2023年安全X部队威胁情报指数（英）

X-Force威胁智能指数2023 IBM安全 表的内容01→ 07→12→ 执行概要 02→ 报告强调 Cyber-related发展 俄罗斯的战争在乌克兰 08→ 恶意软件的风景 建议 13→ 关于我们 关键统计 09→ 贡献者 数据 威胁和工业 04→ 控制系统 15→ 前初始访问向量 附录 05→ 10→ 前行动目标06→ 11→ 03→14→ 地理趋势 行业趋势 最高的影响 01执行概要 2022年是另一个混乱一个用于网络安全。虽然没有缺乏造成的事件中 包含数十亿据点从网络和终端设备,事件响应(IR)活动,弱点 最重要的是持续的影响 并利用数据库和更多。这 大流行性流感的爆发在乌克兰的军事冲突。中断2022一年的经济、地缘政治和人类的动荡和cost-creating 报告是一个综合的集合从1月到我们的研究数据2022年12月。 的混乱中网络罪犯们茁壮成长 我们提供这些发现作为一个资源IBM的客户,网络安全研究人员, 。 决策者、媒体和 和繁荣。 安全行业的更大的社区 IBM®安全X-Force®见证 专业人士和行业领导者。今天的挥发性景观,越来越多 演员利用机会主义的威胁障碍,使用他们的景观 复杂的和恶意的威胁,需要共同努力来保护 渗透到政府和优势 商业和公民。你比以往任何时候都更 组织在全球范围内。 需要带着威胁的情报 IBMX-Force安全威胁 和安全的见解领先攻击者和巩固你的关键资产。 智能跟踪新的指数2023现有的模式和趋势和攻击 所以你也能茁壮成长。 下一章 3 01执行概要 我们的数据分析是如何改变的 2022年 在2022年,我们如何检查修改我们的部分数据。这些变化使我们提供更深刻的分析和 结合更紧密的行业标准框架。反过来,支持你安全做出更明智的决策更好的保护您的组织从威胁。 2022年修改我们的分析包括: –首次访问向量:采用 斜接在T&CK跟踪框架 首次访问向量联系更加密切我们与更广泛的的研究成果网络安全行业,并允许我们识别重要的趋势 技术水平。 –利用和零妥协天:根据我们的强大漏洞数据库,包括 近30年的数据可以帮助放贷环境对我们的分析和识别实际的漏洞造成的威胁。这个过程也让上下文weaponizable比例递减 利用和有效的零天。 –威胁演员方法及其影响:解偶联威胁演员的步骤在攻击的实际影响 的事件使我们能够识别一个事件的关键阶段。这过程,反过来,发现区域救援人员应该准备处理后一个事件。 下一章4 报告强调 观察最高行动目标: 近四分之一的所有事件矫正在2022年部署 后门在21%的行动 目标。值得注意的是,早期的高峰 Emotet,多用途的恶意软件, 在很大程度上造成了跳 后门活动观察一年不如一年。尽管这个后门激增活动,ransomware,处于最高的位置至少2020年,构成了很大一部分事件的17%,加强了 这个恶意软件造成持久的威胁。 敲诈勒索,网络罪犯继续 利用一个紧张的行业趋势。 网络钓鱼是最初始访问向量:钓鱼是主要的感染 向量,确定在41%的事件,其次是开发面向公众 应用程序在26%。感染的恶意宏已经失宠, 可能是因为微软的决定默认宏。恶意ISO和LNK文件使用升级的主要策略 在2022年提供恶意软件通过垃圾邮件。 现代战争。虽然可怕 网络空间的预测还没有来成果的出版, 一个知名的黑客和复兴 破坏性的恶意软件。X-Force也观察到 cybercriminal前所未有的变化世界之间加强合作cybercriminal组和Trickbot团伙针对乌克兰的组织。 勒索是最常见的攻击 对组织的影响:为27%,敲诈勒索选择的明显影响了威胁 演员。受害者在制造业中事件导致的30% 黑客入侵和破坏性的 恶意软件:俄罗斯的战争在乌克兰打开门的许多人 网络社区将 是一个展示的网络支持 关键统计数据 21% 17% 威胁行为者试图向受害者勒索不止一个 占X-Force在2022年回应的所有事件的四分之一。