北京2024年3月1日/美通社/ -- IBM 近日發布了《2024 年 X-Force 威脅情報指數報告》，報告顯示網絡犯罪分子在加倍利用用戶身份信息來攻擊全球企業，這可能引發一場全球性"身份"危機。據 IBM Consulting 的進攻性與防御性安全服務部門 IBM X-Force 的發現，2023 年，網絡犯罪分子看到了更多"登入"——而不是侵入——有效帳戶以攻擊企業網絡的機會。這使得利用身份信息的策略成為網絡攻擊發起者的首選武器。

IBM 最新報告： 身份信息成網絡攻擊重要目標，企業從安全漏洞恢復的時間更加緊迫

《X-Force 威脅情報指數報告》是基于每天監測到的 130 多個國家/地區超過 1500 億個安全事件的洞察。此外，報告還從 IBM 內部的多個來源收集和分析數據，包括 IBM X-Force 威脅情報指數，Incident Response、X-Force Red、IBM Managed Security Services，以及RedHat Insights和Intezer提供的數據都對這份2024 年度報告做出了貢獻。

本年度報告的主要洞察包括：

對關鍵基礎設施的攻擊暴露了行業的"誤判"。在近 85% 的針對關鍵行業的攻擊事件中，可以通過補丁、多因素身份驗證或最小權限原則來降低損失——這也意味著，安全行業長期以來所提的"基本安全"可能比印象中的更難實現。

勒索軟件組織傾向于采取更精簡的業務模式。去年，針對企業的勒索軟件攻擊下降了近 12%，因為大型企業組織面對此類攻擊往往拒絕付贖金和尋求解密，而更傾向于重建其基礎設施。由于這種阻力與趨勢會降低攻擊者基于加密勒索的收入預期，因此這份報告觀察到，以前專門從事勒索軟件的網絡犯罪團體已經更多地轉向信息竊取。

當前尚不能通過攻擊生成式人工智能來獲得回報。X-Force分析預測，當單一的生成式人工智能技術獲取接近50%的市場份額時，或者當市場整合到三種或更少的此類技術時，則可能會引發針對相關平臺的大規模攻擊。

"盡管‘基礎安全'問題并沒有像‘人工智能主導的攻擊'那樣引人關注，但事實上，企業最大的安全挑戰仍然是一些基本且已知的問題，而不是那些新穎和未知的問題，" IBM咨詢全球管理合伙人、IBM X-Force主管Charles Henderson說道。"身份信息一次又一次地被用來攻擊企業。隨著攻擊者通過人工智能來優化這一攻擊策略，這一問題將會繼續惡化。"

一場圍繞身份信息的安全危機正蔓延全球

利用有效賬戶進行攻擊已成為網絡犯罪分子阻力最低的路徑，如今在暗網上有數十億個被泄露的身份憑證可供使用。在2023年，X-Force發現攻擊者越來越多地發力于獲取用戶身份——其使用的信息竊取惡意軟件增長了266%，以竊取個人可識別信息，如電子郵件、社交媒體和通訊應用的憑據、銀行賬戶詳細信息、數據等。

IBM 最新報告： 身份信息成網絡攻擊重要目標，企業從安全漏洞恢復的時間更加緊迫

這種對攻擊者而言"易如反掌"的入口難以被檢測到，給企業帶來昂貴的應對成本。據X-Force稱，對于攻擊者使用有效賬戶引起的重大安全事件，安全團隊需要采取的應對措施的復雜度比普通事件平均高出近200%，主要是因為防御者需要區分網絡上哪些是合法用戶活動，哪些是惡意用戶活動。事實上，IBM在《2023年數據泄露成本報告（Cost of a Data Breach Report）》中發現，由于被盜或被泄露的憑證引起的數據泄露需要大約11個月的時間才能被檢測和恢復——這一響應周期是所有網絡感染中最長的。

