登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

网攻进入钟点战时代,Palo Alto Networks预估2026年3大威胁1小时发动

分享

支付動態

2024-11-11

攻击者渗透至企业组织内部环境与开始外泄数据的间隔,如今只剩几小时,一年多之后,更可能缩减至几十分钟,资安团队的侦测与应变时间届时将面临更大程度的压缩

渗透与外泄数据间隔越来越短,大幅压缩防守方调查应变时间

根据他们的调查,攻击者一旦渗透至受害者的网络环境,平均9天之后会将数据取出(外泄),随着AI和其他技术的不断兴起,到了2023年,这段期间已缩短至两天,预估今年将有45%的事故会在1天之内被拿走数据,而在更近期的调查当中,他们发现攻击者侵入受害者网络环境后的4小时内,就能运出好几TB的数据。

如果数据在几个小时内就会遭到外泄,Vishal Lanjekar也质疑是否仍要沿用传统方法,看待这些状态、继续运行基本工作,「我们真的在处理问题吗?这些状况并不只是可能发生!(而是实际存在)」,除此之外,当攻击者侵入之后到外泄数据的间隔缩短至几个小时,是否还有足够时间完成整个搜索恶意活动的过程?

为何网络犯罪份子的攻击速度越来越快?其中一个原因在于,歹徒正在运用AI技术提升他们发展的各种资安威胁能力,并且锁定攻击企业与组织。

针对这样的现象,Vishal Lanjekar汇整多方信息,呈现AI加速三大资安威胁的回顾与预测,消息来源涵盖云端服务业者Google Cloud、信息安全教育训练组织SANS的博客文章,华尔街日报的新闻报导,以及Palo Alto Networks的XSIAM用户访谈与遥测数据。

首先是众人闻之色变的勒索软件,在两三年前(2021至2022年),组建这类资安威胁大约需要12小时,现在缩短至3小时,2026年以后,预估15分钟就能完成。

第二是渗透与数据外泄的间隔时间(The time between initial compromise and data exfiltration),如前面所提到的,两三年前的平均时间是9天,现在带走数据的时间缩短至1天以内,到了2026年以后,只需要20分钟。

从发起行动、窃取数据,到完成部署,攻击者需要多少时间?

Palo Alto Networks的威胁情报与资安顾问团队Unit 42以勒索软件Black Basta的某次攻击为例说明,就整个过程而言,对方总共花了将近14小时,在最初1.5小时之内,陆续进行散播网络钓鱼信、勘察、权限提升与启动命令与控制服务器(C2),接着的6.5小时开始搬运数据,之后花了80分钟修改帐号、130分钟启动勒索软件的准备工作,125分钟开始部署勒索软件,创建将近1万台节点。

面对这样快速的行动,Unit 42根据本身的事故调查数据指出,防守方目前无法赶上攻击方的速度。

攻击者外泄数据的动机有很多种,为了勒索而发起的活动并非速度最快的数据外泄事故类型,Unit42发现在一些不涉及勒索的数据外泄事故当中,攻击者能在几个小时完成这些工作。为何会如此?不可讳言,有些案例的攻击者主要目的就是数据外泄,因为越快完成任务,就能越快赚到更多钱,相对地,防守方能够阻挡攻势的时间也越来越少,处于这样日益严峻的态势之下,当许多企业与组织察觉遭到渗透、开始应变,以及法务部门组成应变团队之前,数据外泄活动可能正在进行、甚至已经完成。

数据外泄动作加快是否还有其他原因?Palo Alto Networks今年2月发布的2024 Unit 42 Incident Response Report指出,过去几年的数据外泄事故有个明显特色,那就是攻击者采取「拿了就走(grab-and-go)」的策略,牵涉资安威胁外泄数据的事故,大部分都是「能找到多少就带走多少」,而非「仔细寻找特定信息,再带走这些信息」,随着这类行动的增加与趋势的持续,也印证取走数据的速度与规模,比起锁定目标的数据窃取更重要,攻击者会尽快搜刮、搬运所有能到手的数据,后续再分类,在某些事故当中,数据窃取会在滥用漏洞时,同步自动进行,此举并不新奇、也符合以往作法,因为在更先前的网络攻击流程中,同样倾向在早期阶段外泄数据。

软件漏洞2023年跃升为头号初期入侵管道

第三是滥用资安漏洞,当安全性漏洞被发现与公开揭露之后,无论是攻击方或防守方,都需要一些时间创建对应的发动与处理进程,然后在企业与组织的基础设施或系统使用。

对于网络犯罪份子而言,两三年前这类活动的进行需要耗费9个星期,现在1个星期就能办到,2026年以后,有了AI的帮忙,在漏洞发布后的1个小时内,就能够爆发这样的攻击行动。这也意味着,单一漏洞发布与锁定目标滥用漏洞的时间差,将会因此大幅缩短。

