2024年网络安全状况：五大网络安全威胁和优先级问题报告

本季度发布的 2023 年供应商调查描绘了一幅遭受攻击的网络安全形势图景，其中的优先问题影响部署、警报响应和暴露的漏洞。大多数组织对其当前状况和预算表示有信心，但也预计 2024 年将至少经历一次数据泄露。

这幅图来自对特定统计数据的分析，以及对 1Password、Cisco、CrowdStrike、Flashpoint、Google Threat Analysis Group/Mandiant、NetScout、Pentera 和 Sophos 报告的字里行间解读。本文详细介绍了该报告的两个主要发现：五大网络安全威胁和优先级问题。在介绍这些发现之后，我们还将简要概述报告本身。

但首先，我们需要从报告中得出以下五个关键的网络安全要点：

五大网络安全威胁

存在大量漏洞和攻击者，没有一家组织能够同样出色地防御所有漏洞和攻击者。幸运的是，供应商调查确定了 2024 年需要注意的五大网络安全威胁：凭证泄露、基础设施攻击、有组织的高级对手、勒索软件和不受控制的设备。请继续阅读以了解有关这些威胁的更多详细信息，或跳转查看链接的供应商报告。

凭证被盗

网络钓鱼、信息窃取、键盘记录器和不良密码习惯造成的身份泄露为大多数勒索软件攻击和数据泄露提供了切入点。供应商报告显示，大多数攻击者都想要凭证，大多数恶意软件开发都涉及凭证窃取软件，而窃取凭证的市场正在蓬勃发展：

• 思科：发现 54% 的组织经历过网络安全事件；在这些事件中，54% 涉及网络钓鱼，37% 涉及凭证填充。
• Sophos：指出，2023 年所有恶意软件签名更新中有 43% 是针对常用于从设备窃取凭据的窃取程序、间谍软件和键盘记录器。
• CrowdStrike：检测到凭证盗窃的明显迹象：
  • 电子犯罪专用链接网站上的受害者数量同比增长 76%。
  • 增加 20% 特定组织的广告访问量。
  • Kerberoasting [密码哈希破解]攻击增加了 583% 。

由于大多数组织中存在大量用户密码问题，攻击者可能会危及凭证安全；不过，许多安全解决方案都提供了满足基本和高级需求的凭证保护。

用户密码问题

虽然这些数据点说明了问题的严重性，但它们并不能解释凭证盗窃和凭证填充为何有效。1Password 透露，大多数员工，尤其是经理，都使用不良的密码习惯，例如“重复使用密码或忽略重置 IT 选择的默认值”。

具体来说，报告揭露的密码问题包括：

• 61%的 [所有] 员工都使用不良的密码习惯。
• 64%的经理及更高级别的人员承认自己密码使用不当。
• 23％的人使用相同的密码或遵循类似的模式。
• 13% 的人在离开组织后仍可访问公司工具或资源。
• 9％的人与公司外部的人员共享工作工具凭证。

凭证保护

尽管攻击次数增加，但您可以部署许多不同的工具和技术来保护凭据。首先，所有组织都需要改进、执行和测试其密码策略，不仅要针对复杂性和重用性，还要针对私人和公共密码泄露数据库。这些步骤需要一些时间，但不花钱。

所有组织都应考虑以适度投资的方式采取额外的安全措施，包括：

• 活动目录安全性：保护 Windows、Azure 和其他同等身份管理系统的密码存储和管理系统免受攻击。
• 身份和访问管理 (IAM) ：通过自动化工作流程帮助改善 Active Directory 中的用户、单点登录 (SSO) 等的管理。
• 密码管理器：安全地存储密码、加强质量、允许安全的内部和外部共享，并与人力资源软件结合以有效地让用户下线。
• 特权访问管理 (PAM) ：改进特权访问的发现、程序、存储、即时部署、监控和控制。
• 多因素身份验证：通过要求使用多个简单的用户名和密码组合来访问资源，防止凭证被盗用。

