Google 报告显示 2023 年全球网络安全 5 大趋势

谷歌云旗下 Mandiant Consulting 的一份报告发现，组织检测环境中的攻击者所需的时间越来越短。 这表明公司正在加强其安全态势。

这 M-Trends 2024 报告 还强调，2023 年的首要目标行业是金融服务、商业和专业服务、科技、零售和酒店、医疗保健和政府。 这与以下事实相符：52% 的攻击者主要是出于经济利益的动机，因为这些行业通常拥有大量敏感且有价值的信息。

研究发现，自 2022 年以来，出于经济动机的活动增加了 8%，部分原因是平行的 勒索软件和勒索案件增加。 威胁行为者访问目标网络的最常见方式是通过漏洞利用、网络钓鱼、事先妥协和窃取凭证。

Mandiant 威胁情报顾问欧洲负责人杰米·科利尔 (Jamie Collier) 博士在一封电子邮件中告诉 TechRepublic：“尽管安全社区内的重点是勒索软件和敲诈勒索操作，但这些攻击在一系列部门和地区仍然有效。 因此，勒索活动对于网络犯罪分子来说仍然是高利润的。

“因此，过去五年中，许多进行其他形式网络犯罪的出于经济动机的团体已转向勒索活动。”

TechRepublic 深入研究了 2023 年五大网络安全趋势以及第 15 届年度 M-Trends 报告中强调的专家建议：

1. 全球组织正在改善其网络防御。
2. 网络犯罪分子越来越注重逃避。
3. 云环境越来越多地成为攻击目标。
4. 网络犯罪分子正在改变策略来绕过 MFA。
5. 红队正在使用人工智能和大型语言模型。

1. 全球组织正在改善网络防御

M-Trends报告显示，全球组织的平均停留时间从2022年的16天减少到2023年的10天，目前处于十多年来的最低点。 停留时间是攻击者在目标环境中未被检测到的时间量，表明企业网络态势的强度。 该数字表明公司正在对其网络安全进行有意义的改进。

然而，可能还有另一个因素： 勒索软件攻击的平均比例将从 2022 年的 18% 增至 2023 年的 23%。

科利尔博士向 TechRepublic 解释道：“敲诈勒索活动的影响是显而易见的。 如果部署勒索软件，受害者的系统将被加密并变得无法使用。 或者，如果数据被盗，网络犯罪分子将很快联系受害者勒索。”

请参阅：2024 年 7 大网络安全威胁

亚太地区的组织中位停留时间减少幅度最大，比去年减少了 24 天。 Mandiant 分析师将此与以下事实联系起来：检测到的大多数攻击都与勒索软件相关，而且这一比例高于任何其他地区。 与此同时，欧洲、中东和非洲的公司平均停留时间增加了两天。 这被认为是由于 Mandiant 于 2022 年在乌克兰采取协调一致的防御努力后区域数据正常化。

证明企业在检测网络威胁方面做得越来越好的另一个证据是，Mandiant 发现，46% 的受感染组织首先在内部而非执法机构或网络安全公司等外部实体发现了受感染的证据，这一比例高于 2022 年的 37%。

2. 网络犯罪分子更加注重逃避

网络犯罪分子越来越多地将目标瞄准边缘设备，使用“靠地生存”技术并部署零日漏洞，这表明他们重新关注尽可能长时间地维持网络持久性。

科利尔博士告诉 TechRepublic：“随着网络防御者越来越警惕勒索活动，规避策略增加了成功操作的机会。 当网络犯罪分子能够到达目标网络最敏感和最关键的区域时，勒索软件操作会更加有效，而规避策略可以帮助他们实现这一目标。”

针对边缘设备

边缘设备通常缺乏端点检测和响应 (EDR) 功能，因此它们成为网络犯罪分子的可靠目标。 2023 年，Mandiant 调查人员发现，第一和第三最有针对性的漏洞与边缘设备有关。 这些曾经是：

• CVE-2023-34362：MOVEit 文件传输应用程序中存在 SQL 注入漏洞。
• CVE-2023-2868：物理 Barracuda Email Security Gateway 设备中存在命令注入漏洞。

报告作者写道：“Mandiant 预计，由于与发现和调查妥协相关的挑战，我们将继续看到传统上缺乏 EDR 和其他安全解决方案的边缘设备和平台成为攻击目标。 对这些设备的利用将继续成为中国间谍组织不被发现并持续进入目标环境的一个有吸引力的初始访问媒介。”

