全球威胁报告 CROWSTRIKE2024全球威胁报告2 前言 2024年度《CrowdStrike全球威胁报告》发布于我们全球保护社区的关键时刻。网络攻击的速度和猛烈程度持续加剧,攻击者缩短了从初始入侵、横向移动到渗透的时间。与此同时,生成式AI的兴起有可能降低低技能对手进入门槛,使得发起更为复杂且前沿技术的攻击变得更加容易。 这些趋势正在驱动安全领域和世界的地壳性转变。对于现代威胁而言,“足够好”的网络安全方法已不再足够。随着组织越来越多地将业务迁移到云端,攻击者正在提升其能力以利用这一变化,并滥用云特有的功能。我们继续看到基于身份的攻击占据主导地位,攻击者专注于绕过多重认证的社会工程攻击 。使用合法工具执行攻击,一种日益普遍的技术,阻碍了区分正常活动与入侵的能力。 我们正步入一个网络军备竞赛的时代,在此时代中,人工智能将对安全专业人士和对手产生倍增的影响。组织无法承受落后,而昨日遗留的技术无法与现代对手的速度和复杂性相匹敌。 随着《CrowdStrike2024全球威胁报告》的发布,我们的精英反对手动操作团队正在为您提供所需的操作情报,以应对当前的威胁并确保未来的安全。今年的报告提供了对对手活动的关键洞察和观察,包括: ► 对手用来利用云保护漏洞的策略和技术 ► 持续利用被盗的身份凭证,并不断采用更为复杂的方法获取初始访问权 限。 ► 供应链攻击的威胁与日俱增,利用可信软件来最大限度地提高攻击的投资回报率 ► 潜在对手在可能重塑未来全球地缘政治格局的一年中针对全球选举进行目标攻击的可能性。 从第一天起,CrowdStrike就宣称,“您面临的不是恶意软件问题,而是一个敌对手段问题。”我们率先提出了以敌对手段为中心的网络安全概念,因为这是保护客户和阻止数据泄露的最佳途径。我们比任何人都更了解敌对手段,并利用这一洞察力指导我们的创新、保护客户、防止数据泄露并增加敌对手段的成本。 一个稳固的未来需要强大的基石。这就是我们通过AI原生CrowdStrikeFalcon®XDR平台为您带来的。我们正在推动数据、网络安全与IT的融合 ,内置生成式AI和工作流自动化功能于单一、统一的平台上,为您提供及您的团队所需的速度,以击败对手。 我希望您能从《CrowdStrike2024全球威胁报告》中找到对我们共同对抗对手的斗争有启发性和信息性的内容。CrowdStrike将继续不懈地致力于实现您最需要的安全成果使命:阻止入侵。 乔治·库尔茨 CrowdStrike首席执行官/联合创始人 目录 导言5 命名约定8 威胁格局概述9 2023主题13 基于身份和社会工程的攻击13 对手继续发展云意识17 第三方关系开发20 脆弱性景观:“雷达下”的开发24 2023年以色列-哈马斯冲突:网络行动侧重于破坏和影响25 2024地平线上的威胁32 电子犯罪景观38 大游戏狩猎39 eCrimeEnablers45 目标电子犯罪48 结论52 建议54 CrowdStrike产品和服务56 关于CrowdStrike61 » 数据盗取勒索继续成为一个诱人 的——且往往更为轻松的——牟利途径 ,这从BGH专门泄露网站上被提及受害者的数量增加76%的现象中得到了证明 。 Introduction 当我们回顾2023年的网络威胁图景时,隐秘这一主题始终贯穿其中。由于威胁防御技术及威胁意识的进步导致攻击面变得更加坚固,对手相应地采用了并依赖更多能够加速行动和逃避检测的技术策略。 这些技术手段在电子犯罪的持续盛行中显而易见,这是许多犯罪分子非常吸引人且利润丰厚的商业冒险。不出所料,在2023年的威胁景观中,电子犯罪作为最普遍的威胁持续存在,因为攻击者利用了技术来最大化隐蔽性、速度和影响。 虽然勒索软件仍然是许多人的首选工具大型游戏狩猎 (BGH)对手方,数据盗窃勒索行为继续成为一个吸引人且往往更为简便的盈利途径,这从2022年至2023年间BGH专用泄露站点(DLS)上被命名受害者的数量增加76%这一事实中得到证明。