更成熟的组织可以通过投资以下工具来进一步保护身份信息：

• 应用程序编程接口 (API) 安全性：防止使用程序到程序通信协议的攻击。
• 基于风险的分析：将风险级别视为访问系统、应用程序和数据所需的权限级别的背景。
• 无密码身份验证：消除密码，采用其他类型的身份验证，例如密钥、SSO、生物识别或电子邮件访问。
• 用户和实体行为分析 (UEBA) ：监控用户、硬件和网络流量的行为，以检测并可能阻止异常和恶意活动。
• 零信任：将每次访问视为对权限的单独评估，并为用户、网络、应用程序、数据和系统提供细粒度的访问。

基础设施攻击

针对基础设施的攻击旨在实现纯粹的破坏、敲诈勒索或从电子游戏优势到勒索软件活动掩护等周边利益。供应商报告指出，针对本地和公共基础设施的攻击数量巨大，例如：

• CrowdStrike：监控与以色列-巴勒斯坦冲突有关的黑客行动主义和民族国家分布式拒绝服务 (DDoS) 攻击，包括针对美国机场的攻击。
• NetScout：观察到 13,142,840 次 DDoS 攻击，其中包括：
  • 104,216次视频游戏企业攻击。
  • 20,551 起赌博行业攻击。
  • 针对公共域名服务 (DNS) 解析器进行 50,000 次 DDoS 攻击。
  • 从 2020 年上半年到 2023 年下半年，DNS 洪水攻击增加了 553%。

DDoS 攻击会导致它们不可用，但针对 DNS 解析器的 DDoS 攻击会导致使用该 DNS 资源的所有网络和网站瘫痪。Netscout 确定了阻止攻击的两个关键 DDoS 问题；但是，还有一系列基础设施保护控制措施可以帮助保护 DNS 和其他关键功能。

2 个关键的 DDoS 问题

DDoS攻击防御的两个关键问题：复杂性差距和从公司基础设施发出的 DDoS 攻击。复杂性差距使安全专业人员面临两难境地：“一方面，高级攻击者使用自定义工具和云基础设施；另一方面，一些攻击者仍然使用基本的、通常是免费的服务。”防御者需要工具和技能来阻止整个攻击范围。

外发 DDoS 攻击源自企业基础设施，可能导致公司被列入拒绝名单并被封锁。不受管理的内部 DDoS 攻击会影响公司声誉，并忽视大量内部设备出现受损迹象的事实。公司指示不要干涉内部网络流量，这导致互联网服务提供商 (ISP) 仅抑制每月 100,000 次外发 DDoS 攻击中的 1%。

基础设施保护

防御 DDoS 和DNS 攻击始于有效的网络安全架构。创建冗余系统，隐藏在随意访问之外，并通过负载平衡和防御层进行保护，以管理流量激增，直到部署其他防御措施。可以使用以下方法进一步增强防御能力：

• DDoS 防护服务：通过云可扩展基础设施和有针对性的专业知识，提供交钥匙且通常自动化的基础设施防御。
• 拒绝列表（又名：黑名单） ：通过将特定网站或 IP 地址添加到防火墙忽略的列表中来阻止它们；大规模管理非常困难。
• 下一代 (NGFW)或Web 和应用程序防火墙 (WAF) ：在大量功能和能力中包含 DDoS 保护以保护网络流量。

有组织的对手

民族国家、黑客行动主义者和有组织犯罪组织的数量、能力和影响力不断增加。供应商报告分析了趋势并发现：

• 思科： 62% 的公司认为外部因素是最大威胁，而 31% 的公司认为内部因素是最大威胁；与 2023 年相比，这是一个巨大的转变，当时他们认为威胁相当。
• CrowdStrike：跟踪到有组织的对手活动的显著增加：
  • +34 个新对手团体（+18% 的命名团体，+35% 的活跃团体）。
  • 交互式（专家指导）入侵活动同比增长 60%。
  • 攻击者开始通过合法且常见的 IT 支持工具（例如 ConnectWise ScreenConnect）向用户传播恶意软件。
• Google/Mandiant：分析了 2023 年攻击者的零日漏洞，发现：
  • 被利用的零日漏洞增加了 50%，达到 97 个。
  • 60% 的移动和浏览器零日漏洞均被间谍软件供应商利用。
  • 供应商减少了常见的漏洞，因此攻击者将目标转移到第三方组件（ Linux实用程序等）和软件库来攻击供应链。
• Sophos：观察到攻击者的行为随着防御能力的增强而发生了变化：
  • 一旦 Windows 阻止宏，就会采用易受攻击或恶意的驱动程序。
  • 部署恶意广告和 SEO 投毒来逃避检测工具。
  • 在有效的网络钓鱼筛查后，使用了主动的多电子邮件互动。

