X-Force威脅情報指數(shù)2022-IBM

報指數(shù)目錄執(zhí)行摘要 03最主要的攻擊類型 07主要入侵媒介 16對運營技術(shù)和物聯(lián)網(wǎng)的威脅 242021年的主要威脅實施者 29惡意軟件發(fā)展趨勢 31地理區(qū)域趨勢 35行業(yè)趨勢 42風(fēng)險緩解建議 53關(guān)于IBMSecurity57貢獻者 59IBMSecurity 2IBMSecurity3 執(zhí)行摘要 IBMSecurity3情這在22IScrt?-e。IBMSecurity(IR)互動和域名跟蹤等。本報告是基于從2021112IBM執(zhí)行摘要執(zhí)行摘要PAGE6PAGE6報告要點勒索軟件再次占據(jù)2021X-Force修復(fù)9%Rvl-oe也將其稱為Sodinokib是-Fore擊的37Ryuk占比只有13%2021年勒索軟件和物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊2022年死灰復(fù)燃的可能性。CISANIST-oe在整個2021年密切跟蹤網(wǎng)絡(luò)犯罪分子如何使用網(wǎng)絡(luò)釣MicosofAppleGoogle疑似的有伊朗國家背景的威脅實施者ITG17(MuddyWaterITG23TrickbotHive0109LemonDuck2021Linux2121勒索軟件的攻擊份額17勒索軟件是X-Force去年觀察到的數(shù)量最多的攻擊類型，但占比從前年的23%下降到去年的21%REvil（又名Sodinokibi要為37%的勒索軟件17勒索軟件團體改頭換面或偃旗息鼓之前的平均生存時間41X-Force研究的勒索軟件團體在改頭換面或偃旗息鼓之前的平均生存期為17個月。REvil3120211041利用網(wǎng)絡(luò)釣魚獲得初始訪問權(quán)限的攻擊的百分比33在2021X-Force332020年至2021年間由漏洞利用攻擊導(dǎo)致的安全事件數(shù)量有所增加3在2021Log4j漏洞CVE-2021-44228123增加了電話通話功能的針對性網(wǎng)絡(luò)釣魚攻擊活動的點擊有效性明顯提高146有針對性的網(wǎng)絡(luò)釣魚活動的平均點擊率為17.853.2146使用新代碼的Linux勒索軟件顯著增加IneerLinux146Linux業(yè)受到最多的攻擊612021X-Force去年修復(fù)的攻擊數(shù)量的23.22361連接的組織在制造業(yè)受到的攻擊中所占的比例2,204T連接的組織發(fā)生的安全事件占總數(shù)的61%T連2,2047420211月至20219SCADAModbus74MziIT2626全球攻擊中針對亞洲的比例在所有攻擊中，有26%以亞洲為目標(biāo)。亞洲是2021年受攻擊最多的地理區(qū)域。IBMSecurity7 最主要的攻擊類型 IBMSecurity7問。擊BE利用。以下部分介紹了我們的數(shù)據(jù)在2021年揭示的最多產(chǎn)攻擊類型的詳細信息和數(shù)據(jù)。勒索軟件根據(jù)X-Force2021年也不例外。X-Force事件響應(yīng)團隊在2021年修復(fù)的攻擊中有21%X-Force團隊修復(fù)的攻擊中有23%最主要的攻擊類型2021202120202020-202IBMSecurity-o

27%23%

10%14%10%

13%8%8%9%8%

7%6%憑證收集

6%

5%5%5%5%配置錯誤

5%23%其他5%23%其他惡意內(nèi)部人員21%勒索軟件21%

服務(wù)器訪問

BEC

數(shù)據(jù)盜竊

2021 2020WebwebshellWebwebshell8最主要的攻擊類型最主要的攻擊類型X-Force5月和6月的攻擊頻率往往較120218月和10DarkSideBabuk5addon6Rvil10202020202021IR-oe2020-202IBMSecurity-o）??%??%??%??%??%??%??%??%??%??%??%??%??%??%??%??%??%??%??%?%?%?%?% ??%

??%? ?月 ?

?月 ?月 ?

?????

?月 ?????

?月 ??

??

