概述

近日，CrowdStrike發布了《2024年全球威脅報告》，揭示了網絡攻擊的最新趨勢。報告指出，網絡攻擊生態系統仍在持續增長，CrowdStrike在2023年觀察到了34個新的威脅參與者。同時，攻擊者正越來越多地瞄準云環境，以滿足其牟利需求，某些情況下甚至允許攻擊者到達內部部署的服務器。

供應鏈攻擊也經常被濫用，允許威脅行為者輕松攻擊多個目標。在技術領域運營的組織或將面臨更高的風險，因為他們為世界各地的許多組織提供服務，而幾乎每一起信任關系的妥協都源于對上游商業軟件供應商的入侵。此外，網絡邊緣的報廢產品和未管理設備也是攻擊目標。

基于身份的攻擊和社會工程攻擊仍然占據著中心位置

雖然網絡釣魚仍然是從目標組織的員工那里獲取憑據的有效方法，但其他身份驗證數據也被用于進行攻擊。無論網絡安全攻擊的動機是什么，基于身份和社會工程的攻擊仍然占據著中心位置。

例如，FANCY BEAR威脅參與者在2023年進行了網絡釣魚活動，并開發了一個自定義工具包從雅虎郵件和ukr.net網絡郵件用戶處收集憑據。該工具包使用了“browser -in- browser”技術，并添加了多因素身份驗證攔截功能，以收集身份驗證中使用的一次性密碼。

SCATTERED SPIDER威脅行為組織則使用短信網絡釣魚（smishing）和語音網絡釣魚（vishing）來獲取憑據。此外，該黑客組織還利用早期對電信機構的入侵，對目標員工進行SIM卡交換操作；一旦SIM卡交換激活，該威脅組織就可以直接接收帶有OTP代碼的SMS消息。此外，該威脅組織還經常使用住宅代理（residential proxies）繞過基于目標物理位置的檢測。

API密鑰和秘密也是攻擊者的目標——只要API密鑰或秘密不被更改，擁有這些信息的網絡犯罪分子就可以保持無限期的訪問權限。與此同時，Cookie會話和令牌盜竊也在被威脅行為者積極濫用。

此外，攻擊者還會竊取或偽造Kerberos票據，以獲得對可以脫機破解的加密憑據的訪問權限。CrowdStrike觀察到，Kerberoasting攻擊激增了583%。

云環境入侵增加75%

CrowdStrike指出，從2022年到2023年，全球云環境入侵增加了75%（見下圖）。

【圖1：云環境入侵案例的增長情況】

在CrowdStrike的分析中，該團隊將“云意識”（residential proxies）案例——即攻擊者意識到云環境并利用它的案例、“云不可知”（cloud-agnostic）案例——即攻擊者沒有意識到云環境或不使用云環境進行了區分。

結果顯示，從2022年到2023年，云意識案例增加了110%，而云不可知案例增加了60%。

調查還顯示，有經濟動機的網絡犯罪分子在攻擊云環境方面最為活躍；在所有涉及云的入侵中，它們占比高達84%，而有針對性的入侵僅占16%。

在整個2023年，SCATTERED SPIDER主要推動了云意識活動的增加，其攻擊活動占總案例的29%。該威脅組織在目標云環境中展示了先進而復雜的入侵技術，以保持持久性、獲取憑據、橫向移動和滲漏數據。

例如，SCATTERED SPIDER威脅組織經常使用受害者的Microsoft 365環境來搜索VPN指令，然后使用VPN訪問目標組織的內部網絡并在其內部橫向移動。

利用第三方關系使攻擊者更容易攻擊數百個目標

根據CrowdStrike的報告顯示，有針對性的入侵行為者在2023年一直試圖利用信任關系來訪問多個垂直領域和地區的組織。

對于攻擊者來說，這些攻擊具有極高的投資回報率：攻擊提供IT服務的第三方或軟件供應鏈中的第三方可能導致數百或數千個后續目標。這些攻擊還可以更有效地幫助攻擊者瞄準更具價值的組織。

例如，JACKPOT PANDA威脅組織利用CloudChat（賭博社區常用的一款聊天應用程序）的木馬安裝程序，最終用名為XShade的惡意軟件感染了用戶。在另一個案例中，身份未知的威脅行為者通過合法的軟件更新過程分發惡意軟件，最終入侵了一家印度信息安全軟件供應商。

據CrowdStrike稱，在不久的將來，信任關系的妥協將繼續吸引有針對性的入侵行為者。在技術領域運營的組織或將面臨更高的風險，因為他們為世界各地的許多組織提供服務。

2023年增加了34個新的威脅參與者

在2023年期間，CrowdStrike觀察到34個新的威脅參與者，總數達到232。除了這些已知的威脅參與者，CrowdStrike還追蹤了130多個活躍的惡意活動集群。

專門的數據泄露網站顯示，被暴露的受害者數量比2022年增加了76%，這使得2023年的受害者總數達到4615人。新出現的大型游戲狩獵（Big Game Hunting，BGH）玩家是受害者數量猛增的因素之一。

【圖2：泄露網站上披露的受害者數量】

總的來說，BITWISE SPIDER、ALPHA SPIDER、GRACEFUL SPIDER、RECESS SPIDER和BRAIN SPIDER是攻擊主力軍，所披露受害者占總數的77%。其中，BITWISE SPIDER和ALPHA SPIDER歷來都名列前茅，分別在2022年和2023年位居DLS披露受害者最多的第一名和第二名。