目前尚无专门的工具来防御国家攻击、勒索软件团伙或黑客活动分子。相反，应实施纵深防御，为员工提供网络安全培训，并使用威胁情报平台提供一般保护，并让非技术团队和安全团队了解最新威胁。

勒索软件和数据盗窃

尽管许多勒索软件团伙可能已转向以数据盗窃而非加密数据为勒索手段，但全球组织仍在继续感受到勒索软件攻击的痛苦。供应商调查报告称：

• 思科：分析称，2023 年所有攻击中有 35% 都是勒索软件。
• CrowdStrike：观察到针对以色列的政治相关勒索软件攻击。
• Google/Mandiant：至少有四个勒索软件团伙利用了零日漏洞。
• Sophos：报告重点关注中小型企业（SMB）：
  • 70% 的勒索软件攻击针对的是中小企业。
  • > 客户报告的 90% 攻击涉及数据或凭证盗窃。
• Flashpoint：收集了有关已披露的勒索软件和数据泄露的统计数据：
  • 全球勒索软件攻击同比增长84%。
  • 2023 年数据泄露全球增加 34.5%，美国增加 19.8%。
  • 2024 年前两个月数据泄露增加 30%，勒索软件增加 23%。
  • 60% 的违规行为来自美国。
  • 所有数据泄露中有 19.3% 来自 MOVEit 漏洞 CVE-2023-34362，包括泄露的第三方数据披露。
  • > 所有数据泄露中有 54% 来自制造业、医疗保健、政府、金融、零售和技术行业的勒索软件攻击。

尽管勒索软件攻击持续激增，但许多供应商仍提供了有效的解决方案，以在勒索软件或数据盗窃企图造成严重后果之前检测、减缓甚至阻止它们。

勒索软件和数据盗窃防护

勒索软件和数据泄露主要依赖于暴露于互联网、网络钓鱼和端点的漏洞。所有组织都应至少部署基本的安全工具来监视端点和安全接入点，例如：

• 防病毒（AV） ：在端点上提供最基本的恶意软件防护，以阻止已知的恶意软件并防止基本攻击。
• 电子邮件安全工具：在发送给最终用户之前，筛查电子邮件和附件中是否存在已知的恶意软件、恶意 URL 和垃圾邮件。
• 基于主机和其他类型的防火墙：过滤进入网络或端点的流量，以发现恶意 URL、已知恶意软件和其他类型的攻击。
• 安全远程访问：使用多种方法实现内部网络资源和远程用户之间的加密连接。

更先进的安全工具可以结合人工智能 (AI) 或机器学习 (ML)，自动识别和补救威胁。不过，也可以考虑部署专用工具或具有扩展功能的工具，例如：

• 基本输入输出系统 (BIOS) 安全性：在操作系统之外运行，以保护将操作系统连接到 PC 的固件和其他基本软件。
• 数据丢失保护 (DLP) ：监控敏感数据，并警告和阻止授权和未授权用户的未经授权的访问、传输或泄露。
• 端点保护平台 (EPP)和端点检测和响应 (EDR) ：为防病毒软件添加功能以检测恶意行为并主动阻止攻击。
• 扩展检测和响应 (XDR) ：扩展端点保护以包括网络监控和保护功能。

未托管设备

尽管有组织的攻击者不断发起越来越复杂的攻击，但大多数攻击都是通过找到可以访问网络或其他关键资产的不受管理和保护的设备来取得成功的。不受管理的设备包括没有强大策略执行的公司设备、用于工作的个人设备、不受监控的云基础设施以及不再维护的过时设备。供应商研究具体发现：

