正在阅读：网络安全威胁形势：2024 年新兴威胁和风险缓解网络安全威胁形势：2024 年新兴威胁和风险缓解

人工智能的兴起提高了潜在网络攻击的复杂性和威胁途径，勒索软件成为网络罪犯提供的一项服务，而且2024年，出现了针对iOS的新兴威胁“三角行动”。

随着新的威胁行为者、技术和威胁的出现，网络安全威胁形势也在不断变化，这给组织和公众带来了一个不确定的世界，甚至打开一封电子邮件都可能带来潜在的隐患。网络安全专业人员必须保持警惕，并领先于网络罪犯不断变化的计划、威胁和策略，因为网络罪犯正在利用开源技术，其攻击也变得越来越复杂。

威胁形势概览

根据卡巴斯基事件响应分析师报告 2023 的调查结果，目前网络威胁的规模显示，75% 的网络攻击尝试利用了 Microsoft Office。在感染途径方面，42.3%的成功攻击使用了公开可用的应用程序，20.3%使用了被入侵的账户，而仅有8.5%使用了暴力破解凭证。

在感染途径方面，大多数入侵行为是攻击者在使用被盗或购买的凭证后，进行远程桌面协议（RDP）攻击，发送带有恶意附件和链接的钓鱼邮件，以及在公共资源上假冒文档模板的恶意文件。值得庆幸的是，与2022年同期相比，2023年第一季度的尝试攻击的次数下降了36%。

在遭受网络攻击后，33.3% 的组织的数据被加密，21.1% 的组织遭受数据盗窃，12.2% 的组织遭遇了活动目录被破坏。

根据卡巴斯基2022年进行的一项调查，最大的潜在网络威胁风险是勒索软件（66%）和数据盗窃（同样是66%），紧随其后的是网络破坏（62%）、供应链攻击（60%）和分布式拒绝服务（DDoS）攻击（同样是60%）、网络间谍活动（59%）、高级持续性威胁（APT）（57%）和加密货币挖矿（56%）。就 2024 年而言，目前流行的网络威胁主要是供应链攻击（6.8%）和有针对性的网络钓鱼攻击（5.1%），这些仍然是企业面临的明确且现实的威胁。。

根据2023年同期的统计数据，威胁行为者最频繁攻击的目标是政府（27.9%）、金融机构（12.2%）、制造业（17%）和IT公司（8.8%）。就被攻击地区而言，亚洲和独联体发生的网络安全事件最多，占 47.3%，其次是美洲（21.8%）、中东（10.9%）和欧洲（9.1%）。“政府是威胁行为者最主要的攻击目标，其次是制造业和金融机构，最大的网络威胁风险是勒索软件和网络破坏，”卡巴斯基全球研究与分析团队（GReAT）总监Igor Kuznetsov说。

根据卡巴斯基安全解决方案客户的统计数据，全球超过220,000家企业在使用卡巴斯基安全解决方案，成功阻止了61亿次攻击，并检测和拦截了4.37亿次来自互联网的威胁。此外，超过 325,000 名用户在检测到银行木马并加以阻止后避免了经济损失。

为了实现这一目标，卡巴斯基安全服务在2024年每天检测到超过411,000个独特的恶意软件样本，比2023年的每天403,000个样本有所增加。在网络安全事件方面，超过 99% 的事件由自动系统检测到。2023 年还检测到 1.06 亿个独特的恶意 URL 和 200 个目前活跃的高级持续性威胁 (APT) 组织。

勒索软件即服务（RaaS）日益凸显

当前的趋势是，网络犯罪通常以商业形式运作，大多数检测到的网络安全事件（71%）是由经济动机驱动的。勒索软件事件显著增加，2021-2022年间受针对性勒索软件影响的用户数量几乎翻倍。一项调查显示，68% 的受访企业主认为 IT 安全风险不断上升。

“关于勒索软件，有三个常见的误区，”Igor说：“第一个是网络犯罪分子只是受过 IT 教育的罪犯，第二个是勒索软件的目标是在攻击之前就确定好的，第三个是勒索软件团伙是一起行动的。”事实上，与这些常见的观点相反，大多数网络事件都是机会主义攻击，而许多勒索软件团伙实际上与附属机构合作，就像一家企业一样，提供勒索软件即服务 (RaaS)。

勒索软件即服务（RaaS）的运作是一个复杂的过程，最初涉及勒索软件开发人员和打包程序开发人员来创建恶意软件本身，然后将其推销给其他网络犯罪分子。各种专门的威胁行为者为勒索软件生态系统做出了贡献：

1. 访问转售商提供进入受保护系统的服务，通常在专门的地下市场上出售他们的商品。

2. 不法分析师会识别目标的真正价值，并向专业谈判人员提出战略建议。一旦恶意软件有效载荷被发送，这些专业谈判人员就会发挥作用，利用他们的社交工程技能确保赎金得到支付。付款后，他们会协助洗钱，然后循环重复。

