X - Force 威胁情报指数 2023

X - Force 威胁情报指数 2023IBM安全 目录01 →执行摘要02 →报告亮点03 →关键统计信息04 →顶部初始访问向量05 →关于目标的主要行动06 →顶部影响07 →俄罗斯乌克兰战争的网络相关发展08 →恶意软件景观09 →对 OT 和工业控制系统的威胁10 →地理趋势11 →行业趋势12 →Recommendations13 →关于我们14 →贡献者15 →Appendix 01执行摘要2022 年是网络安全的又一个动荡之年。尽管不乏促成事件 ， 但最重要的是大流行的持续影响和乌克兰军事冲突的爆发。中断使 2022 年成为经济 ， 地缘政治和人类动荡和成本的一年 - 恰恰造成了网络犯罪分子蓬勃发展的那种混乱。他们做到了。IBM Security ® X - Force ® 目睹了机会主义的威胁行为者利用混乱 ， 利用其优势渗透到全球的政府和组织中。IBM Security X - Force 威胁情报指数 2023 跟踪新的和现有的趋势和攻击模式下一章包括数十亿个数据点 ， 包括网络和端点设备、事件响应 (IR) 约定、漏洞和漏洞利用数据库等。我们 2022 年 1 月至 12 月的研究数据。我们将这些发现作为资源提供给 IBM 客户、网络安全研究人员、政策制定者、媒体和更大的安全行业专业人士和行业领导者社区。当今动荡的环境 ， 其日益复杂和恶意的威胁 ， 需要共同努力来保护企业和公民。比以往任何时候都更需要拥有威胁情报和安全见解 ， 以领先于攻击者并加强您的关键资产。所以你也可以茁壮成长。3 01执行摘要我们的数据分析在 2022 年发生了怎样的变化2022 年 ， 我们修改了部分数据的检查方式。这些变化使我们能够提供更有洞察力的分析 ， 并更紧密地与行业标准框架保持一致。反过来 ， 您可以做出更明智的安全决策 ， 并更好地保护您的组织免受威胁。2022 年我们分析的变化包括 ：– 初始访问向量:采用 MITRE ATT 和 CK 框架来跟踪初始访问载体 ， 使我们的研究结果与更广泛的网络安全行业更加紧密地保持一致 ， 并使我们识别技术层面的重要趋势。–利用和零日妥协 ：从我们强大的漏洞数据库 （ 包括近 30 年的数据 ） 进行推断 ， 有助于为我们的分析提供背景 ， 并确定漏洞带来的实际威胁。这一过程还为武器化攻击和有影响力的零日攻击比例的下降提供了背景。–威胁行为者的方法及其影响 ：将威胁行为者在攻击过程中采取的步骤与事件的实际影响分开 ， 使我们能够确定事件的关键阶段。反过来 ， 这一过程揭示了响应者在事件发生后应该准备处理的领域。下一章 4 02报告亮点遵守目标的主要行动:在 2022 年修复的所有事件中 ， 近四分之一的部署21% 的后门是客观上的最高行动。值得注意的是 ， 年初的峰值在 Emotet 中 ， 多用途恶意软件对后门活动的逐年增长做出了重大贡献。尽管后门活动激增 ， 但至少自 2020 年以来一直位居榜首的勒索软件构成了很大的份额在 17% 的事件中 ， 加强了这种恶意软件构成的持久威胁。勒索是对组织最常见的攻击影响 ：27 ％ ， 勒索是威胁行为者选择的明显影响。制造中的受害者占导致勒索 ， 因为网络犯罪分子继续利用紧张的行业的趋势。网络钓鱼是顶级初始访问向量 ：网络钓鱼仍然是主要的感染媒介 ， 在 41 ％ 的事件中被发现 ， 其次是对面向公众的应用程序的利用占 26 ％ 。恶意宏的感染已不再受欢迎 ， 这可能是由于 Microsoft 决定默认阻止宏。恶意 ISO 和 LNK 文件使用升级作为 2022 年通过垃圾邮件传递恶意软件的主要策略。黑客行为和破坏性恶意软件的增加 ：俄罗斯在乌克兰的战争为网络安全界的许多人打开了大门 ， 展示了网络如何使现代战争。尽管截至本出版物 ， 最严重的网络空间预测尚未实现 ， 但黑客行动主义和X - Force 还观察到网络犯罪世界发生了前所未有的变化 ， 网络犯罪集团和针对乌克兰组织的 Trickbot 团伙之间的合作日益加强。