版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 举报,一经查实,本站将立刻删除。如若转载,请注明出处:http://56bg.com/_qi__yao__/6973.html
定制报告-个性化定制-按需专项定制研究报告
行业报告、薪酬报告
联系:400-6363-638
《IBM:2024利用对新兴威胁的最新洞察增强您的云防御能力研究报告(25页).pdf》由会员分享,可在线阅读,更多相关《IBM:2024利用对新兴威胁的最新洞察增强您的云防御能力研究报告(25页).pdf(25页珍藏版)》请在本站上搜索。 1、X-Force Cloud Threat Landscape Report 20241X-Force Cloud Threat Landscape Report 2024目录简介关键要点云漏洞云和暗网针对基于云的平台和软件即服务(SaaS)初始访问媒介目标行动基于云的环境中的 安全规则故障云和 AI建议关于我们02030506091113152021232X-Force Cloud Threat Landscape Report 2024简介IBM X-Force 团队在安全领域处于有利地位,可以为组织提供行业最佳实践和策略,帮助他们实现云之旅。X-Force 云威胁态势报告今年已是第五年发布2、,该报告从全球跨行业的角度阐述了威胁参与者如何入侵云环境、入侵网络后进行的恶意活动以及对组织造成 的影响。为编写本报告,X-Force 收集并分析了 2022 年 6 月至 2024 年 6 月期间从以下来源汇编的数据:1 IBM X-Force Threat Intelligence IBM X-Force Red 渗透测试以及对手模拟和漏洞管理服务项目 IBM X-Force 事件响应(IR)项目 Red Hat InsightsX-Force 的暗网分析,数据由报告撰稿人 Cybersixgill 提供随着云计算市场预计在 2024 年达到约 6000 亿美元的规模,云基础架构的采用率将3、持续上升。组织正越来越多地将关键业务数据从本地部署转移到云基础架构和服务中,这促使组织需要采取适当的防御措施并确保云中数据的安全。企业还在寻求最大限度地提高云投资的价值并利用 AI 的潜力,因此必须采取有意识的方法来实现这一目标。对于正在进行云迁移的组织来说,转型是一个需要时间、精力和资源的多步骤过程。2024 年数据泄露成本报告发现,大约 40%的数据泄露事件涉及分布在多个环境中的数据,例如公有云、私有云和本地部署。因此,作为迁移过程的一部分,组织必须制定并实施适当的安全策略和最佳实践来保护关键组织资产。了解云威胁态势及其对业务的潜在影响,对 IT 和高级管理层都至关重要。这种洞察分析支持采4、取主动措施来限制风险并保护关键业务信息和资源,确保安全、顺利的云转型之旅和未来的成功实施。3X-Force Cloud Threat Landscape Report 2024关键要点跨站脚本(XSS)是影响最大的常见漏洞和风险(CVE)报告期内,XSS 漏洞占新发现 CVE 的 27%,这些漏洞可让威胁参与者窃取会话令牌或将用户重定向到恶意网页。尽管市场饱和,但暗网对云凭据的需求仍在持续 虽然暗网市场上对 SaaS 平台的总体提及与 2023 年相比下降了约 20%,但利用被泄露的云凭据获取访问权限是第二大最常见的初始攻击媒介。每个被泄露的云访问凭据的平均价格一直在稳步下降,从 2022 年5、的 11.74 美元降至 2024 年的 10.23 美元,相当于 3 年内总体下降了 12.8%。利用可信的基于云的文件托管服务进行恶意活动的情况增多 威胁参与者越来越多地利用 Dropbox、OneDrive 和 Google Drive 等可信的基于云的服务进行命令和控制通信以及恶意软件散布。包括 APT43 和 APT37 在内的朝鲜国家支持的组织对基于云的服务进行了多阶段攻击,散布远程访问木马(RAT)。在数据收集和分析过程中,X-Force 发现了组织在云之旅中可能遇到的来自威胁参与者的最常见安全风险。以下是关键要点。4X-Force Cloud Threat Landscape 6、Report 2024网络钓鱼是主要的初始访问媒介 在过去两年中,网络钓鱼占 X-Force 所应对的所有云相关事件的 33%,攻击者通常利用网络钓鱼通过中间攻击者(AITM)攻击获取凭据。频繁使用有效凭据 28%的云相关事件涉及使用合法凭据进入受害者环境。这些帐户通常具有过高的权限,用户拥有的权限超出了执行任务所需的权限,这对组织构成了重大的安全挑战。