这 他们使用的策略在过去十年中发生了变化，这一趋势预计会随着威胁行为者更积极地寻求利润，继续。 分享看到的事件后门部署 部署后门是去年目标的首要行动， 发生在全球五分之一以上的报告事件中。 人权维护者的成功干预可能阻止了威胁行为者实现可能包括勒索软件的进一步目标。 Ransomware的攻击 即使在一些最多产的勒索软件的混乱之年辛迪加，勒索软件是第二常见的行动 目标，紧跟后门部署和 继续扰乱组织的运营。勒索软件的份额 的事件从2021年的21%下降到2022年的17%。 03关键统计 数据 41%100% 比5例2的%事件涉及钓鱼首次访问 钓鱼行动继续 通往妥协,2022年为41% 矫正的事件通过X-Force使用该技术获得最初的访问。 增加线程的数量每月劫持的尝试有线程劫持的两倍 尝试每个月2022年,相比 2021年的数据。垃圾邮件导致Emotet, Qakbot和IcedID使大量使用线程劫持。 钓鱼工具寻求报道信用卡数据 几乎所有的钓鱼工具分析了 试图收集数据名称和98% 电子邮件地址为73%,紧随其后的是家地址和密码在58%66%。 信用卡信息,目标61%2021年的时间,失宠 威胁actors-data显示这是寻求在2022年只有29%的钓鱼工具,下降了52%。 62%26% 使3用1比%例的钓鱼攻击鱼叉式网络钓鱼的附件 攻击者首选的突破附件,由自己或部署 结合链接或鱼叉式网络钓鱼通过服务。 分享2022漏洞已知漏洞 2022年百分之二十六的漏洞 已知漏洞。数据显示, X-Force跟踪自1990年代初以来,在最近的这一比例一直在下降年,展示的好处, 维护补丁管理过程。 占全球攻击目标亚太地区 亚太地区保留的榜首 2022年遭到的攻击区域,会计 31%的所有事件。这个统计量代表增加百分之十五 从总分享到的攻击 X-Force回应2021年在该地区。 04 前初始访问向量 2022年首次访问向量 2022年,X-Force从跟踪 首次访问向量为更广泛的类别,网络钓鱼和被盗等凭证, 在列出的初始访问技术企业的僧帽T&CK矩阵 框架。这种转变让X-Force更精确地跟踪重要趋势 技术水平。它还提供了更多的容易消耗品和cross-comparable数据和与更广泛的行业 标准化工作。 利用面向公众的应用程序钓鱼,鱼叉式网络钓鱼附件钓鱼,鱼叉式网络钓鱼链接外部的远程服务 有效的账户——当地7% 有效的账户——域5% 硬件添加3% 有效的账户——违约2% 12% 14% 26% 25% 通过服务网络钓鱼,鱼叉式网络钓鱼2% 有效的账户——云2% 图1:2022年观测到的顶级初始访问向量X-Force。来源：X-Force 网络钓鱼 网络钓鱼类型视为总额的%网络钓鱼案件 5% 33% 62% 网络钓鱼 通过服务 链接 附件 网络钓鱼(T1566),是否通过在2022年的渗透测试为客户, 这与过去的威胁 图2:类型的网络钓鱼subtechniques作为钓鱼总额的百分比情况下观察到 2022年X-Force。来源:X-Force 附件、链接或作为服务仍然存在导致感染向量,组成 41%的事故由X-Force矫正 在2022年。这个比例趋于稳定 2021年后增加了33% 2020.查看所有网络钓鱼事件, 鱼叉式网络钓鱼附件(T1566.001)被用于62%的攻击,矛(T1566.002)33%,钓鱼链接 鱼叉式网络钓鱼作为服务(T1566.003)5%。演员X-Force也见证了威胁 用附件一起钓鱼 在某些情况下的服务或链接。 IBMX-Force红色数据进一步从2022年突出了网络钓鱼的价值 处理不当演员凭证来威胁。 X-Force红发现大约54% 测试发现不适当的身份验证或处理的凭证。的X-Force红色的对手模拟团队定期执行与QR码鱼叉式网络钓鱼针对多因素身份验证(MFA)令牌。