IBM 最新报告： 身份信息成网络攻击重要目标，企业从安全漏洞恢复的时间更加紧迫

该报告重要发现包括：

利用身份信息形成的网络攻击激增71%当某单项人工智能技术触达50%的市场份额里程碑时，相关网络安全威胁可能随之而来2023年，全球近70%的攻击以关键基础设施为目标欧洲地区首当其冲，占全球网络攻击事件的32%

北京2024年3月1日-- IBM 近日发布了《2024 年 X-Force 威胁情报指数报告》，报告显示网络犯罪分子在加倍利用用户身份信息来攻击全球企业，这可能引发一场全球性"身份"危机。据 IBM Consulting 的进攻性与防御性安全服务部门 IBM X-Force 的发现，2023 年，网络犯罪分子看到了更多"登入"——而不是侵入——有效帐户以攻击企业网络的机会。这使得利用身份信息的策略成为网络攻击发起者的首选武器。

《X-Force 威胁情报指数报告》是基于每天监测到的 130 多个国家/地区超过 1500 亿个安全事件的洞察。此外，报告还从 IBM 内部的多个来源收集和分析数据，包括 IBM X-Force 威胁情报指数，Incident Response、X-Force Red、IBM Managed Security Services，以及RedHat Insights和Intezer提供的数据都对这份2024 年度报告做出了贡献。

本年度报告的主要洞察包括：

对关键基础设施的攻击暴露了行业的"误判"。在近 85% 的针对关键行业的攻击事件中，可以通过补丁、多因素身份验证或最小权限原则来降低损失——这也意味着，安全行业长期以来所提的"基本安全"可能比印象中的更难实现。勒索软件组织倾向于采取更精简的业务模式。去年，针对企业的勒索软件攻击下降了近 12%，因为大型企业组织面对此类攻击往往拒绝付赎金和寻求解密，而更倾向于重建其基础设施。由于这种阻力与趋势会降低攻击者基于加密勒索的收入预期，因此这份报告观察到，以前专门从事勒索软件的网络犯罪团体已经更多地转向信息窃取。当前尚不能通过攻击生成式人工智能来获得回报。X-Force分析预测，当单一的生成式人工智能技术获取接近50%的市场份额时，或者当市场整合到三种或更少的此类技术时，则可能会引发针对相关平台的大规模攻击。

"尽管‘基础安全'问题并没有像‘人工智能主导的攻击'那样引人关注，但事实上，企业最大的安全挑战仍然是一些基本且已知的问题，而不是那些新颖和未知的问题，" IBM咨询全球管理合伙人、IBM X-Force主管Charles Henderson说道。"身份信息一次又一次地被用来攻击企业。随着攻击者通过人工智能来优化这一攻击策略，这一问题将会继续恶化。"

一场围绕身份信息的安全危机正蔓延全球

利用有效账户进行攻击已成为网络犯罪分子阻力最低的路径，如今在暗网上有数十亿个被泄露的身份凭证可供使用。在2023年，X-Force发现攻击者越来越多地发力于获取用户身份——其使用的信息窃取恶意软件增长了266%，以窃取个人可识别信息，如电子邮件、社交媒体和通讯应用的凭据、银行账户详细信息、数据等。

这种对攻击者而言"易如反掌"的入口难以被检测到，给企业带来昂贵的应对成本。据X-Force称，对于攻击者使用有效账户引起的重大安全事件，安全团队需要采取的应对措施的复杂度比普通事件平均高出近200%，主要是因为防御者需要区分网络上哪些是合法用户活动，哪些是恶意用户活动。事实上，IBM在《2023年数据泄露成本报告（Cost of a Data Breach Report）》中发现，由于被盗或被泄露的凭证引起的数据泄露需要大约11个月的时间才能被检测和恢复——这一响应周期是所有网络感染中最长的。