请参阅：戴尔如何看待边缘安全性的问答

远程管理员工具和“靠土地谋生”技术

2023 年 Mandiant 检测到的恶意软件家族中约有 20% 不属于典型类别，这一比例高于往年。 此外，此“其他”类别中 8% 的攻击涉及使用远程管理工具和其他实用程序。 这些不太可能被 EDR 或其他安全工具默认标记，这可以使攻击者不被发现，并且通常与“靠地生存”技术相结合。

“Living off the land”是指在网络攻击期间在目标环境中使用合法的预装工具和软件来帮助逃避检测。 通过允许攻击者将已经过组织安全测试的现有功能武器化，可以降低恶意软件的整体复杂性。 它对于边缘设备特别有效，因为它们通常不受网络防御者的监控，从而允许它们在网络上保留更长时间。

Mandiant 研究人员最近发现的一个例子是名为 THINCRUST 的后门，它被附加到负责为 FortiAnalyzer 和 FortiManager 设备提供 API 接口的 Web 框架文件中。 威胁参与者只需与他们添加的新端点 URL 进行交互，即可利用本机 API 实现来访问 THINCRUST 并向其发送命令。

零日漏洞利用

2023 年，Mandiant 研究人员追踪到了 97 个在野外被利用的独特零日漏洞，这意味着零日使用量比 2022 年增长了 50% 以上。这些零日漏洞被间谍组织和出于经济动机的攻击者利用，旨在窃取有价值的信息。数据来盈利。

该报告的作者预计，由于多种因素，已识别的零日漏洞和针对这些漏洞的利用的数量将在未来几年继续增长，其中包括：

• 勒索软件和数据勒索团体零日利用的兴起：2023 年，MOVEit、GoAnywhere、Citrix 和 PaperCut 中的零日漏洞利用明显成为目标，这要归功于 泄露网站帖子。
• 持续的国家支持的利用攻击： A 微软报告 发现去年民族国家网络间谍活动有所增加。
• “交钥匙”漏洞利用工具包的增长：交钥匙漏洞利用工具包是现成的工具，可以从商业监控供应商处购买。 A HP Wolf Security 的报告 注意到 2023 年，带有 DLL 的 Excel 文件受到廉价 Parallax 远程访问木马的感染，数量激增。

M-Trends 报告的建议

• 维护边缘设备的补丁管理，以防止利用已知漏洞。
• 采用“深度防御”方法来帮助检测零日利用的证据。
• 如果怀疑存在泄露，则执行调查和网络搜寻活动，如果存在，则旨在发现攻击者如何进入和维护访问权限。
• 遵循安全供应商的强化架构指南以增强防御能力。
• 确保您有事件响应计划并进行广泛的环境监测。
• 使用先进的 EDR 解决方案分层网络分段和日志记录。
• 在部署新硬件或软件之前评估供应商的安全实践和网络要求，以建立正常使用的基准。

3. 云环境更频繁地成为攻击目标

Gartner 预测云采用率持续增长 2028年超过50%的企业将使用行业云平台 – 因此，更多的攻击者将注意力转向这些环境。 根据 CrowdStrike 的数据，2023 年云入侵次数比 2022 年增加了 75%。

Mandiant 分析师表示，攻击者的目标是实施薄弱的身份管理实践和凭证存储，以获取合法凭证并规避多重身份验证 (MFA)。

SEE：英国 NCSC 发出警告，SVR 黑客瞄准云服务

Mandiant 观察到攻击者获得云环境访问权限的实例，因为它们发生在未安全存储的凭据上。 凭证是在具有默认配置的可通过互联网访问的服务器上发现的，或者在之前的数据泄露中被盗或泄露，并且此后未被更改。 他们还使用不同的技术绕过 MFA 来获得访问权限，下一节将详细介绍。

一旦进入云环境，作者就观察到不良行为者执行了多种滥用云服务的策略，包括：

• 使用本机工具和服务来维护访问、横向移动或窃取数据：利用 Azure 数据工厂和 Microsoft Entra ID 等预装工具意味着攻击者可以降低其操作配置文件并在更长时间内逃避检测。
• 创建虚拟机 (VM) 以不受监控地访问组织的云：当攻击者创建在组织的云基础设施上运行的虚拟机时，它不会安装强制的安全和日志记录软件。 它还可以允许通过 VPN 横向移动到本地网络。
• 利用云的处理能力进行加密货币挖掘。
• 使用开源攻击性安全工具集来调查环境。