许多组织缺乏可见性应用程序和端点暴露 通过身份管理和访问 单点登录(SSO)门户网站,比如Okta。 排在第二位,开发公共- 面临(T1190)定义的应用程序的对手利用 弱点,apple电脑 或计划中确定的26%X-Force回应事件。 被称为智能指数报告 “漏洞剥削”,标志着 从2021年的34%下降。 在第三位,滥用的有效帐户 (T1078)在16%的确定 观察到的事件。这些情况下在对手获得和虐待吗 现有账户的凭证作为一种手段获得。这些事件包括 云账户(T1078.004)和违约每个账户(T1078.001)2%,域和本地账户(T1078.002)5%账户(T1078.003)为7%。 信用卡信息大幅下降,从目标的61% 时间到2021年的29%2022年网络钓鱼包。 钓鱼用品持久,目标 PII/信用卡数据 IBM安全分析成千上万的钓鱼工具来自世界各地的连续两年,发现工具 操作时间和部署 达到更多的用户。数据表明钓鱼工具的寿命 比去年增加了一倍多,而部署在中位数 数据集仍然相对较低 3.7天。 总的来说,最短的部署了分钟,最长的,发现的 2022年,超过三年。我们的调查发现以下几点: ——三分之一的部署包了去年约2.3天,更多 比前两年的长度 当同一比例持续了没有超过一天。 ——大约一半的所有报告工具影响了93用户,而在2021年,平均每个部署没有 超过75名潜在的受害者。 ——最大的受害者之一钓鱼攻击是在报道 4000年,尽管这是一个例外。 ——几乎每个钓鱼工具 试图分析收集的名字为98%。其次是电子邮件地址 在66%和73%,家里地址密码为58%。 ——信用卡信息了明显的目标61% 网络钓鱼的时间到2021年的29%2022年包。 ——低钓鱼工具寻求的实例信用卡数据显示,钓鱼者是优先考虑个人身份 信息(PII),它允许他们 更广泛和更邪恶的选项。 PII可以收集和出售 在web或其他论坛或黑暗用于进行进一步的操作针对目标。 大品牌的欺骗 观察到的顶级品牌被欺骗 主要是由最大的名字吗 科技。X-Force认为这种转变 2021年的更多样化的列表 偷来的凭证等服务 有价值的。获得账户 受害者使用管理的整个部分网上可以开门 大品牌的欺骗 20222021 由于改进的识别能力 品牌设备配置为恶搞, 不仅仅是一个默认的目标。许多钓鱼用品多用途, 这个品牌被欺骗可以改变 通过改变一个简单的参数。为 例子,一个工具包可以恶搞Gmail在默认情况下, 但一行更新变化成一个欺骗攻击微软。 其他账户的访问权限。攻击者的注意力 在这种形式的初始访问突出显示在2022年的云景观的威胁 报告发现了一个超过三倍增加的数量的200%云账户被出售的广告 黑暗的网络在2021年观察到的是什么。 1微软 2谷歌 3雅虎 4脸谱网 5前景 微软苹果谷歌 BMOHarris银行追逐 6苹果亚马逊 7Adobe 8美国在线 9贝宝 10Office365 DropboxDHL 美国 有线 H电o视tmail 新闻网 图3:这张图标识 顶级欺骗品牌,2021年 2022年,证明威胁演员们越来越关注在大型科技品牌。 来源:IBM钓鱼工具数据 漏洞 事件造成的份额 漏洞剥削了过去四年 2022 26% 2021 34% 2020 35% 2019 30% 脆弱性exploitation-captured为2022年作为面向公众的剥削应用程序(T1190)放在第二 在向量和被感染妥协的首选方法 自2019年以来,攻击者。漏洞是利用X-Force26%的攻击 矫正,2022年34%,2021年为35% 2020年和2019年的30%。 并不是每一个漏洞利用 演员结果在一个网络事件的威胁。事件产生的数量 从2022年的漏洞剥削 从2021年下降了19%,之后上升从2020年的34%。X-Force评估,这是由广泛的摆动 Log4J漏洞在2021年底。 剥削的访问是