X-Force威胁情报指数2023 IBM安全 表的内容01→ 执行概要 02→ 报告强调 03→ 关键统计数据 04→ 前初始访问向量 05→ 前行动目标 06→ 最高的影响 07→ 俄罗斯在乌克兰战争的网络相关发展 08→ 恶意软件的风景 09→ 威胁和工业控制系统 10→ 地理趋势 11→ 行业趋势 12→ 建议 13→ 关于我们 14→ 贡献者 15→ 附录 01 执行概要 2022年是网络安全的另一个动荡的一年。虽然不乏促成事件,但其中最重要的是大流行的持续影响和乌克兰军事冲突的爆发。中断使2022年成为经济、地缘政治和人类动荡和成本的一年——这正是网络犯罪分子猖獗的混乱。 和繁荣。 IBMSecurity®X-Force®目睹了机会主义威胁行为者利用混乱,利用环境的优势渗透到全球的政府和组织中。 IBMSecurityX-Force威胁情报指数2023跟踪新的和现有的趋势和攻击模式,以及 下一章 包括数十亿个数据点,包括网络和端点设备、事件响应(IR)参与、漏洞和漏洞利用数据库等。本报告是 我们的研究从2022年1月至12月的数据。 我们将这些发现作为资源提供给IBM客户、网络安全研究人员、政策制定者、媒体和 更大的安全行业专业人士和行业领导者社区。当今动荡的环境及其日益复杂和恶意的威胁需要协作努力来保护企业和公民。您比以往任何时候都更需要掌握威胁情报和安全见解,以领先于攻击者并强化您的关键资产。 所以你也能茁壮成长。 3 01执行概要 2022年我们的数据分析如何改变 2022年,我们修改了检查部分数据的方式。这些变化使我们能够提供更有见地的分析,并与行业标准框架更紧密地保持一致。反过来,这使您能够做出更明智的安全决策,并更好地保护您的组织免受威胁。 2022年修改我们的分析包括: –首次访问向量:采用MITREATT&CK框架来更紧密地跟踪初始访问向量,使我们的研究结果与更广泛的网络安全行业保持一致,并允许我们 确定技术层面的重要趋势。 –利用和零妥协天:从我们强大的漏洞数据库(包括近30年的数据)进行推断有助于为我们的分析提供背景信息,并确定漏洞构成的实际威胁。这一过程也为可武器化漏洞和有影响力的零日漏洞的比例不断减少提供了背景。 –威胁演员方法及其影响:将威胁参与者在攻击期间采取的步骤与事件的实际影响分开,使我们能够确定事件的关键阶段。反过来,这个过程又发现了响应者在事件发生后应该准备处理的领域。 下一章4 02 报告强调 观察最高行动目标:在2022年补救的所有事件中,近四分之一的部署 21%的后门是Objective的最高行动。值得注意的是 ,年初的峰值 在Emotet中,一种多用途恶意软件对观察到的后门活动逐年激增做出了重大贡献。尽管后门活动激增,但至少自2020年以来一直位居榜首的勒索软件占有很大份额 的事件占17%,加剧了该恶意软件构成的持久威胁。 勒索是对组织最常见的攻击影响:勒索占27%,是威胁行为者选择的明显影响。制造业的受害者占导致 敲诈勒索,因为网络犯罪分子继续利用紧张的行业的趋势。 网络钓鱼是最初始访问向量:网络钓鱼仍然是主要的感染媒介,在41%的事件中被发现,其次是26%的面向公众的应用程序利用。恶意宏的感染已经失宠,可能是由于微软决定默认阻止宏。恶意ISO和LNK文件使用升级作为2022年通过垃圾邮件传递恶意软件的主要策略。 黑客入侵和破坏性的恶意软件:俄罗斯在乌克兰的战争为网络安全界许多人期望的展示网络如何实现打开了大门 现代战争。尽管截至本文发布时,最可怕的网络空间预测尚未实现,但黑客行动主义和 破坏性恶意软件。X-Force还观察到网络犯罪世界发生了前所未有的变化,网络犯罪集团与针对乌克兰组织的Trickbot团伙之间的合作有所增加。 以前的章下一章5 03 关键统计数据 27% 21% 比例的攻击与敲诈勒索 在X-Force在2022年应对的所有事件中,超过四分之一的事件中,威胁行为者试图向受害者勒索钱财。