IBM：X-Force威脅情報指數2022（59頁）.pdf

1、X-Force 威脅情報指數 2022目錄執行摘要最主要的攻擊類型主要入侵媒介對運營技術和物聯網的威脅2021 年的主要威脅實施者惡意軟件發展趨勢地理區域趨勢行業趨勢風險緩解建議關于 IBM Security X-Force貢獻者03071624293135425357592IBM Security疫情仍在肆虐，整個世界繼續苦苦掙扎；企業和組織在居家工作和返崗復工之間來回搖擺；地緣政治的變化催生了持續的不信任。這一切都造成了混亂不堪的局面，而網絡犯罪分子則有了可乘之機。在 2021 年，IBM Security X-Force 看到了威脅實施者如何抓住機會，利用不斷變化的局面，采用各種手段和方

2、法，成功滲透進世界各地的組織中。IBM Security X-Force 威脅情報指數總結了我們從數據中發現和分析出的新趨勢和攻擊模式，這些數據是從數十億個數據點收集的，包括終端檢測設備、事件響應(IR)互動和域名跟蹤等。本報告是基于從 2021 年 1 月至 12 月收集的數據的研究結論。我們將這些研究成果作為一種資源，提供給 IBM 客戶、安全行業的研究人員、政策制定者、媒體以及更廣泛的安全專業人士和業務領導群體。鑒于業務格局變幻不定，威脅類型和威脅方向不斷發展，您比以往任何時候都更需要掌握深入的威脅情報洞察，搶在攻擊者之前占得先機，強化關鍵資產的安全性。執行摘要3IBM Security

3、報告要點 最主要的攻擊類型：勒索軟件再次占據 2021 年最主要攻擊類型的榜首，盡管在 X-Force 修復的攻擊中，勒索軟件的百分比同比下降了近 9%。REvil（一種勒索軟件類型，X-Force 也將其稱為 Sodinokibi）是 X-Force 連續第二年觀察到的最常見的勒索軟件類型，占全部勒索軟件攻擊的 37%，而排在第二位的 Ryuk 占比只有 13%。2021 年勒索軟件和物聯網僵尸網絡攻擊之所以有所減少，執法活動可能是主要原因，但這并不能排除這些攻擊在 2022 年死灰復燃的可能性。供應鏈漏洞：供應鏈安全性受到了政府和政策制定者的重點關注，拜登政府關于網絡安全的總統行政令以及美

4、國國土安全部、CISA 和 NIST 的指南都強調了零信任。這些準則聚焦于安全漏洞和可信關系。目前，制造業飽受中斷和延遲之苦，雪上加霜的是，該行業也是漏洞利用攻擊的重災區，是犯罪分子初始攻擊方向的首選。釣魚攻擊中使用最多的品牌：X-Force 在整個 2021 年密切跟蹤網絡犯罪分子如何使用網絡釣魚工具包，我們的研究顯示，Microsoft、Apple 和 Google 是犯罪分子嘗試假扮的前三大品牌。這些大品牌在網絡釣魚工具包中被反復使用，攻擊者利用其熱門程度，誘導消費者相信自己。最主要的威脅團體：疑似的有伊朗國家背景的威脅實施者 ITG17(MuddyWater)、網絡犯罪團體 ITG23

5、(Trickbot)和 Hive0109(LemonDuck)是 X-Force 情報分析人員在 2021 年觀察到的一些最活躍的威脅團體。世界各地的威脅團體都在試圖擴充自己的實力，滲透進更多的組織。他們使用的惡意軟件嵌入了更狡猾的防御規避方法，在某些情況下，這些惡意軟件通過基于云的消息傳遞平臺和存儲平臺進行托管，以逃過安全控制。惡意軟件濫用這些平臺，在合法的網絡流量中隱藏命令和控制通信。威脅實施者還繼續開發 Linux 版本的惡意軟件，旨在更輕松地入侵云環境。4執行摘要主要統計數據：21%勒索軟件的攻擊份額勒索軟件是 X-Force 去年觀察到的數量最多的攻擊類型，但占比從前年的 23%下降

6、到去年的 21%。REvil 勒索軟件攻擊者（又名 Sodinokibi）要為 37%的勒索軟件攻擊負責。17 個月勒索軟件團體改頭換面或偃旗息鼓之前的平均生存時間X-Force 研究的勒索軟件團體在改頭換面或偃旗息鼓之前的平均生存期為 17 個月。REvil 是最成功的團體之一，在存在 31 個月（兩年半）之后于 2021 年 10 月解散。41%利用網絡釣魚獲得初始訪問權限的攻擊的百分比 在 2021 年，網絡釣魚行動成為最主要的入侵途徑，在 X-Force 修復的安全事件中，有 41%是通過這種方法獲得初始訪問權限的。33%2020 年至 2021 年間由漏洞利用攻擊導致的安全事件數量有

7、所增加 在 2021 年，被犯罪分子利用的五個最主要漏洞中，有四個是新漏洞，包括 Log4j 漏洞 CVE-2021-44228-盡管它在 12 月份才被披露，但排名已躍至第二位。3 倍增加了電話通話功能的針對性網絡釣魚攻擊活動的點擊有效性明顯提高 有針對性的網絡釣魚活動的平均點擊率為 17.8%，但增加了電話通話的針對性網絡釣魚攻擊活動（語音釣魚或語音網絡釣魚）的有效性則提高了三倍，誘使 53.2%的受害者進行點擊。146%使用新代碼的 Linux 勒索軟件顯著增加根據 Intezer 的研究，使用獨特（新）代碼的 Linux 勒索軟件的數量同比增長 146%，這表明 Linux 勒索軟件的

8、創新水平顯著提升。5執行摘要#1 制造業受到最多的攻擊 制造業取代金融服務業，成為 2021 年受攻擊最多的行業，占 X-Force 去年修復的攻擊數量的 23.2%。勒索軟件是最主要的攻擊類型，占到制造企業受到的攻擊總數的 23%。61%OT 連接的組織在制造業受到的攻擊中所占的比例去年，在制造業中，OT 連接的組織發生的安全事件占總數的 61%。此外，在針對 OT 連接的組織的攻擊中，有 36%是勒索軟件。2,204%針對 OT 的偵察活動大幅增加在 2021 年 1 月至 2021 年 9 月期間，攻擊者通過互聯網針對 SCADA Modbus OT 設備的偵察活動增加了 2,204%。