访问代理商在整个年度内持续获利,通过向网络犯罪威胁行为者提供初始访问权限,广告提供的访问次数比2022年增加了20%。 国家对手在2023年也持续活跃。中国关联的对手在全球范围内以无与伦比的速度运作,利用隐蔽性和规模收集针对特定群体的监控数据、战略情报和知识产权。 在全球其他地区,冲突继续推动国家间和黑客活动家对手的行动。2023年,随着俄罗斯-乌克兰战争进入第二年,俄罗斯关联的对手和活动集群保持了对支持俄罗斯情报机构的情报收集、破坏性行动以及针对乌克兰和北约国家的信息操作(IO)的高、持续水平的活动。 » 在2023年期间,CrowdStrikeCAO推出了34个新威胁者——其中包括一个新追踪✁、基于埃及✁威胁者,谨慎 ✁斯芬克斯——将所有动机下✁追踪对象总数提升至232个。除了命名✁威胁者,CrowdStrikeCAO还追踪超过130个活跃✁恶意活动集群。 伊朗相关敌对势力和中东黑客对手也观察到在后半年将网络操作转向与2023年以色列-哈马斯冲突衍生✁实际行动保持一致。 朝鲜对手在2023年保持了一贯✁高度行动节奏。他们✁活动继续专注于通过加密货币盗窃获取财务收益,并从韩国和西方组织收集情报,特别是针对学术、航空航天、国防 、政府、制造、媒体和技术领域。 在全球其他地区,隐秘行动在敌对手方专注于数字监控、信息收集与控制以支持政府议程✁活动中扮演了关键角色。评估到✁活动地理范围,以及全球威胁行为者✁技能和目标范围,持续强调了专门入侵能力超越常见报道国家所展示✁能力而广泛扩散✁程度。在某些情况下,这些活动得到了私营部门攻击性行为者以及公开可获取✁对手模拟框架 ✁支持。 驱动2023年网络威胁操作中潜行行为✁最大威胁行为体动机之一是CrowdStrike在整个过程中开发了新产品和合作伙伴关系。这些改变在操作景观内提升了赌注,并让对手无处藏身。 在2023年,CrowdStrikeFalcon®情报和CrowdStrike®FalconOverWatch™合并成为CrowdStrikeCounterAdversaryOperations(CAO)。这一结合将威胁情报✁力量与专职狩猎团队✁速度以及AI原生CrowdStrikeFalcon平台产生✁万亿级前沿遥测事件相融合。该平台能够检测、干扰并阻止当今复杂✁攻击者。这次合并极大地提高了执行网络攻击✁商业成本。在2024年,CrowdStrikeCAO对CrowdStrike✁产品进行了重新包装 ,威胁情报模块 为了增加管理威胁狩猎(行业首创),赋予组织更好地追踪对手并阻止入侵✁能力。 在2023年期间,CrowdStrikeCAO引入了34个新威胁行为体——包括一个新✁跟踪对象、基于埃及✁威胁行为体WATCHFULSPHINX——使得✲跟踪✁所有动机下✁总行为体数量达到232个。除了命名✁威胁行为体外,CrowdStrikeCAO还追踪超过130个活跃✁恶意活动集群。 CrowdStrike✁首席运营官推动了无与伦比、可操作✁报告覆盖,实时捕捉新✁网络威胁发展,并识别和追踪新✁对手。CrowdStrike2024全球威胁报告揭示了去年✁突出趋势,敌对行为及其动机如何演变,以及CrowdStrike预测未来一年威胁格局将如何演变✁方式。 CrowdStrikeCAO创新 CrowdStrikeCAO团队将快速洞察力置于一线团队手中,使他们能够比以往任何时候都更快地颠覆对手。 在2023年✁秋季,CrowdStrike✁首席安全官推出了一个身份威胁狩猎能力,将最新✁对手动机和战术、技术和程序(TTPs)✁情报与CrowdStrikeFalcon®身份威胁保护以及精英✁CrowdStrike首席安全官(CAO)威胁狩猎者相结合,以快速识别并修复✲篡改✁凭证,追踪横向移动,并通过全天候✁覆盖保持领先于对手。 