2022年互联网现状报告（英）

(互联网的状态) 卷8,问题3 兵临城下 分析攻击金融服务 表的内容 2介绍 4景观的威胁 6越来越多的安全风险 14新公布的漏洞带来的危险 18DDoS攻击 22金融服务客户他们的靶子 26网络钓鱼的趋势 30恶意软件之路 32总结 33学分 兵临城下:卷8,问题3soti1 介绍 金融服务是受网络犯罪打击最严重的行业之一——从宙斯和其他银行木马的鼎盛时期到分布式拒绝服务（DDoS）攻击、现代网络钓鱼攻击和勒索软件。FinServ是一个至关重要的部门，不仅在人们的生活中，而且在全球经济中都发挥着重要作用。金融服务的任何中断或停机都会产生严重影响，这些组织持有的敏感数据可以变成有价值的商品。因此，攻击者将FinServ视为有利可图的目标，并对其进行广泛的攻击，从新发现的零日漏洞到久经考验的网络钓鱼攻击。 因此，攻击者高度集中并有动力攻击FinServ行业已经不是什么秘密了。传统上，金融服务互联网现状（SOTI ）报告选择了网络钓鱼或欺诈等主题，但这次我们采取了更广泛的方法，涵盖了影响这个经常受到攻击的行业的许多问题。 这种更广泛的视角使我们能够看到金融服务行业遭受攻击的数量激增，以及攻击者利用新发现的零日漏洞的惊人速度。FinServ的客户也不能幸免，很大一部分攻击者选择放弃对世界上最安全的行业之一的攻击 ，而是集体攻击他们的消费者。由于这个敌人站在门口，FinServ安全专业人员必须了解威胁形势如何变化。我们的报告包括以下要点： 兵临城下:卷8日的问题3soti2 博士TL; 金融服务行业在Web应用程序和API、零日攻击和DDoS攻击方面一直位居前三大目标垂直行业。 FinServ显示Web应用程序和API攻击同比激增3.5 倍，是所有主要行业中增长最快的。 在24小时内，针对FinServ的新发现的零日漏洞的利用每小时可以达到数千次攻击，并且 快速达到峰值，几乎没有时间修补和反应。 本地文件包含（LFI）和跨站点脚本（XSS）攻击的显著增加表明，攻击者正在转向远程代码执行（RCE）尝试，这对内部安全网络造成了更大的压力。 滥用FinServ客户的情况非常猖獗，超过80%的FinServ攻击者直接或通过网络钓鱼相关活动专注于客户帐户而不是组织本身。 钓鱼活动(如Kr3pto) 介绍使用一次性密码令牌或推送通知绕过双因素身份验证（2FA）解决方案的技术 。 兵临城下:卷8,问题3soti3 兵临城下:卷8,问题3 SOTI 4 景观的威胁: 攻击金融服务发展 金融服务垂直行业仍然是世界上最广泛攻击的行业之一，攻击数量有增长迹象。特别是Web应用程序和API攻击，正在以惊人的速度增加，同时复杂性也在增加。攻击者正在寻求在内部网络站稳脚跟并造成破坏，以此迫使组织支付资金以防止进一步的损害。作为一个至关重要的部门，金融服务需要启动并运行。攻击者还可以通过被盗的敏感信息获利，或访问客户的帐户并窃取他们的钱。 网络犯罪分子已将目光投向金融服务及其客户，因此，我们已经看到这种垂直行业提高了其网络安全意识并增加了网络安全的IT预算。未能保护其边界和数据可能会导致勒索软件和其他威胁的违规行为，从而导致重大的关键数据和财务损失。根据IBM的《2022年数据泄露成本报告》，针对金融服务（被视为“关键基础设施”）的数据泄露平均成本为597万美元。 为了充分了解金融服务面临的各种风险，我们必须从整体上看待威胁形势。为此，我们求助于有关活动的大量数据，例如爬虫程序趋势（恶意和良性）、针对关键漏洞的利用尝试、Web应用程序和API攻击以及网络钓鱼活动。我们还调查攻击者的互联网协议（IP），以得出有关攻击者动机的结论。我们查看一年的数据，以创建金融服务威胁形势的快照（图1）。 在10，000英尺的视角下，金融服务在几个关键领域被攻击的垂直领域名列前茅：Web应用程序和API攻击、DDoS、网络钓鱼、零日漏洞利用和僵尸网络活动。最令人担忧的是上述Web应用程序和API攻击的惊人激增-针对金融服务的攻击数量增长了3.5倍。金融服务组织的僵尸网络活动也在增加。 257% 在web应用程序中增加 和API的攻击 81% 机器人活动的增加 22% 增加DDoS的目标 图1:金融服务类型的攻击增长 每个向量都提出了不同的安全风险和挑战，金融服务需要解决这些风险和挑战以增强其安全态势。随着报告的进展，我们将更详细地研究各种攻击媒介，但总体而言，本报告证明了金融业在网络安全方面的投资是合理的。 越来越多的安全风险: 应用程序和API攻击 Web应用程序和API仍然是金融服务的重要考虑因素。它们是许多转型工作的关键，也是银行向第三方开放的方式，为客户创造更好的体验，并在市场上获得更多价值和竞争优势。另一方面，客户使用银行应用程序来利用广泛的银行服务。尽管在COVID-19大流行之前，银行应用程序的使用量正在蓬勃发展，但围绕大流行的情况（例如，封锁）进一步增加了它们的使用。 由于其显着的优势，许多组织正在将API的使用引入其生态系统。在Postman的2022年API现状报告中，89%的受访者表示，他们今年对API开发的投资可能会增加。在其他情况下，采用API以符合法规要求。例如，欧洲的支付服务指令2要求欧洲的银行公开API，以便金融服务提供商可以访问与贷款、账户等相关的客户数据。 通过API，银行和第三方已经标准化了组织和第三方之间的客户财务信息的数据连接或交换。另一方面，Web应用程序通过为客户提供的便利性、更快的处理速度和可靠性来增强客户体验，并降低金融服务组织的成本 。 但是，这些Web应用程序中的漏洞可能允许攻击者破坏系统并窃取敏感数据。虽然API和Web应用程序具有许多好处和优势，但它们也可能为网络犯罪分子引入新的攻击面。 在过去的12个月中，Web应用程序和API攻击的增长大幅增加，金融服务继续在目标行业中占据突出地位。在我们的分析中，我们发现金融服务是第三大攻击垂直领域，占整体攻击的15%，紧随其后的是高科技，是第二大攻击垂直领域（图2）。在一年中的大部分时间里，金融服务已经超过了高科技，成为整体攻击数量最多的国家。 在10，000英尺的视角下，金融服务在几个关键领域被攻击的垂直领域名列前茅：Web应用程序和API攻击、DDoS、网络钓鱼、新兴漏洞利用和僵尸网络活动。 Web应用程序和API的袭击 商务部高科技金融服务视频媒体制造其他数字媒体公共部门社会 垂直 媒体游戏业务服务 赌博制药/ 医疗非营利教育 0%10%20%30%40% 图2：在过去12个月中，Web应用程序和API攻击最受攻击的行业包括商业，高科技和金融服务 Web应用程序和API在金融服务运营中的重要性继续邀请攻击者寻找漏洞和攻击组织的方式。首先，在构建它们时，安全性是一项艰巨的挑战。驻留在这些Web应用程序中的漏洞可能导致RCE和违规。其次，Web应用程序能够捕获和存储机密的客户信息（即登录凭据）。 一旦攻击者成功发起Web应用程序攻击，他们就可以窃取机密数据，并在更严重的情况下获得对网络的初始访问权限并获得更多允许他们横向移动的凭据。除了违规的影响外，被盗信息还可以在地下兜售或用于其他攻击。考虑到金融服务垂直行业持有的大量数据，例如个人身份信息和帐户详细信息，这一点非常令人担忧。 对金融服务的Web应用程序和API的攻击正在增加，这意味着对金融服务及其客户的兴趣持续增长。今年，金融服务的应用和API攻击增长了3.5倍。这代表了对任何媒介的攻击同比增长最快，但赌博除外，赌博总体上没有看到大量的Web应用程序防火墙（WAF）攻击。这一增长表明人们对可能导致金融服务漏洞的攻击面越来越感兴趣。 袭击数 每日Web应用程序和API攻击—金融服务 图3：金融服务业在过去12个月中攻击持续增长 在过去的12个月中，金融服务的攻击持续增长，图3中观察到的峰值似乎表明有针对性或集中的攻击。