2024显示人工智能攻击凭据被盗为最高风险

每年，IBM X-Force 分析师都会评估在我们所有安全学科中收集的数据，以创建IBM X-Force 威胁情报指数，这是我们的年度报告，绘制网络威胁形势的变化，以揭示趋势并帮助客户主动采取安全措施地方。在2024 年版 X-Force 报告中的许多值得注意的发现中，我们建议安全专业人士和 CISO 观察三个主要趋势：

• 滥用有效账户的行为急剧增加

• 主要勒索软件组织方法的关键

• 我们对生成式人工智能 (gen AI) 对网络安全影响的时间和形式的分析

网络犯罪分子更喜欢采取阻力最小的路径来实现其目标，因此，在我们的研究中，滥用有效帐户首次成为网络犯罪分子进入受害者环境的首选方式，这一点令人担忧。使用被盗凭据访问有效帐户的行为比上一年激增 71%，占 X-Force 2023 年响应的所有事件的 30%，其中网络钓鱼成为首要感染媒介。

滥用有效帐户凭据是最大威胁

随着防御者提高检测和预防能力，攻击者发现获取有效凭据是实现去年目标的“更简单”途径。考虑到在暗网上可以轻松访问大量有效凭证，这并不完全令人惊讶。然而，攻击者的这种“轻松进入”很难被发现，需要组织做出复杂的响应来区分网络上的合法和恶意用户活动。

尽管网络钓鱼数量较 2022 年下降了 44%，但网络钓鱼（无论是通过附件、链接还是作为服务）也占 2023 年 X-Force 修复的所有事件的 30%。通过网络钓鱼观察到的危害显着下降这可能反映了网络钓鱼缓解技术的持续采用，以及攻击者转向使用有效凭据。

此外，X-Force 观察到事件响应期间“Kerberoasting”增加了 100%。Kerberoasting 是一种专注于通过 Kerberos 票证破坏 Microsoft Windows Active Directory 凭据的技术。这表明攻击者获取身份以执行其操作的方式发生了技术转变。

这些变化表明，威胁行为者已重新评估凭证的价值，将其视为可靠且首选的初始访问向量。

随着勒索软件组织的转向，信息窃取恶意软件有所增加

滥用有效帐户作为顶级访问技术伴随着恶意软件（称为信息窃取程序）的激增，这些恶意软件旨在窃取信息以获取凭据。我们观察到信息窃取恶意软件激增 266%，正如我们观察到以前专门从事勒索软件的组织转向信息窃取者一样。

尽管仍然是最常见的目标行动 (20%)，X-Force 观察到企业勒索软件事件下降了 11.5%。这种下降可能是由于大型组织在勒索软件部署之前停止攻击，并选择不支付赎金，而在勒索软件流行时进行重建。（值得注意的是，对勒索软件勒索网站的分析表明，2023 年全球勒索软件活动实际上有所增加。这似乎表明 X-Force 客户继续提高检测和响应勒索软件事件前兆的能力。）

尽管 X-Force 观察到勒索软件攻击有所下降，但基于勒索的攻击仍然是去年网络犯罪的驱动力，仅次于数据盗窃和泄露，成为 X-Force 事件中观察到的最常见影响。例如，X-Force 通过利用常用的托管文件传输 (MFT) 工具 MOVEit 中先前未知的漏洞，响应了与 CL0P 勒索软件组织广泛的数据勒索攻击相关的多起事件。

虽然像这样的零日漏洞声名狼藉，但现实情况是，零日漏洞只占漏洞攻击面的一小部分——仅占 X-Force 跟踪的漏洞总数的 3%。2023年，零日漏洞数量较2022年下降了72%，新增零日漏洞仅172个。尽管零日漏洞总数有所下降，但组织仍应强调了解其攻击面并识别和修补环境中的漏洞，以防止许多攻击。

生成式人工智能攻击具有潜力，但尚未构成直接威胁

去年将作为新一代人工智能的突破年载入史册。政策制定者、企业高管和网络安全专业人士都感受到了在其运营中采用人工智能的压力。目前，业界对采用新一代人工智能的热潮已经超出了了解这些新功能将带来的安全风险的能力。然而，一旦人工智能的采用达到临界规模，通用的人工智能攻击面就会成为现实，迫使组织优先考虑能够大规模适应人工智能威胁的安全防御。

为了得出这一结论，X-Force 反思了过去促进网络犯罪活动的技术推动因素和里程碑，以预测我们何时会看到人工智能攻击面成熟度的指标。X-Force 预测，一旦单一人工智能技术的市场份额接近 50%，或者市场整合为三种或更少的技术，这种情况就会发生。

此外，尽管网络犯罪分子有兴趣利用人工智能进行攻击，但 X-Force 迄今为止尚未观察到任何由人工智能设计的网络攻击的具体证据。网络钓鱼预计将成为网络犯罪分子首先投资的人工智能恶意用例之一，从而将制作令人信服的消息的时间从几天缩短到几分钟。不过，尽管近期不太可能出现基于人工智能的攻击，但 X-Force 评估认为，在企业采用人工智能的步伐成熟之前，活动不会激增。

基础知识对于安全仍然至关重要

信息窃取者的增加和滥用有效帐户凭据以获得初始访问权限的结合加剧了防御者的身份和访问管理挑战。网络犯罪分子重新关注身份，凸显了组织在其可见范围之外的设备上存在的风险，他们需要继续强调员工良好的安全习惯。通过凭证重用、浏览器凭证存储或直接从个人设备访问企业帐户，企业凭证数据可以从受感染的设备中窃取。

虽然“安全基础”不像“人工智能设计的攻击”那样受到那么多关注，但企业最大的安全问题仍然归结为基本的和已知的问题，而不是新颖和未知的问题。身份一次又一次地被用来对付企业，随着对手投资人工智能来优化策略，这个问题将会变得更加严重。

在 X-Force 威胁情报指数中了解更多信息

X-Force 威胁情报指数为IBM 客户、安全行业研究人员、政策制定者、媒体以及更广泛的安全专业人士和商业领袖社区提供了我们独特的见解。

在报告中了解有关威胁形势和最新网络安全趋势的更多信息：

• 分析最重要的初始访问向量、最重要的目标攻击者行为以及对组织的最大影响

• 地理和行业趋势

• 关于组织应如何应对以及从何处开始的建议

原文始发于微信公众号（祺印说信安）：2024显示人工智能攻击凭据被盗为最高风险