上一页第章下一章 5 03关键统计信息27%21%17%敲诈勒索攻击的百分比在 2022 年 X - Force 应对的所有事件中 ， 威胁行为者试图向受害者勒索金钱。在过去的十年中 ， 他们使用的策略已经演变 ， 随着威胁行为者更积极地寻求利润 ， 这种趋势有望继续下去。看到部署后门的事件的份额部署后门是去年最重要的目标行动 ， 发生在全球五分之一以上的报告事件中。捍卫者的成功干预可能会阻止威胁行为者实现可能包括勒索软件在内的进一步目标。勒索软件的攻击份额即使在一些最多产的勒索软件集团混乱的一年中 ， 勒索软件也是目标上第二常见的行动 ， 紧随后门部署并继续破坏组织的运营。勒索软件的事件份额从 2021 年的 21 ％ 下降到 2022 年的 17 ％ 。上一页第章下一章 6 03关键统计信息41%涉及网络钓鱼以进行初始访问的事件的百分比网络钓鱼操作仍然是 2022 年妥协的主要途径 ， X - Force 使用这种技术修复了 41% 的事件 ， 以获得初始访问权限。62%使用鱼叉式网络钓鱼附件的网络钓鱼攻击百分比攻击者更喜欢武器化附件 ， 自行部署或通过服务与链接或鱼叉式网络钓鱼结合部署。100%每月增加线程劫持尝试次数与 2021 年的数据相比 ， 2022 年每月的线程劫持尝试次数是 2021 年的两倍。导致 Emotet ， Qakbot 和 IcedID 的垃圾邮件大量使用了线程劫持。26%2022 年已知漏洞利用的漏洞份额据 X - Force 自 20 世纪 90 年代初以来追踪的数据显示 ， 这一比例近年来一直在下降 ， 展示了维护良好的补丁管理流程的好处。52%减少已报告的网络钓鱼工具包寻求信用卡数据数据中分析的几乎每个网络钓鱼工具包都试图收集 98 ％ 的姓名和 73 ％ 的电子邮件地址 ， 其次是 66 ％ 的家庭住址和 58 ％ 的密码。信用卡信息 ， 目标为 61 ％在 2021 年的时候 ， 威胁参与者失宠 - 数据显示 ， 在 2022 年 ， 只有 29% 的网络钓鱼工具包中寻求它 ，下降 52% 。31%针对亚太地区的全球攻击份额在 2022 年 ， 亚太地区仍然是受攻击最严重的地区 ， 占所有事件的 31 ％ 。这一统计数据比攻击的总份额增加了 5 个百分点X - Force 于 2021 年在该地区做出了回应。上一页第章下一章 7 04顶部初始访问向量顶部初始访问向量 20222022 年，X - Force 从跟踪初始访问向量作为更广泛的类别，如网络钓鱼和被盗凭证，转向 MITRE ATT & CK Matrix for Eterprise 框架中列出的初始访问技术。这种转变使 X - Force 能够在技术水平上更精细地跟踪重要趋势。它还提供更容易消费和可交叉比较的数据，并与更广泛的行业标准化工作保持一致。利用面向公众的应用程序网络钓鱼 - 鱼叉网络钓鱼附件网络钓鱼 - 鱼叉网络钓鱼链接外部远程服务有效帐户 - 本地有效帐户 - 域硬件添加有效帐户 - 默认网络钓鱼 - Spear 网络钓鱼通过服务有效帐户 - Cloud12%7%5%3%2%2%2%14%26%25%图 1:2022 年观察到的最高初始访问向量 X - Force 。来源 ： X - Force上一页第章下一章 8 04顶部初始访问向量上一章下一章9网络钓鱼网络钓鱼 （ T1566 ），无论是通过附件，链接还是作为服务，仍然是主要的感染媒介，占 2022 年 X - Force 修复的所有事件的 41 ％ 。这一比例从 2020 年的 33% 上升后，从 2021 年开始保持稳定。从所有网络钓鱼事件来看，62% 的攻击使用了鱼叉式网络钓鱼附件 (T1566.001)，33% 使用了鱼叉式网络钓鱼链接 (T1566.002)，5% 使用了鱼叉式网络钓鱼服务 (T1566.003) 。