他们使用的策略在过去十年中发生了变化,随着威胁行为者更积极地寻求利润,这一趋势预计将持续下去。 的事件,看到后门部署 部署后门是去年目标的首要行动,全球报告的事件中有超过五分之一。 防御者的成功干预可能会阻止威胁行为者实现可能包括勒索软件的进一步目标。 Ransomware的攻击 即使在一些最多产的勒索软件集团混乱的一年中,勒索软件也是目标上第二常见的 行动,紧随后门部署并继续破坏组织的运营。勒索软件的事件份额从2021年的 17% 21%下降到2022年的17%。 以前的章下一章6 03关键统计数据 41% 初始访问时涉及网络钓鱼的事件百分比 网络钓鱼操作仍然是2022年入侵的首要途径,X-Force修复的事件中有41%使用此技术来获得初始访问权限。 62% 使用鱼叉式网络钓鱼附件的网络钓鱼攻击百分比 攻击者首选的突破 附件,单独部署或通过服务与链接或鱼叉式网络钓鱼结合使用。 100% 每月线程劫持尝试次数增加 与2021年的数据相比,2022年每月的线程劫持尝试次数是2021年的两倍。导致Emotet,Qakbot和IcedID的垃圾邮件大量使用线程劫持。 26% 分享2022漏洞利用 2022年26%的漏洞具有已知的漏洞利用。根据X-Force自1990年代初以来跟踪的数据,这一比例近年来一直在下降,这表明维护良好的补丁管理过程的好处。 52% 搜索信用卡数据的报告网络钓鱼工具包减少 在数据中分析的几乎每个网络钓鱼工具包都试图收集 98%的姓名和73%的电子邮件地址,其次是家庭住址 (66%)和密码(58%)。信用卡信息,目标61% 在2021年的时间里,威胁行为者失宠了——数据显示,2022年只有29%的网络钓鱼工具包在寻求它, 下降了52%。 31% 针对亚太地区的全球攻击份额 亚太地区在2022年继续位居受攻击最严重的地区之首,占所有事件的31%。这一统计数据比攻击的总份额增加了五个百分点 X-Force回应2021年在该地区。 以前的章下一章7 04 前初始访问向量 2022年首次访问向量 2022年,X-Force从跟踪初始访问向量作为更广泛的类别(例如网络钓鱼和被盗凭据)转向MITREATT&CK企业矩阵框架中列出的初始访问技术。这种转变使X-Force能够在技术层面更精细地跟踪重要趋势。它还提供了更易于使用和交叉比较的数据,并与更广泛的行业标准化工作保持一致。 利用面向公众的应用程序 钓鱼,鱼叉式网络钓鱼附件 钓鱼,鱼叉式网络钓鱼链接 外部的远程服务 有效的账户——当地 有效的账户——域 硬件添加 有效的账户——违约 通过服务网络钓鱼,鱼叉式网络钓鱼 有效的账户——云 12% 7% 5% 3% 2% 2% 2% 14% 26% 25% 图1:2022年观测到的顶级初始访问向量X-Force。来源:X-Force 以前的章下一章8 网络钓鱼 网络钓鱼类型视为钓鱼案件总数的% 5% 33% 62% 通过服务网 络钓鱼 链接 附件 网络钓鱼(T1566),无论是通过附件、链接还是作为服务,仍然是主要感染媒介,占X-Force在2022年修复的所有事件的41%。这一百分比从2020年的33%上升到2021年持稳。查看所有网络钓鱼事件,鱼叉式网络钓鱼附件(T1566.001)用于62%的攻击,鱼叉式网络钓鱼链接(T1566.002)用于33%,鱼叉式网络钓鱼即服务(T1566.003)用于5%。在某些情况下 ,X-Force还目睹了威胁行为者将附件与网络钓鱼一起使用为服务或链接。 图2:网络钓鱼子技术的类型占X-Force在2022年观察到 的网络钓鱼案件总数的百分比。来源:X-Force 2022年的IBMX-ForceRed数据进一步凸显了网络钓鱼和处理不当的凭据对威胁参与者的价值。 