??月9最主要的攻擊類型最主要的攻擊類型根據(jù)-ore17個月是勒索軟件團伙更名或關(guān)18而一旦面臨被執(zhí)法部門逮捕或查處的威脅，他們通常就會更X-ForceGandCab更名為REvilMaze更名EgoDoppelaymerGrief。執(zhí)法活動可能是降低X-Force在2021年觀察到的勒索軟件2022也仍將繼續(xù)。

1010PAGE15PAGE15已關(guān)閉的勒索軟件團伙圖3已關(guān)閉的勒索軟件團伙2017-202IBMSecurity???-

??

??

??

??

??

??

???

??-?

????????????????????????????????

??

??

??

???

?Maze

NemtyDoppelPaymer

Dark

Egregor

Babuk

????????????????

GandCrab

Avaddon

REvil/Sodinokibi在-oe于2021Rvil在我們團隊所修復(fù)的全部勒索軟件事件中占到了37超過三分之一Ryuk了13%2021年10Rvil實施者似乎已永久關(guān)停運營。RyukREvil201942018820212021-oe2021IBMSecurity-o）re?limedusakingarkSiderystalryptoLockerontilackMatteritLocker

vilt勒索軟件如何發(fā)起攻擊

IR)開發(fā)一個五階勒索軟件攻擊的階段圖5勒索軟件攻擊的階段-oeIBMSecurity-o）指揮控制密鑰、RAT等指揮控制密鑰、RAT等互聯(lián)網(wǎng)的服務(wù)電子郵件或利用面向?階段：后漏洞利用系統(tǒng)的訪問權(quán)限立對后漏洞利用工具包/?階段：理解和展開第?階段：數(shù)據(jù)收集和滲漏

第1階段：初始訪問勒索軟件攻擊最常見的訪問媒介仍然是網(wǎng)絡(luò)釣魚、漏洞利用和遠程服務(wù)，例如遠程桌面協(xié)議。第2階段：后漏洞利用根據(jù)初始訪問媒介，第二階段可能涉及中間遠程訪問工具(RAT（例如CobaltStrikeasploi建立交互式訪問。第3階段：理解和展開的憑證來實現(xiàn)橫向移動。第4階段：數(shù)據(jù)收集和滲漏收集數(shù)據(jù)源列表標(biāo)收集憑證偵查跟蹤SMB橫向移動器列表A收集數(shù)據(jù)源列表標(biāo)收集憑證偵查跟蹤SMB橫向移動器列表AtieDrctr：用戶、收集憑證第5階段：部署軟件部署在X-ForceIR團隊響應(yīng)的幾乎每一個勒索軟件事件中，勒索軟件運營商都鎖定了域控制器，將其作為勒索軟件有效負(fù)載的分發(fā)點。獲得域管理員權(quán)限獲得域管理員權(quán)限數(shù)CP、Rclone）憑證部署勒索軟件組憑證部署勒索軟件組PEe/B員分發(fā)勒索軟件最主要的攻擊類型最主要的攻擊類型勒索軟件的一個令人擔(dān)憂的新趨勢就是“三重勒索策略的擴展。在這種類型的攻擊(DDoS則會進一步加重其受害程度。止因勒索軟件攻擊而造成的數(shù)據(jù)泄露或業(yè)務(wù)中斷。服務(wù)器訪問服務(wù)器訪問攻擊——攻擊者獲得對服務(wù)器的未經(jīng)授權(quán)的訪問，但最終目標(biāo)未知——是第二常見的攻擊類型，在X-ForceIR團隊于2021年修復(fù)的所有事件中占到了11%。ChinaChopperWebshellsBlackOrificeMimikatz。VE-2020-796MicrosoftExchange2021年十大漏洞中。在X-Force的IR們進一步發(fā)起更具破壞性的操作。

是服務(wù)器訪問商務(wù)電子郵件泄露在2020年商務(wù)電子郵件泄露(BEC)X-Force觀察到這類攻擊數(shù)量在2021BEC是我們的IR多因素身份驗證(MFA)的廣泛實施使得BEC威脅實施者成功執(zhí)行的攻擊數(shù)量日漸減少。這一理論在2021BEC攻擊者可能已通過將重心轉(zhuǎn)移到并未廣泛實施的地區(qū)取得了更大的成功。IRBECBECBEC201920202021BEC19%20%。20212021BEC2021BECIBMSecurity-o）??.?%?.?%??.?%?.?%?.?%?.?%中東和非洲?