在某些情况下，X - Force 还目睹了威胁行为者与网络钓鱼一起使用附件作为服务或链接。2022 年的 IBM X - Force Red 数据进一步凸显了网络钓鱼和错误处理凭证对威胁参与者的价值。在 2022 年的客户渗透测试中 ， X - Force Red 发现大约 54 ％ 的测试显示不正确的身份验证或凭据处理。Red Advisory Simulation 团队定期使用针对多因素身份验证 (MFA) 令牌的 QR 码进行鱼叉式网络钓鱼。许多组织对通过身份访问管理和单点登录 (SSO) 门户 （ 如 Okta ） 公开的应用程序和端点缺乏可见性。其次 ， 利用面向公众的应用程序 (T1190) - 定义为利用面向互联网的计算机或程序的弱点 - 在 X - Force 回应的 26 ％ 的事件中被发现。这与过去的威胁情报指数报告所说的 “漏洞利用 ” 相关 ， 标志着 2021 年的 34% 下降。In third place, abuse of valid accounts (T1078) was identified in 16% of the observed incidents. These are cases where adversaries obtained and abused现有帐户的凭据作为获取访问权限的手段。这些事件包括云帐户 (T1078.004) 和默认帐户 (T1078.001) 各占 2% ， 域帐户 (T1078.002) 占 5% ， 本地帐户 (T1078.003) 占 7% 。图 2:网络钓鱼子技术的类型占 X - Force 在 2022 年观察到的总网络钓鱼案例的百分比。来源 ： X - Force网络钓鱼类型被视为总网络钓鱼案例的百分比5%33%62%通过服务进行网络钓鱼链接Attachment 04顶部初始访问向量上一章下一章10信用卡信息从 2021 年的 61% 下降到 2022 年的 29% 。网络钓鱼套件持续时间更长 ， 针对 PII 而不是信用卡数据IBM Security 连续第二年对来自世界各地的数千个网络钓鱼套件进行了分析 ， 发现套件部署的运行时间更长 ， 并且可以覆盖更多的用户。数据表明 ， 观察到的网络钓鱼套件的使用寿命逐年增加了一倍以上 ， 而整个部署的中位数数据集仍然相对较低 ， 在3.7 天。总的来说 ， 最短的部署持续了几分钟 ， 最长的部署在 2022 年 ， 运行时间超过三年。我们的调查发现 ：–去年 ， 三分之一的部署套件持续了大约 2.3 天 ， 是前一年的两倍多 ， 前一年相同比例的套件持续了不超过一天。–所有报告的工具包中约有一半影响了 93 名用户 ， 而在 2021 年 ， 每次部署平均不超过 75 名潜在受害者。–据报道 ， 一次网络钓鱼攻击的最大受害者总数刚刚超过 4000 人 ， 尽管这是一个异常值。–几乎所有报告的网络钓鱼工具包都试图收集 98 ％ 的名字。其次是电子邮件地址占 73 ％ ， 家庭地址占 66 ％ ， 密码占 58 ％ 。–信用卡信息从 2021 年的 61% 下降到 2022 年的 29% 。–寻求信用卡数据的网络钓鱼工具包的较低实例表明 ， 网络钓鱼者正在优先考虑个人身份信息 （ PII ） ， 这允许他们更广泛 ， 更邪恶的选择。PII 可以在暗网或其他论坛上收集和出售 ， 也可以用于对目标进行进一步的行动。 04顶部初始访问向量上一章下一章11顶级欺骗品牌被欺骗的顶级品牌主要由科技领域的知名人士组成。 X - Force 认为这种转变此类服务的被盗凭证很有价值。获得对受害者用于管理整个部分的帐户的访问权限2022 年 2021 年顶级欺骗品牌2021 年更多样化的名单是由于提高了识别工具包配置为欺骗的品牌的能力 ， 而不仅仅是默认情况下的目标品牌。许多网络钓鱼工具包是多用途的 ， 可以通过更改简单的参数来更改被欺骗的品牌。例如 ， 工具包可以默认欺骗 Gmail ， 但是单行更新