9、74%來自 Mozi 僵尸網絡的 IoT 攻擊的比例2021 年，在針對物聯網設備的攻擊中，源自 Mozi 僵尸網絡的攻擊占到 74%。26%全球攻擊中針對亞洲的比例在所有攻擊中，有 26%以亞洲為目標。亞洲是 2021 年受攻擊最多的地理區域。6執行摘要最主要的攻擊類型在本報告中，我們根據攻擊者在獲得對受害者網絡的訪問權限后尋求實現的最終目標對攻擊類型進行分類。攻擊類型與初始感染媒介不同，后者是最初進入網絡的方法。例如，一些攻擊類型包括勒索軟件、數據盜竊和 BEC，具體取決于威脅發起者操作的最終目標。初始感染媒介的例子包括網絡釣魚、使用被盜憑證和漏洞利用。以下部分介紹了我們的數據在 2021

10、 年揭示的最多產攻擊類型的詳細信息和數據。勒索軟件根據 X-Force 的觀察，三年多來，勒索軟件一直占據主要攻擊類型的榜首，2021 年也不例外。X-Force 事件響應團隊在 2021 年修復的攻擊中有 21%是勒索軟件攻擊。這比上一年略有下降，當時 X-Force 團隊修復的攻擊中有 23%是勒索軟件攻擊；但是，勒索軟件攻擊的數量同比保持穩定。7IBM Security1 其他攻擊包括廣告軟件、銀行木馬、僵尸網絡、加密礦工、污損、欺詐、DDoS、銷售點惡意軟件、垃圾郵件、Web 腳本、webshell 和蠕蟲。圖 12021 年與 2020 年的主要攻擊類型對比主要攻擊類型細分，2020

11、-2021（資料來源：IBM Security X-Force）1配置錯誤5%5%RAT6%憑證收集6%數據盜竊13%BEC8%9%服務器訪問10%14%惡意內部人員5%5%其他23%27%勒索軟件23%21%202120207%5%8%8最主要的攻擊類型X-Force 所觀察到的勒索軟件攻擊頻率全年都有所變化，其中 5 月和 6 月的攻擊頻率往往較高，而 1 月的攻擊頻率則有所降低。此外，勒索軟件攻擊似乎在夏末或秋初有所減少。在 2021 年，這種下降趨勢主要發生在 8 月和 10 月，這可能是由于前幾個月若干團伙的永久或暫時性關停：DarkSide 和 Babuk 在 5 月關停運營，Av

12、addon 在 6 月，而 REvil 則是在 10 月。圖 22020 年與 2021 年按月劃分的勒索軟件攻擊占 IR 事件的百分比勒索軟件攻擊占 X-Force 事件響應團隊所處理攻擊的百分比，2020-2021（資料來源：IBM Security X-Force）月 月 月 月 月 月 月 月 月 月 月 月%9最主要的攻擊類型根據 X-Force 的研究顯示，17 個月是勒索軟件團伙更名或關停的平均時間，中位數則為 18 個月。勒索軟件團伙不斷涌現，而一旦面臨被執法部門逮捕或查處的威脅，他們通常就會更名。在某些情況下，執法部門的查處會迫使勒索軟件團伙完全關停。盡管這一環境不斷變化（或

13、者可能正因為如此），許多勒索軟件實施者仍然逍遙法外，基于這種活動所產生的高額利潤和目前執法部門在廣泛打擊勒索軟件活動上受到的限制，X-Force 估計，在可預見的未來，犯罪分子的勒索軟件活動仍將繼續。X-Force 意識到許多勒索軟件實施者都已經更名，以新名稱繼續運營，例如，GandCrab 更名為 REvil、Maze 更名為 Egregor，以及 DoppelPaymer 更名為 Grief。執法活動可能是降低 X-Force 在 2021 年觀察到的勒索軟件攻擊所占比例的主要因素，但那些已消失的團伙很可能會更名，并在 2022 年以新名稱卷土重來，這種勒索軟件活動因而也仍將繼續?！霸S多勒

14、索軟件實施者 都以新名稱繼續運營”10最主要的攻擊類型平均壽命：壽命中位數：年 月-年 月 年 月-年 月 年 月-年 月 年 月-年 月 年 月-年 月 年 月-年 月 年 月-年 月 年 月-年 月 年 月-年 月 年 月-年 月 年 月-年 月 年 月-年 月 年 月-年 月GandCrabHermesAvaddonREvil/SodinokibiMazeDoppelPaymerNemtyDarkNetWalkerRagnarokEgregorBabukBlackMat-圖 3已關閉的勒索軟件團伙已關閉的勒索軟件團伙示例，2017-2021（資料來源：IBM Security X-For

15、ce）11最主要的攻擊類型在 X-Force 于 2021 年觀察到的勒索軟件攻擊中，REvil 在我們團隊所修復的全部勒索軟件事件中占到了 37%（超過三分之一）。Ryuk 則穩居第二位，在去年所觀察到的攻擊事件中占到了 13%。截至 2021 年 10 月中旬，可能是由于執法活動，REvil 實施者似乎已永久關停運營。Ryuk 和 REvil 分別出現于 2019 年 4 月和 2018 年 8 月，它們都構成了一些運行時間最長的勒索軟件活動。圖 42021 年觀察到的勒索軟件類型X-Force 事件響應團隊在 2021 年觀察到的勒索軟件類型（資料來源：IBM Security X-Fo

16、rce）%Xorist%REvil%Ryuk%LockBit.%Ragnar Locker%Nefilim%Medusa%Eking%DarkSide%Crystal%CryptoLocker%Conti%BlackMatter%BitLocker%AvosLocker%AtomSilo勒索軟件如何發起攻擊鑒于 X-Force 事件響應(X-Force IR)團隊在修復勒索軟件攻擊方面的豐富經驗，我們的團隊觀察到最近在絕大多數勒索軟件攻擊中出現的一種模式。尤其是，我們已經能夠開發一個五階段模型，用來定義在大多數勒索軟件事件中觀察到的常見模式。12最主要的攻擊類型圖 5勒索軟件攻擊的階段X-Fo