• 1Password：记录了对软件和个人设备访问的微薄控制：
  • 92% 的公司政策要求 IT 部门对软件进行审批，但 59% 的公司强制执行。
  • 34% 的员工使用未经批准的应用程序或软件。
  • 17% 的工人只使用个人或公共电脑工作。
• 思科：注意到个人设备访问和非托管云的常见危害：
  • 43% 的员工使用非托管设备访问公司网络。
  • 员工20%的时间花在公司网络上。
  • 所有攻击中有 27% 是挖掘加密货币的攻击，通常是在不受监控的云系统上。
• CrowdStrike：观察 2023 年的主要攻击媒介并预测 2024 年的目标：
  • 非托管网络设备（边缘网关、防火墙、虚拟专用网络/VPN）仍然是 2023 年最常被利用的初始访问载体。
  • 攻击者将瞄准网络外围设备：网络附加存储（NAS）、备份存储、电话、网络设备和报废资产。
• Pentera：重点关注企业客户提到的主要违规来源：
  • 60% 的远程设备。
  • 54% 为内部部署基础设施。
  • 50% 的云目标。
• Sophos：发现未受保护的设备是 SMB 攻击的主要入口点。

一些非托管设备无法支持已安装的技术控制，公司通常不会在员工设备上安装控制。然而，不同的安全产品仍然可以为非托管设备提供防御措施。

非托管设备防御

许多安全工具有助于防范非托管设备，但第一步可能是授权 IT 锁定设备并强制要求 IT 授予所有软件安装的权限。这个简单的步骤使恶意软件的安装更具挑战性，并得到其他管理资产或监控流量的工具的补充，例如：

• IT资产管理（ITAM） ：识别、跟踪和管理组织中的设备，以跟踪软件许可证、管理更新和检测异常。
• 入侵检测或预防系统 (IDS/IPS) ：监控网络流量中已知的恶意数据包、攻击模式和其他入侵指标。
• 网络访问控制(NAC)：检查设备状态并授权尝试访问网络的用户；可以隔离需要修复的设备。
• 网络监控：跟踪本地和云网络组件的行为、流量和健康状况，以发现故障迹象和恶意攻击指标。
• 分段或微分段：隔离网络并可在各分段之间精细地控制用户、应用程序和设备的访问。

更复杂的组织可以应用更强大的安全性，例如：

• 云安全：部署云原生或云特定的安全性来监控和保护云基础设施和资产免受攻击。
• 物联网 (IoT) 安全：为无法支持设备内安全保护（防病毒等）的外围设备和设备提供保护。
• 安全服务边缘或安全访问安全边缘 (SASE) ：将安全性扩展到本地网络之外，以保护远程和云资源。

网络安全准备：优先级问题

组织计划确保安全，但漏洞仍然会发生。人们总是倾向于将责任归咎于预算，但大多数 CISO 对自己预算充满信心，并已部署了大量资源。不幸的是，供应商调查显示，已安装的工具往往会使已经难以填补职位空缺的团队负担过重，而且许多漏洞仍未得到修复。

许多供应商试图通过 AI 或 ML 增强型自动化来解决劳动力问题。然而，优先级问题可能会持续存在，除非供应商为漏洞提供更高的透明度，并且组织实施综合风险管理，将优先级与对业务最重大的影响联系起来。让我们更详细地研究资金、警报、人才短缺和未解决的漏洞。

网络安全计划已获资助，但仍不完整

关于预算，供应商报告显示出相对优势：

• 思科：对全球大量企业进行了调查，发现：
  • 97％计划增加支出。
  • 80％的人对防守有中等到非常自信。
• Pentera：专注于拥有至少 1,000 名员工的大型企业 CISO：
  • 53% 的受访者表示 2024 年 IT 安全预算将减少或停滞。
  • 平均每年 IT 安全预算为 127 万美元。
  • 51% 的违规行为发生于过去 24 个月内。
• 1Password： 24% 接受调查的中小企业认为预算不足。

因此，虽然许多大公司都持平或削减开支，但普通公司计划增加支出并声称有信心。即使是精打细算的中小企业，也有超过四分之三的人认为他们的预算足够。然而，尽管有信心，但大多数安全经理也预计会失败：

• 1Password： 79% 的安全专家认为他们的安全保护措施不够充分。
• 思科：发现管理人员也有类似的想法，并探讨了违规细节：
  • 73% 的受访者预计未来 12-24 个月内业务将陷入中断。
  • 52% 的人表示，之前的违规行为给他们的组织造成了至少 30 万美元的损失。
  • 12% 的人表示之前的违规行为造成的损失达到 100 万美元或更多。

