每年,IBM X-Force都会发布《威胁情报指数报告》,以描绘网络威胁形势的变化和趋势,并提供主动型安全建议。在最新的《2024年威胁情报指数报告》中同样有如下许多值得注意的发现:
-
使用有效凭据的攻击数量同比激增71%。滥用有效账户有史以来第一次成为网络罪犯进入受害者环境的最常见入口,占X-Force在2023年应对的所有事件的30%。
-
企业勒索软件事件下降11.5%。尽管勒索软件仍然是最常见的攻击手段(20%),但X-Force观察到企业勒索软件事件有所下降。这种下降可能会影响攻击者对基于加密的勒索的收入预期,因为大型组织在勒索软件被部署之前就停止了攻击,并选择在勒索软件占据主导地位时放弃付费和解密,转而进行重建。
-
数据盗窃和泄露事件占比32%,已成为企业最常见的影响,这表明越来越多的企业倾向于通过这种方式获取经济利益。
-
信息窃取程序使用量激增266%。X-Force观察到以前专门研究勒索软件的威胁组织对信息窃取程序越来越感兴趣。一些著名的信息窃取程序最近纷纷亮相,并在2023年表现出增加的活性,如Rhadamanthys、lummac2和StrelaStealer。
-
在已识别的web应用程序漏洞中,30%属于安全配置错误。X-Force渗透测试表明,在全球范围内,客户端环境中观察到的最多的web应用程序风险是安全配置错误。在这些错误配置中,最严重的错误包括允许应用程序中并发用户会话,这可能会通过会话劫持削弱多因素身份验证(MFA)。
-
恶意使用合法工具的比例达到32%。X-Force响应的近三分之一的事件是合法工具被用于恶意目的(例如凭证盗窃、侦察、远程访问或数据泄露)的案例。
-
50%的市场份额阈值可能引发针对AI平台的攻击。X-Force分析表明,AI市场主导地位的确立将标志着AI攻击面成熟。这一分析表明,一旦一种AI技术的市场份额接近50%,或者当市场整合为三种或更少的技术时,网络犯罪生态系统将被激励投资开发针对AI技术的工具和攻击路径。
-
84%的关键基础设施事件中,初始访问向量本可以得到缓解。对于X-Force响应的关键基础设施上的大多数事件,最初的访问向量可以通过最佳实践和安全卫生实践来缓解,例如资产和补丁管理、凭证强化和最小特权原则。
-
制造业(25.7%)在2023年再次成为受攻击最多的行业,连续第三年成为受攻击最多的行业。
【初始攻击向量,2023年VS 2022年】
随着防御者检测和防御能力的增强,攻击者发现获取有效凭据是实现其目标“更容易”的途径。考虑到在暗网上可以轻易获取大量有效凭据,这一点也就不足为奇了。然而,攻击者的这种入侵方式通常很难被检测到,需要组织做出复杂的响应,以区分网络上的合法和恶意用户活动。
此外,网络钓鱼——无论是通过附件、链接还是作为服务——也占X-Force在2023年应对的所有事件的30%,只不过网络钓鱼的数量比2022年下降了44%。研究人员观察到,经由网络钓鱼实现的危害显著下降,这可能反映了网络钓鱼缓解技术的持续采用,以及攻击者转向使用有效凭据。
X-Force还发现,在事件响应过程中,“Kerberoasting”增加了100%。Kerberoasting是一种通过Kerberos票据泄露Microsoft Windows Active Directory凭据的技术。这表明攻击者获取身份以执行其操作的技术发生了变化。
这些变化表明,威胁行为者已经将凭据重新视为可靠和首选的初始访问媒介。
滥用有效账户作为顶级访问技术的同时,信息窃取恶意软件也出现了激增,旨在窃取信息以获取凭据。调查数据显示,信息窃取恶意软件激增了266%,以前专门从事勒索软件的组织开始纷纷转向信息窃取。
X-Force观察到,尽管勒索软件(20%)仍然是最常见的攻击方式,但企业勒索软件事件下降了11.5%。这种下降很可能是由于大型组织在勒索软件被部署之前就终止了攻击,并选择不支付赎金,以便在勒索软件占据主导地位时进行重建。
虽然X-Force发现勒索软件攻击有所下降,但基于勒索的攻击仍然是过去一年网络犯罪的主要推动力,仅次于数据盗窃和泄露。例如,通过利用MOVEit(一种常用的管理文件传输工具)中先前未知的漏洞,X-Force应对了与CL0P勒索软件组织广泛的数据勒索攻击相关的多起事件。
虽然像这样的零日漏洞臭名昭著,但现实情况是,零日漏洞只占漏洞攻击面很小的比例——仅占X-Force跟踪的所有漏洞的3%。与2022年相比,2023年的零日漏洞数量下降了72%,只有172个新的零日漏洞。虽然零日攻击的总数下降了,但组织仍应致力于了解其攻击面,识别和修补其环境中的漏洞,以防止更多潜在攻击。