商业电子邮件泄露(BEC)跟踪凭据 BEC 攻击是指攻击者假冒受害组织或其他受信任组织内部人员来伪造电子邮件帐户,在过去两年中占此类事件的 39%。威胁参与者通常会利用从网络钓鱼攻击中获取的凭据来接管电子邮件帐户,以进一步开展恶意活动。100%7、纯云环境中最不合规的安全规则是 Linux 系统中基本安全和管理设置的配置不当。在有 50%或更多系统位于云中的环境中,最不合规的安全规则是未能确保一致且安全的身份验证和加密实践。不合规会损害客户云环境的安全5X-Force Cloud Threat Landscape Report 2024云漏洞根据去年的分析,X-Force 根据新 CVE 被成功利用后的潜在影响对其进行了分类。X-Force 发现,获取信息、获取访问权限和获取特权是上一报告期内发现的 CVE 的三大影响。今年,XSS、获取访问权限和获取信息是所发现 CVE 的三大影响。与去年同期相比,所披露的漏洞类型发生了变化,其中 X8、SS 已成为潜在的重大威胁。请参阅图 1。利用漏洞是攻击者最重要的初始访问媒介。例如,XSS 可用于窃取会话令牌或将用户重定向到恶意网页,而获取访问权限则可进一步利用云资源。最终,这种利用会导致部署加密货币挖矿软件、信息窃取软件、勒索软件和其他类型的恶意软件,以达到恶意目的。图 1.XSS 是 CVE 的第一大影响。资料来源:X-Force跨站脚本获取访问权限获取信息其他拒绝服务绕过安全系统获取特权数据操作CVE 影响20242023 年0%5%10%15%20%25%2714202016211311010816616116X-Force Cloud Threat Landscape Repo9、rt 2024云和暗网在今年的报告中,X-Force 研究人员再次与 Cybersixgill 合作,深入了解网络罪犯如何利用暗网上的云环境和云基础架构。为此,X-Force 分析了 2023 年 6 月至 2024 年 6 月期间从各种暗网论坛和市场获取的 Cybersixgill 数据,为以下分析提供了参考。X-Force 发现,暗网上每个云访问凭据的平均价格一直稳步下降,从 2022 年的 11.74 美元降至 2023 年的 10.68 美元和 2024 年的 10.23 美元,相当于自 2022 年以来总体下降了 12.8%。请参阅图 2。这一趋势可能表明,被泄露的云凭据市场正变得过10、度饱和,导致凭据贬值。越来越多的组织正在转用云,这意味着更多的凭据可能被窃取或被泄露,从而增加了待售云访问凭据的总量。此外,云基础架构的防御性安全措施每年都在改进,例如检测速度和响应能力,从而降低了这些凭据的有效性,因此也降低了其价值。图 2.自 2022 年以来,云访问凭据的价格总体下降了 12.8%。以美元为单位。资料来源:Cybersixgill云访问凭据的平均价格12.00 美元11.50 美元11.00 美元10.50 美元10.00 美元9.50 美元9.00 美元20242023 年2022 年10.2310.6811.747X-Force Cloud Threat Landsc11、ape Report 2024 X-Force 的研究表明,Microsoft Outlook 是暗网市场中最常被提及的 SaaS 解决方案,占比高达 68%,其次是 Zoom,占比 7%。与 2023 年相比,每个 SaaS 平台在暗网市场上被提及的总次数明显减少,只有 Microsoft TeamViewer 增加了 9%。尽管略有增加,但只占有关 SaaS 解决方案讨论总数的 1.8%。值得注意的是,市场讨论中降幅最大的是有关 Wordpress-Admin 的讨论,降幅为 98%,其次是 Microsoft Active Directory,降幅为 44%,然后是 ServiceNow12、,降幅为 38%。暗网上先前提到的 SaaS 平台的提及率大幅下降可以归因于几个因素。威胁参与者策略、技术和程序(TTP)的转变,潜在投资回报率(ROI)的缺乏,以及企业加强安全措施(例如实施高级加密、多重身份验证(MFA)和强大的补丁管理),大大减少了漏洞和这些解决方案的可利用性。虽然访问被泄露的云凭据仍然是暗网市场上的热门待售资产,尤其是基于云的 SaaS 解决方案,但与 2023 年相比,暗网市场上 SaaS 平台的总体提及率平均下降了 20.4%。请参阅图 3。暗网上对这些 SaaS 解决方案的提及减少表明从防御安全的角度来看存在积极趋势。这一下降的原因可能是执法行动和对暗网市场的破坏13、,这可能会严重影响被窃取凭据和其他列表的可用性。诸如 Nemesis 市场等备受瞩目的下架事件凸显了这一结果。