X-Force 威胁情报指数 2023

X-Force威胁情报指数2023IBM安全 表的内容01 →执行概要02 →报告强调03 →关键统计数据04 →前初始访问向量05 →前行动目标06 →最高的影响07 →俄罗斯在乌克兰战争的网络相关发展08 →恶意软件的风景09 →威胁和工业控制系统10 →地理趋势11 →行业趋势12 →建议13 →关于我们14 →贡献者15 →附录 01执行概要2022 年是网络安全的另一个动荡的一年。虽然不乏促成事件，但其中最重要的是大流行的持续影响和乌克兰军事冲突的爆发。中断使 2022 年成为经济、地缘政治和人类动荡和成本的一年——这正是网络犯罪分子猖獗的混乱。和繁荣。IBM Security® X-Force® 目睹了机会主义威胁行为者利用混乱，利用环境的优势渗透到全球的政府和组织中。IBM Security X-Force 威胁情报指数 2023 跟踪新的和现有的趋势和攻击模式，以及下一章包括数十亿个数据点，包括网络和端点设备、事件响应 （IR） 参与、漏洞和漏洞利用数据库等。本报告是我们的研究从2022年1月至12月的数据。我们将这些发现作为资源提供给 IBM 客户、网络安全研究人员、政策制定者、媒体和更大的安全行业专业人士和行业领导者社区。当今动荡的环境及其日益复杂和恶意的威胁需要协作努力来保护企业和公民。您比以往任何时候都更需要掌握威胁情报和安全见解，以领先于攻击者并强化您的关键资产。所以你也能茁壮成长。3 01执行概要2022年我们的数据分析如何改变2022 年，我们修改了检查部分数据的方式。这些变化使我们能够提供更有见地的分析，并与行业标准框架更紧密地保持一致。反过来，这使您能够做出更明智的安全决策，并更好地保护您的组织免受威胁。2022年修改我们的分析包括:– 首次访问向量:采用MITRE ATT&CK框架来更紧密地跟踪初始访问向量，使我们的研究结果与更广泛的网络安全行业保持一致，并允许我们确定技术层面的重要趋势。–利用和零妥协天:从我们强大的漏洞数据库（包括近 30 年的数据）进行推断有助于为我们的分析提供背景信息，并确定漏洞构成的实际威胁。这一过程也为可武器化漏洞和有影响力的零日漏洞的比例不断减少提供了背景。–威胁演员方法及其影响:将威胁参与者在攻击期间采取的步骤与事件的实际影响分开，使我们能够确定事件的关键阶段。反过来，这个过程又发现了响应者在事件发生后应该准备处理的领域。下一章4 02报告强调观察最高行动目标:在 2022 年补救的所有事件中，近四分之一的部署21%的后门是Objective的最高行动。值得注意的是，年初的峰值在 Emotet 中，一种多用途恶意软件对观察到的后门活动逐年激增做出了重大贡献。尽管后门活动激增，但至少自 2020 年以来一直位居榜首的勒索软件占有很大份额的事件占 17%，加剧了该恶意软件构成的持久威胁。勒索是对组织最常见的攻击影响：勒索占27%，是威胁行为者选择的明显影响。制造业的受害者占导致敲诈勒索，因为网络犯罪分子继续利用紧张的行业的趋势。网络钓鱼是最初始访问向量:网络钓鱼仍然是主要的感染媒介，在41%的事件中被发现，其次是26%的面向公众的应用程序利用。恶意宏的感染已经失宠，可能是由于微软决定默认阻止宏。恶意 ISO 和 LNK 文件使用升级作为 2022 年通过垃圾邮件传递恶意软件的主要策略。黑客入侵和破坏性的恶意软件:俄罗斯在乌克兰的战争为网络安全界许多人期望的展示网络如何实现打开了大门现代战争。尽管截至本文发布时，最可怕的网络空间预测尚未实现，但黑客行动主义和破坏性恶意软件。X-Force还观察到网络犯罪世界发生了前所未有的变化，网络犯罪集团与针对乌克兰组织的Trickbot团伙之间的合作有所增加。以前的章下一章5 03关键统计数据27%21%17%比例的攻击与敲诈勒索在 X-Force 在 2022 年应对的所有事件中，超过四分之一的事件中，威胁行为者试图向受害者勒索钱财。