?%

??.?%??% ??% 主要入侵媒介 隊e的團P)其次202120212020-oe2020-202IBMSecurity-o）被盜的憑證?

??%

??%??%??%??%??%??%??%?%??%?% ?% ?%?%?%?%?%???? ????IBMSecurity 16主要入侵媒介主要入侵媒介PAGE20PAGE20網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)釣魚成為20212020412021202120212021IBMSecurity-o）??%??%??%??%??%??%?????%?%?%??%??%??%??%??%??%

??%??%??%?%

用 被盜的憑證Red的部分重點領(lǐng)域包括2020年和2021-oeed17.8%電話添53.2BEC2021-oe發(fā)現(xiàn)勒索軟件實2021年觀察到的多起Rvil勒索軟件事件都始于QakBt一經(jīng)打開，該文檔便將指示收件人啟用宏，這將植入QakBot銀行木馬，從而在系統(tǒng)上初步獲得立足之地。隨后，操作權(quán)便會轉(zhuǎn)交給REvil勒索軟件實施者，他們會暗中進行偵察，并由此繼續(xù)執(zhí)行操作。圖9中包含了一個QakBot網(wǎng)絡(luò)釣魚電子郵件樣本。QakBQakBtQakBtIBMSecurity-o）參見圖1啟用編輯啟用軟件。0

QakBot網(wǎng)絡(luò)釣魚附件的彈出消息樣本IBMSecurity-o）濫用技術(shù)且波及眾多品牌IBM7875接近100電子郵件/I/密碼組合61請求)(40%)(22%)(17%(15%(14%)PIN(3%)。-oe11位的品牌如下所示。11.Facebook10.Hotmail9.CNN11.Facebook10.Hotmail9.CNN8.DHL7.Dropbox6.Amazon5.Chase4.BMOHarrisBank(BMO)3.Google2.Apple1.Microsoft202111222,12網(wǎng)絡(luò)釣魚攻擊次數(shù)高達次，創(chuàng)下歷史新高反網(wǎng)絡(luò)釣魚工作組(APG)2021年僅6網(wǎng)絡(luò)釣魚攻擊次數(shù)到222,127-oe使用專門用于保障數(shù)據(jù)隱私的DNS如Quad9釣魚攻擊的風(fēng)險。IBMSecurityX-Force是Quad9合作伙伴。主要入侵媒介主要入侵媒介2121漏洞利用盡管在2021擊事件數(shù)量與2020年相比仍增加了33-oeVE-2021-3546Jaa）VE-2019-1978CitrixKaseya和MicrosoftExchangeServer等主要攻擊中利用零日漏洞來訪問受害者的網(wǎng)絡(luò)和設(shè)備。臨近2021Log4j漏洞CVE-2021-442282021年X-Force緩解措施來避免成為該漏洞的受害者。主要入侵媒介主要入侵媒介漏洞數(shù)量再創(chuàng)新高與物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)(ICS)16%500.4%。2011-2021年每年發(fā)現(xiàn)的漏洞數(shù)量12011-2021年每年發(fā)現(xiàn)的漏洞數(shù)量2011-2021年每年新識別的漏洞數(shù)量和累計漏洞數(shù)IBMSecurity-o）??K??K??K??,?????,?????,?????,?????,?????,?????,?????,????,????,????,????,????,?????K??K??K??K??K?K? ???? ???? ???? ???? ???? ???? ???? ???? ???? ???? 年 總數(shù)量