M-Trends 报告的建议

• 更新员工身份验证策略。
• 使用防网络钓鱼的 MFA，例如基于证书的身份验证和通过 SMS 的 FIDO2 安全密钥，而不是电话呼叫和一次性密码。
• 实施控制措施，将云资源的访问限制为仅受信任的设备。

4. 网络犯罪分子正在改变策略来绕过 MFA

现在，多因素身份验证已成为许多组织的标准安全实践，攻击者正在探索新的、创造性的策略来绕过它。 据 Mandiant 称，针对使用 MFA 配置的基于云的身份的攻击数量正在增加。

2023 年，该公司观察到中间对手 (AiTM) 网络钓鱼页面有所增加，这些页面窃取身份验证后会话令牌并允许不良行为者规避 MFA。 在 AiTM 活动中，攻击者设置代理服务器，捕获用户的凭据、MFA 代码和登录门户颁发的会话令牌，同时将连接中继到合法服务器。

请参阅：新的网络钓鱼和商业电子邮件危害活动的复杂性增加，绕过 MFA

Mandiant 在 2023 年响应的大多数商业电子邮件泄露案例都涉及威胁行为者通过 AiTM 规避用户的 MFA。 过去，与传统的凭据收集形式相比，建立 AiTM 网络钓鱼基础设施的相对复杂性可能使这些攻击的数量保持在较低水平。 然而，据 Mandiant 称，现在有许多 AiTM 工具包和网络钓鱼即服务产品在地下网络犯罪分子中进行广告宣传。 这些产品显着降低了 AiTM 网络钓鱼的进入门槛，从而导致其数量上升。

Mandiant 研究人员观察到攻击者用来绕过 MFA 的其他技术包括：

• 社会工程攻击：例如，鱼叉式网络钓鱼电子邮件，目标被迫在欺骗性网站上透露其登录详细信息。 然后，攻击者使用它们登录合法站点，该站点会向接受的用户发送 MFA 通知。 组织的服务台也可能成为重置密码或 MFA 设备的指令的目标。
• SIM 卡交换：这涉及将目标的电话号码转移到攻击者控制的 SIM 卡上，以便他们可以接受 MFA 通知并接管帐户。 Mandiant 观察到 2023 年 SIM 交换攻击有所增加。
• 密码猜测：攻击者猜测未设置 MFA 的休眠或服务帐户的密码，以便他们可以注册自己的设备。

M-Trends 报告的建议

• 实施抗 AiTM 的 MFA 方法和访问策略，根据组织定义的位置、设备管理状态或历史登录属性等阻止登录。
• 监视与网络钓鱼基础设施相关的 IP 地址的身份验证日志、使用被盗令牌进行的身份验证或地理上不可行的登录。

5. 红队正在使用人工智能和大型语言模型

红队由网络安全分析师组成，他们计划和执行针对组织的攻击，以识别弱点。 2023 年，Mandiant 顾问使用生成式人工智能工具加快了红队评估中的某些活动，包括：

• 为虚假社会工程攻击创建恶意电子邮件和登陆页面的初始草稿。
• 当分析师遇到不常见或新的应用程序和系统时，开发定制工具。
• 在环境不符合操作规范的情况下研究和创建可以反复使用的工具。

Collier 博士告诉 TechRepublic：“人工智能在红队中的作用是高度迭代的，需要在大型语言模型 (LLM) 和人类专家之间进行大量来回。 这突显了两者的独特贡献。

“人工智能通常非常适合重复性任务或获取信息。 然而，拥有了解行业工艺并具备在实际情况中应用法学硕士提供的背景的技能的红队顾问更为重要。”

人工智能还被用于 Mandiant 的紫色团队活动中，分析师必须从攻击者和防御者的角度熟悉客户的环境，以促进红队和蓝队之间的协作。 生成式人工智能用于帮助他们更快地了解客户的平台及其安全性。

请参阅：HackerOne：人工智能如何改变网络威胁和道德黑客

在报告中，作者推测了网络安全分析师未来如何使用人工智能。 红队生成大量数据，可用于训练经过调整以帮助保护客户环境的模型。 然而，人工智能开发人员还必须找到新的方法来确保模型具有适当的护栏，同时允许红队合法使用恶意活动。

作者写道：“红队的专业知识和强大的人工智能领导力的结合可能会导致未来红队的效率大大提高，组织能够更好地领先于有动机的攻击者带来的风险。”

方法

M-Trends 2024 中报告的指标基于 Mandiant Consulting 对 2023 年 1 月 1 日至 2023 年 12 月 31 日期间进行的定向攻击活动的调查。