他们使用的策略在过去十年中发生了变化，随着威胁行为者更积极地寻求利润，这一趋势预计将持续下去。的事件,看到后门部署部署后门是去年目标的首要行动，全球报告的事件中有超过五分之一。防御者的成功干预可能会阻止威胁行为者实现可能包括勒索软件的进一步目标。Ransomware的攻击即使在一些最多产的勒索软件集团混乱的一年中，勒索软件也是目标上第二常见的行动，紧随后门部署并继续破坏组织的运营。勒索软件的事件份额从 2021 年的 21% 下降到 2022 年的 17%。以前的章下一章6 03关键统计数据41%初始访问时涉及网络钓鱼的事件百分比网络钓鱼操作仍然是 2022 年入侵的首要途径，X-Force 修复的事件中有 41% 使用此技术来获得初始访问权限。62%使用鱼叉式网络钓鱼附件的网络钓鱼攻击百分比攻击者首选的突破附件，单独部署或通过服务与链接或鱼叉式网络钓鱼结合使用。100%每月线程劫持尝试次数增加与 2021 年的数据相比，2022 年每月的线程劫持尝试次数是 2021 年的两倍。导致Emotet，Qakbot和IcedID的垃圾邮件大量使用线程劫持。26%分享2022漏洞利用2022 年 26% 的漏洞具有已知的漏洞利用。根据X-Force自1990年代初以来跟踪的数据，这一比例近年来一直在下降，这表明维护良好的补丁管理过程的好处。52%搜索信用卡数据的报告网络钓鱼工具包减少在数据中分析的几乎每个网络钓鱼工具包都试图收集98%的姓名和73%的电子邮件地址，其次是家庭住址（66%）和密码（58%）。信用卡信息，目标 61%在 2021 年的时间里，威胁行为者失宠了——数据显示，2022 年只有 29% 的网络钓鱼工具包在寻求它，下降了52%。31%针对亚太地区的全球攻击份额亚太地区在 2022 年继续位居受攻击最严重的地区之首，占所有事件的 31%。这一统计数据比攻击的总份额增加了五个百分点X-Force回应2021年在该地区。以前的章下一章7 04前初始访问向量2022年首次访问向量2022 年，X-Force 从跟踪初始访问向量作为更广泛的类别（例如网络钓鱼和被盗凭据）转向 MITRE ATT&CK 企业矩阵框架中列出的初始访问技术。这种转变使X-Force能够在技术层面更精细地跟踪重要趋势。它还提供了更易于使用和交叉比较的数据，并与更广泛的行业标准化工作保持一致。利用面向公众的应用程序钓鱼,鱼叉式网络钓鱼附件钓鱼,鱼叉式网络钓鱼链接外部的远程服务有效的账户——当地有效的账户——域硬件添加有效的账户——违约通过服务网络钓鱼,鱼叉式网络钓鱼有效的账户——云12%7%5%3%2%2%2%14%26%25%图1:2022 年观测到的顶级初始访问向量 X-Force。来源：X-Force以前的章下一章8 04前初始访问向量前一章下一章9网络钓鱼网络钓鱼 （T1566），无论是通过附件、链接还是作为服务，仍然是主要感染媒介，占 X-Force 在 2022 年修复的所有事件的 41%。这一百分比从 2020 年的 33% 上升到 2021 年持稳。查看所有网络钓鱼事件，鱼叉式网络钓鱼附件 （T1566.001） 用于 62% 的攻击，鱼叉式网络钓鱼链接 （T1566.002） 用于 33%，鱼叉式网络钓鱼即服务 （T1566.003） 用于 5%。在某些情况下，X-Force还目睹了威胁行为者将附件与网络钓鱼一起使用为服务或链接。2022 年的 IBM X-Force Red 数据进一步凸显了网络钓鱼和处理不当的凭据对威胁参与者的价值。在 2022 年对客户端的渗透测试中，X-Force Red 发现大约 54% 的测试显示身份验证或凭据处理不当。X-Force的红色对手模拟团队定期使用针对多因素身份验证 （MFA） 令牌的 QR 码执行鱼叉式网络钓鱼。许多组织缺乏对通过身份访问管理和单点登录 （SSO） 门户（如 Okta）公开的应用程序和端点的可见性。