17、rce 事件響應團隊觀察到的勒索軟件攻擊的標準攻擊流程（資料來源：IBM Security X-Force）收集憑證 本地偵察：本地用戶、組和任務列表等。Active Directory 偵察：收集域管理員和域控制器列表SMB 橫向移動偵查跟蹤收集憑證 為勒索軟件收集目標主機名/子網列表。收集數據源列表第 階段：初始訪問第 階段：理解和展開第 階段：后漏洞利用初始訪問：網絡釣魚電子郵件或利用面向互聯網的服務已建立持久訪問權限：任務、運行密鑰、RAT 等第二階段惡意軟件/后漏洞利用工具包交互式攻擊者建立對系統的訪問權限指揮控制第 階段：數據收集和滲漏數據滲漏（WinSCP、Rclone 等）獲得

18、域管理員權限第 階段：部署軟件部署分發勒索軟件通過 PsExec/SMB/組策略使用域管理員憑證部署勒索軟件第 1 階段：初始訪問勒索軟件攻擊最常見的訪問媒介仍然是網絡釣魚、漏洞利用和遠程服務，例如遠程桌面協議。第 2 階段：后漏洞利用根據初始訪問媒介，第二階段可能涉及中間遠程訪問工具(RAT)或惡意軟件，然后使用攻擊性安全工具（例如 Cobalt Strike 或 Metasploit）建立交互式訪問。第 3 階段：理解和展開在攻擊的第三階段，攻擊者一直專注于理解他們當前可以訪問的本地系統和域，并獲取額外的憑證來實現橫向移動。第 4 階段：數據收集和滲漏自 2019 年以來，X-Force

19、IR 團隊響應的勒索軟件事件幾乎都涉及數據盜竊和勒索軟件的“雙重勒索”策略。在攻擊的第 4 階段，勒索軟件運營商的重點主要轉向識別有價值的數據并將其滲漏出來。第 5 階段：部署軟件部署在 X-Force IR 團隊響應的幾乎每一個勒索軟件事件中，勒索軟件運營商都鎖定了域控制器，將其作為勒索軟件有效負載的分發點。13最主要的攻擊類型勒索軟件的一個令人擔憂的新趨勢就是“三重勒索”策略的擴展。在這種類型的攻擊中，威脅實施者不僅加密并竊取數據，還威脅要對受影響的組織發起分布式拒絕服務(DDoS)攻擊。這種攻擊令組織尤為頭痛，因為受害者的網絡通常會同時被兩種惡意攻擊所劫持，而數據失竊（通常會造成數據泄露

20、）則會進一步加重其受害程度。勒索軟件團伙開始盯上主要受害者的拓展業務合作伙伴，迫使他們支付贖金，以此來防止因勒索軟件攻擊而造成的數據泄露或業務中斷。服務器訪問服務器訪問攻擊攻擊者獲得對服務器的未經授權的訪問，但最終目標未知是第二常見的攻擊類型，在 X-Force IR 團隊于 2021 年修復的所有事件中占到了 11%。這些攻擊大多發生在亞洲，在許多情況下，威脅實施者都在服務器上成功地部署了惡意軟件或使用滲透測試工具，包括 China Chopper Webshel ls、Black Orifice 惡意軟件、Printspoofer 和 Mimikatz。在一些情況下，威脅實施者還利用了一個

21、已知漏洞，例如 CVE-2020-7961，這將允許在服務器上遠程執行代碼。在多種情況下，威脅實施者利用 Microsoft Exchange 服務器中的漏洞，以未經授權的方式訪問感興趣的網絡。這些漏洞包含在下面列出的 2021 年十大漏洞中。在 X-Force 的 IR 團隊所觀察的服務器訪問攻擊中，一些攻擊雖企圖竊取數據或部署勒索軟件但卻以失敗而告終。因此，雖然公司旨在防止攻擊者對其網絡獲得任何級別未經授權的訪問，但大量的服務器訪問攻擊可能表明組織正在積極識別并消除攻擊，防止他們進一步發起更具破壞性的操作。11%的攻擊是服務器訪問14最主要的攻擊類型商務電子郵件泄露在 2020 年商務電子

22、郵件泄露(BEC)攻擊有所衰退之后，X-Force 觀察到這類攻擊數量在 2021 年再次減少。BEC 是我們的 X-Force IR 團隊修復的第三大常見攻擊類型。去年，我們推測，多因素身份驗證(MFA)的廣泛實施使得 BEC 威脅實施者成功執行的攻擊數量日漸減少。這一理論在 2021 年是成立的，因為 BEC 攻擊者可能已通過將重心轉移到并未廣泛實施 MFA 的地區取得了更大的成功。例如，在 X-Force IR 團隊所修復的 BEC 攻擊中，拉丁美洲的組織受到的沖擊似乎最大。雖然北美組織仍然是 BEC 操縱者著重瞄準的目標，但我們所注意到的對拉丁美洲組織迅速激增的攻擊數量表明，在地理位置

23、上，BEC 攻擊者已轉移了其運營重點：2019 年，對拉丁美洲組織發起的攻擊為零，而在 2020 年和 2021 年，BEC 攻擊占比分別達到 19%和 20%。圖 62021 年 BEC 事件百分比2021 年各地區的 BEC 事件百分比（資料來源：IBM Security X-Force）%.%.%.%.%.%拉丁美洲亞洲中東和非洲歐洲北美15最主要的攻擊類型主要入侵媒介除了檢查 X-Force 觀察到的威脅實施者的最終目標之外，我們的團隊還跟蹤威脅實施者通過何種方式獲得受害者網絡的初始訪問權限。網絡釣魚和漏洞利用往往是我們觀察到的最常見的方法，其次就是使用被盜憑證、暴力破解、遠程桌面協議