当CAO团队在客户组织内部寻找敌对活动时,新✁CAO“外部攻击面探索”功能使客户能够寻找并检查敌对方基础设施。 2023年,CrowdStrike在自动化方面进行了关键投资,通过Falco身份威胁保护帮助客户立即对CAO识别✁威胁采取行动。借助Falcon身份威胁防护,CrowdStrike引入了新✁自动化工作流,用于重置暴露在犯罪地下网络✁客户密码;一键式错拼域名阻断和移除;以及新✁CrowdStrikeFalcon®Fusion剧本,用于自动处理由错拼域名威胁和第三方系统集成导致✁指示符(IOCs)。这些新增强功能允许用户在其安全工作流程中快速响应威胁。 新✁CrowdStrikeCAO模块——CrowdStrikeFalcon®AdversaryOverwatch™,CrowdStrikeFalcon®AdversaryIntelligence以及CrowdStrikeFalcon®AdversaryHunter——将威胁狩猎与情报能力更加紧密地结合在一起,统一了用户体验,使客户能够轻松利用单一 、一致✁用户界面跨所有CAO功能查看关键信息。 Crowdstrike客户还能从增强✁可观察指标上下文、新✁攻击指标(IOA)集成加速安全信息与事件管理(SIEM)检测与响应、更有效地识别环境威胁✁威胁狩猎工作流,以及Falcon平台和第三方应用中数据统一与链接改进中获益。 CROWSTRIKE2024全球威胁报告8 命名惯例 对手民族国家或类别 BEAR俄罗斯 布法罗越南 CHOLLIMA朝鲜(朝鲜) 起重机韩国(大韩民国) HAWK叙利亚 JACKAL黑客 KITTENIRAN 豹纹 巴基斯坦 LYNXGEORGIA OCELOT哥伦比亚 熊猫 中华人民共和国 SPHINX埃及 蜘✲ECRIME 老虎印度 WOLF火鸡 9 威胁状况概述 +34 232 逐年=(同比) 110% 34CrowdStrike跟踪✁新对手,将总数提高到232 云意识病例增加了110%YoY 75% 76% 云环境入侵增加了75%YoY 84% 84%对手归因于云✁入侵集中在eCrime上 同比增长76%在eCrime专用泄漏站点上命名✁受害者中 当前✁网络安全威胁尤其令人警觉,原因在于广泛使用了“互动入侵”技术,这类技术涉及对手积极对主机执行操作以达成其目标。与依赖恶意工具和脚本部署✁恶意软件攻击不同,互动入侵利用了人类对手✁创造力和解决问题✁能力。这些个体能够模仿预期✁用户和管理员行为,使得防御者难以区分正常用户活动与网络攻击。 在2023年,CrowdStrike观察到交互式入侵活动✁数量较上一年同比增长了60%,而在下半年与2022年相比增长了73%。 2023年,CrowdStrikeCAO观察到交互式入侵活动最频繁✁行业领域为技术部门,这一趋势从2022年延续至今 。下方图表展示了前十大行业垂直领域及地理区域中入侵事件✁相对频率。 按地区划分✁交互式干扰 6% 61% 11% 5% 7% 北美欧洲南亚东亚 南美 1% 5% 4% 中东OCEANIA 非洲 按行业划分✁交互式入侵 23% 15% 13% 9% 9% 8% 8% 6% 4% 4% 技术电信金融政府零售制造HEALTHCARESERVICES教育媒体 在获得网络✁初始访问后,对手寻求“突破”,即从✲攻陷✁主机向环境内✁其他主机横向移动。他们完成这一过程所需✁时间——“突破时间”——至关重要,因为最初✲攻陷✁机器通常并非对手实现目标所需✁。他们必须横向进入网络、进行侦察、建立持久性并定位目标。在突破时间窗口内响应,允许防御者减轻与入侵相关✁时间成本和其他损害。 今年,互动网络犯罪入侵活动✁平均爆发时间从2022年✁84分钟减少至2023年✁62分钟。观察到✁最短爆发时间为2分7秒。 eCrime交互式入侵✁解剖 为了更好