RECESS SPIDER和BRAIN SPIDER分別在2022年年中和2023年1月開始了自己的勒索軟件行動。自那以后，它們的地位越來越突出，在2023年的DLS排名中位居第四（RECESS SPIDER）和第五（BRAIN SPIDER）。GRACEFUL SPIDER自2016年開始運營，通常進行小批量攻擊，在2023年利用了三個零日漏洞，從全球數百名受害者那里竊取了數據。

【圖3：泄露網站披露貼數最高的威脅組織排名】

攻擊者正在以更快的速度破壞網絡

在目標網絡上獲取初始立足點通常只是攻擊的第一階段；一旦成功進入，攻擊者還需要突破第一個被攻破的設備，并橫向移動到網絡的其他部分，才能達到他們的目標。

交互式網絡犯罪入侵活動的平均時間從2022年的84分鐘下降到2023年的62分鐘，最快的時間僅為2分7秒。

在CrowdStrike提供的一個示例中，攻擊者在開始網絡偵察操作并獲取系統信息后31秒就植入了合法工具。然后，攻擊者還植入了額外的文件，在3分鐘內添加了更多的工具，包括勒索軟件（見下圖）。

【圖4：交互式電子犯罪入侵的剖析圖】

根據該報告，攻擊者還通過使用更少的惡意軟件和更有效的手段（例如使用竊取的憑證和利用信任關系漏洞）來贏得時間。到2023年，無惡意軟件活動占所有檢測活動的75%，而2022年這一數字為71%，2021年之前還不到62%。身份攻擊的成功以及從初始訪問代理處購買有效憑據詮釋了使用較少惡意軟件的趨勢。

攻擊者的目標是網絡邊緣網絡

由于端點檢測和響應傳感器的使用越來越多，威脅行為者已經調整了他們的攻擊策略，開始通過瞄準網絡邊緣設備來進行初始訪問和橫向移動（見下圖）。

【圖5：一般網絡上的托管和非托管目標】

企業網絡中的某些設備不一定受到安全解決方案的監視。特別是，邊緣網關設備通?；谶^時的架構，因此容易受到攻擊者可能利用的多個漏洞的攻擊。例如，防火墻和VPN平臺的漏洞在2023年被用來襲擊了思科、思杰和F5，路由器、移動電話或NAS/備份存儲也可能受到攻擊。

CrowdStrike強調了2023年觀察到的另一個趨勢：攻擊者將重點放在已經停止受支持的產品利用上。這些產品不再打補丁，而且通常不允許部署現代安全解決方案，因此成為攻擊者的目標，他們正在積極開發漏洞來濫用這些產品。

緩解建議

1.讓身份保護成為必需品

由于成功率高，基于身份和社會工程的攻擊正在逐年激增，被盜的憑據允許攻擊者快速實現訪問和控制。為了應對這些威脅，必須實現抗網絡釣魚的多因素身份驗證，并將其擴展到遺留系統和協議，對團隊進行社會工程培訓，并實施可以跨身份、端點和云環境檢測和關聯威脅的技術。

2.優先考慮云原生應用保護平臺（CNAPP）

隨著公司意識到云提供的創新和業務敏捷性的潛力，云采用率正在爆炸式增長。由于這種增長，云正迅速成為網絡攻擊的主要戰場。企業需要完全的云可見性，包括對應用程序和API的可見性，以消除錯誤配置、漏洞和其他安全威脅。CNAPPs至關重要：云安全工具不應該孤立存在，CNAPPs提供了一個統一的平臺，簡化了對潛在云安全威脅和漏洞的監控、檢測和應對。

3.獲得對關鍵風險領域的可見性

攻擊者通常使用有效憑據訪問面向云的受害者環境，然后使用合法工具執行攻擊，使防御者難以區分正常的用戶活動和破壞行為。要識別這種類型的攻擊，組織需要了解身份、云、端點和數據保護遙測之間的關系，它們可能位于不同的系統中。事實上，企業平均使用45種以上的安全工具，這造成了數據孤島和可見性缺口。通過整合到一個具有人工智能功能的統一安全平臺，組織可以在一個地方擁有完全的可見性，并且可以輕松控制他們的操作。通過統一的安全平臺，組織可以節省時間和金錢，并且可以快速、自信地發現、識別和阻止漏洞。

4.效率就是生命

攻擊者平均需要62分鐘——最快的只需2分鐘就能從一個最初受到攻擊的主機轉移到環境中的另一個主機。組織能跟上這種速度嗎？讓我們面對現實：傳統的SIEM解決方案無法滿足SOC的需求。組織需要一種比傳統SIEM解決方案更快、更容易部署且更具成本效益的工具。

5.建立網絡安全文化

雖然技術在檢測和阻止入侵的斗爭中顯然是至關重要的，但最終用戶仍然是阻止入侵的關鍵環節。為此，組織應該啟動用戶意識程序，以對抗網絡釣魚和相關社會工程技術的持續威脅。對于安全團隊來說，熟能生巧。鼓勵建立一個定期進行桌面練習和紅藍團隊合作的環境，以識別網絡安全實踐和響應中的缺口并消除弱點。

原文鏈接：https://go.crowdstrike.com/rs/281-OBQ-266/images/GlobalThreatReport2024.pdf