24、(RDP)、可移動介質和密碼噴灑，它們只占入侵行為的一小部分。圖 72021 年與 2020 年主要感染媒介對比X-Force 事件響應團隊觀察到的感染媒介細分，2020-2021（資料來源：IBM Security X-Force）%網絡釣魚漏洞利用被盜的憑證暴力破解遠程桌面攻擊可移動介質密碼噴灑16IBM Security網絡釣魚網絡釣魚成為 2021 年的首要感染媒介，超越了 2020 年領先的漏洞利用。據觀察，在 X-Force 修復的事件中，網絡釣魚事件占到了 41%。盡管漏洞利用攻擊在 2021 年第三季度占主導地位，但 X-Force 在第一季度和第四季度觀察到的大量與網絡釣魚相

25、關的事件將這種感染媒介推向了今年的頭把交椅。圖 82021 年各季度與網絡釣魚、漏洞利用和被盜憑證相關攻擊的百分比2021 年各季度與各種感染媒介相關攻擊的百分比（資料來源：IBM Security X-Force）%第 季度第 季度第 季度第 季度%網絡釣魚漏洞利用被盜的憑證X-Force Red 的部分重點領域包括通過網絡釣魚電子郵件進行社會工程滲透測試攻擊。對于 2020 年和 2021 年有針對性的網絡釣魚活動，X-Force Red 模擬活動的平均點擊率為 17.8%。而將網絡釣魚（語音釣魚）電話添加到活動中時，點擊率上升到 53.2%，是原先的三倍。BEC 攻擊者已利用網絡釣魚活動

26、和社會工程取得了巨大的成功。特別是在 2021 年，X-Force 發現勒索軟件實施者更加依賴于網絡釣魚活動來獲得受害者網絡的初始訪問權限，進而發起勒索軟件攻擊。例如，2021 年觀察到的多起 REvil 勒索軟件事件都始于 QakBot 網絡釣魚電子郵件。這些電子郵件通常包含十分簡短的消息，通常涉及未支付的發票，有時甚至會劫持正在進行的電子郵件對話，僅用惡意的附件來回復所有人。17主要入侵媒介一經打開，該文檔便將指示收件人啟用宏，這將植入 QakBot 銀行木馬，從而在系統上初步獲得立足之地。隨后，操作權便會轉交給 REvil 勒索軟件實施者，他們會暗中進行偵察，并由此繼續執行操作。圖 9

27、中包含了一個 QakBot 網絡釣魚電子郵件樣本。圖 9QakBot 網絡釣魚電子郵件樣本帶有惡意附件的 QakBot 網絡釣魚電子郵件示例（資料來源：IBM Security X-Force）18主要入侵媒介當收件人嘗試打開附件時，會彈出一個提示框（參見圖 10），要求通過選擇“啟用編輯”和“啟用內容”來啟用宏。這樣一來，在惡意宏的幫助下，威脅實施者便能在受害者的機器上部署惡意軟件。圖 10來自 QakBot 網絡釣魚附件的彈出消息樣本惡意附件中提示收件人啟用宏的消息（資料來源：IBM Security X-Force）網絡釣魚工具包部署通常曇花一現、濫用技術且波及眾多品牌IBM 分析了來自

28、世界各地的數千個網絡釣魚工具包，目的是確定這種特定攻擊媒介的頻率和有效性。我們的調查表明，使用網絡釣魚工具包的惡意行為者可能會耗費大量時間而只獲得有限的收益。尤其是，我們的調查顯示：網絡釣魚工具包部署的壽命通常很短，幾乎三分之一的部署工具包的使用時間不超過一天。在某些情況下，單個網絡釣魚工具包部署僅持續了 7 到 8 個小時，然后大多數托管服務提供商便會將該站點識別為惡意站點并加以阻止。對于每次部署，平均只有不超過 75 名潛在受害者會訪問該站點。幾乎在所有觀察的網絡釣魚工具包（接近 100%）中，都會要求用戶提供憑證（電子郵件/ID/密碼組合），其次是信用卡數據（61%）請求)、郵寄地址(4

29、0%)、電話號碼(22%)、出生日期(17%)、身份證號碼(15%)、安全問題(14%)和 ATM PIN(3%)。此外，X-Force 還研究了哪些品牌最常受到網絡釣魚工具包的欺騙。主要品牌包括大型科技公司和大型金融機構。排名前 11 位的品牌如下所示。19主要入侵媒介2 IBM Security X-Force 是 Quad9 合作伙伴。2021 年最常受到欺騙的前 11 個品牌1.Microsoft2.Apple3.Google4.BMO Harris Bank(BMO)5.Chase6.Amazon7.Dropbox8.DHL9.CNN10.Hotmail11.Facebook反網絡釣

30、魚工作組(APWG)指出，2021 年僅 6 月一個月的網絡釣魚攻擊次數就達到 222,127 次，創下了歷史新高。因而，X-Force 十分肯定地表示，由于易于使用的性質且只需少量資源，威脅實施者仍將會繼續使用網絡釣魚工具包。監控可能的假冒品牌的可疑連接，可以幫助組織最大限度地降低遭受這種攻擊媒介影響的概率。使用專門用于保障數據隱私的 DNS 服務（如 Quad92），也可以幫助降低網絡釣魚攻擊的風險。2021 年 6 月，網絡釣魚攻擊次數高達 222,127 次，創下歷史新高20主要入侵媒介漏洞利用盡管在 2021 年的最常見攻擊排行榜上已下降到第二位，但在過去一年由漏洞利用引發的攻擊事件

31、數量與 2020 年相比仍增加了 33%，這表明這種攻擊媒介在威脅實施者的武器庫中還是有著舉足輕重的地位。利用這一媒介，威脅實施者可以訪問受害者網絡，謀劃進一步的操作在許多情況下，他們所具有的權限都得到了提升。X-Force 發現，攻擊者往往會利用多個已知漏洞，例如 CVE-2021-35464（Java 反序列化漏洞）和 CVE-2019-19781（Citrix 路徑遍歷缺陷），以此獲得對感興趣網絡的初始訪問權限。此外，我們還觀察到，威脅實施者在 Kaseya 勒索軟件攻擊和 Microsoft Exchange Server 事件等主要攻擊中利用零日漏洞來訪問受害者的網絡和設備。臨近 2

32、021 年年底時，對 Log4j 漏洞 CVE-2021-44228 的廣泛利用，也促使該漏洞在 2021 年 X-Force 前十大漏洞名單中躥升至第二位。您的組織可以利用一些緩解措施來避免成為該漏洞的受害者。21主要入侵媒介漏洞數量再創新高在過去五年里，漏洞數量以肉眼可見的速度逐年穩步增長。而更令人擔憂的是，威脅實施者借以利用漏洞的工具數量也在穩步增長，陣列不斷擴大，這讓威脅實施者在尋求利用漏洞時便有了更多的選擇。與物聯網(IoT)和工業控制系統(ICS)相關漏洞的增長速度甚至比整體漏洞增速還要快，這兩類漏洞的年增長率分別為 16%和 50%，而整體漏洞數量的增長率則為 0.4%。圖 11

33、2011-2021年每年發現的漏洞數量2011-2021年每年新識別的漏洞數量和累計漏洞數量（資料來源：IBM Security X-Force）KKKKKKKKKKKKKKKKKKKK,每年總數量22主要入侵媒介2021 年的十大漏洞任何漏洞都帶有一定的風險，應加以評估。以下列表包含了 X-Force IR 團隊觀察到的威脅實施者在 2021 年運營過程中已利用或試圖利用的主要漏洞。如果您的組織尚未修補這些漏洞，X-Force 建議您優先對這些漏洞加以修補。1.CVE-2021-34523 Microsoft Exchange 服務器缺陷，惡意行為者由此能夠繞過身份驗證并冒充管理員。一般稱為

34、 ProxyLogon。2.CVE-2021-44228 Apache Log4j 庫中的漏洞3.CVE-2021-26857 Microsoft Exchange Server 遠程代碼執行漏洞4.CVE-2020-1472 Netlogon 提權漏洞5.CVE-2021-27101 易受 SQL 注入影響的 Accellion FTA 漏洞6.CVE-2020-7961 Liferay Portal 對不可信數據的反序列化，允許通過 JSON 網絡服務遠程執行代碼7.CVE-2020-15505 MobileIron 漏洞，允許遠程執行代碼8.CVE-2018-20062 NoneCMS

35、ThinkPHP 遠程代碼執行漏洞9.CVE-2021-35464 ForgeRock AM 服務器 Java 反序列化漏洞，允許遠程執行代碼10.CVE-2019-19781 Citrix 服務器路徑遍歷缺陷23主要入侵媒介圖 122021 年按月細分的 SCADA Modbus 偵察量2021 年 SCADA Modbus 偵察活動的逐月細分（資料來源：IBM Security X-Force）月月月月月月月月月月 月 月%對運營技術和物聯網的威脅與工業控制系統(ICS)及更進一步的運營技術(OT)有關的已知漏洞以及物聯網(IoT)漏洞正逐年增長，從 2020 年到 2021 年，已識別的

36、漏洞數量增長幅度相當可觀。隨著在數字化和互聯網協議的強大力量作用之下，越來越多的“事物”開始聯網，新的漏洞和風險也隨之而來。雖然其中的許多問題僅影響工業組織，但只要在其基礎架構中使用物聯網，組織所面臨的風險也就會有增而無減。除了這種日益推進的數字化進程之外，動態變化的供應鏈也正在對許多涉及 OT 的組織的攻擊面產生影響。威脅實施者深知制造和能源行業在全球供應鏈中發揮的關鍵作用，因而伺機破壞這些組織，這可能會對多個行業產生連鎖反應，而這些倍增效應則會促使受害者迫于沉重的壓力不得不支付贖金。威脅實施者加快對 OT 設備的偵察速度在分析了 2021 年的數據后，X-Force 發現攻擊者正在開展大規

37、模的偵察活動，在工業網絡中四處尋找可利用的通信機會。具體來說，2021 年針對 TCP 502 端口的偵察活動已顯著增加。此端口使用 Modbus，這是一種應用層消息傳遞協議，用于在工業網絡中連接的總線、網絡和可編程邏輯控制器(PLC)設備之間提供客戶端到服務器的通信。數據采集與監視控制系統通常會使用 502 端口。威脅實施者可以通過訪問 Modbus 來控制連接到互聯網的物理設備。在 2021 年 1 月至 9 月期間，X-Force 觀察到針對 502 端口的對抗性偵察活動增加了 2204%。威脅實施者可能已經加強了 Modbus 偵察活動，開始尋找目標實施勒索，或者奪取控制權并造成傷害。

38、鑒于 Modbus 缺乏安全功能，一旦攻擊者找到可訪問的 Modbus 設備，他們就可以向設備發出有害命令，并影響連接的 ICS 或 IoT 系統。盡管 SCADA Modbus 位于 ICS 環境中 Purdue 模型的第 2 級（理想情況下應與企業網絡相隔離，并放置在非軍事區之后），但在某些情況下，可以通過開放的互聯網直接訪問 SCADA Modbus 502 端口。與其他更現代的技術相比，缺乏身份驗證和純文本消息傳輸則讓 Modbus 的危險程度又增加一分。24IBM Security制造業是 OT 行業中遭受攻擊最多的行業，主要是勒索軟件攻擊就擁有 OT 網絡的行業而言，X-Force

39、 觀察到在 2021 年，制造業遭受的攻擊次數最多，顯著高于其他行業，并且在 X-Force 協助修復的事件中占到了 61%。制造業對于勒索軟件實施者有著特殊的吸引力，這可能是因為這些組織對宕機時間的容忍度很低。25對運營技術和物聯網的威脅61%1%7%10%10%11%重型和土木工程采礦公用事業交通運輸石油和天然氣行業制造業圖 132021 年瞄準的 OT 行業X-Force IR 在 2021 年觀察到的六大運營技術行業遭受的攻擊細分（資料來源：IBM Security X-Force）26對運營技術和物聯網的威脅對于 X-Force 在 2021 年發現遭受攻擊的所有具有 OT 網絡的行

40、業，包括工程、采礦、公用事業、石油和天然氣、運輸和制造行業，勒索軟件在眾多攻擊類型中再次穩坐頭把交椅，占全部攻擊總量的 36%，這與所有行業的整體攻擊趨勢相呼應。雖然在絕大多數此類攻擊中受到損害的都是 IT 網絡，但在許多情況下，影響仍波及受害者的運營技術。其他主要攻擊類型包括服務器訪問、DDoS、RAT、內部人員和憑證收集操作。圖 142021 年 OT 遭受的攻擊類型2021 年運營技術遭受的攻擊類型細分（資料來源：IBM Security X-Force）%蠕蟲%勒索軟件%DDoS%Webshell%RAT%內鬼%憑證收集%僵尸網絡%服務器訪問27對運營技術和物聯網的威脅Mozi 僵尸網

41、絡仍對 IoT 和 OT 資產造成威脅自 2019 年以來，X-Force 已發現大量 IoT 惡意軟件活動，而在 2019 年第三季度至 2020 年第四季度期間，激增幅度已接近 3000%。與所有其他 IoT 惡意軟件類型相比，Mozi 僵尸網絡仍在 IoT 惡意軟件陣營中占據大頭，在 2021 年 X-Force 所觀察到的 IoT 惡意軟件總量中占到了 74%。圖152018-2021 年各個季度的 IoT 攻擊量2018-2021 年各個季度的 IoT 惡意軟件活動占比（資料來源：IBM Security X-Force）Figure 15IoT attack volume brea

42、kdown by quarter,2018-2021IoT malware activity,broken down by quarter,2018-2021(Source:IBM Security X-Force)20%10%15%5%02018Q3Q42019Q1Q2Q3Q42020Q1Q2Q3Q42021Q1Q2Q3Q40%1%1%0%1%6%6%6%10%19%17%11%13%9%Mozi 濫用 Telnet 弱密碼并利用漏洞來鎖定網絡設備、IoT 和錄像機以及其他聯網產品。感染之后，它能夠持久留存在網絡網關上，這可以作為特別有效的初始接入點，進而橫向移動到一些高價值網絡，包括 OT

43、 和 ICS 網絡。此外，通過感染路由器，Mozi 背后的威脅實施者可以發起中間人攻擊，最終部署勒索軟件，這包括對 OT 網絡的攻擊。除了 Mozi 的訪問和橫向移動能力之外，一個感染了組織中大量安全攝像頭或類似 IoT 設備的大型 Mozi 僵尸網絡可能會降低組織有效執行物理安全操作的能力。據報道，中國執法部門于 2021 年 6 月和 8 月逮捕了 Mozi 僵尸網絡的始作俑者，而 2021 年第四季度 IoT 攻擊量的下降可能就是這些逮捕行動產生的附帶影響。28對運營技術和物聯網的威脅2021 年的主要威脅實施者我們的 2021 年 IR 數據顯示，在可識別威脅實施者的場景下，網絡犯罪分

44、子是發起攻擊的主力軍。在 2021 年 X-Force 參與修復的事件中，民族國家行為者僅占 2%，其中的大量活動都是由網絡犯罪活動所引發的。我們所觀察到的民族國家行為者主要是在尋求開展間諜和監視活動，在某些情況下，可能一直在為未來的蓄意破壞活動打基礎。我們發現，只有 1%的攻擊活動是由黑客組織發起的。以下部分介紹了 X-Force 在 2021 年觀察到的一些更有趣的活躍威脅組織的更多詳細信息。圖 162021 年 X-Force 事件響應團隊觀察到的威脅實施者2021 年 X-Force IR 觀察到的威脅實施者團伙，按類型細分（資料來源：IBM Security X-Force）%激進黑

45、客%犯罪分子%民族國家29IBM Security疑似位于伊朗的 ITG17 使用 Aclip 后門2021 年，IBM Security X-Force 團隊發現一個威脅實施者使用了一個新后門，X-Force 將其命名為“Aclip”。此外，該攻擊者還利用了合法的消息傳遞和協作應用工具，這可能會混淆運營通信，讓惡意流量或具有潛在惡意意圖的流量不被察覺。根據所觀察到的工具、策略和基礎架構，我們在一定程度上認為，所追蹤的威脅實施者 ITG173（又名 MuddyWater）疑似一個伊朗民族國家組織，它就是此次攻擊活動的幕后黑手，其動機可能就是進行監視。ITG23（Trickbot Gang）啟用

46、 Conti 勒索軟件操作X-Force 分析師一直在密切跟蹤 Trickbot 銀行木馬背后的網絡犯罪集團我們將其稱為 ITG23，也稱為 Wizard Spider 或 Trickbot Gang。攜帶 Trickbot 特洛伊木馬的網絡釣魚電子郵件通常被用作 Conti 勒索軟件的切入點，據 X-Force 發現，ITG23 Trickbot 活動的增長正好與 Conti 勒索軟件攻擊的增長相吻合。該團伙主要依賴電子郵件活動發送惡意 Excel 文檔，以及臭名昭著的 BazarCall 活動，此時圍繞訂閱主題的電子郵件會慫恿收件人聯系欺詐性的呼叫中心，然后話務員會以取消訂閱服務為幌子，引

47、導用戶下載 BazarLoader 惡意軟件。此外，該組織最近一直在劫持電子郵件線程，然后用惡意附件來回復所有人。Hive0109 在 2021 年十分活躍在 2021 年，X-Force 發現了多起 Hive0109（也稱為 LemonDuck）攻擊，事實已證明，該團伙十分擅長利用 ProxyLogon 漏洞來攻陷那些未打補丁的 Microsoft Exchange 服務器。LemonDuck 以 Linux 和 Windows 系統為目標，眾所周知，它在攻擊活動中主要是以具有新聞價值的事件作為網絡釣魚的誘餌。LemonDuck 是一種持久存在的惡意軟件，主要用于挖掘加密貨幣。它最晚可能自

48、2018 年起就在網絡上活躍，并日漸演變成一個大型僵尸網絡。LemonDuck 傳播速度很快，并且可作為后續惡意軟件和攻擊的先頭部隊。它仍在受感染的設備上挖掘加密貨幣。3 ITG 表示 IBM Threat Group。這是 IBM X-Force 關于威脅實施者團伙（包括民族國家行為者和網絡犯罪分子）的命名約定。IBM 以數字方式跟蹤和命名威脅團伙，用 IBM Threat Group(ITG)后跟分配的編號來識別。對于仍處于研究階段的威脅團伙，我們使用 Hive 名稱，如本節討論的 Hive0109。302021 年的主要威脅實施者惡意軟件發展趨勢威脅實施者不斷創新并尋找新方法，讓惡意軟件

49、在操作系統中展現更強的能力，且更加難以檢測。本節介紹了 X-Force 在 2021 年觀察到的一些惡意軟件發展趨勢。更高的檢測規避能力 X-Force 的惡意軟件逆向工程團隊在去年發現，惡意軟件的規避技術已實現了重大升級。勒索軟件開發者使用不同的加密技術來規避基于主機的檢測系統。間歇性加密就是一個例子，在這種情況下，會加密多個分開的數據塊而不是整個系統，這就加快了加密過程。指揮與控制(C2)通信日漸使用流行的云消息傳遞和存儲服務來融入合法流量。此外，使用 DNS 進行隧道 C2 通信也變得越來越普遍。這些技術可幫助攻擊者將 C2 活動偽裝成合法通信，從而躲避基于網絡的傳感器的檢測。惡意軟件開

50、發者使用越來越復雜的打包和代碼混淆技術來隱藏惡意軟件的真正意圖并阻止分析技術的運用。惡意軟件開發人員還嘗試了不同的編程語言，例如 PureBasic 和 Nim，目的就是加大逆向工程的難度。惡意軟件著重關注 Docker 通過分析影響云環境的惡意軟件發展趨勢，X-Force IR 團隊發現，多個惡意軟件家族都將目光從通用 Linux 系統轉移到 Docker 容器上，這些容器通常用于平臺即服務云解決方案。顯示這一轉變的部分惡意軟件家族包括 XorDDoS、Groundhog 和 Tsunami。這種以 Docker 為重點的攻擊不僅涉及機器人，還強調了 IoT 惡意軟件(Kaiji)、加密礦工

51、(Xanthe、Kinsing)和其他惡意軟件的惡意活動，它們都旨在利用云計算的力量來擴大其挖礦能力。除 Docker 外，我們還發現威脅實施者也瞄準了其他容器平臺。例如，我們發現 Siloscape 惡意軟件破壞了易受攻擊的 Windows 容器和 Kubernetes 容器管理平臺。Siloscape 日漸被 TeamTNT 等威脅實施者納入攻擊武器庫中，TeamTNT 是一個網絡犯罪團伙，一直專注于云平臺，企圖擴大其加密劫持僵尸網絡的影響范圍。31IBM Security勒索軟件著重關注 ESXi通過分析影響 Linux 環境的惡意軟件發展趨勢，X-Force 發現，多個勒索軟件家族都將

52、目光轉向基于 Linux 的 VMWare ESXi 服務器。隨著越來越多的組織日漸依賴虛擬化技術，勒索軟件開發者發現，與感染運行的操作系統相比，加密虛擬機(VM)文件本身顯然更有效。2020 年，X-Force IR 團隊發現了針對 ESXi 服務器部署的 SFile 勒索軟件的 Linux 變體。到了 2021 年，許多其他勒索軟件家族似乎也紛紛效仿，這包括 REvil、HelloKitty、Babuk 和 BlackMatter。這些變體通常會使用 ESXi 自有的命令行管理工具 esxcli 來枚舉和關閉運行的虛擬機，然后再進行加密。Nim 日漸流行2020 年，跨平臺惡意軟件開發人員

53、傾向于選擇 Golang 作為編程語言，因為它可以同時面向多個操作系統進行編譯。雖然他們在 2021 年仍在使用 Golang，但 Nim 等其他語言正日漸流行起來。例如，威脅實施者使用 Nim 編譯了 Nimar 后門以及 Zebrocy 版本，后者是俄羅斯民族國家行為者 ITG05（又名 APT28）使用的一種惡意軟件類型。32惡意軟件發展趨勢圖 172021 與 2020 年具有獨特代碼的 Linux 惡意軟件2020-2021 年五大類別中具有獨特代碼的 Linux 惡意軟件（資料來源：Intezer）%勒索軟件銀行惡意軟件木馬加密礦工僵尸網絡.%.%.%.%.%.%.%.%.%.%圖

54、 182021 年 Linux 與 Windows 中具有獨特代碼的惡意軟件2021 年新 Linux 惡意軟件與新 Windows 惡意軟件的比較（資料來源：Intezer）.%.%.%.%.%勒索軟件銀行惡意軟件木馬挖掘者僵尸網絡.%.%.%.%.%LinuxWindowsLinux 威脅仍不斷演變據 IBM Security X-Force Threat Intelligence 合作伙伴 Intezer 的分析顯示，在過去一年，針對 Linux 環境的惡意軟件急劇增加，這表明威脅實施者對該領域仍然虎視眈眈。Intezer 通過分析惡意軟件種族的代碼唯一性來衡量創新水平。具有更多獨特變體

55、的惡意軟件代碼表明，實施者已運用更高創新能力來編輯惡意軟件，而重新使用大部分代碼的惡意軟件所具有的創新水平則較低。通過使用這種方法，最終得到了以下結果。自去年以來，在多種類別的 Linux 惡意軟件中，高達五分之四的惡意軟件類別都增加了特有的代碼，其中銀行木馬的增幅最大，其創新水平提升了十倍以上。Linux 目標的增多可能與組織正日益遷移到云環境有關，這些環境經常依賴 Linux 執行操作。Linux 惡意軟件的創新水平與基于 Windows 的惡意軟件的創新水平不相上下，這凸顯了 Linux 惡意軟件運用創新的普遍程度，在 2022 年，我們肯定還會看到這一趨勢仍保持上漲勢頭。33惡意軟件發

