潜在影响。例如,如果一个具有管理权限的帐户被破坏,那么爆炸半径比一个正常的非特权帐户被赋予横向移动和通过网络访问额外数据的能力更大。
考虑到数据安全和身份管理在当前威胁环境中的重要性,组织应该考虑实施解决方案,以减少数据安全事件可能造成的损害。
减小爆炸半径的策略如下:
攻击者可能利用收集到的凭据进行攻击,或者在暗网上进行交易,或者两者兼而有之。暗网上关于组织的可用数据突出了存在于网络边界控制之外的风险。
暗网侦察可以实现以下优势:
X-Force发现,2023年全球客户端环境中最常见的风险是安全配置错误,其中最严重的风险包括允许在应用程序中并发用户会话。为此,建议组织通过实现DevSecOps方法限制会话劫持的可能性,并使用安全的加密连接(HTTPS),实现会话超时和提示重新认证。
尽管组织尽了最大的努力来降低攻击风险,但安全事件还是会发生。拥有针对企业环境的定制事件响应计划是减少响应、修复和从攻击中快速恢复的关键。
这些计划应该定期演练并实现跨组织(包含IT之外的利益相关者)的响应,同时还要测试技术团队和高级领导层之间的沟通渠道。最后,在身临其境的高压网络演习中反复测试和改进计划,以极大地提高组织应对攻击的能力。
保护人工智能的范围比人工智能本身更广泛。组织可以利用现有的防护机制来帮助保护人工智能管道。重点关注的关键原则是保护人工智能底层的训练数据、模型、模型的使用和推理,以及围绕模型的更广泛的基础设施。网络犯罪分子用来入侵企业的相同访问点对人工智能构成了相同类型的风险。随着组织将运营业务流程交付给人工智能,他们还需要建立治理,并使运营防护成为人工智能战略的核心。
参考资料:
https://branden.biz/wp-content/uploads/2024/02/IBM-XForce-Threat-Intelligence-Index-2024.pdf