???K???K???K???K???K??K??K??K??K??K?22主要入侵媒介主要入侵媒介2021年的十大漏洞IR團隊觀察到的威脅實施者在2021-oe建議您優(yōu)先對這些漏洞加以修補。CVE-2021-34523–MicrosoftExchange服務(wù)器ProxyLogon。CVE-2021-44228ApacheLog4jCVE-2021-26857–MicrosoftExchangeServer遠程代碼執(zhí)行漏洞CVE-2020-1472NetlogonCVE-2021-27101–易受SQL注入影響的AccellionCVE-2020-7961–LiferayPortal對不可信數(shù)據(jù)JSON網(wǎng)絡(luò)服務(wù)遠程執(zhí)行代碼CVE-2020-15505MobileIron行代碼CVE-2018-20062–NoneCMSThinkPHP碼執(zhí)行漏洞CVE-2021-35464–ForgeRockAM服務(wù)器JavaCVE-2019-19781Citrix2323 對運營技術(shù)和物聯(lián)網(wǎng)的威脅 相當(dāng)可觀。網(wǎng)(I)()0001()識別的漏洞數(shù)量增長幅度相當(dāng)可觀。設(shè)備的偵察速度在分析了2021-Fore發(fā)現(xiàn)攻擊者正在開2021SCADAModbus2021年針對CP2021SCADAModbus此端口使用Modbu于在工業(yè)網(wǎng)絡(luò)中連接的總線、網(wǎng)絡(luò)和可編程邏輯控制器(PLC監(jiān)視控制系統(tǒng)通常會使用502Modbus

圖122021SCAAModbusIBMSecurity-o）?? ??% ??在2021年1月至9-oe觀察到針對502端2204%。威脅實施者可能已經(jīng)加強了Modbus偵察活動，開始尋找目標(biāo)實施勒索，或者奪取控制權(quán)并造成傷害。鑒于Modbus缺乏安全功能，一旦攻擊者找到可訪問的ModbusICS

?? ??% ??%???? ?%SCADAModbus位于ICS環(huán)境中Purdue2

??

?% ?% ?%

?% ?% ?%SCADAModbus502乏身份驗證和純文本消息傳輸則讓Modbus的危險程度又增加一分。

?月?月?月

?月?

?月 ?月?月?月??月??月??月IBMSecurity 2425對運營技術(shù)和物聯(lián)網(wǎng)的威脅25主要是就擁有T-oe觀察到在2021X-Force協(xié)助修復(fù)的事件中占到了61對運營技術(shù)和物聯(lián)網(wǎng)的威脅20212021-oeIR2021IBMSecurity-o）61%61%制造業(yè)1% 7% 10% 10% 11%重型和土木工程 采礦 公用事業(yè) 輸 石油和天然氣行業(yè)26對運營技術(shù)和物聯(lián)網(wǎng)的威脅對運營技術(shù)和物聯(lián)網(wǎng)的威脅PAGE28PAGE28對于X-Force在2021年發(fā)現(xiàn)遭受攻擊的所有具有OT擊總量的36ITDDoS202120212021IBMSecurity-o）蟲尸網(wǎng)絡(luò)AT鬼證收集oS

器訪

軟件MziITT2019-oeIT20192020幅度已接近3000%ITMzi僵尸網(wǎng)絡(luò)仍在IT202174%。2018-20212018-20212018-2021ITIBMSecurity-o）20%

