网络犯罪分子将 AI 和社会工程相结合以绕过检测

快速阅读: 据《帮助网络安全》称，研究显示，攻击者正加速攻击，从入侵到部署勒索软件仅需数小时。公司面临更大压力，需采用零信任原则并加强身份验证。人工智能虽带来便利，但也增加了网络安全风险。企业需不断提升安全措施以应对高级威胁。

攻击者更加专注于窃取身份信息，因此公司需要采用零信任原则。DirectDefense指出，他们还应更仔细地验证用户身份。研究人员分析了成千上万的警报，并将其映射到MITRE ATT&CK框架，这是基于真实观察的全球可访问知识库，包含了对手的战术和技术。

五大攻击战术：

**初始访问**：初始访问仍是最常见的敌对战术，占触发警报的27%以上。在2024年，威胁行为者持续利用有效账户未经授权访问系统，通常通过使用被盗凭据实现。

**持久性**：对手越来越优先考虑在受损网络中保持持久性，以在检测努力下维持访问。在17%的触发警报案例中，持久性战术被用来规避检测。

**横向移动**：一旦进入受损网络，对手经常试图横向移动以提升权限并访问敏感数据。横向移动占触发警报的10%，其中有效账户是一种主要技术。

**执行**：执行战术集中在在一个环境中运行恶意代码，以扩大访问或直接影响业务运营。分析发现，恶意文件执行（T1204）是被利用最多的技巧之一，通常与检测到恶意文件的警报相关联。这些警报大多源于电子邮件网络钓鱼攻击、网页下载以及涉及PowerShell或宏的横向移动。

**凭证访问**：凭证访问战术涉及窃取或破解认证凭证以提升权限或促进进一步攻击。暴力破解（T1110）是在6%的触发警报案例中观察到的一种最突出的技术，账户锁定事件是未经授权访问尝试的关键指标。

勒索软件的攻击时间线已缩短至数小时

像Fortinet和Cisco这样的大厂商经常收购其他安全公司以加强现有解决方案，但这些附加组件可能为客户提供更大的安全风险。例如，2024年每天发布的CVE数量激增——超过100个。这两个供应商都被迫解决了被利用作为高调漏洞初始攻击点的重大漏洞。

面对执法部门打击网络犯罪团伙的努力，威胁行为者正在大力投资人工智能，追求最大的收益潜力。随着攻击策略的改进，恶意行为者将从初始访问到完全控制域环境的平均时间压缩到了不到两个小时。同样，几年前攻击者需要几天时间来部署勒索软件，现在可以在不到一天的时间内甚至六小时内引爆。由于攻击和数据外泄之间的时间框架如此之短，公司根本无法及时做出反应。

历史上，攻击者过去避免针对医疗保健、公用事业和关键基础设施等“敏感”行业下手，因为这会对人们的生活产生直接影响。然而，2024年执法部门的努力导致攻击者采取一种“不计后果”的报复性手段，使每个行业都处于危险之中。现在，攻击者已经针对美国最大的饮用水和废水服务供应商American Water发起了攻击。

人工智能带来的好处伴随着新的网络安全风险

勒索软件曾经是攻击者的最终目标——攻击者以此获得报酬。现在，他们将勒索软件作为一种手段，先窃取公司数据，然后部署勒索软件作为一种“名片”，表明他们在那里。展望未来，公司将不得不平衡人工智能的好处与其诸多风险。实施人工智能解决方案会扩大公司的攻击面，并增加数据被攻击者或第三方泄露或盗窃的风险。

威胁行为者正在高效地使用人工智能，以至于你可能进行的任何人工智能员工培训都已经过时。人工智能让攻击者绕过了所有通常被认为需要注意的警示信号，比如语法错误、拼写错误、非地区性语言或写作、以及缺乏对你组织的背景信息。攻击者不断改进其技术手段，将社会工程与人工智能和自动化相结合，以逃避检测。

公司仍在努力如何控制远程员工活动，而许多公司难以承受获取适当可见性的成本。

“攻击者已经精炼了其攻击手法，使其能够更快更强地突破公司防御；相反，安全解决方案自身不太能抵御攻击，需要不断的监控和调整，”DirectDefense总裁兼首席技术官Jim Broome说。“随着对手完善其技术，组织需要通过调整其安全态势来保持领先。这不仅仅是应对威胁，而是要在它们造成伤害之前提前预判并化解威胁。”

(以上内容均由Ai生成)