  

值得注意的是,单就初期入侵管道(Initial Access Vectors)类型而言,暴露在互联网环境的软件系统漏洞(internet-facing vulnerabilities)在2023年升格至第一名,根据Unit 42的资安事故应变案件统计,这一年的软件或API漏洞占比高达39%,一举超越社交工程(网络钓鱼)——在2021、2022年均为33%,名列第二,2023年减至17%。至于外泄的帐号密码,在初期入侵管道的运用比例节节高升,从4.1%、12.9%,2023年增长至5倍(20.5%),仅次于软件或API漏洞。

2023年软件漏洞滥用之所以大幅增加,Palo Alto Networks今年2月发布的2024 Unit 42 Incident Response Report指出,可能与多起横扫互联网的大型自动化攻击行动有关,网站应用程序与暴露在互联网的软件系统的漏洞滥用,正是这些恶意威胁的最大动能,Unit 42根据本身收集的2023年份数据集,整理出5个最常遭到滥用的漏洞,依序为:Citrix NetScaler ADC/Gateway的CVE-2023-3519、SugarCRM的CVE-2023-22952、Apache Log4j的CVE-2021-44228、MOVEit的CVE-2023-34362、Oracle WebLogic的CVE-2020-14882。

而在今年8月发布的勒索软件2024年上半回顾报告,Unit 42列出攻击者认为最有利可图的7个已知漏洞,分别是:Fortinet SSL VPN的CVE-2018-13379,ConnectWise ScreenConnect的CVE-2024-1709、CVE-2024-1708,TeamCity的CVE-2024-27198,PHP-CGI脚本引擎的CVE-2024-4577,Netlogon Remote Protocol的CVE-2020-1472,Microsoft Windows Error Reporting Service的CVE-2024-26169。

该如何缓解这样的威胁?Unit 42建议,通过漏洞修补提高网络卫生、缩减暴露在外的攻击面,这些工作的持续推动与落实仍然很重要,但对于大型企业与组织而言,也还是难题,而且,处理动作要快!

AI可加快攻击速度、创建攻击管道,以及扩充攻击规模

关于网络犯罪分子运用AI加速攻击的方式,Vishal Lanjekar表示,攻击者也在AI领域不断演进,组建他们专属的AI模型与AI工具,简介与展示暗网可买到的FraudGPT、WormGPT。

以FraudGPT为例,提供服务订阅计划的选择,费用最低89.99欧元起算,最高为2,000欧元。买家可用AI工具锁定特定漏洞与目标、撰写恶意代码、创建网络钓鱼页面、横跨大型CVE弱点数据持续在网络扫描100天,甚至基于诈骗角度而来的各种技术,换言之,任何人都能借此创建难以被侦测的恶意软件。

  

至于另一个WormGPT,号称能帮忙滥用目标环境的漏洞,或渗透至社交网站的帐号,也能提供滥用物联网设备漏洞、攻入物联网设备的方法。

在此同时,还有其他可辅助发动攻击的AI平台,这些都因为能提供AI助手而成,而且还在持续发展,操作界面也和其他生成式AI非常相似,用户要做的就是提问,之后会得到很详细的信息。Vishal Lanjekar预期此类AI成长速度是非常快的,未来攻击时间可能会缩短到几分钟。

而在深伪(Deepfake)诈骗活动的部份,Vishal Lanjekar提到这种AI影像与声音变造伎俩,可被用于创建银行诈骗帐号、绕过金融机构实施的KYC(Know Your Customer)客户身分认证进程,并在介绍形成订阅服务型态的AI资安威胁Deepfake as Service,谈到热门的AI变脸工具Swapface遭到滥用。他也以黑客组织Muddled Libra为例,说明攻击者利用社交媒体的视频训练AI模型,而在调查该组织活动的过程中,他们发现里面也运用AI学习受害者的声音,以此欺骗其他人。

根据Incident Response Report 2024报告所言,Unit42认为现阶段对于攻击者而言,用于制作恶意软件时,与AI合作的实用性远高於单靠AI生成,攻击者可能用AI帮忙开发恶意软件的特定功能,通过具有相关知识与经验的人员操作,能以更快速度、更低成本的方式开发恶意软件的各种变形。

例如,通过AI对话机器人的帮忙,攻击者可以编出更逼真的假履历,以及错字、沟通破绽更不明显的工作电子邮件;通过AI生成的深伪图片、视频、声音,能用于制作假消息或宣传活动。

此外,攻击者可运用AI快速循环使用多种攻击管道,以找出更有效益的侵入方法(更快、更便宜),而能同时发动锁定多个弱点进行滥用的大量攻击;到了漏洞滥用行动后期(post-exploitation activities),AI也能帮忙加速内部环境的横向移动与勘察。

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu