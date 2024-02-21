每年，IBM X-Force 分析师都会对我们所有安全领域收集的数据进行评估，编制《IBM X-Force Threat Intelligence Index》报告，这份年度报告旨在勾勒网络威胁态势的变化，揭示潜在趋势，帮助客户主动部署安全防护措施。在这份《X - Force 2024 年报告》诸多值得关注的研究结论中，有三大核心趋势尤为突出，我们特此提醒安全领域专业人士及首席信息安全官重点留意：
网络罪犯更喜欢采取阻力最小的路径来实现目标。因此，令人担忧的是，在我们的研究中，滥用有效账户首次成为网络罪犯进入受害者环境的首选手段。通过被盗凭据登录有效账户的攻击行为较上年激增 71%，在 IBM X-Force 于 2023 年处置的所有安全事件中占比达 30%，与钓鱼攻击并列成为首要攻击途径。
随着防御方不断提升检测与防护能力，攻击者发现，获取有效凭据在去年成为了实现其攻击目标的“更便捷”途径。考虑到暗网中存在大量可轻松获取的有效凭据，这一现象并不完全令人意外。然而，这种攻击者的“便捷入口”却难以被检测，组织需要通过复杂的响应机制，才能区分网络中用户行为的合法性与恶意性。
尽管网络钓鱼的数量比 2022 年下降了 44%，但无论是通过附件、链接还是作为服务进行的网络钓鱼，也占 X-Force 于 2023 年处置的所有事件的 30%。经监测，通过钓鱼攻击导致的入侵事件数量显著下降。这一现象或许既源于各类钓鱼防护技术的应用持续普及，也归因于攻击者转而采用盗用有效凭据的攻击方式。
此外，X-Force 观察到，事件响应期间 “Kerberoasting” 增加了 100%。Kerberoasting 是一种专注于通过 Kerberos 票据危害 Microsoft Windows Active Directory 凭证的技术。这表明攻击者获取身份信息以执行操作的方式发生了技术转变。
这些变化表明，威胁参与者已重新评估凭据作为可靠且首选的初始访问途径。
滥用有效账户作为首要入侵手段的同时，一类名为“信息窃取型恶意软件”的恶意程序数量也呈激增态势，其设计初衷就是通过窃取信息来获取账户凭据。我们监测到信息窃取型恶意软件的攻击量激增 266%，此前专门从事勒索软件攻击的团伙均已转向此类信息窃取工具的使用。
尽管企业勒索软件事件仍然是最常见的目标行动 (20%)，但 X-Force 观察到其发生率下降了 11.5%。此类入侵事件的减少，或许是因为大型组织已能在勒索软件部署前拦截攻击；而即便勒索软件成功植入并立足，也不再选择支付赎金，转而采用系统重建的应对方式。（值得注意的是，通过对勒索软件勒索站点的分析可知，2023 年全球勒索软件攻击活动实则呈上升态势。这一反差似乎表明，IBM X-Force 的客户在勒索软件攻击前兆行为的检测与响应能力方面持续提升。）
尽管 IBM X - Force 监测到勒索软件攻击事件有所减少，但勒索式攻击在过去一年里依旧是网络犯罪的主要推手。在其记录的各类网络安全事件中，该类攻击造成的影响仅次于数据窃取与数据泄露，是最为常见的攻击影响类型之一。例如，IBM X-Force 曾处置多起与 CL0P 勒索软件团伙相关的安全事件，该团伙利用常用托管文件传输 (MFT) 工具 MOVEit 中一个此前未知的漏洞，发起了大规模数据勒索攻击。
虽然像这样的零日漏洞声名鹊起，但现实情况是，零日漏洞在漏洞攻击面中只占很小的比例，仅占 X-Force 跟踪的漏洞总数的 3%。2023 年相较 2022 年，零日漏洞的数量减少了 72%，新增零日漏洞仅为 172 个。虽然零日漏洞总数有所下降，但各组织仍应重视了解自身的攻击面，识别并修补环境中的漏洞，以防止许多攻击。
去年将作为生成式 AI 突破性载入史册的一年。政策制定者、企业高管和网络安全专业人士都感受到了在运营中采用 AI 的压力。目前，采用生成式 AI 的热潮已经超过了行业对这些新功能将带来的安全风险的理解能力。然而，一旦 AI 的采用达到临界规模，通用 AI 攻击面就会成为现实，迫使组织优先考虑能够大规模适应 AI 威胁的安全防御。
为了得出这一结论，X-Force 回顾了过去助长网络罪犯活动的技术推动因素和里程碑事件，以预测我们何时会看到 AI 攻击面成熟的指标。X-Force 预测，一旦单一 AI 技术的市场份额接近 50% 或市场格局整合为三种及以下主流技术时，这种情况将会发生。
此外，尽管有迹象表明网络罪犯对利用生成式 AI 进行攻击很感兴趣，但 X-Force 尚未观察到任何生成式 AI 设计的网络攻击的具体证据。钓鱼攻击有望成为网络犯罪分子率先投入的 AI 恶意应用场景之一，借助 AI 技术，攻击者打造极具迷惑性的钓鱼信息所需时间将从数天缩短至数分钟。尽管短期内大概率会出现有关 AI 赋能型攻击的相关报道，但 IBM X-Force 评估认为，唯有当企业级 AI 的应用节奏趋于成熟后，这类攻击活动才会形成规模化蔓延态势。
信息窃取器的增加以及滥用有效账户凭证以获得初始访问权限的结合，加剧了防御者的身份和访问管理挑战。网络罪犯对身份凭证的关注度再度升温，这凸显了组织在其可视范围之外的设备上存在的安全风险，需持续向员工强调良好的安全习惯养成。通过凭据重复使用、浏览器凭证存储或直接从个人设备访问企业账户，企业凭据数据可以从遭到入侵的设备中轻松窃取。
虽然“安全基础工作”不像“AI 攻击”那样引人注目，但企业最大的安全问题归根结底仍然是基本和已知的安全问题，而不是新颖和未知的安全问题。身份凭证已成为网络攻击者反复用来攻击企业的手段，而随着攻击者投入资源借助人工智能优化这类攻击手段，这一问题还将进一步恶化。
X-Force Threat Intelligence Index 为 IBM 客户、安全行业的研究人员、政策制定者、媒体以及更广泛的安全专业人士和商业领袖社区提供了我们的独特洞察分析。
在报告中探索有关威胁态势和最新网络安全趋势的更多信息：
下载报告并阅读网络直播摘要，了解 IBM X-Force 副合伙人 Kevin Albano 和 FBI 网络部门主管特工 Ryan Leszczynski 的小组讨论。他们将详细解释调研结果，以及相关结果对组织防御不断变化的威胁的意义。