19%17%13%17%13%10%11%9%6%6% 6%1%1%1%0% 0%Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q42018 2019 2020 202110%5%0Mozi能夠持久OT和ICS網(wǎng)MziT絡(luò)的攻擊。MoziMozi202168Mozi2021 2021年的主要威脅實施者 場景01I施者的2021-oe21%的攻擊活動是由黑客組織發(fā)起的。以下部分介紹了X-Force在2021年觀察到的一些更有趣的活躍威脅組織的更多詳細信息。20212021進黑客2021-oeIRIBMSecurity-o進黑客族國家分子IBMSecurity 292021年的主要威脅實施者ITG17Aclip2021IBMSecurity-oe發(fā)現(xiàn)一個威脅實施者-oe“AclipIG1又名Muddye疑似一個伊朗IG2rickbtGanContiX-Force分析師一直在密切跟蹤Trickbot銀行木馬背后的網(wǎng)絡(luò)犯罪集團——我們將其稱為IG2WiadSpiderrickbtGangrickbtConti-oeIG23rickbtConti該團伙主要依賴電子郵件活動發(fā)送惡意BazarCallBazarLoaderHive01092021在2021-Force發(fā)現(xiàn)了多起Hive010也稱為LemonDucProxyLogonMicrosoftExchangeLemonDuckLinuxWindowsLemonDuck2018年起LemonDuckIBMIBMThreatGroup(ITG)ITG表示IBMThreatGroupIBMX-Force）HiveIBMIBMThreatGroup(ITG)30 惡意軟件發(fā)展趨勢 察到的一些惡意軟件發(fā)展趨勢。更re21觀察到的一些惡意軟件發(fā)展趨勢。更高的檢測規(guī)避能力X-Force的惡意軟件逆向工程團隊在去年發(fā)現(xiàn)，惡意軟件的規(guī)避技術(shù)已實現(xiàn)了重大升級。指揮與控制(C2進行隧道C2C2活動偽裝成合法惡意軟件開發(fā)者使用越來越復(fù)雜的打包和代碼混淆技術(shù)來隱藏惡意軟件的真正意圖并阻止PueBasicNi的就是加大逆向工程的難度。惡意軟件著重關(guān)注Docker-oeIRLinuxDocker顯示這一轉(zhuǎn)變的部分惡意軟件家族包括XorDDoSGroundhog和Tsunami惡意軟件(KaijiXantheKinsing)和除DockerSiloscape惡破壞了易受攻擊的WindowsKubernetesSiloscapeaTNTaTNTIBMSecurity 31惡意軟件發(fā)展趨勢惡意軟件發(fā)展趨勢3232勒索軟件著重關(guān)注ESXi通過分析影響Linux-oe向基于Linux的VMWareESXi(VM)2020-ForeIR團隊發(fā)現(xiàn)了針對ESXi服務(wù)器部署的SFile勒索軟件的Linux2021REvilHelloKittyBabuk和BlackMatterESXi自有的命令行管理工具esxcliNim日漸流行2020Golang2021GolanNimNim編譯了Nimar后門以及ZebrocyIG0AT2使用的一種惡意軟件類型。PAGE34PAGE34Linux威脅仍不斷演變據(jù)IBMSecurityX-ForceThreatIntelligence合作伙伴IntezerLinux

120212020Linux2020-2021LinuxIn20212020Linux??.?%施者對該領(lǐng)域仍然虎視眈眈。Intezer通過分析惡意軟件種族的代碼唯一性來到了以下結(jié)果。自去年以來，在多種類別的Linux惡意軟件中，高達五分之四的惡意軟件類別都增加了特有的

惡意銀

?.?%?.?%

?.?%

?.?%

??.?%??.?%??.?%??.?%?.?%升了十倍以上。Linux目標(biāo)的增多可能與組織

?

??% ??%正日益遷移到云環(huán)境有關(guān)，這些環(huán)境經(jīng)常依賴Linux執(zhí)行操作。Linux惡意軟件的創(chuàng)新水平與基于Windows的Linux2022肯定還會看到這一趨勢仍保持上漲勢頭。

???? ????2021LinuxWindows2021LinuxWindows2021LinuxWindwsInee）惡意軟

??.???.?%??.?

??.?%??.?%馬

%??.?%挖掘者僵尸網(wǎng)絡(luò)

??.?%?.?%

??.?%??.?%? ?% ??% ??%Linux Windows威脅實施者以云環(huán)境為目標(biāo)IBM三分之二的事件涉及API云中的無文件惡意軟件X-Force施者現(xiàn)在還使用EzurGolang動未經(jīng)檢測的惡意軟件更加輕而易舉。X-Force的研究還強調(diào)了一種名為VermillionStrike的新惡意軟件套件的發(fā)展?fàn)顩r。VermillionStrike基于流行的滲透測試工具CobaltStrikeVermillionStrike目的是在LinuxLinuWindwsIBMSecurity35 地理區(qū)域趨勢 IBMSecurity35一攻擊趨勢。本報告開始攻擊總量226可能與一攻擊趨勢。24%和2314%13%。地理區(qū)域趨勢地理區(qū)域趨勢PAGE41PAGE412021202020212020IBMSecurity-oe亞洲 歐洲 北美 中東和非洲 拉丁美洲9%13%9%14%27%23%31%24%26%