其次是利用面向公众的应用程序 （T1190） — 定义为攻击者利用在X-Force响应的事件中，有26%发现了面向互联网的计算机或程序中的弱点。这与过去的威胁情报指数报告所说的“漏洞利用”相关，比 2021 年的 34% 有所下降。排在第三位的是，在观察到的事件中，有16%发现了滥用有效帐户（T1078）。这些是对手获得和滥用的情况现有帐户的凭据作为获取访问权限的一种手段。这些事件包括云帐户 （T1078.004） 和默认帐户 （T1078.001），分别为 2%，域帐户 （T1078.002） 占 5%，本地帐户 （T1078.003） 占 7%。图2:网络钓鱼子技术的类型占 X-Force 在 2022 年观察到的网络钓鱼案件总数的百分比。来源：X-Force网络钓鱼类型视为钓鱼案件总数的%5%33%62%通过服务网络钓鱼链接附件 04前初始访问向量前一章下一章10信用卡信息从 2021 年的 61% 大幅下降到 2022 年的 29%。网络钓鱼工具包持续时间更长，针对 PII 而不是信用卡数据IBM Security 连续第二年分析了来自世界各地的数千个网络钓鱼工具包，发现工具包部署的运行时间更长，用户更多。数据显示，观察到的网络钓鱼工具包的寿命同比增加了一倍以上，而部署的中位数数据集仍然相对较低3.7天。总体而言，最短的部署持续了几分钟，最长的部署发生在 2022 年，运行时间超过三年。我们的调查发现如下：–去年，三分之一的部署工具包持续了大约2.3天，是前一年的两倍多，当时相同比例的持续时间不超过一天。–在所有报告的工具包中，约有一半影响了 93 名用户，而在 2021 年，每次部署的平均潜在受害者不超过 75 人。–一次报告的网络钓鱼攻击的最大受害者总数刚刚超过 4，000，尽管这是一个异常值。–几乎每个报告的网络钓鱼工具包分析都试图收集98%的名称。其次是电子邮件地址（73%）、家庭住址（66%）和密码（58%）。–信用卡信息从 2021 年的 61% 大幅下降到 2022 年的 29%。–寻求信用卡数据的网络钓鱼工具包实例较少，表明网络钓鱼者正在优先考虑个人身份信息 （PII），这使他们能够获得更广泛和更邪恶的选择。PII 可以在暗网或其他论坛上收集和销售，也可以用于对目标进行进一步操作。 04前初始访问向量前一章下一章11大品牌的欺骗被观察到被欺骗的顶级品牌大多由科技界的大牌组成。X-Force认为这种转变此类服务的被盗凭据很有价值。访问受害者用来管理整个部分的帐户顶级欺骗品牌同比2022 20212021年的更多样化的列表由于改进了识别工具包配置为欺骗的品牌的能力，而不仅仅是默认情况下它的目标品牌。许多网络钓鱼工具包是多用途的，可以通过更改简单的参数来更改被欺骗的品牌。例如，默认情况下，工具包可以欺骗Gmail，但单行更新将其更改为欺骗Microsoft的攻击。他们的网上可以开门为 访问其他帐户。《2022 年云威胁形势报告》强调了攻击者对这种初始访问形式的关注，该报告发现，与 2021 年观察到的情况相比，在暗网上宣传出售的云帐户数量增加了 200% 以上。 图3:此图表确定了 2021 年和 2022 年最受欢迎的欺骗品牌，表明威胁行为者越来越关注大型科技品牌。来源:IBM钓鱼工具数据1 微软微软2 谷歌苹果3 雅虎谷歌4脸谱网BMO Harris银行5前景追逐6苹果亚马逊7AdobeDropbox8美国在线DHL9贝宝美国有线电视新闻网10Office365Hotmail 04前初始访问向量前一章下一章12漏洞漏洞利用（2022 年捕获为面向公众的应用程序利用 （T1190））在顶级感染媒介中排名第二，自 2019 年以来一直是攻击者的首选入侵方法。X-Force 在 2022 年修复的攻击中有 26% 被利用漏洞，2021 年为 34%，35%2020年和2019年的30%。并非威胁参与者利用的每个漏洞都会导致网络事件。2022 年漏洞利用导致的事件数量比 2021 年减少了 19%，此前上升从 2020 年