3. 国家支持的高级持续性威胁（APT）行为者可能会利用网络犯罪分子作为进入相关目标的便捷入口，利用这些联系进行间谍活动或对受害者造成损害。

在某些情况下，这些行动可能包括渗透战术（类似于红队演习），以有效部署勒索软件。这种协作方式使得网络犯罪分子能够汇集他们的专业知识，使勒索软件攻击更加复杂和难以防御，同时也确保了从最初的入侵到资金洗钱的整个过程由每个阶段的专家处理。

为了提高成功率，网络犯罪分子可能会从其他犯罪分子那里购买 零日漏洞利用程序，这在以前是只有国家支持的威胁行为者才能享受的奢侈行为，但现在出价最高者也能获得。跨平台加密器也在变得更具创造性和适应性，并在其恶意软件中实施了自我防御机制，使其更难以被解密。

这些专门的网络犯罪分子各司其职，一旦恶意软件的有效载荷被发送，专门的威胁行动者就会扮演专业谈判者的角色，以获得赎金，并在赎金支付后，协助洗钱，然后循环重复。

“最后，受影响的组织不应支付赎金，因为这将助长并促进更多的网络犯罪，”Igor说。他警告说，即使支付了赎金，数据可能已经被盗窃，并可能在稍后泄露或用于进一步的勒索企图。相反，Igor强调了替代解决方案：“受害者通常可以在不支付赎金的情况下恢复他们的数据。卡巴斯基维护着一个密钥和工具库，用于解密被各种勒索软件家族锁定的数据。自2018年以来，全球已有超过150万用户使用这些资源成功恢复了数据。"

三角行动

卡巴斯基发现的最大潜在威胁之一是“三角行动”，该行动针对iOS设备，利用了苹果CPU内部的硬件漏洞，并采用了四个零日漏洞来感染目标设备，这些漏洞在黑市上的获取成本超过 100 万美元。

当 iOS 设备被攻击时，它会收到一条带有恶意附件的隐形 iMessage，该信息中的非交互式漏洞会启动代码执行。一旦代码被部署，它就会连接到一个服务，然后开始多阶段执行恶意软件有效载荷。一旦完成，攻击者将获得受感染iOS设备的完全控制权，并且所有痕迹和日志都会被清除，以消除任何攻击的痕迹。

这些漏洞已经被苹果公司修复，但为了防止可能发生的未来网络攻击，iOS 设备用户需要定期更新固件，定期重启，并禁用 iMessage，以防止其成为可能的恶意软件攻击途径。

容器化系统——实施规则以降低风险

供应链攻击与运行在开源软件上的容器化系统密切相关，成为2024年一个重大的威胁途径。这些云托管系统可使服务独立于主机操作系统运行，允许在不同环境中运行。容器化促进了轻量级、高效的应用程序，这些应用程序可以在各种设备和集群中运行，管理大规模的高需求工作负载。这种灵活性支撑了许多现代应用程序和系统，包括像Kubernetes这样的开源平台。

“容器化系统通常依赖于许多第三方依赖项，从而带来重大的供应链风险，这些风险可能是主管恶意的，或者是无意的缺陷造成的，”他给出了两个最近的例子：“Crowdstrike事件导致数百万台设备停机，表明错误更新可能带来的广泛影响。此外，针对 XZ Linux 实用程序的攻击并没有那么广为人知，但却可能危及数百万台支持 SSH 的设备，凸显了供应链中恶意利用的潜在风险。”

目前，开发人员可以在 GitHub 等热门网站上访问数亿个开源软件包，使用该网站的开发人员超过 1 亿。平均每个月都会发现 670 个恶意开源软件包，迄今为止，已知和被识别的易受攻击的开源包超过12,000个。

需要为容器化系统制定适当的安全策略，对镜像进行仔细检查，确保没有易受攻击或不可信任的内容，确保镜像注册表不包含过时或配置错误的设置，确保管理器具有强大的访问和网络控制策略，没有配置和身份验证错误，确保容器具有安全的配置，确保主机操作系统系统负责任地管理共享内核，同时最大限度地减少潜在的攻击面。

需要为容器化系统实施更强大的规则，并将像卡巴斯基容器安全这样的多层级保护系统集成到系统中，同时制定全面的安全政策。

2024 年最佳网络安全实践

为避免成为已知或未知威胁行为者发动的针对性攻击的受害者，企业需要通过有效的战略、适当的员工网络安全教育、受信任的网络安全提供商提供的最新威胁情报以及技术的适当应用，建立并维护成熟的安全态势。虽然没有一个系统是完美无缺或无懈可击的，但卡巴斯基研究人员建议实施以下安全措施以最大限度地提高保护：

● 定期更新操作系统、应用程序和反病毒软件，以修复已知的漏洞。

● 为您的 SOC 团队提供对最新威胁情报（TI）的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点，提供卡巴斯基超过20年来收集的网络攻击数据以及见解。

● 使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力。

● 为了实现端点级别的检测、响应和及时的事件修复，请部署EDR解决方案，例如卡巴斯基端点检测和响应。

● 利用卡巴斯基的事件响应和数字取证服务，对安全控制识别的警报和威胁进行调查，以获得更深入的洞察。

更多详情，请参阅卡巴斯基网站。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球220,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.