25%

2021 2020亞洲遭受攻擊最多的行業(yè)金融與保險制造業(yè)專業(yè)與商業(yè)服務(wù)30%29%遭受攻擊最多的行業(yè)金融與保險制造業(yè)專業(yè)與商業(yè)服務(wù)30%29%13%島嶼。服務(wù)器訪問攻擊(20%)和勒索軟件(11%)是亞洲組織在2021(10%9REvil在X-Force所觀察到的勒索軟件攻擊中占到了33BitlockerNefilimMedusaLocker和RagnarLocker漏洞利用和網(wǎng)絡(luò)釣魚并列成為亞洲組織在2021年的主要感43%的攻擊都由這兩者引發(fā)而來。暴力破解(7%)和使用被盜憑證(7%)偶爾也會被用來獲得網(wǎng)絡(luò)的初始訪問權(quán)限。X-Force修復(fù)的事件中占到了30(29%和商業(yè)服務(wù)(13%)以及運輸行業(yè)(10%X-Force2015到2020年間遭受日本、澳大利亞和印度是亞洲地區(qū)遭受攻擊最多的國家。歐洲遭受攻擊最多的行業(yè)制造業(yè)金融與保險專業(yè)與商業(yè)服務(wù)遭受攻擊最多的行業(yè)制造業(yè)金融與保險專業(yè)與商業(yè)服務(wù)25%18%15%擊在X-Force事件響應(yīng)團隊所觀察到的攻擊中占到了24%。歐洲在全球最易遭受攻擊地區(qū)排行榜上位列第二，遭受的攻擊在X-Force事件響應(yīng)團隊所觀察到的攻擊中占到了24%。勒索軟件是歐洲面臨的最主要的攻擊類型，在2021年該地26(12%)(10%(8%(6%(6%2021vil38Ryuk25%DarkSideLockBit2.0Crystal“大型獵物漏洞利用是針對歐洲組織主要使用的感染媒介，占據(jù)了-oe464212%。制造業(yè)是202125(18%業(yè)服務(wù)行業(yè)(15%英國、意大利和德國是歐洲地區(qū)遭受攻擊最多的國家。北美遭受攻擊最多的行業(yè)制造業(yè)專業(yè)與商業(yè)服務(wù)零售批發(fā)遭受攻擊最多的行業(yè)制造業(yè)專業(yè)與商業(yè)服務(wù)零售批發(fā)28%15%11%擊在擊在事件響應(yīng)團隊所觀察到的攻擊中占到了23擊總量的302021在-ForceREvil攻擊占到了43-Fore還發(fā)現(xiàn)了LockBit2.0ContiCrytoLocer和EkingBEC是僅次于勒索軟件攻擊的最常見攻擊類型，12BEC(9%)在北美地區(qū)組織最易遭受的攻擊排行榜上位列第三。年X-Force在該地區(qū)修復(fù)的事件中占到了4729%的(12%(9%)和被盜憑證(9%)20202021者可能會專注于網(wǎng)絡(luò)釣魚活動。X-Force修復(fù)的攻擊總量28%——1511中東和非洲遭受攻擊最多的行業(yè)金融與保險醫(yī)療衛(wèi)生能源部48%遭受攻擊最多的行業(yè)金融與保險醫(yī)療衛(wèi)生能源部48%15%10%勒索軟件和服務(wù)器訪問攻擊是中東和非洲最常遭遇的事件1814DDoS在X-Force于中東和非洲地區(qū)修復(fù)的已知初始感染媒介的事件中，50%的事件都是由漏洞利用所引發(fā)的。使用被盜憑證和網(wǎng)絡(luò)釣魚也經(jīng)常被用來訪問感興趣的中東和非洲地區(qū)網(wǎng)絡(luò)，密碼噴灑和使用可移動介質(zhì)偶爾也會被用來獲得初始訪問權(quán)限。在202148%，這表明該地區(qū)遭受的攻擊可能已從由民族國家支持的以能源為重點的攻擊轉(zhuǎn)變?yōu)橐越鹑诮M織為重點的網(wǎng)絡(luò)犯罪攻擊。沙特阿拉伯從利用原油收入發(fā)展經(jīng)濟轉(zhuǎn)向?qū)崿F(xiàn)經(jīng)濟多元化能也影響了這一趨勢。醫(yī)療保健組織遭受的攻擊占該地區(qū)所遭遇攻擊總量的1510%的攻擊有關(guān)。沙特阿拉伯、阿拉伯聯(lián)合酋長國和南非是中東和非洲地區(qū)遭受攻擊最多的國家。拉丁美洲遭受攻擊最多的行業(yè)金融與保險醫(yī)療衛(wèi)生能源部遭受攻擊最多的行業(yè)金融與保險醫(yī)療衛(wèi)生能源部48%15%10%量的29量的29BE2121REvil是我們在拉丁美洲觀察到的最常見的勒索軟件-oe修復(fù)的勒索軟件攻擊量的50Ryuk和omSiloBECBEC攻擊者正在集中更多精力在拉丁美。“獵物X-Force在該地區(qū)所修復(fù)攻擊量的47的大量BEC憑證導(dǎo)致的攻擊占拉丁美洲的組織所遭受攻擊量的29MFA有助于減少該地區(qū)的憑證被盜事件和BEC18%的攻擊事件是6%202122(20%11商業(yè)服務(wù)以及能源行業(yè)也遭到了相當(dāng)嚴(yán)重的攻擊。勒索軟件攻擊者和BEC些行業(yè)遭受的攻擊率。巴西、墨西哥和秘魯是拉丁美洲地區(qū)遭受攻擊最多的國家。 行業(yè)趨勢 2021BECCOVID-192021202120202021202010IBMSecurity-o）媒體