此外,随着 SaaS 解决方案安全性的提高,攻击者可能会开始寻找较弱的替代方案来牟利并进行恶意活动。组织应继续优先考虑安全性,投资于先进的技术,培养安全意识和准备文化,以保持这种转变。图 3.最常提到的 SaaS 解决方案来自暗网市场的讨论。资料来源:Cybersixgill20242023 年暗网上最常提到的 SaaS 解决方案0200K400K600K800K1M400 万5M6MMS Outlook缩放AutodeskMongoDBDropboxMyWorkdayJobsMS T14、eamViewerTaleoZendeskMoodleAmazon Web Services(AWS)MS Active DirectoryWebexBoxServiceNowWordPress-Admin4,915,52716,517498,511604,892315,985349,074285,270329,697275,616371,239139,185143,610132,777122,258122,23799,55264,32548,99345,56039,242111,09879,924100,34670,595115,63870,73467,45249,985832,8845,315、78,803144,999122,8708X-Force Cloud Threat Landscape Report 2024X-Force 发现,Lumma、RisePro 和 Vidar 是 2024 年暗网上最流行的的信息窃取软件。相比之下,2023 年排名靠前的信息窃取软件是 Raccoon Stealer、Vidar 和 RedLine。值得注意的是,Lumma 和 RisePro 在 2023 年几乎没有暗网活动,而 Vidar 则是该年第二大最流行的窃取软件。此外,Raccoon Stealer 是迄今为止最流行的窃取软件,2023 年被提及次数超过 300 万次,但 2024 16、年这一数字急剧下降到只有 30 万次。请参阅图 4。过去一年来,国际执法合作捣毁了散布 Raccoon Stealer 的主要网络罪犯网络。此外,Lumma 和 RisePro 等新信息窃取软件的出现转移了威胁参与者的注意力,降低了 Raccoon Stealer 的流行程度。值得注意的是,虽然 Lumma 和 RisePro 在 2023 年几乎没有暗网活动,但它们却是 2024 年暗网销售最火爆的两款信息窃 取软件。图 4.最常提到的信息窃取软件来自暗网市场的讨论。资料来源:Cybersixgill20242023 年0500K1M1.5M2M2.5M3M3.5M暗网上最常提到的信息窃取软17、件LummaRiseProStealcRedLineVidarRaccoon Stealer1,757,0639,9031,247,6043,057773,3991,287,750583,818932,480331,2633,163,103221,9179X-Force Cloud Threat Landscape Report 2024针对基于云的文件托管服务、平台和 SaaS对多次 X-Force Red 对手模拟活动的分析表明,基于云的服务在命令和控制通信中的使用越来越多,因为这些服务受到组织的信任,并能与常规企业流量完美融合。对手正在重新配置基于云的资源,以实现他们的目标,并授予自己更18、高的权限。此外,X-Force 还发现到基于云的服务受到以下两种攻击方式:基于云的文件托管服务:恶意软件散布X-Force 继续发现威胁参与者广泛使用基于云的文件托管服务,例如 Dropbox、OneDrive 和 Google Drive,来散布看似合法的恶意软件。3 个值得注意的恶意软件活动包括 2 个来自朝鲜国家支持的团体:APT43 一直在利用 Dropbox 发起多阶段攻击活动,其中涉及名为 TutorialRAT 的恶意软件 APT37 一直在利用 OneDrive 开展大规模网络钓鱼活动,散布 RokRAT 恶意软件第三个值得注意的活动是利用 OneDrive 托管和散布 Bum19、blebee 恶意软件的电子邮件垃圾邮件活动。这些活动成功利用了公有云服务的可信性,绕过了传统的安全措施,有效地向毫无戒心的用户发送了恶意软件。10X-Force Cloud Threat Landscape Report 2024X-Force 的研究人员还发现在云环境中部署了加密货币挖矿软件,这凸显了对强大的云安全措施的迫切需求。Kinsing 是一个臭名昭著的恶意软件系列,越来越多地在云环境中瞄准并启动加密货币挖矿软件。