不仅如此，这些模式可能表明针对组织的Web应用程序攻击的风险越来越大。PositiveTechnologies进行的研究表明，91%的Web应用程序发生了个人数据泄露事件，例如用户ID和用户凭据。 保护Web应用程序势在必行，因为驻留在那里的漏洞可能被用作破坏目标组织的入口点。了解攻击的类型以及它们可能导致的内容可以帮助组织了解如何正确保护这些Web应用程序。 地区的趋势 观察区域趋势使我们有机会比较世界各个地区的增长（图4）。 2022 2022 地区的趋势 2021 2021 2021 2022 袭击数 20212022 图4：APJ地区的Web应用程序和API相关攻击大幅增长449% 值得注意的是，拉丁美洲（LATAM）呈指数级增长。数字化和有限的网络犯罪治理可能是导致该地区网络犯罪活动增长的两个因素。网络犯罪每年给该地区造成900亿美元的损失。该地区的主要威胁包括加密劫持、欺诈、银行木马和勒索软件，这表明拉丁美洲的网络犯罪更具经济动机。就在今年，哥斯达黎加遭受了Conti集团的勒索软件攻击，袭击了几个政府网站，显示了勒索软件即服务（RaaS）的严重影响，超出了经济损失。仔细观察该地区，我们可以看到巴西在Web应用程序和API攻击目标列表中名列前茅。在巴西，由于网上银行的高使用率/采用率，存在许多与银行相关的威胁。 亚太地区和日本（APJ）地区的Web应用程序和API攻击也大幅增长：增长了449%，这似乎与该地区越来越多的网络攻击相吻合，主要导致勒索软件。今年早些时候，我们发现勒索软件组织通常使用的Web应用程序和API向量通过利用漏洞来获得初始访问权限。澳大利亚、日本和印度是APJ地区Web应用程序和API攻击数量最多的前三个国家/地区。 现在，让我们看看北美（NA），在Web应用程序和API攻击中观察到354%的峰值。俄罗斯和乌克兰的冲突引发了2022年初美国和欧洲金融部门可能遭受网络攻击和报复的警告。但在此之前，美国的金融服务公司也遭受了勒索软件、银行木马和其他恶意软件的困扰。一些值得注意的攻击包括FIN8网络犯罪集团入侵某些美国金融服务公司，以及上传到地下市场的美国和韩国银行的40万条泄露的支付记录。为了减轻网络安全风险的普遍性，联邦存款保险公司、联邦储备系统理事会和货币监理署在2021年敲定了一项规则 ，要求在可疑威胁期间向联邦监管机构和银行组织的客户发出“事件通知”。 与美国一样，欧洲也有立法和多项法规，例如网络和信息系统安全指令（NIS指令）和通用数据保护条例（GDPR） ，为金融服务和其他垂直领域的网络安全和数据保护提供了指导和基线。尽管这些法规有助于组织变得具有网络弹性，但并不一定意味着组织对网络攻击免疫。可能导致这种情况的显着网络威胁样本包括Bizarro，一种将其目标扩展到包括欧洲银行的银行木马，以及一系列移动恶意软件 ，其攻击/有效载荷传递尝试增加了500%。英国在欧洲、中东和非洲（EMEA）拥有最多的Web应用程序和API攻击 。 这些数据表明，犯罪组织正在继续投资攻击金融业。他们正在利用自动化和侦察，以及迭代方法来避免地理封锁等规则。不断完善安全规则和风险承受能力，并确保所有面向互联网的功能都在一个共同的安全组合下，这一点至关重要。 向量用于应用程序和API攻击 为了了解攻击的性质，我们可以放大到通常针对该行业的各种攻击媒介。查看向量以更好地了解您的风险以及您的组织可能遇到的攻击类型至关重要。然后，有了这些知识，您可以制定缓解策略，以加强对这些攻击的防御并防止违规行为。 Web应用程序和API的攻击向量 300,000,000 250,000,000 200,000,000 150,000,000 100,000,000 50,000,000 LFI XSS SQLi PHPi JSI CMDi RFI 图5：LFI攻击是WAF攻击大规模增长背后的驱动力之一 如图5所示，Web应用程序和API攻击的增