【国际视野】 SANS 发布《 2023 攻击威胁态势报告》 “天极按 近日，SANS发布《2023攻击威胁态势报告》，报告以来自可靠的漏洞和恶 意软件数据来源的统计数据为基础，深入探讨了SANS 讲师在4 月份举行 的 RSA Conference 2023上提供的专家建议，即当前和未来需要警惕的最 危险的新兴威胁。天极智库2023-08-25 16:30发表于北京 原创 天极智库 2022/2023 年⼊侵和威胁基线数据将从身份盗窃资源中⼼（ ITRC ）收集的数据基线开始， ITRC 是⼀家⾮营利组织，致⼒于最⼤ 限度地降低身份泄露的⻛险和影响。 ITRC 多年来⼀直采⽤⼀致的⽅法，只使⽤公开披露的违 规事件中经过核实的信息。它不包括拒绝服务攻击等不会导致私⼈信息泄露的事件，但包括最 近的勒索软件攻击。参⻅图 1 。图1. 按攻击媒介划分的安全漏洞 ( 资料来源： ITRC 2022 YE 数据） ITRC数据显示，与2021 年相⽐， 2022 年报告的漏洞数量略有下降。然⽽，被泄露的记录数 量却⼤幅增加，从2021 年的 298,213,506 条增加到 2022 年的 422,143,312 条，平均每次泄 露超过234,000 条记录。据计算，这种规模的泄密事件的硬成本通常在每条记录 100 美元左 右，这意味着2022 年报告的泄密事件的平均成本超过 2400 万美元。 ITRC指出的⼀个重要因素是， 2022 年 40% 的外泄事件是通过供应链合作伙伴发⽣的。这与 SANS研究所的观察结果⼀致，即随着企业安全成熟度的提⾼，其供应链合作伙伴往往会成为 防御中最薄弱的环节。这些并不是安全故障的唯⼀第三⽅来源。恶意⾏为者将重点放在服务提 供商身上，以此同时攻击多个⽬标。 ITRC报告称，2021 年和 2022 年的⼀个主要趋势是，发布详细违约原因信息的违约报告越来越 少。这可能是由于最近的法院裁决要求必须证明实际损害，⽽不是潜在损害，才能⽀持损害索 赔。2022 年报告信息的缺乏使得与 2021 年进⾏直接⽐较变得更加困难。不过，如果只看有根 本原因信息的违规事件，就会发现明显趋势，包括： 成功的⽹络钓⻥攻击仍是造成漏洞的主要原因，占 53% ，⾼于 2021 年的 36% ； 勒索软件仍然是 2022 年的增⻓⾏业，从 2021 年的 23% 上升到 32% ； 零⽇攻击仍然只占根本原因报告的⼀⼩部分，不到 1% 。 报告定稿时， ITRC 发布了 2023 年第⼀季度的统计数据。总体数据基本反映了 2022 年第⼀季 度的情况，技术领域的漏洞和暴露⾯记录数据翻番。与犯罪分⼦持续关注危害技术服务提供商 是⼀致的。⻅图2 。图2：2023 、2022 和 2021 年第⼀季度对⽐ Verizon年度数据泄露调查报告 (DBIR) 于 2008 年⾸次发布，⼀直是攻击和威胁的另⼀个丰富 信息来源。 DBIR 基于对实际成功攻击的事件响应调查，因此可提供最详细的根源信息（⻅图 3）。 图3. 成功攻击的主要根源（资料来源： Verizon DBIR ） 2022年攻击成功的最重要因素是攻击者使⽤了可重复使⽤的凭证，⼤部分是通过⽹络钓⻥技 术获得的。