在2022年对客户端的渗透测试中,X-ForceRed发现大约54%的测试显示身份验证或凭据处理不当。X-Force的 红色对手模拟团队定期使用针对多因素身份验证(MFA)令牌的QR码执行鱼叉式网络钓鱼。许多组织缺乏对通过身份访问管理和单点登录(SSO)门户(如Okta)公开的应用程序和端点的可见性。 其次是利用面向公众的应用程序(T1190)— 定义为攻击者利用 在X-Force响应的事件中,有26%发现了面向互联网的计算机或程序中的弱点。 这与过去的威胁情报指数报告所说的“漏洞利用”相关,比2021年的34%有所下降。 排在第三位的是,在观察到的事件中,有16%发现了滥用有效帐户(T1078)。这些是对手获得和滥用的情况 现有帐户的凭据作为获取访问权限的一种手段。这些事件包括云帐户(T1078.004)和默认帐户(T1078.001),分别为2%,域帐户(T1078.002)占5%,本地帐户(T1078.003)占7%。 信用卡信息从2021年的61% 大幅下降到2022年的29%。 网络钓鱼工具包持续时间更长,针对PII 而不是信用卡数据 IBMSecurity连续第二年分析了来自世界各地的数千个网络钓鱼工具包,发现工具包部署的运行时间更长,用户更多。数据显示,观察到的网络钓鱼工具包的寿命同比增加了一倍以上,而部署的中位数数据集仍然相对较低 3.7天。 总体而言,最短的部署持续了几分钟,最长的部署发生在2022年,运行时间超过三年。我们的调查发现如下: –去年,三分之一的部署工具包持续了大约2.3天,是前一年的两倍多,当时相同比例的持续时间不超过一天。 –在所有报告的工具包中,约有一半影响了 93名用户,而在2021年,每次部署的平 均潜在受害者不超过75人。 –一次报告的网络钓鱼攻击的最大受害者总数刚刚超过4,000,尽管这是一个异常值。 –几乎每个报告的网络钓鱼工具包分析都试图收集98%的名称。 其次是电子邮件地址(73%)、家庭住址( 66%)和密码(58%)。 –信用卡信息从2021年的61%大幅下降到 2022年的29%。 –寻求信用卡数据的网络钓鱼工具包实例较少,表明网络钓鱼者正在优先考虑个人身份信息(PII ),这使他们能够获得更广泛和更邪恶的选择。 PII可以在暗网或其他论坛上收集和销售,也可以用于对目标进行进一步操作。 大品牌的欺骗 被观察到被欺骗的顶级品牌大多由科技界的大牌组成。X-Force认为这种转变 2021年的更多样化的列表 由于改进了识别工具包配置为欺骗的品牌的能力,而不仅仅是默认情况下它的目标品牌。许多网络钓鱼工具包是多用途的,可以通过更改简单的参数来更改被欺骗的品牌。例如,默认情况下,工具包可以欺骗Gmail,但单行更新将其更改为欺骗Microsoft的攻击。 此类服务的被盗凭据很有价值。访问受害者用来管理整个部分的帐户 他们的网上可以开门为 访问其他帐户。《2022年云威胁形势报告》强调了攻击者对这种初始访问形式的关注,该报告发现,与2021年观察到的情况相比,在暗网上宣传出售 的云帐户数量增加了200%以上。 顶级欺骗品牌同比20222021 12 微软谷歌 微软苹果 3 雅虎 谷歌 4 脸谱网 BMOHarris银行 5 前景 追逐 6 苹果 亚马逊 7 Adobe Dropbox 8 美国在线 DHL 9 贝宝 美国有线电视新闻网 10 Office365 Hotmail 图3:此图表确定了2021年和2022年最受欢迎的欺骗品牌,表明威胁行为者越来越关注大型科技品牌。 来源:IBM钓鱼工具数据 漏洞 过去四年中因利用漏洞而导致的事件份额 2022 26% 2021 34% 2020 35% 2019 30% 漏洞利用(2022年捕获为面向公众的应用程序利用(T1190))在顶级感染媒介中排名第二,自2019年以来一直是攻击者的首选入侵方法。X- Force在2022年修