2023年4月，美国和欧洲执法部门共同打击一个全球网络犯罪论坛的行动凸显了网络不法分子对用户在线活动的广泛入侵。该论坛收集了超过8000万用户的账户登录详细信息。随着不法分子利用生成式人工智能来优化他们的攻击，基于身份信息的网络威胁很可能会继续增长。2023年，X-Force已经在暗网论坛上观察到了超过80万篇关于人工智能和GPT相关的帖子，再次说明了这些创新已经引起了网络犯罪分子的关注和兴趣。

直接"登录"关键基础设施网络发起攻击成趋势

在全球范围内，X-Force应对的攻击中近70%是针对关键基础设施机构的，这一令人担忧的发现突显了网络犯罪分子看准了这些高价值目标对系统正常运行的严格要求，借此实现其攻击目的。

X-Force在该领域应对的近85%的攻击是通过利用面向公众的应用程序、网络钓鱼电子邮件和使用有效帐户发起的。后者给该该领域机构带来了更大的风险，美国网络和基础设施安全相关部门表示，2022年针对政府机构、关键基础设施组织和州级政府机构的成功攻击中，大多数涉及了使用有效帐户。这表明这些组织需要经常对其网络环境进行压力测试，以发现潜在的风险，并制定安全事件响应计划。

生成式人工智能——下一个需要保障的重要领域

对于网络犯罪分子来说，从他们的违法活动中获得相应回报的前提是其所针对的某项技术必须在全球范围内大多数组织中被广泛使用。正如过去的一些赋能性技术催生了相应网络犯罪活动一样，这种模式也很可能扩展到人工智能领域。这种现象在Windows Server的市场主导地位下的勒索软件蔓延、Microsoft 365主导地位下的BEC诈骗，或基础设施即服务的市场整合后的非法加密挖矿等方面都有所体现。

X-Force认为，一旦生成式人工智能市场的主导格局明确，即当单一技术接近50%的市场份额或者市场整合为三个或更少的技术时，就可能会促使网络犯罪分子进一步投资新的攻击工具，并将人工智能作为攻击面。虽然生成式人工智能目前仍处于大规模市场应用之前的阶段，但有关企业必须在网络犯罪分子扩大犯罪活动规模之前保护好其人工智能模型。企业还应认识到，网络犯罪分子并不需要什么新的战术或技术，就能通过它们现有的基础设施入侵其人工智能模型。这也印证了IBM生成式人工智能安全框架（IBM Framework for Securing Generative AI）所强调的，在生成式人工智能时代采取全局的安全防护非常必要。

其它发现包括：

欧洲已成攻击者的首选目标：全球范围内观察到的攻击中，近三分之一的目标是针对欧洲的，该地区也经历了全球最多的勒索软件攻击（26%）。网络钓鱼攻击都去哪了？尽管网络钓鱼攻击仍然是一个主要的感染途径，但从2022年开始，其数量减少了44%。然而，这一攻击方式将随着人工智能得以优化， X-Force的研究表明人工智能可以将其攻击速度提升近两天，因此这种感染途径仍将是网络犯罪分子的优先选项。人人都有风险——Red Hat Insights发现，在扫描中，92%的客户环境中至少有一个已知漏洞未被修复，而2023年检测到的十大漏洞中有80%被赋予了"高风险"或"危急"的通用漏洞评分系统（CVSS）基础严重性评分。"Kerberoasting"攻击有利可图——X-Force观察到"Kerberoasting"攻击增加了100%，在这一过程中攻击者试图通过妄用Microsoft 活动目录（Microsoft Active Directory）凭证来冒充用户以提升权限。安全配置不当——X-Force Red的渗透测试结果显示，安全配置不当占到了已识别总漏洞的30%，观察到可被攻击者利用的140多种配置不当的方式。

其它资源：

下载2024年《X-Force威胁情报指数报告》。

在IBM安全情报博客中了解更多关于本报告的主要发现。

注册参加2024年IBM X-Force威胁情报网络研讨会，时间为美国东部时间3月7日星期四上午11点。

与IBM X-Force团队联系，以获取个性化的报告洞察解读。