X-Force Cloud Threat Landscape Report 2024

目录 简介关键要点云漏洞云和暗网针对基于云的平台和软件即服务(SaaS)初始访问媒介目标行动基于云的环境中的安全规则故障云和 AI建议关于我们0203050609111315202123 简介 随着云计算市场预计在2024 年达到约 6000 亿美元的规模，云基础架构的采用率将持续上升。组织正越来越多地将关键业务数据从本地部署转移到云基础架构和服务中，这促使组织需要采取适当的防御措施并确保云中数据的安全。企业还在寻求最大限度地提高云投资的价值并利用 AI 的潜力，因此必须采取有意识的方法来实现这一目标。 IBM® X-Force 团队在安全领域处于有利地位，可以为组织提供行业最佳实践和策略，帮助他们实现云之旅。X-Force 云威胁态势报告今年已是第五年发布，该报告从全球跨行业的角度阐述了威胁参与者如何入侵云环境、入侵网络后进行的恶意活动以及对组织造成的影响。 为编写本报告，X-Force 收集并分析了 2022 年 6 月至 2024 年 6 月期间从以下来源汇编的数据：1 对于正在进行云迁移的组织来说，转型是一个需要时间、精力和资源的多步骤过程。2024 年数据泄露成本报告发现，大约 40% 的数据泄露事件涉及分布在多个环境中的数据，例如公有云、私有云和本地部署。因此，作为迁移过程的一部分，组织必须制定并实施适当的安全策略和最佳实践来保护关键组织资产。 –IBM X-Force Threat Intelligence–IBM X-Force Red 渗透测试以及对手模拟和漏洞管理服务项目–IBM X-Force 事件响应 (IR) 项目– –Red Hat® InsightsX-Force 的暗网分析，数据由报告撰稿人Cybersixgill提供 了解云威胁态势及其对业务的潜在影响，对 IT 和高级管理层都至关重要。这种洞察分析支持采取主动措施来限制风险并保护关键业务信息和资源，确保安全、顺利的云转型之旅和未来的成功实施。 关键要点 在数据收集和分析过程中，X-Force 发现了组织在云之旅中可能遇到的来自威胁参与者的最常见安全风险。以下是关键要点。 跨站脚本 (XSS) 是影响最大的常见漏洞和风险 (CVE) –报告期内，XSS 漏洞占新发现 CVE 的 27%，这些漏洞可让威胁参与者窃取会话令牌或将用户重定向到恶意网页。 –虽然暗网市场上对 SaaS 平台的总体提及与 2023 年相比下降了约 20%，但利用被泄露的云凭据获取访问权限是第二大最常见的初始攻击媒介。 尽管市场饱和，但暗网对云凭据的需求仍在持续 –每个被泄露的云访问凭据的平均价格一直在稳步下降，从 2022年的 11.74 美元降至 2024 年的 10.23 美元，相当于 3 年内总体下降了 12.8%。 利用可信的基于云的文件托管服务进行恶意活动的情况增多 –威胁参与者越来越多地利用 Dropbox、OneDrive 和 GoogleDrive 等可信的基于云的服务进行命令和控制通信以及恶意软件散布。 –包括 APT43 和 APT37 在内的朝鲜国家支持的组织对基于云的服务进行了多阶段攻击，散布远程访问木马 (RAT)。 网络钓鱼是主要的初始访问媒介 –在过去两年中，网络钓鱼占 X-Force 所应对的所有云相关事件的33%，攻击者通常利用网络钓鱼通过中间攻击者 (AITM) 攻击获取凭据。 –28% 的云相关事件涉及使用合法凭据进入受害者环境。这些帐户通常具有过高的权限，用户拥有的权限超出了执行任务所需的权限，这对组织构成了重大的安全挑战。 频繁使用有效凭据 –BEC 攻击是指攻击者假冒受害组织或其他受信任组织内部人员来伪造电子邮件帐户，在过去两年中占此类事件的 39%。威胁参与者通常会利用从网络钓鱼攻击中获取的凭据来接管电子邮件帐户，以进一步开展恶意活动。 