2023年4月，美國和歐洲執法部門共同打擊一個全球網絡犯罪論壇的行動凸顯了網絡不法分子對用戶在線活動的廣泛入侵。該論壇收集了超過8000萬用戶的賬戶登錄詳細信息。隨著不法分子利用生成式人工智能來優化他們的攻擊，基于身份信息的網絡威脅很可能會繼續增長。2023年，X-Force已經在暗網論壇上觀察到了超過80萬篇關于人工智能和GPT相關的帖子，再次說明了這些創新已經引起了網絡犯罪分子的關注和興趣。

直接"登錄"關鍵基礎設施網絡發起攻擊成趨勢

在全球范圍內，X-Force應對的攻擊中近70%是針對關鍵基礎設施機構的，這一令人擔憂的發現突顯了網絡犯罪分子看準了這些高價值目標對系統正常運行的嚴格要求，借此實現其攻擊目的。

IBM 最新報告： 身份信息成網絡攻擊重要目標，企業從安全漏洞恢復的時間更加緊迫

X-Force在該領域應對的近85%的攻擊是通過利用面向公眾的應用程序、網絡釣魚電子郵件和使用有效帳戶發起的。后者給該該領域機構帶來了更大的風險，美國網絡和基礎設施安全相關部門表示，2022年針對政府機構、關鍵基礎設施組織和州級政府機構的成功攻擊中，大多數涉及了使用有效帳戶。這表明這些組織需要經常對其網絡環境進行壓力測試，以發現潛在的風險，并制定安全事件響應計劃。

生成式人工智能——下一個需要保障的重要領域

對于網絡犯罪分子來說，從他們的違法活動中獲得相應回報的前提是其所針對的某項技術必須在全球范圍內大多數組織中被廣泛使用。正如過去的一些賦能性技術催生了相應網絡犯罪活動一樣，這種模式也很可能擴展到人工智能領域。這種現象在Windows Server的市場主導地位下的勒索軟件蔓延、Microsoft 365主導地位下的BEC詐騙，或基礎設施即服務的市場整合后的非法加密挖礦等方面都有所體現。

X-Force認為，一旦生成式人工智能市場的主導格局明確，即當單一技術接近50%的市場份額或者市場整合為三個或更少的技術時，就可能會促使網絡犯罪分子進一步投資新的攻擊工具，并將人工智能作為攻擊面。雖然生成式人工智能目前仍處于大規模市場應用之前的階段，但有關企業必須在網絡犯罪分子擴大犯罪活動規模之前保護好其人工智能模型。企業還應認識到，網絡犯罪分子并不需要什么新的戰術或技術，就能通過它們現有的基礎設施入侵其人工智能模型。這也印證了IBM生成式人工智能安全框架（IBM Framework for Securing Generative AI）所強調的，在生成式人工智能時代采取全局的安全防護非常必要。

其它發現包括：

歐洲已成攻擊者的首選目標：全球范圍內觀察到的攻擊中，近三分之一的目標是針對歐洲的，該地區也經歷了全球最多的勒索軟件攻擊（26%）。

網絡釣魚攻擊都去哪了？盡管網絡釣魚攻擊仍然是一個主要的感染途徑，但從2022年開始，其數量減少了44%。然而，這一攻擊方式將隨著人工智能得以優化， X-Force的研究表明人工智能可以將其攻擊速度提升近兩天，因此這種感染途徑仍將是網絡犯罪分子的優先選項。

人人都有風險——Red Hat Insights發現，在掃描中，92%的客戶環境中至少有一個已知漏洞未被修復，而2023年檢測到的十大漏洞中有80%被賦予了"高風險"或"危急"的通用漏洞評分系統（CVSS）基礎嚴重性評分。

"Kerberoasting"攻擊有利可圖——X-Force觀察到"Kerberoasting"攻擊增加了100%，在這一過程中攻擊者試圖通過妄用Microsoft 活動目錄（Microsoft Active Directory）憑證來冒充用戶以提升權限。

安全配置不當——X-Force Red的滲透測試結果顯示，安全配置不當占到了已識別總漏洞的30%，觀察到可被攻擊者利用的140多種配置不當的方式。