加强安全意识和教育以及改进电⼦邮件安全⽹关，降低了⽤户点击⽹络钓⻥邮件的 ⽐例。但当企业依赖于可重复使⽤的密码时，只要点击错误链接，攻击成功。Verizon 的调查发现，供应链被⼊侵的⽐例甚⾄⾼于 ITRC ， 62% 的⼊侵事件涉及供应链合作 伙伴。DBIR 的⼀个要点是： " 对威胁⾏为者来说，破坏合适的合作伙伴是⼀种⼒量倍增器。与 出于经济动机的⾏为者不同，⺠族国家威胁⾏为者可能会跳过⼊侵阶段，保留访问权限。这意 味着，检测时间是最⼤限度地减少供应链攻击造成的损失的关键，因为供应链攻击，通常是出 于政治动机的攻击，⽬标是⻓期监控企业的研发（ R&D ）和业务⼯作。 DBIR 在检测时间⽅⾯ 显示企业更有可能在⼏天⽽不是⼏个⽉内检测到。当然，这只是针对 50% 未 " 主动披露 " 的漏 洞⽽⾔，勒索软件事件中经常发⽣这种情况。参⻅图 4 。 图 4.未披露违规⾏为的检测情况（来源： Verizon DBIR ） 从根本上说，尽管在某些领域，特别是在终端⽤户的安全意识和终端保护⽅⾯，已经有了明显 的改进，但恶意攻击者仍在不断改进⼯具和技术。 安全意识和端点保护等⽅⾯有了明显改善，但坏⼈仍在不断改进⼯具和技术。这意味着⾸席信 息安全官和其他安全领导者必须不断更新对威胁环境和新兴威胁对企业运营的⻛险影响的认 识。演讲要点如下： 重复使⽤的密码仍然是威胁⾏为者⽆法抗拒的； 企业加强了基本安全卫⽣⽔平，⽽攻击者却将供应链合作伙伴作为 " 屏幕窗⼝ " 接⼊点； 零⽇攻击是头条新闻，但 99% 的漏洞都是利⽤了⼈员、流程和软件中众所周知的漏洞，⽽ 这些漏洞的缓解措施可⽤且⼴为⼈知的。专家意⻅： RSA 会议上的 SANS 威胁专题讨论会 ⾃ 1991年创办以来， RSA ⼤会已发展成为全球最⼤、最重要的⽹络安全⼤会之⼀。多年来， ⼤会的亮点之⼀⼀直是由 SANS 研究所的顶级专家组成的专题讨论⼩组发表对突出新兴攻击 , 刚刚开始影响企业的攻击的看法。 警惕搜索引擎优化攻击和恶意⼴告 专家在开始介绍新的攻击技术时指出，最近在安全领域其实有很多好消息。外围防御正在改 善，电⼦邮件⽹关正在阻⽌⼤量恶意电⼦邮件和链接，⽹络代理正在阻⽌许多危险的出站连 接。与往常⼀样，攻击者也在不断调整和演变，以找到⼊侵新路径。过去⼀年中，⻛险最⾼的 两项发展是搜索引擎优化（ SEO ）攻击和恶意⼴告。 由于搜索引擎的⼴泛使⽤，因此总是允许⽤户通过⽹络代理连接到搜索引擎并从引擎返回结 果。合法企业在搜索引擎优化技术和服务上花费⼤量资⾦，以确保其内容出现在搜索结果的顶 部，从⽽增加客户选择的可能性。 不良分⼦正在使⽤与⼴告商相同的搜索引擎优化关键字和技术，将流量引向其恶意⽹站。例如 Gootloader （⻅图5 ）或 Bat Loader 的恶意软件系列特别危险。⼊侵链始于⽤户搜索感兴趣的 主题，如标准法律协议表格。前⼏名搜索结果看起来完美适配，⽤户点击链接下载包含表格的 ZIP ⽂件。但实为恶意 JavaScript ，提升企业遭受破坏性的勒索软件攻击的可能性。恶意⼴告 也使⽤类似技术。攻击者从合法的搜索引擎提供商那⾥购买⼴告，试图将⾃⼰的内容放在搜索 结果的最前⾯。