?.?%?.?%?.?倍

?.?%?.?%

?.?%?.?%

?.?%?.?%?.?%?.?%

?.?%

??.?%?.?%??.?%?.?%??.?%

??.?%

??.?%??.?%??.?%?

??% ??% ??% ??%???? ????IBMSecurity 42行業(yè)趨勢行業(yè)趨勢PAGE52PAGE52#1|制造業(yè)總量的自2016202123.2%。總量的2312%的占比位BECBECBEC攻擊者控制的漏洞利用是20214740X-Force在2021年觀察到的整體初始感染媒介的發(fā)展趨勢。可移動介質(zhì)(7%(3%)和暴力破解(3%)2021年，對制造業(yè)組織發(fā)起的攻擊中，近三分之一(32%)的攻擊活動發(fā)生在亞(27%(26%(13%(5%)

占攻擊23.2%#2|金融與保險總量的金融和保險組織也是攻擊者追逐的目它們所遭受的攻擊在2021年修復(fù)攻擊中占到了22.4在-oe的行業(yè)排名中穩(wěn)居第二位在這些攻擊70%的擊針對銀16%針對保險機14%則是針對其他金融機構(gòu)。 總量的占主導(dǎo)地2021量的1410%的占比并列第202146%的攻擊都是由網(wǎng)絡(luò)31VPN訪問也是威脅實施者藉以對金融和保險公司發(fā)起攻擊的感染媒介。20213429(19%)(9%)(9%)2021

占攻擊22.4%#3|專業(yè)與商業(yè)服務(wù)總量的2022總量的在202212.7%24%76%29%是專門以信息技術(shù)為重點的專業(yè)服務(wù)提供商。勒索軟件攻擊是2021X-Force在這些行業(yè)觀察到的攻擊總量的32%19，20212021年，在X-Force對專業(yè)和商業(yè)服務(wù)公司實施補救的事件中，漏洞利用占到了5020%了202021年初披露的MicrosoftExchange

占攻擊12.7%#4|能源總量的到了8.2DarkSide于2021年5月對ColonialPipeline尤其是勒2021-oe6785（ColonialPipeline于當(dāng)月遭到了勒索軟件攻擊9總量的勒索軟件攻擊(25%)是2021BE(17%)2021產(chǎn)生了一定的影響。網(wǎng)絡(luò)釣魚是威脅實施者用于訪問能源組織網(wǎng)絡(luò)的最常見感染媒介，約占攻擊總量的60%，而漏洞利用則占剩下的40%。312817%7%

占攻擊8.2%#5|零售與批發(fā)總量的202220217.3%35%65%總量的BEC網(wǎng)絡(luò)釣魚是2021在該行業(yè)修復(fù)的已知初始感染媒介的攻擊中占到了3831%的23%8些攻擊中發(fā)揮了作用。20213531%。

