解讀 2024 年網(wǎng)絡(luò)攻擊趨勢(shì)
網(wǎng)絡(luò)安全公司Mandiant發(fā)布了《M-Trends 2025》報(bào)告,基于其2024年參與的事件響應(yīng)工作,梳理了全球網(wǎng)絡(luò)攻擊趨勢(shì)。
核心趨勢(shì)與洞察
2024年,Mandiant處理的金融行業(yè)安全事件占比最高,達(dá)17.4%。其他主要攻擊目標(biāo)包括商業(yè)和專業(yè)服務(wù)公司(11.1%)、高科技企業(yè)(10.6%)、政府部門(9.5%)以及醫(yī)療機(jī)構(gòu)(9.3%)。
漏洞利用仍是最常見(jiàn)的初始感染途徑(33%),其次是憑證竊取(16%)、釣魚(yú)郵件(14%)和網(wǎng)絡(luò)入侵(9%)。值得注意的是,在Mandiant處理的2024年入侵事件中,有34%無(wú)法確定攻擊者的初始入侵手段。該公司表示:"雖然未知入侵途徑可能涉及多種因素,但如此高的比例反映出企業(yè)在日志記錄和檢測(cè)能力方面存在明顯不足。"
與往年相同,攻擊者使用了多種惡意軟件,但2024年的顯著特點(diǎn)是信息竊取程序(info-stealer)的卷土重來(lái),這直接導(dǎo)致利用竊取憑證作為初始訪問(wèn)手段的案例增加。
初始感染途徑,2022-2024年(來(lái)源:Mandiant)
2024年攻擊者最常利用的漏洞集中在Palo Alto Networks、Ivanti和Fortinet等廠商的邊緣安全設(shè)備(防火墻、VPN、網(wǎng)絡(luò)訪問(wèn)控制解決方案等)中。
另一個(gè)值得關(guān)注的現(xiàn)象是"內(nèi)部威脅"作為初始感染途徑的上升趨勢(shì),這主要源于朝鮮IT工作者通過(guò)虛假身份獲取職位后,利用其網(wǎng)絡(luò)訪問(wèn)權(quán)限實(shí)施進(jìn)一步入侵和勒索的行為激增。
在勒索軟件相關(guān)入侵中,最常見(jiàn)的初始感染途徑是暴力破解(密碼噴灑、使用默認(rèn)憑證、大量RDP登錄嘗試)——占比26%,其次是憑證竊取(21%)、漏洞利用(21%)、前期入侵(15%)和第三方入侵(10%)。
企業(yè)的云資產(chǎn)最常通過(guò)釣魚(yú)郵件(39%)和憑證竊取(35%)遭到入侵。Mandiant指出:"2024年,我們響應(yīng)了有史以來(lái)最多涉及云組件的安全事件。調(diào)查顯示,威脅行為者在云環(huán)境中得手主要?dú)w因于三個(gè)因素:身份解決方案缺乏足夠的安全控制;本地集成配置不當(dāng);以及對(duì)擴(kuò)展云攻擊面的可見(jiàn)性不足。"
"綜合來(lái)看,這些因素表明企業(yè)需要采取一種彌合本地與云環(huán)境安全差距的整體防護(hù)策略,同時(shí)認(rèn)識(shí)到云攻擊面并非孤立存在,而是需要主動(dòng)集成防御的互聯(lián)生態(tài)系統(tǒng)的一部分。"
Mandiant還特別指出,其紅隊(duì)經(jīng)常在公開(kāi)可訪問(wèn)的存儲(chǔ)庫(kù)中發(fā)現(xiàn)敏感數(shù)據(jù),這意味著攻擊者同樣可以獲取這些信息。"網(wǎng)絡(luò)文件共享、SharePoint站點(diǎn)、Jira實(shí)例、Confluence空間和GitHub倉(cāng)庫(kù)通常包含大量有價(jià)值信息(如憑證、私鑰、財(cái)務(wù)文件、個(gè)人身份信息PII和知識(shí)產(chǎn)權(quán))。這些通常對(duì)擁有標(biāo)準(zhǔn)權(quán)限的員工開(kāi)放的數(shù)據(jù),構(gòu)成了許多企業(yè)尚未意識(shí)到的重大安全風(fēng)險(xiǎn)。"
企業(yè)防御建議
基于報(bào)告發(fā)現(xiàn),Mandiant提出以下核心安全建議:
- 部署符合FIDO2標(biāo)準(zhǔn)的多因素認(rèn)證(MFA):防范憑證竊取導(dǎo)致的入侵
- 審計(jì)并加固暴露在互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施:特別是針對(duì)使用默認(rèn)或弱憑證的VPN和遠(yuǎn)程桌面協(xié)議(RDP)接口的暴力破解攻擊
- 阻斷端點(diǎn)腳本并實(shí)施內(nèi)容過(guò)濾:降低SEO投毒和惡意廣告等網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)
- 制定嚴(yán)格的瀏覽器憑證存儲(chǔ)策略:減少信息竊取惡意軟件的危害
- 定期為所有系統(tǒng)和軟件打補(bǔ)丁:縮短新披露漏洞的可利用時(shí)間窗口
- 通過(guò)嚴(yán)格的數(shù)據(jù)驗(yàn)證、招聘流程額外審查及入職后監(jiān)控,防范包括欺詐性雇傭在內(nèi)的內(nèi)部威脅
- 實(shí)施網(wǎng)絡(luò)分段并監(jiān)控橫向移動(dòng)
- 加強(qiáng)內(nèi)部檢測(cè)和日志記錄能力:縮短駐留時(shí)間并減少對(duì)外部通知的依賴
- 監(jiān)控云身份和訪問(wèn)活動(dòng):防止單點(diǎn)登錄(SSO)系統(tǒng)被濫用
- 運(yùn)用威脅情報(bào)優(yōu)先防御常見(jiàn)攻擊技術(shù):根據(jù)MITRE ATT&CK框架中觀察到的技術(shù)(如命令和腳本執(zhí)行T1059、數(shù)據(jù)加密影響T1486)調(diào)整防御措施