例如,Kinsing 隐藏为系统文件,特别是手册文件或手册页,以避免在利用云容器内的漏洞在云服务器上部署加密货币挖矿操作时被检测到。此外,勒索软件近年来已成为一种普遍威胁20、,经常因攻击全球各种组织而登上头条新闻。然而,其对云环境的影响却往往不为人知。涉及丹麦云托管公司 CloudNordic 的一起事件清楚地说明了这一日益严重的问题。据报道,勒索软件攻击导致所有客户数据完全丢失。这次攻击利用了数据中心迁移过程中的漏洞,加密了所有服务器和备份系统。尽管采取了现有的安全措施,但该公司仍无法恢复数据,并选择不支付赎金。这一事件表明了勒索软件对云环境的严重影响,强调了安全最佳实践、缓解策略和有效灾难恢复计划的必要性。云平台和服务:信息窃取软件、加密货币挖矿软件和勒索软件2024 年,专门用于从云服务中窃取凭据的信息窃取软件不断出现凭据窃取趋势。许多流行的信息窃取软件,例21、如 RedLine、Raccoon Stealer、Vidar、Lumma、MetaStealer 和 Stealc,以及不同的黑客工具包,例如 FBot、AlienFox 和 Legion,都瞄准了云平台。这些平台包括 AWS、Microsoft Azure、Google Cloud 和其他 SaaS 解决方案,例如 Office 365、Google Workspace(前身为 G Suite)和 Salesforce这些信息窃取软件和黑客工具包已被用来窃取特定平台和服务的凭据,其中包括:云基础架构凭据,例如 AWS 身份和访问管理(IAM)、Microsoft Azure Active 22、Directory、Google Cloud IAM 和 Snowflake,可控制对 Virtual Machines、存储空间和数据库等云资源的访问。云存储凭据,如 Dropbox、Box 和 Microsoft OneDrive,允许攻击者窃取敏感文件和文档。基于云的电子邮件服务,如 Office 365 和 Gmail,包含宝贵的通信数据,可用于其他云服务的密码重置程序。Microsoft Teams、Slack 或 Google Workspace 等平台上基于云的协作工具凭据,例如 Microsoft Teams、Slack 或 Google Workspace,经常成为攻击目标,23、因为团队成员之间经常在这些平台上共享敏感信息。基于云的开发平台,如 WordPress、GitHub、GitLab 和 Bitbucket,被用来窃取访问源代码库的凭据,从而可能获取专有代码或敏感的开发信息。基于云的客户关系管理(CRM)系统,如 Salesforce,包含大量客户数据。被窃取的凭据可在未经授权的情况下访问宝贵的客 户信息。专门用于从云服务中窃取凭据的信息窃取软件不断出现凭据窃取趋势。11X-Force Cloud Threat Landscape Report 2024初始访问媒介下面概述了威胁参与者为获取初始访问权限而使用的技术,按最常用的媒介顺序排列。开展网络钓鱼活动尽管24、威胁参与者使用了多种策略和技术来获取受害者网络的初始访问权限,但网络钓鱼仍是首选策略,在 X-Force 过去两年应对的所有云相关事件中,有 33%的事件使用了网络钓鱼。具体来说,攻击者利用网络钓鱼作为 AITM 攻击的起点,在诱骗网络钓鱼电子邮件的收件人在攻击者控制的登录页面上输入登录信息后,从他们那里获取凭据。使用有效凭据在云基础架构是攻击面潜在目标的攻击中,使用有效凭据是第二大入侵媒介。在过去的两年中,28 的事件涉及使用合法凭据为初始访问媒介。组织在平衡用户访问级别和安全风险方面仍然面临挑战。这些挑战在攻击者获取权限过高的用户或服务帐户并在环境中造成更大破坏的情况下表现得最为明显。网络25、钓鱼是第一大策略,在所有与云相关的事件中占 33%。12X-Force Cloud Threat Landscape Report 2024图 5.X-Force 在云环境中观察到的最初始访问媒介。资料来源:X-Force 和 MITRE ATT&CK Matrix for Enterprise 框架。2利用面向公众的应用程序中的漏洞仍然是威胁参与者获取云环境和本地部署环境访问权限的可靠方法。利用面向公众的应用程序第三个最常见的媒介是利用面向公众的应用程序中的漏洞。它仍然是威胁参与者获取云和本地部署环境访问权限的可靠方法。这种利用占云相关事件的 22%。请参阅图 5。管理云应用程序以及对它们的26、访问是组织面临的一项重大挑战,特别是随着现代云或混合云环境中应用程序和服务数量的不断增长。如果实施不当,就有可能忽略云中运行的未打补丁的应用程序,或者更糟糕的是,根本不知道它们的存在且正在运行。