IBM发布最新云威胁态势报告：凭证盗窃仍是主要攻击手段，企业亟需强健的云安全框架

AITM 网络钓鱼、商业电子邮件泄露、凭证收集和窃取成为企业面临的主要云威胁

北京2024年10月10日/美通社/ -- 今天，各组织对于数字资产保护的重视前所未见。在云计算和生成式 AI 等创新技术推动企业发展的同时，企业必须充分了解随之增长的网络威胁复杂性，并思考如何应对这些威胁。作为全球领先的安全、云计算、AI 和企业服务提供商，IBM 倡导其全球客户采取积极主动的方法，将安全嵌入业务的方方面面。

IBM发布最新云威胁态势报告：凭证盗窃是主要攻击手段，企业亟需强健的云安全框架

为此，《2024 年 IBM X-Force 云威胁态势报告》深入探讨了企业当前面临的影响最大的安全风险，以及为何针对云环境的安全缓解策略至关重要。基于威胁情报、事件响应活动以及与Cybersixgill和Red Hat Insights的合作，IBM X-Force 团队可提供关于攻击者如何利用中间人攻击 (AITM)、商业邮件泄露 (BEC) 以及其他方法破坏云基础架构的独特见解。

例如，今年的报告指出，网络攻击者已经了解到凭证是云环境的关键所在，以及其在暗网市场的受欢迎程度。因此，攻击者正在使用网络钓鱼、键盘记录、水坑攻击和暴力破解来获取凭据。此外，报告关于暗网的研究发现，信息窃取程序被广泛用于窃取特定云平台和服务的凭证。

今年报告的其他重要发现揭示了针对云环境的复杂攻击方法和途径，包括：

网络钓鱼是主要的初始访问媒介。在过去两年中，网络钓鱼占云相关事件的 33%，攻击者通常利用网络钓鱼，并使用中间人攻击 (AITM) 技术收集凭证。

商业电子邮件泄露(BEC) 攻击的目标是凭证。BEC 攻击是指攻击者假冒受害组织或其他可信组织内部人员的电子邮件帐户，在过去两年中，此类攻击占攻击事件数的 39%。攻击者通常通过网络钓鱼攻击收集凭证，从而接管电子邮件帐户，并进一步开展恶意活动。

尽管市场趋于饱和，但暗网对云凭证的需求仍在持续。虽然暗网市场中SaaS 平台的总体提及率与 2023 年相比下降了 20%，但通过泄露的云凭证获取访问权仍是第二常见的初始访问媒介，占比为 28%。

AITM 网络钓鱼导致商业电子邮件泄露和凭证被收集

AITM 网络钓鱼是一种复杂的网络钓鱼攻击形式，攻击者将自己置于受害者和合法实体中间，从而拦截或操纵通信。这类攻击特别危险，因为它可以绕过某些形式的多因子认证（MFA），成为网络犯罪分子的强大工具。

一旦进入受害者的环境，攻击者就会设法实施破坏。X-Force 观察到的最常见的两种行为是 BEC 攻击 (39%) 和凭证收集 (11%)。例如，攻击者入侵云端托管的电子邮件平台后，可执行多项任务，如拦截敏感通信、操纵金融交易，或使用入侵的电子邮件帐户实施进一步攻击。

将安全威胁情报加入员工培训的内容中，是企业抵御AITM 在内的网络钓鱼攻击的关键。企业需要培训员工准确识别网络钓鱼诡计、欺骗性电子邮件和可疑链接，并报告给 IT 或安全团队。另一种有效的抵御策略是部署先进的电子邮件过滤和保护工具，借助AI检测并阻止网络钓鱼企图、恶意链接和附件，避免其进入最终用户环境。此外，无密码身份验证选项（如二维码或 FIDO2 身份验证）也有助于防范 AITM 网络钓鱼攻击。

通过云凭证获取访问权成为网络攻击的"成本效益"

2024 年，暗网上每个被泄露云凭证的平均价格为 10.23 美元，比 2022 年下降了 12.8%。加上暗网市场上 SaaS 平台的总体提及率下降了 20%，这可能表明对此类凭证的需求已经饱和。不过，这也反映出攻击者在攻击前和攻击期间可利用的此类凭证越来越多。因此，超过四分之一的云相关事件涉及使用有效凭证，使其成为第二大最常见的初始攻击媒介，也就不足为奇了。随着云凭证的出售价格下降，攻击者通过使用有效凭证登录来实施入侵，变得更具"成本效益"（也更隐蔽）。

此外，攻击者仍在广泛使用间谍软件从云服务中窃取凭据，以达成恶意目的，并非法牟取经济利益。这一威胁凸显了企业面临的网络安全风险。企业需要一个强有力的解决方案，发现来自明网、深网和暗网的操纵者、恶意软件和数据，并进行索引编制和跟踪。及早发现被泄露的凭证后，企业可以迅速采取应对措施，如重置密码和更改访问控制，以防止未来可能发生的泄露。

企业需要更稳健的云安全框架

随着企业越来越多地将关键业务数据从内部迁移到云环境，云安全对商业环境的重要性不言而喻。在此过程中，网络威胁的环境也在不断演变，攻击者正在积极寻找机会破坏企业的云基础架构，特别是处理敏感业务数据的基础架构。企业对云基础架构的依赖越大，攻击者可利用的攻击面也就越大，因此云安全比以往任何时候都更为重要。

只要受害者的云环境仍可通过有效凭证访问，网络犯罪分子就会继续通过网络钓鱼、商业电子邮件泄露(BEC) 或在暗网出售等方式，寻找并利用这些凭证来从事恶意活动或进行恶意操控。IBM 此前发布的《2024 年数据泄露成本》报告中显示，企业面临的财务影响和业务中断仍在持续增加。

这说明，云凭证盗窃已经带来从知识产权失窃到勒索软件部署的广泛影响。攻击者可以在未被发现的情况下继续利用有效凭证，并绕过标准安全措施，这让基于凭证的攻击成为企业面临的重大威胁。

通过实施整体方法来保护云安全，包括保护数据、采用身份和访问管理(IAM)策略、主动管理风险，以及随时准备好应对云事件，企业有备无患地保护其云基础架构和服务，并降低基于凭证的攻击所带来的总体风险。