商业电子邮件泄露 (BEC) 跟踪凭据 不合规会损害客户云环境的安全 –100% 纯云环境中最不合规的安全规则是 Linux 系统中基本安全和管理设置的配置不当。 –在有 50% 或更多系统位于云中的环境中，最不合规的安全规则是未能确保一致且安全的身份验证和加密实践。 云漏洞 根据去年的分析，X-Force 根据新 CVE 被成功利用后的潜在影响对其进行了分类。X-Force 发现，获取信息、获取访问权限和获取特权是上一报告期内发现的 CVE 的三大影响。今年，XSS、获取访问权限和获取信息是所发现 CVE 的三大影响。与去年同期相比，所披露的漏洞类型发生了变化，其中 XSS 已成为潜在的重大威胁。请参阅图 1。 利用漏洞是攻击者最重要的初始访问媒介。例如，XSS 可用于窃取会话令牌或将用户重定向到恶意网页，而获取访问权限则可进一步利用云资源。最终，这种利用会导致部署加密货币挖矿软件、信息窃取软件、勒索软件和其他类型的恶意软件，以达到恶意目的。 云和暗网 在今年的报告中，X-Force 研究人员再次与 Cybersixgill 合作，深入了解网络罪犯如何利用暗网上的云环境和云基础架构。为此，X-Force 分析了 2023 年 6 月至 2024 年 6 月期间从各种暗网论坛和市场获取的 Cybersixgill 数据，为以下分析提供了参考。 X-Force 发现，暗网上每个云访问凭据的平均价格一直稳步下降，从 2022 年的 11.74 美元降至 2023 年的 10.68 美元和 2024 年的10.23 美元，相当于自 2022 年以来总体下降了 12.8%。请参阅图 2。 这一趋势可能表明，被泄露的云凭据市场正变得过度饱和，导致凭据贬值。越来越多的组织正在转用云，这意味着更多的凭据可能被窃取或被泄露，从而增加了待售云访问凭据的总量。此外，云基础架构的防御性安全措施每年都在改进，例如检测速度和响应能力，从而降低了这些凭据的有效性，因此也降低了其价值。 虽然访问被泄露的云凭据仍然是暗网市场上的热门待售资产，尤其是基于云的 SaaS 解决方案，但与 2023 年相比，暗网市场上 SaaS平台的总体提及率平均下降了 20.4%。请参阅图 3。 –X-Force 的研究表明，Microsoft Outlook 是暗网市场中最常被提及的 SaaS 解决方案，占比高达 68%，其次是 Zoom，占比 7%。 –与 2023 年相比，每个 SaaS 平台在暗网市场上被提及的总次数明显减少，只有 Microsoft TeamViewer 增加了 9%。尽管略有增加，但只占有关 SaaS 解决方案讨论总数的 1.8%。 暗网上对这些 SaaS 解决方案的提及减少表明从防御安全的角度来看存在积极趋势。这一下降的原因可能是执法行动和对暗网市场的破坏，这可能会严重影响被窃取凭据和其他列表的可用性。诸如Nemesis市场等备受瞩目的下架事件凸显了这一结果。此外，随着SaaS 解决方案安全性的提高，攻击者可能会开始寻找较弱的替代方案来牟利并进行恶意活动。组织应继续优先考虑安全性，投资于先进的技术，培养安全意识和准备文化，以保持这种转变。 –值得注意的是，市场讨论中降幅最大的是有关 Wordpress-Admin的讨论，降幅为 98%，其次是 Microsoft Active Directory，降幅为44%，然后是 ServiceNow，降幅为 38%。 暗网上先前提到的 SaaS 平台的提及率大幅下降可以归因于几个因素。威胁参与者策略、技术和程序 (TTP) 的转变，潜在投资回报率(ROI) 的缺乏，以及企业加强安全措施（例如实施高级加密、多重身份验证 (MFA) 和强大的补丁管理），大大减少了漏洞和这些解决方案的可利用性。 X-Force 发现，Lumma、RisePro 和 Vidar 是 2024 年暗网上最流行的的信息窃取软件。相比之下，2023 年排名靠前的信息窃取软件是 Raccoon Stealer、Vidar 和 RedLine。