勒索和邮件仍是最大威胁 深度伪造正在崛起

两大网络安全公司发布的调研报告表明，勒索软件和商务电邮入侵（BEC）仍是网络安全威胁的主要原因，但地缘政治和深度伪造（Deepfakes）的比重越来越大。

VMware发布的《2022年全球事件威胁响应报告》揭示，勒索软件攻击和BEC稳步增长，同时深度伪造和零日漏洞利用也再创新高。

Palo Alto Networks旗下威胁情报团队Unit 42对客户案例的分析报告也得出了类似的结论：2021年5月到2022年4月的12个月里，70%的安全事件源于勒索软件和BEC攻击。

VMware的报告基于对125名网络安全和事件响应专业人员的年度调查访问，报告指出，地缘政治冲突导致65%的受访者遭遇网络安全事件，证实了俄乌冲突以来网络攻击有所增加。

深度伪造、零日漏洞利用和API攻击渐成威胁

深度伪造技术即用于创建令人信服的图片、音频和视频骗局的人工智能（AI）工具。VMware表示，这种技术此前主要用于散布虚假消息，但现在越来越为网络犯罪所用。深度伪造攻击大多出自黑客国家队之手，本次调查中66%的受访者报告了至少一次深度伪造击事件，此类事件同比增长13%。

电子邮件是这些攻击的主要投放方式（78%），与BEC攻击总体增多的情况相符。VMware的报告显示，2016年到2021年，BEC攻击事件令企业损失了大约433亿美元。

VMware还指出，FBI报告称，涉及“使用深度伪造和被盗个人身份信息（PII）申请各种远程工作和居家办公职位”的投诉有所增加。

VMware的数据显示，截至今年六月的12个月里，62%的受访者报告了至少一次零日漏洞利用攻击，同比上升51%。报告称，这种激增也可归咎于地缘政治冲突和国家支持的黑客组织，因为实施此类攻击的成本相当高，而且大多只能用一次。

同时，受访者所遭遇的攻击中，超过五分之一（23%）破坏了API安全性，主要API攻击类型包括数据暴露（42%）、SQL注入攻击（37%）和API注入攻击（34%）。

VMware全球安全技术专家Chad Skipper在新闻稿中表示：““随着工作负载和应用程序的激增，API已成为攻击者的新战线。所有事务都挪上云端，应用程序间的交互也越来越多，想要获得API可见性并检测出其中异常也就更难了。”

容器可用于云原生应用部署，在VMware的调研中，75%的受访者表示遭遇过容器漏洞利用攻击。

57%的VMware受访者还表示，在过去12个月中经历过勒索软件攻击，而66%的受访者则遭遇了勒索软件团伙的组团攻击。

勒索软件利用已知漏洞持续发起攻击

Unit 42的研究也指出，勒索软件持续肆虐网络空间，并且发展出了一些进化版战术。LockBit勒索软件如今已是2.0版，成为了最主要的勒索软件攻击利器。截至今年五月的12个月以来，所有勒索软件相关数据泄露事件中，近半数（46%）涉及LockBit。

紧随其后的是Conti（22%）和Hive（8%）。此外，金融（750万美元）、房地产（520万美元）和零售业（305万美元）是被勒索赎金金额最高的三大行业。

Unit 42报告显示，已知软件漏洞（48%）、凭证暴力破解（20%）和网络钓鱼（12%）是攻击者获取初始访问权的主要方式。凭证暴力破解攻击通常专注于远程桌面协议（RDP）。

根据Unit 42的报告，除了零日漏洞之外，少数通用漏洞也对今年的网络安全事件贡献良多（87%），例如Proxyshell、Log4j、SonicWall、ProxyLogon、Zoho ManageEngine、ADSelfService和Fortinet。

Unit 42表示，虽然内部人威胁不是其所处理的最常见事件类型（仅占5.4%），但考虑到75%的威胁是由心怀不满却又手握敏感数据的前雇员造成的，因此内部人威胁依然十分重大。

VMware则报告称，41%的受访者表示，在过去一年中遭遇了涉及内部人员的攻击。

重要网络安全预测与建议

Unit 42根据其事件报告案例做出了一些重要预测，其中包括：

• 零日漏洞从披露到利用的时间将继续缩短
• 技术不精的攻击者数量会增多
• 加密货币的不稳定性可致商务电子邮件和网站入侵增多
• 经济困难时期可能导致人们转向网络犯罪
•  出于政治目的的事件将增多

根据调研结果，VMware建议采取一系列清理措施，例如全面关注云工作负载，而不是分隔受影响的网络；检查带内流量，从而消除冒名顶替者；集成网络检测与响应（NDR）；持续捕捉威胁；以及实现零信任。