勒索和郵件仍是最大威脅 深度偽造正在崛起

兩大網絡安全公司發布的調研報告表明，勒索軟件和商務電郵入侵（BEC）仍是網絡安全威脅的主要原因，但地緣政治和深度偽造（Deepfakes）的比重越來越大。

VMware發布的《2022年全球事件威脅響應報告》揭示，勒索軟件攻擊和BEC穩步增長，同時深度偽造和零日漏洞利用也再創新高。

Palo Alto Networks旗下威脅情報團隊Unit 42對客戶案例的分析報告也得出了類似的結論：2021年5月到2022年4月的12個月里，70%的安全事件源于勒索軟件和BEC攻擊。

VMware的報告基于對125名網絡安全和事件響應專業人員的年度調查訪問，報告指出，地緣政治沖突導致65%的受訪者遭遇網絡安全事件，證實了俄烏沖突以來網絡攻擊有所增加。

深度偽造、零日漏洞利用和API攻擊漸成威脅

深度偽造技術即用于創建令人信服的圖片、音頻和視頻騙局的人工智能（AI）工具。VMware表示，這種技術此前主要用于散布虛假消息，但現在越來越為網絡犯罪所用。深度偽造攻擊大多出自黑客國家隊之手，本次調查中66%的受訪者報告了至少一次深度偽造擊事件，此類事件同比增長13%。

電子郵件是這些攻擊的主要投放方式（78%），與BEC攻擊總體增多的情況相符。VMware的報告顯示，2016年到2021年，BEC攻擊事件令企業損失了大約433億美元。

VMware還指出，FBI報告稱，涉及“使用深度偽造和被盜個人身份信息（PII）申請各種遠程工作和居家辦公職位”的投訴有所增加。

VMware的數據顯示，截至今年六月的12個月里，62%的受訪者報告了至少一次零日漏洞利用攻擊，同比上升51%。報告稱，這種激增也可歸咎于地緣政治沖突和國家支持的黑客組織，因為實施此類攻擊的成本相當高，而且大多只能用一次。

同時，受訪者所遭遇的攻擊中，超過五分之一（23%）破壞了API安全性，主要API攻擊類型包括數據暴露（42%）、SQL注入攻擊（37%）和API注入攻擊（34%）。

VMware全球安全技術專家Chad Skipper在新聞稿中表示：““隨著工作負載和應用程序的激增，API已成為攻擊者的新戰線。所有事務都挪上云端，應用程序間的交互也越來越多，想要獲得API可見性并檢測出其中異常也就更難了。”

容器可用于云原生應用部署，在VMware的調研中，75%的受訪者表示遭遇過容器漏洞利用攻擊。

57%的VMware受訪者還表示，在過去12個月中經歷過勒索軟件攻擊，而66%的受訪者則遭遇了勒索軟件團伙的組團攻擊。

勒索軟件利用已知漏洞持續發起攻擊

Unit 42的研究也指出，勒索軟件持續肆虐網絡空間，并且發展出了一些進化版戰術。LockBit勒索軟件如今已是2.0版，成為了最主要的勒索軟件攻擊利器。截至今年五月的12個月以來，所有勒索軟件相關數據泄露事件中，近半數（46%）涉及LockBit。

緊隨其后的是Conti（22%）和Hive（8%）。此外，金融（750萬美元）、房地產（520萬美元）和零售業（305萬美元）是被勒索贖金金額最高的三大行業。

Unit 42報告顯示，已知軟件漏洞（48%）、憑證暴力破解（20%）和網絡釣魚（12%）是攻擊者獲取初始訪問權的主要方式。憑證暴力破解攻擊通常專注于遠程桌面協議（RDP）。

根據Unit 42的報告，除了零日漏洞之外，少數通用漏洞也對今年的網絡安全事件貢獻良多（87%），例如Proxyshell、Log4j、SonicWall、ProxyLogon、Zoho ManageEngine、ADSelfService和Fortinet。

Unit 42表示，雖然內部人威脅不是其所處理的最常見事件類型（僅占5.4%），但考慮到75%的威脅是由心懷不滿卻又手握敏感數據的前雇員造成的，因此內部人威脅依然十分重大。

VMware則報告稱，41%的受訪者表示，在過去一年中遭遇了涉及內部人員的攻擊。

重要網絡安全預測與建議

Unit 42根據其事件報告案例做出了一些重要預測，其中包括：

• 零日漏洞從披露到利用的時間將繼續縮短
• 技術不精的攻擊者數量會增多
• 加密貨幣的不穩定性可致商務電子郵件和網站入侵增多
• 經濟困難時期可能導致人們轉向網絡犯罪
•  出于政治目的的事件將增多

根據調研結果，VMware建議采取一系列清理措施，例如全面關注云工作負載，而不是分隔受影響的網絡；檢查帶內流量，從而消除冒名頂替者；集成網絡檢測與響應（NDR）；持續捕捉威脅；以及實現零信任。