30 万至 100 万美元的违规损失可能在某些人的风险承受能力范围内，许多人可能希望从网络安全保险中收回损失。然而，将事件损失限制在保单限额内的挑战面临着我们将在下文中介绍的重大挑战。

警报过载

1Password 发现，接受调查的安全专家中有 32% 在过去一年中更换了安全工具或供应商，转而选择能够提供更完整端到端解决方案的供应商。更换的动机来自于已经部署的工具和警报的平均数量：

• 1Password：探测安全响应能力：
  • 69％至少是部分反应性的。
  • 61％的人被拉向太多相互冲突的方向。
• 思科：探索了安全堆栈中的安全解决方案数量：
  • 67% 拥有 10 多种专业安全解决方案。
  • 25% 拥有 30 多种专业安全解决方案。
  • 80% 的人承认有多种解决方案可以减缓检测、事件响应和恢复。
• Pentera：分析了获得资金最充足的企业的安全解决方案和警报：
  • 拥有 1,000 名以上员工的企业中，89% 的企业至少拥有 20 种安全解决方案。
  • 21%的企业拥有至少 76 种专业安全解决方案。
  • 90% 的企业每周报告至少 250 起安全事件。
  • 30％ 的企业每周报告至少 1000 起安全事件。

大量工具会产生大量警报（安全事件、补丁漏洞等），并将团队拉向相互冲突的方向。大型团队可能会取得足够的进展以采取主动行动，但大多数团队仍然人手不足。

人才不足

许多网络安全计划因人员配备不足而无法取得进展：

• 1Password： 21% 人手不足，20% 缺乏内部知识或技能。
• 思科： 90% 的人表示缺乏人才，其中 46% 的人至少有 10 个安全团队空缺。
• Pentera： 42％的人由于渗透测试人员的可用性而不会更频繁地进行渗透测试。

人手不足会导致很多问题。最明显的错误会成为头条新闻，例如Okta 客户的密码问题（2022 年），因为工作人员必须 24/7 随时待命。大多数错误仍然是隐藏的风险，等待被利用——尤其是以暴露漏洞的形式。

暴露的漏洞

大多数安全团队最担心的是毫无预警的零日攻击。然而，应该更加关注已知和未解决的漏洞：

• 1Password： 24％的人难以及时了解补丁/更新周期。
• Flashpoint：调查了漏洞的严重性和利用情况：
  • 52％的漏洞等级为高至严重。
  • 35% 的漏洞已被公众所知。
• Pentera：探讨安全专业人员如何确定优先处理哪些漏洞：
  • 34%基于业务影响。
  • 40% 根据 CVSS 分数。
  • 44%基于供应商风险评分。

几乎四分之一的组织难以跟上修补的步伐，这听起来似乎可以接受，直到组织考虑供应商和供货商。突然间，当每条供应链中至少有一部分可能暴露漏洞时，第三方风险的威胁变得更加明显。

此外，五分之二的漏洞优先等级是根据正式的漏洞评级确定的，但 Flashpoint 指出，超过 10 万个漏洞没有跟踪 ID 号，其中包括 Apache、Google、Microsoft 和 Zoho 等知名供应商。攻击者在野外积极利用数百个这些未跟踪的漏洞，这还不包括ShadowRay AI 框架暴露等有争议的漏洞。

渗透测试可以发现已暴露和未被承认的漏洞，但大多数渗透测试并不覆盖整个组织。

部分渗透测试

渗透测试可以验证现有控制措施、发现错误，并在攻击者利用之前发现暴露的资产。然而，Pentera 发现，即使是资金充足的组织也难以进行足够的渗透测试：

• 73% 的公司在一个季度内对系统进行了重大更改，而只有 40% 的公司每季度进行一次渗透测试。
• 组织有选择地测试基础设施：
  • 49%测试云资源。
  • 49%测试面向外部的资产。
  • 44％测试优先内部网络资产。
  • 15％测试单个应用程序。
• 31％的人进行渗透测试来评估成功攻击的潜在损害。

当资金最雄厚的组织都陷入困境时，我们很容易理解为什么入侵事件仍然很常见。近三分之一的组织在进行渗透测试时，会将渗透测试作为入侵调查的一部分进行追溯。这揭示了暴露漏洞、人员不足和警报过载所付出的代价：总是在追赶，而不是领先于入侵事件。