AITM 網絡釣魚、商業電子郵件泄露、憑證收集和竊取成為企業面臨的主要云威脅

北京2024年10月10日/美通社/ -- 今天，各組織對于數字資產保護的重視前所未見。在云計算和生成式 AI 等創新技術推動企業發展的同時，企業必須充分了解隨之增長的網絡威脅復雜性，并思考如何應對這些威脅。作為全球領先的安全、云計算、AI 和企業服務提供商，IBM 倡導其全球客戶采取積極主動的方法，將安全嵌入業務的方方面面。

IBM發布最新云威脅態勢報告：憑證盜竊是主要攻擊手段，企業亟需強健的云安全框架

為此，《2024 年 IBM X-Force 云威脅態勢報告》深入探討了企業當前面臨的影響最大的安全風險，以及為何針對云環境的安全緩解策略至關重要。基于威脅情報、事件響應活動以及與Cybersixgill和Red Hat Insights的合作，IBM X-Force 團隊可提供關于攻擊者如何利用中間人攻擊 (AITM)、商業郵件泄露 (BEC) 以及其他方法破壞云基礎架構的獨特見解。

例如，今年的報告指出，網絡攻擊者已經了解到憑證是云環境的關鍵所在，以及其在暗網市場的受歡迎程度。因此，攻擊者正在使用網絡釣魚、鍵盤記錄、水坑攻擊和暴力破解來獲取憑據。此外，報告關于暗網的研究發現，信息竊取程序被廣泛用于竊取特定云平臺和服務的憑證。

今年報告的其他重要發現揭示了針對云環境的復雜攻擊方法和途徑，包括：

網絡釣魚是主要的初始訪問媒介。在過去兩年中，網絡釣魚占云相關事件的 33%，攻擊者通常利用網絡釣魚，并使用中間人攻擊 (AITM) 技術收集憑證。

商業電子郵件泄露(BEC) 攻擊的目標是憑證。BEC 攻擊是指攻擊者假冒受害組織或其他可信組織內部人員的電子郵件帳戶，在過去兩年中，此類攻擊占攻擊事件數的 39%。攻擊者通常通過網絡釣魚攻擊收集憑證，從而接管電子郵件帳戶，并進一步開展惡意活動。

盡管市場趨于飽和，但暗網對云憑證的需求仍在持續。雖然暗網市場中SaaS 平臺的總體提及率與 2023 年相比下降了 20%，但通過泄露的云憑證獲取訪問權仍是第二常見的初始訪問媒介，占比為 28%。

AITM 網絡釣魚導致商業電子郵件泄露和憑證被收集

AITM 網絡釣魚是一種復雜的網絡釣魚攻擊形式，攻擊者將自己置于受害者和合法實體中間，從而攔截或操縱通信。這類攻擊特別危險，因為它可以繞過某些形式的多因子認證（MFA），成為網絡犯罪分子的強大工具。

一旦進入受害者的環境，攻擊者就會設法實施破壞。X-Force 觀察到的最常見的兩種行為是 BEC 攻擊 (39%) 和憑證收集 (11%)。例如，攻擊者入侵云端托管的電子郵件平臺后，可執行多項任務，如攔截敏感通信、操縱金融交易，或使用入侵的電子郵件帳戶實施進一步攻擊。

將安全威脅情報加入員工培訓的內容中，是企業抵御AITM 在內的網絡釣魚攻擊的關鍵。企業需要培訓員工準確識別網絡釣魚詭計、欺騙性電子郵件和可疑鏈接，并報告給 IT 或安全團隊。另一種有效的抵御策略是部署先進的電子郵件過濾和保護工具，借助AI檢測并阻止網絡釣魚企圖、惡意鏈接和附件，避免其進入最終用戶環境。此外，無密碼身份驗證選項（如二維碼或 FIDO2 身份驗證）也有助于防范 AITM 網絡釣魚攻擊。

通過云憑證獲取訪問權成為網絡攻擊的"成本效益"

2024 年，暗網上每個被泄露云憑證的平均價格為 10.23 美元，比 2022 年下降了 12.8%。加上暗網市場上 SaaS 平臺的總體提及率下降了 20%，這可能表明對此類憑證的需求已經飽和。不過，這也反映出攻擊者在攻擊前和攻擊期間可利用的此類憑證越來越多。因此，超過四分之一的云相關事件涉及使用有效憑證，使其成為第二大最常見的初始攻擊媒介，也就不足為奇了。隨著云憑證的出售價格下降，攻擊者通過使用有效憑證登錄來實施入侵，變得更具"成本效益"（也更隱蔽）。

此外，攻擊者仍在廣泛使用間諜軟件從云服務中竊取憑據，以達成惡意目的，并非法牟取經濟利益。這一威脅凸顯了企業面臨的網絡安全風險。企業需要一個強有力的解決方案，發現來自明網、深網和暗網的操縱者、惡意軟件和數據，并進行索引編制和跟蹤。及早發現被泄露的憑證后，企業可以迅速采取應對措施，如重置密碼和更改訪問控制，以防止未來可能發生的泄露。

企業需要更穩健的云安全框架

隨著企業越來越多地將關鍵業務數據從內部遷移到云環境，云安全對商業環境的重要性不言而喻。在此過程中，網絡威脅的環境也在不斷演變，攻擊者正在積極尋找機會破壞企業的云基礎架構，特別是處理敏感業務數據的基礎架構。企業對云基礎架構的依賴越大，攻擊者可利用的攻擊面也就越大，因此云安全比以往任何時候都更為重要。

只要受害者的云環境仍可通過有效憑證訪問，網絡犯罪分子就會繼續通過網絡釣魚、商業電子郵件泄露(BEC) 或在暗網出售等方式，尋找并利用這些憑證來從事惡意活動或進行惡意操控。IBM 此前發布的《2024 年數據泄露成本》報告中顯示，企業面臨的財務影響和業務中斷仍在持續增加。

這說明，云憑證盜竊已經帶來從知識產權失竊到勒索軟件部署的廣泛影響。攻擊者可以在未被發現的情況下繼續利用有效憑證，并繞過標準安全措施，這讓基于憑證的攻擊成為企業面臨的重大威脅。

通過實施整體方法來保護云安全，包括保護數據、采用身份和訪問管理(IAM)策略、主動管理風險，以及隨時準備好應對云事件，企業有備無患地保護其云基礎架構和服務，并降低基于憑證的攻擊所帶來的總體風險。