存在许多漏洞,凸显了在云环境中采取强有力的安全措施和适当的补丁程序的迫切需要。以下是今年披露的两个值得注意的例子:首先,2024 年 5 月,一个关键的 Microsoft Outlook 远程代码执行漏洞(CVE-2024-21413)对云环境构成重大威胁。恶意行为者可以通过网络钓鱼电子邮件利用此漏洞,如果成功,就可以夺取和操纵通信,从而损害基于云的电子邮件服务和其他敏感的云资源。其次,2024 年 27、7 月,在基于 glibc 的 Linux 系统上包含 sshd 的 OpenSSH 服务器中披露了一个重要漏洞风险。此漏洞称为 regreSSHion,跟踪编号为 CVE-2024-6387,未经身份验证的攻击者可利用该漏洞在有漏洞的系统上以 root 权限执行远程代码。OpenSSH 是一种在云环境中广泛部署的连接工具,用于使用安全外壳(SSH)协议进行远程登录。最初始访问媒介网络钓鱼或鱼叉式网络钓鱼链接(T1566.002)利用面向公众的应用程序(T1190)有效的 云帐户(T1078.004)未知暴力破解:撞库(T1110.004)有效的 本地帐户(T1078.003)05%10%1528、%20%25%30%35%332222116613X-Force Cloud Threat Landscape Report 2024目标行动威胁行动者利用多种途径获取访问权限,以实现其目标。X-Force 认为以下是最常见的目标行动。商业电子邮件泄露 X-Force 曾多次发现威胁参与者滥用云托管 Active Directory 服务器,在受害者环境中实施商业电子邮件破坏攻击。这项活动占过去两年事件响应活动的 39%,是第一大目标行动。更具体地说,威胁参与者经常利用 AITM 网络钓鱼策略绕过用户 MFA。在这种情况下,攻击者使用代理服务器拦截目标与合法服务之间的身份验证过程。通过这种策略29、,攻击者可以收集目标的凭据以及目标成功输入 MFA 后生成的令牌,从而维持经过身份验证的会话供攻击者使用。请参阅图 6。14X-Force Cloud Threat Landscape Report 2024图 7.X-Force 在云环境中发现的最主要目标行动。事件可以有发现的一个以上主要目标行动。如果攻击成功,威胁参与者已经使用受害者的凭据进行了身份验证,并且能够在应用程序内执行任何操作。在大多数情况下,攻击者可以从被入侵的帐户发送网络钓鱼电子邮件,添加电子邮件转发规则,甚至登录共享同一企业登录凭据的其他云资源。加密货币挖矿加密货币挖矿占过去两年攻击事件的 22%,是最常见的第二大目标行动30、,在威胁参与者中仍然很常见,尤其是在云环境中。功能强大的云基础架构资源密集度极高,是部署加密货币挖矿恶意软件的绝佳位置。此外,当这种恶意软件不在用户的端点本地运行时,用户不太可能注意到它的影响。请参阅图 7。凭据获取凭据获取是威胁参与者窃取用户身份验证凭据以进一步开展恶意活动的众多技术之一,通常使用网络钓鱼、按键记录器、水坑攻击和暴力攻击。凭据获取攻击是最常见的第三大目标行动,占事件总数的 11%。被窃取的凭据在暗网市场上挂牌出售或用于入侵其他帐户的情况屡见不鲜。请参阅图 7。目标行动BEC 攻击步骤05%10%15%20%25%30%35%40%商业电子邮件泄露加密货币挖矿软件帐户被盗和凭据31、获取服务器 访问权限Webshell 恶意软件数据销毁勒索软件39221111665图 6.在 AITM 攻击中,攻击者控制的网页会窃取受害者的凭据,这是 X-Force 在云环境中发现的最常见的威胁情况。攻击者网络钓鱼电子邮件网络钓鱼页面模仿合法登录门户网站攻击者窃取凭据和会话令牌攻击者使用凭据和令牌对进入受害者环境的人员进行身份验证15X-Force Cloud Threat Landscape Report 2024基于云的环境中的安全规则故障作为 IBM 与 Red Hat Insights 合作的一部分,X-Force 分析了来自全球约 100 个 Red Hat Insights 32、合规服务客户的两组数据。第一组数据来自 100 仅在云环境中运行的客户,而第二组数据则包括 50 或更多系统在云环境中运行的客户。X-Force 评估了各自环境的安全规则。这些安全规则或不合规性为组织如何降低其云环境的潜在风险提供了重要洞察分析。在完全或部分集成的云环境中运营的组织在维护稳健的安全状况方面经常遇到重大挑战,Red Hat Insights 客户端环境中的关键安全规则屡屡出现故障就证明了这一点。这些故障往往源于在动态且不断扩展的云基础架构中,配置和执行安全策略的复杂性。