占攻擊7.3%#6|醫(yī)療保健總量的醫(yī)療保健行業(yè)在今年遭受攻擊最多行業(yè)榜單中位列第六，占X-Force在2021年觀察到的攻擊總量的5.138%omSilo、AvosLocker和REvilBEC(25%)總量的漏洞利用是2021年威脅實施者藉以對醫(yī)療保健組織發(fā)起攻擊的最主要感染媒介，X-Force修復(fù)的事件中5714%。中東和非洲的醫(yī)療保健組織在20213933%116%。

占攻擊5.1%#7|交通運輸總量的交通運輸行業(yè)遭受的攻擊占攻擊總量的4.02020年的第9位上升至第7位?？偭康碾S著2021年國際邊界和運輸網(wǎng)絡(luò)重新開放，該行業(yè)的活躍可能會再度吸引攻擊者的興趣。惡意內(nèi)部人員攻擊成為2021年交通組織遭受的最主要攻擊類型，占該行業(yè)攻擊總量的292021年對交通運輸行業(yè)產(chǎn)生了一定的影響。在2021年X-Force對運輸組織實施補救的所有事件中，有一半的事件起初是由網(wǎng)33%17%。2021年X-Force觀察到的該行業(yè)事件總量的64(21%(7%)(7%)。

占攻擊4.0%#8|政府總量的在20212.82021年務(wù)器訪問生出更多枝節(jié)。數(shù)據(jù)盜竊和欺詐行為在2021年也躋身于政府遭受的三大攻總量的30(10%)以及歐洲(10%)也出現(xiàn)了一些針對政府組織的攻擊行為。

占攻擊2.8%#9|教育總量的根據(jù)-oe2021年遭受的攻擊占攻擊總量的2.820213322%BE總量的2021

占攻擊2.8%#10|媒體總量的2021年遭受的攻擊占攻擊總量的2.5-oe在該領(lǐng)域觀察到的攻擊總量的33觀察到的攻擊MFA將若干種攻擊以及亞洲也發(fā)生過針對媒體的攻擊行為。總量的

占攻擊2.5% 風(fēng)險緩解建議 告重點說明了來自勒索軟件不斷加劇的嚴(yán)重威業(yè)電子一(C我發(fā)零信任有助于降低最主要攻擊的風(fēng)險才能以適當(dāng)?shù)姆绞皆L問這些數(shù)據(jù)。信息件和BEC。信息

零信任方法的更多IBMSecurity 53風(fēng)險緩解建議風(fēng)險緩解建議PAGE56PAGE56安全自動化增強事件響應(yīng)能力2021"(OpenCybersecurityAlliance)(SOC)-oeIRIBMSecurityQadarSAR增強其安全事件響應(yīng)能力。成巨大優(yōu)勢和響應(yīng)能力幫助我們針對攻擊者形應(yīng)(XDR例如之前發(fā)現(xiàn)和根除他們。在多個例子中，當(dāng)X-ForceIR團隊在客戶的網(wǎng)絡(luò)上部署終端檢測和響應(yīng)(EDR)或XDR解決方案后，IR能夠立即獲得額外的洞察，這有助于發(fā)現(xiàn)并快速應(yīng)對攻擊者的活動。XDR技術(shù)有助于更有效地防御X-Force觀察到的服務(wù)器訪問和其他攻擊類型，這表明攻擊者在達到目的之前就被發(fā)現(xiàn)和阻止。

件響M全XDRScriyIXDR建議以下建議包含組織可采取的具體措施，以便更有效地保護網(wǎng)絡(luò)的安全，防止本報告中分析的威脅。關(guān)鍵時刻的方式會對所花時間和經(jīng)濟損失產(chǎn)生顯著影響。和技能。使用全事件響應(yīng)團隊還可以為貴組織開展勒索軟件準(zhǔn)備情況評估-ore對每個遠程網(wǎng)絡(luò)訪問點實施多因子認(rèn)證。X-ForceMFABEC身份和訪問管理技術(shù)使MFA而言。采用分層方法對抗網(wǎng)絡(luò)釣魚攻擊。基于行為的反惡意軟件檢測終端檢測和響應(yīng)(EDR)HYPERLINK"/security/services/intrusion-detection-and-prevention-syste