去年将作为人工智能的“突破之年”载入史册。政策制定者、企业高管和网络安全专业人士都感受到了在运营中采用人工智能的压力。目前,采用新一代人工智能的热潮超过了行业对这些新功能将带来的安全风险的理解能力。然而,一旦人工智能的采用达到临界质量,一个通用的人工智能攻击面将成为现实,迫使组织优先考虑能够适应大规模人工智能威胁的安全防御。
为了得出这一结论,X-Force反思了过去助长网络犯罪活动的技术推动因素和里程碑,以预测我们何时会看到人工智能攻击面成熟的指标。X-Force预测,一旦单一人工智能技术的市场份额接近50%,或者当市场整合为三种或更少的技术时,这种情况就会发生。
此外,尽管有迹象表明网络犯罪分子对利用新一代人工智能进行攻击很感兴趣,但迄今为止,X-Force还没有观察到任何由新一代人工智能设计的网络攻击的具体证据。网络钓鱼预计将成为网络犯罪分子投资的第一批人工智能恶意用例之一,将制作令人信服的信息的时间从数天减少到几分钟。不过,X-Force评估称,在企业采用人工智能的步伐成熟之前,扩散活动不会建立。
2023年,信息窃取程序的激增和滥用有效账户凭据以获得初始访问权限的结合,加剧了防御者的身份和访问管理挑战。此外,由于有效的、可重复的攻击路径(如大规模利用MFA工具和使用kerberos的攻击),入侵的速度也已得到大幅提升。虽然勒索软件和其他恶意软件继续困扰着企业,但网络犯罪分子已经开始探索在其运营中利用人工智能的方式。
考虑到这些趋势,组织应该如何应对,又该从何着手呢?
1. 减少凭据收集攻击的风险
在环境中的所有服务器和工作站上部署EDR工具有助于检测恶意软件,包括信息窃取程序和勒索软件。这些工具还可以检测异常行为,例如数据泄露、查询敏感信息或在敏感系统上创建新帐户或文件夹。
强化凭据管理实践,通过实现MFA和强密码策略来保护组织的系统或域凭据,并利用强化的系统配置,加剧访问凭据的困难性。
此外,凭据收集攻击也经常通过网络钓鱼和水坑攻击进行。因此,建议定期向员工提供攻击者使用的最新网络钓鱼技术教育。仔细检查所有第三方流量,并将其视为不可信的,除非进行其他检查。
2. 减小爆炸半径
网络安全爆炸半径指的是给定特定用户、设备或数据泄露的事件的潜在影响。例如,如果一个具有管理权限的帐户被破坏,那么爆炸半径比一个正常的非特权帐户被赋予横向移动和通过网络访问额外数据的能力更大。
考虑到数据安全和身份管理在当前威胁环境中的重要性,组织应该考虑实施解决方案,以减少数据安全事件可能造成的损害。
减小爆炸半径的策略如下:
-
实施最低特权框架;
-
提供身份和网络分段;
-
实施数据安全和保护解决方案;
-
提供持续监控和事件响应。
3. 了解暗网曝光度
攻击者可能利用收集到的凭据进行攻击,或者在暗网上进行交易,或者两者兼而有之。暗网上关于组织的可用数据突出了存在于网络边界控制之外的风险。
暗网侦察可以实现以下优势:
-
查找有风险的凭据和会话密钥。
-
核查高管的数字身份,以发现个人信息的过度暴露、对高管的批评以及社交网络中创建的欺诈性个人资料。
-
扫描社交网络、所在行业相关的渠道、博客和广告,以防未经授权的品牌使用。
-
识别泄露的优先级、机密和敏感数据。
-
评估论坛、信用卡市场、Telegram频道、聊天室和讨论、代码库、文档和文件库、表层网络爬虫和粘贴网站,以检查暴露的凭据和被盗会话密钥。
4. 实施DevSecOps方法并进行测试
X-Force发现,2023年全球客户端环境中最常见的风险是安全配置错误,其中最严重的风险包括允许在应用程序中并发用户会话。为此,建议组织通过实现DevSecOps方法限制会话劫持的可能性,并使用安全的加密连接(HTTPS),实现会话超时和提示重新认证。
5. 制定计划
尽管组织尽了最大的努力来降低攻击风险,但安全事件还是会发生。拥有针对企业环境的定制事件响应计划是减少响应、修复和从攻击中快速恢复的关键。
这些计划应该定期演练并实现跨组织(包含IT之外的利益相关者)的响应,同时还要测试技术团队和高级领导层之间的沟通渠道。最后,在身临其境的高压网络演习中反复测试和改进计划,以极大地提高组织应对攻击的能力。
6. 建立安全的AI+业务模式
保护人工智能的范围比人工智能本身更广泛。组织可以利用现有的防护机制来帮助保护人工智能管道。重点关注的关键原则是保护人工智能底层的训练数据、模型、模型的使用和推理,以及围绕模型的更广泛的基础设施。网络犯罪分子用来入侵企业的相同访问点对人工智能构成了相同类型的风险。随着组织将运营业务流程交付给人工智能,他们还需要建立治理,并使运营防护成为人工智能战略的核心。
原文始发于微信公众号(FreeBuf):IBM:AI攻击即将到来,被盗凭据成为头号风险
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论