设置防火墙区域、隔离文件系统和应用安全挂载选项需要专业知识和勤勉的监控,这对 IT 和安全团队来说具有挑战性。此33、外,依赖过时的做法、手动配置和不充分的自动化工具会加剧这些问题,导致更多的安全错误配置和漏洞增加。在更广泛的背景下,云基础架构中的这些技术问题应该预示着组织面临的巨大风险,包括网络攻击、不遵守监管标准和运营缺陷的可能性增加。随着云环境的不断发展和演变,组织采取全面的安全措施、策略和最佳实践变得至关重要。这些措施使他们能够充分利用云技术的优势,同时保护重要资产,保持业务成功和符合监管合规性。云基础架构中的规则故障意味着组织将面临巨大风险。16X-Force Cloud Threat Landscape Report 2024在 100%云环境中不合规的 5 大规则根据 X-Force 分析的 R34、ed Hat Insights 数据,以下重点介绍了在 100%云环境中不合规的 5 大规则,以及解决这些问题的建议指导。请参阅图 8。图 8.在 100%云环境中按重要性排序的不合规的 5 大规则的数量。资料来源:Red Hat Insights在 100%云环境中不合规的 5 大规则规则 1.Linux 系统的配置和安全指南2905%10%15%20%25%30%27231210规则 2.重要目录的安全挂载选项规则 3.用户主目录管理规则 4.服务管理规则 5.NFS 服务管理规则 1.Linux 系统的配置和安全指南(29%)这套规则重点介绍如何配置 Linux 系统中的基本安全和管理设35、置,包括设置 Firewalld 的默认区域并在单独的分区上隔离/tmp 目录,以增强安全性并有效管理磁盘空间。采取缓解措施:配置 firewalld 服务的默认区域,以确保基于 Red Hat 的系统中的网络安全配置正确无误。将/tmp 目录隔离在单独的分区上,以增强安全性并有效管理磁盘空间,防止拒绝服务攻击并提高系统性能。17X-Force Cloud Threat Landscape Report 2024规则 2.重要目录的安全挂载选项(27%)这套规则强调为配置关键目录的安全挂载选项,防止执行二进制文件、创建设备文件以及执行 setUID 和 setGID 程序,从而提高安全性并确保36、正确使用目录。采取缓解措施缓解来预防:在/var/log 目录下执行二进制文件 在/var/log 目录下创建设备文件 在/var/log/audit 目录下执行 setUID 和 setGID 程序 在/home 目录下创建设备文件 在/var 目录下创建设备文件 在/var/log 目录下执行 setUID 和 setGID 程序 在/var/log/audit 目录下创建设备文件 在/var 目录下执行 setUID 和 setGID 程序 在/var/log/audit 目录下执行二进制文件 在/home 目录下执行 setUID 和 setGID 程序规则 3.用户主目录管理(23%37、)这套规则可确保用户主目录的所有权和权限正确无误,防止未经授权的访问,并保持文件系统结构的一致性和有序性,从而提高安全性。采取缓解措施:确保所有交互式用户主目录都由主用户集体所有,以保持适当的所有权、访问控制和组织一致性。规则 4.服务管理(12%)这套规则包括禁用不必要的服务,例如 rpcbind 和网络文件系统(NFS),以减少攻击面、提高安全性并释放系统资源。采取缓解措施:禁用 rpcbind 服务。禁用 NFS 服务。规则 5.NFS 服务管理(10%)这套规则专门用于管理 NFS 服务,强调其在网络文件共享中的特殊作用,以及不必要启用该服务的安全影响。采取缓解措施:禁用 NFS 服务38、以减少攻击面、提高安全性并释放系统资源。NFS 允许系统之间通过网络共享文件,但如果不需要,禁用 NFS 可以提高安全性和性能。18X-Force Cloud Threat Landscape Report 2024在 50%或更多云环境中不合规的 5 大规则根据 X-Force 分析的 Red Hat Insights 数据,以下重点介绍了在 50%或更多云环境中不合规的 5 大规则,以及解决这些问题的建议指导。请参阅图 9。图 9.在 50%云环境中按重要性排序的不合规的 5 大规则的数量。资料来源:Red Hat Insights在 100%云环境中不合规的 5 大规则规则 1.身份验证39、和加密策略(25%)这套规则侧重于身份验证机制和加密策略的标准化和安全化,以确保整个系统采用一致和强大的安全实践。采取缓解措施:使用身份验证选择可以规范和简化身份验证设置的管理,确保一致性并提高安全性。制定全系统加密政策,确保使用强大、安全的加密算法和协议,提高安全性和合规性。规则 1.身份验证和加密策略05%10%15%20%25%规则 2.帐户和 SSH 配置规则 3.SSH 安全措施规则 4.Umask 配置规则 5.流程调试限制252019191819X-Force Cloud Threat Landscape Report 2024规则 2.帐户和 SSH 配置(20%)这套规则涉及40、管理用户帐户的不活动、SSH 会话限制、文件所有权和密码过期,以提高安全性、降低风险并符合监管要求。采取缓解措施:在指定的不活动时间之后自动禁用用户帐户,以降低与休眠帐户相关的安全风险。设置 SSH ClientAliveCountMax,确保终止闲置或无响应的连接,从而提高安全性并释放资源。确保所有文件都归有效用户所有,调查并纠正任何不归用户所有的文件,以维护适当的文件所有权和安全性。设置密码的最长有效期,确保定期更改密码,提高安全性和 合规性。规则 3.SSH 安全措施(19%)这套规则通过禁用访问来增强 SSH 安全性并鼓励最佳安全实践。采取缓解措施:禁止通过空密码访问 SSH,以防止未41、经授权的访问并减少暴 力攻击。禁用 SSH 根登录,防止直接进行根访问,降低未经授权的管理访问风险。规则 4.Umask 配置(19%)这套规则涉及配置默认 umask 值,确保新文件和目录具有安全权限,从而提高安全性并保持一致性。采取缓解措施:在/etc/profile 中设置适当的 umask 值,确保新文件和目录具有安全的默认权限。在/etc/bashrc 中设置适当的 umask 值,确保新文件和目录具有安全的默认权限。规则 5.流程调试限制(18%)这套规则将进程调试和检查仅限于子进程范围内,通过防止未经授权的访问和操纵进程来提高安全性。采取缓解措施:限制子进程使用 ptrace,通42、过限制进程调试和检查功能来提高安全性,降低恶意使用的风险。20X-Force Cloud Threat Landscape Report 2024云和 AI尽管网络罪犯和受政府支持的威胁参与者一直在全球范围内进行网络钓鱼和垃圾邮件活动,通过云服务传播各种恶意软件,但 AI 生成的针对云环境的攻击在短期内造成的威胁仍然不大。不过,威胁参与者仍有可能已经在利用 AI 对云环境实施恶意活动。X-Force 的研究表明,AI 可用于开发复杂的社交工程提示和网络钓鱼活动,其所需时间仅为人类制作令人信服的网络钓鱼电子邮件所需时间的一小部分。此外,X-Force 还发现,至少从 2023 年 10 月起,恶43、意软件散布者 Hive0137 就非常活跃,它很可能利用大型语言模型(LLM)来协助脚本开发,以及创建真实而独特的网络钓鱼电子邮件。虽然 AI 工具可以让攻击者提高诱饵材料的真实性,使威胁参与者更容易逃避检测,但将 AI 技术用于恶意活动还处于成熟初期。就攻击 AI 平台而言,无论是在云端部署还是本地部署,都需要克服复杂性的障碍,而且在当前的情况下,即时投资回报并不值得。然而,随着 AI 市场日趋成熟,并更加融入各行各业的业务运营,攻击面可能会扩大,威胁参与者也可能会更有动力发起攻击。X-Force 分析预测,当单一生成式 AI 技术的市场份额接近 50%或者当市场整合到 3 种或更少的技术时44、,就可能会引发针对这些平台的大规模攻击。我们鼓励组织参考本报告中的建议,这些建议有助于降低网络威胁的风险,无论这些威胁是否来自 AI。威胁参与者可能已经在利用 AI 对云环境实施恶意活动。21X-Force Cloud Threat Landscape Report 2024建议考虑到不断变化的云威胁态势,组织必须持续监控、调整和加强其安全策略,以保护云和 SaaS 环境的安全。X-Force 发现,组织通过加强电子邮件保护和要求对云访问进行 MFA 来提高云安全性,从而使网络钓鱼攻击变得更加困难。然而,保护云和 SaaS 环境中的身份和数据需要不断调整,以应对不断变化的威胁。以下是一些有助于45、构建强大框架来提高云安全性的建议。22X-Force Cloud Threat Landscape Report 2024建立更强大的身份安全状况简化身份管理策略不再是奢侈品,而是必需品。简化身份策略,在强大的安全性和用户友好的体验之间取得平衡。采用 MFA 等现代身份验证方法,并深入了解二维码或 FIDO2 身份验证等无密码选项,以加强对未经授权访问的防御。设计安全的 AI 战略,防范云威胁要想在不断演变的云威胁面前保持领先,利用 AI 的力量至关重要。AI 具有变革性的潜力,可以彻底改变身份验证和识别,从而提高这些关键流程的效率和安全性。