值得注意的是，Lumma 和RisePro 在 2023 年几乎没有暗网活动，而 Vidar 则是该年第二大最流行的窃取软件。此外，Raccoon Stealer 是迄今为止最流行的窃取软件，2023 年被提及次数超过 300 万次，但 2024 年这一数字急剧下降到只有 30 万次。请参阅图 4。 值得注意的是，虽然 Lumma 和 RisePro在 2023 年几乎没有暗网活动，但它们却是2024 年暗网销售最火爆的两款信息窃取软件。 过去一年来，国际执法合作捣毁了散布 Raccoon Stealer 的主要网络罪犯网络。此外，Lumma 和 RisePro 等新信息窃取软件的出现转移了威胁参与者的注意力，降低了 Raccoon Stealer 的流行程度。 针对基于云的文件托管服务、平台和 SaaS 对多次 X-Force Red 对手模拟活动的分析表明，基于云的服务在命令和控制通信中的使用越来越多，因为这些服务受到组织的信任，并能与常规企业流量完美融合。对手正在重新配置基于云的资源，以实现他们的目标，并授予自己更高的权限。 –APT43 一直在利用 Dropbox发起多阶段攻击活动，其中涉及名为TutorialRAT 的恶意软件–APT37 一直在利用 OneDrive 开展大规模网络钓鱼活动，散布RokRAT恶意软件 第三个值得注意的活动是利用 OneDrive托管和散布 Bumblebee恶意软件的电子邮件垃圾邮件活动。这些活动成功利用了公有云服务的可信性，绕过了传统的安全措施，有效地向毫无戒心的用户发送了恶意软件。 此外，X-Force 还发现到基于云的服务受到以下两种攻击方式： 基于云的文件托管服务：恶意软件散布 X-Force 继续发现威胁参与者广泛使用基于云的文件托管服务，例如 Dropbox、OneDrive 和 Google Drive，来散布看似合法的恶意软件。3 个值得注意的恶意软件活动包括 2 个来自朝鲜国家支持的团体： 云平台和服务：信息窃取软件、加密货币挖矿软件和勒索软件 专门用于从云服务中窃取凭据的信息窃取软件不断出现凭据窃取趋势。 2024 年，专门用于从云服务中窃取凭据的信息窃取软件不断出现凭据窃取趋势。许多流行的信息窃取软件，例如 RedLine、RaccoonStealer、Vidar、Lumma、MetaStealer 和 Stealc，以及不同的黑客工具包，例如 FBot、AlienFox 和 Legion，都瞄准了云平台。这些平台包括 AWS、Microsoft Azure、Google Cloud 和其他 SaaS 解决方案，例如 Office 365、Google Workspace（前身为 G Suite）和Salesforce X-Force 的研究人员还发现在云环境中部署了加密货币挖矿软件，这凸显了对强大的云安全措施的迫切需求。Kinsing是一个臭名昭著的恶意软件系列，越来越多地在云环境中瞄准并启动加密货币挖矿软件。例如，Kinsing 隐藏为系统文件，特别是手册文件或手册页，以避免在利用云容器内的漏洞在云服务器上部署加密货币挖矿操作时被检测到。 这些信息窃取软件和黑客工具包已被用来窃取特定平台和服务的凭据，其中包括： 此外，勒索软件近年来已成为一种普遍威胁，经常因攻击全球各种组织而登上头条新闻。然而，其对云环境的影响却往往不为人知。涉及丹麦云托管公司CloudNordic的一起事件清楚地说明了这一日益严重的问题。据报道，勒索软件攻击导致所有客户数据完全丢失。这次攻击利用了数据中心迁移过程中的漏洞，加密了所有服务器和备份系统。尽管采取了现有的安全措施，但该公司仍无法恢复数据，并选择不支付赎金。这一事件表明了勒索软件对云环境的严重影响，强调了安全最佳实践、缓解策略和有效灾难恢复计划的必要性。 –云基础架构凭据，例如 AWS 身份和访问管理 (IAM)、MicrosoftAzure