随着生成式 AI 不断发展,应使用强大的加密和访问控46、制来保护数据和模型的完整性。组织必须主动管理与影子 AI 和未经许可在工作场所使用 AI 工具相关的风险,帮助确保 AI 计划的透明度和控制。此外,组织还应为 Quantum 威胁可能对 AI 项目的长期安全性产生的潜在影响做好准备。进行全面准备和测试在云环境中,积极主动的整体安全方法至关重要。通过安全的 DevOps、威胁建模和严格的测试,将安全融入整个开发过程中,从而建立弹性。自动化可最大限度地减少人为错误,并有助于确保持续合规性,使组织能够满怀信心地应对不断变化的威胁。加强事件响应功能在当今动态的威胁环境中,快速有效的事件响应可以发挥重要作用。利用安全威胁情报了解攻击者的动机,更快地做出47、响应。在调查过程中,通过重新部署而不是重新镜像受影响的机器来保留取证证据,有助于确保保留重要数据。定期测试灾难恢复和备份程序对于业务连续性和弹性也至关重要。采用强大的安全措施保护数据数据保护仍然是全面云安全战略的基石。加密存储、使用和传输中的数据,并安全地管理密钥,有助于确保敏感信息得到保护。组织应减少敏感数据量,严格限制对必要人员的访问,从而最大限度地降低数据风险。自动化安全组权限和停用休眠帐户,通过遵守最小权限原则和防止潜在的帐户泄露,进一步提高安全性。23X-Force Cloud Threat Landscape Report 2024关于我们IBM X-ForceIBM X-Forc48、e 是由黑客、响应人员、研究人员和分析人员组成的团队,专注于应对威胁。X-Force 产品系列包括由 360 度威胁视图推动的进攻型和防御型产品和服务。X-Force 深入了解威胁参与者的思维方式、策略和攻击方式,可以帮助您预防、检测、应对事件和从事件中恢复,确保您专注于优先级更高的业务活动。如果组织需要支持以加强自身的安全状况,请安排与 IBM X-Force 专家进行一对一的介绍会。IBMIBM 是全球领先的混合云、AI 与商业服务提供商,致力于帮助超过 175 个国家和地区的客户利用数据洞察、精简业务流程、降低成本,并在行业内获得竞争优势。所有这一切都离不开 IBM 在信任、透明、责任、49、包容和服务方面始终如一的努力付出。有关更多信息,请访问 Zeizel Christopher Caridi David McMillen Michelle Alvarez Agnes Ramos-Beauchamp Christopher Bedell Johnny Shaieb Scott Lohr Scott Moore Sophie Cunningham Cybersixgill Red Hat Insights 安排介绍会 Copyright IBM Corporation 2024 IBM、IBM 徽标和 X-Force 是 International Business Machin50、es Corporation 在美国和/或其他国家或地区的商标或注册商标。其他产品和服务名称可能是 IBM 或其他公司的商标。IBM 商标的最新列表可参见 注册商标是根据 Linux 基金会的再许可使用的,该基金会是 Linus Torvalds 的独家许可证持有人,也是该商标的全球所有者。Microsoft 是 Microsoft Corporation 在美国和/或其他国家/地区的商标。Red Hat 是 Red Hat,Inc.或其子公司在美国和其他国家/地区的商标或注册商标。本文档为自最初公布日期起的最新版本,IBM 可能随时对其进行更改。IBM 并不一定在开展业务的所有国家或地区提供51、所有产品或服务。本文档内的信息“按现状”提供,不附有任何种类的(无论是明示的还是默示的)保证,包括不附有关于适销性、适用于某种特定用途的任何保证以及非侵权的任何保证或条件。IBM 产品根据其提供时所依据的协议条款和条件获得保证。任何 IT 系统或产品都不应被视为完全安全,任何单一产品、服务或安全措施都不能完全有效防止不正当使用或访问。IBM 不保证任何系统、产品或服务可免于或使您的企业免于受到任何一方恶意或非法行为的影响。客户负责确保对所有适用法律和法规的合规性。IBM 不提供任何法律咨询,也不声明或保证其服务或产品经确保客户遵循任何法律或法规。1.报告中收集和分析的所有数据(事件响应参与数据除外)均取自 2023 年 6 月至 2024 年 6 月。X-Force 将事件响应参与数据的时间线扩展至 2022 年 6 月至 2024 年 6 月,以提供两年的总体初始访问媒介和目标行动趋势。2.MITRE ATT&CK Matrix,MITRE 公司,2019 年 7 月 19 日。