56、展趨勢威脅實施者以云環境為目標IBM 對云安全威脅形勢的研究著重表明，威脅實施者仍在不斷努力將目標轉移到云環境中。收集到的數據顯示，威脅實施者使用了多種方法來獲得組織云資產的初始訪問權限，其中近四分之一的事件源于威脅實施者將目光從本地網絡轉向云環境。此外，研究的事件當中還有近三分之二的事件涉及 API 配置錯誤問題。這一目標的選擇正好與龐大的云相關憑證地下市場相互印證，在這一市場上，數以萬計的帳戶都被掛在網上出售。隨著組織逐步遷移到云端，威脅實施者也緊隨其后。維護適當強化的系統，制定有效的密碼策略，并確保策略合規性，對于維持穩健的云安全態勢有著舉足輕重的作用。云中的無文件惡意軟件通過利用合法的

57、腳本語言和避免使用簽名，潛伏在內存中的無文件逃避型惡意軟件可以躲避標準檢測工具的檢查。X-Force 的研究發現，除了使用腳本來啟動無文件惡意軟件外，威脅實施者現在還使用 Ezuri，這是一種以 Golang 編寫的開源加密程序和內存加載程序，它使得啟動未經檢測的惡意軟件更加輕而易舉。X-Force 的研究還強調了一種名為 VermillionStrike 的新惡意軟件套件的發展狀況。VermillionStrike 基于流行的滲透測試工具 CobaltStrike；然而，與其對應工具不同的是，VermillionStrike 目的是在 Linux 系統上運行。這一發展變化強調了惡意軟件正日漸

58、將目光轉投 Linux，可能也表明未來的操作仍將在 Windows 環境之外進行。34惡意軟件發展趨勢地理區域趨勢自本報告開始記錄地理趨勢以來，2021 年，亞洲首次成為攻擊的重災區，在 X-Force 去年所觀察到的攻擊總量中占到了 26%。尤其是針對日本的一連串攻擊（可能與 2021 年在日本舉行的夏季奧運會有關），似乎促成了這一攻擊趨勢。歐洲和北美緊隨其后，分別占攻擊總量的 24%和 23%，而中東和非洲與拉丁美洲所占比重則分別為 14%和 13%。35IBM Security2021202027%23%9%14%31%24%9%13%25%26%北美歐洲亞洲中東和非洲拉丁美洲圖 192

59、021 與 2020 年按地理位置細分的攻擊情況資料來源：IBM Security X-Force36地理區域趨勢亞洲出于報告的目的，IBM 認為亞洲包括澳大利亞、東亞和東南亞、印度和太平洋島嶼。服務器訪問攻擊(20%)和勒索軟件(11%)是亞洲組織在 2021 年主要遭受的兩種攻擊類型，緊隨其后的便是數據盜竊(10%)。亞洲地區的服務器訪問攻擊占比很高，表明亞洲組織善于快速識別攻擊，從而防止它們升級為更令人擔憂的攻擊類型。遠程訪問木馬和廣告軟件并列第四，占攻擊總量的 9%。在亞洲，REvil 在 X-Force 所觀察到的勒索軟件攻擊中占到了 33%，而 Bitlocker、Nefilim、

60、MedusaLocker 和 Ragnar Locker 也是重要的參與者。漏洞利用和網絡釣魚并列成為亞洲組織在 2021 年的主要感染媒介，據觀察顯示，該地區 43%的攻擊都由這兩者引發而來。暴力破解(7%)和使用被盜憑證(7%)偶爾也會被用來獲得網絡的初始訪問權限。在亞洲，金融和保險組織最常受到攻擊，在 X-Force 修復的事件中占到了 30%，緊隨其后的是制造業(29%)，然后就是專業和商業服務(13%)以及運輸行業(10%)。在全球范圍內，據 X-Force 觀察顯示，金融和保險業是 2015 到 2020 年間遭受攻擊次數最多的行業，因此，亞洲地區呈現出來的攻擊趨勢也是 X-For

61、ce 多年來觀察到的這一全球趨勢的延續。日本、澳大利亞和印度是亞洲地區遭受攻擊最多的國家。遭受攻擊最多的行業1.金融與保險30%2.制造業29%3.專業與商業服務13%37地理區域趨勢歐洲出于報告的目的，IBM 認為歐洲組織是位于西歐、東歐和土耳其的組織。歐洲在全球最易遭受攻擊地區排行榜上位列第二，遭受的攻擊在 X-Force 事件響應團隊所觀察到的攻擊中占到了 24%。勒索軟件是歐洲面臨的最主要的攻擊類型，在 2021 年該地區遭受的攻擊總量中占到了 26%。服務器訪問(12%)位居第二，接下來便是數據盜竊(10%)、配置錯誤(8%)、惡意內部人員(6%)和欺詐行為(6%)。勒索軟件攻擊者可

62、能會被歐洲眾多的高收入組織所吸引，這些組織由此就可能成為勒索軟件的潛在攻擊目標。2021 年，在歐洲遭受的勒索軟件攻擊中，REvil 攻擊占比高達 38%，Ryuk 則占 25%。此外，我們還發現了 DarkSide、LockBit 2.0 和 Crystal 勒索軟件團伙。這些勒索軟件團伙傾向于捕捉“大型獵物”，或者瞄準屬于大型財團的企業網絡的重要部分，其終極目標就是攫取大筆贖金。漏洞利用是針對歐洲組織主要使用的感染媒介，占據了 X-Force 在歐洲修復的事件總量的 46%，緊隨其后的是網絡釣魚，占到了 42%。暴力破解則占事件總量的 12%。制造業是 2021 年歐洲地區最常受到攻擊的行

63、業，占攻擊總量的 25%，其次是金融和保險業(18%)，再接下來便是專業和商業服務行業(15%)。勒索軟件攻擊者對制造和專業服務組織的關注，可能正在推動這些趨勢的進一步發展。英國、意大利和德國是歐洲地區遭受攻擊最多的國家。遭受攻擊最多的行業1.制造業25%2.金融與保險18%3.專業與商業服務15%38地理區域趨勢北美出于報告的目的，IBM 認為北美包括美國和加拿大。2021 年，北美在全球最易遭受攻擊地區排行榜上位列第三，遭受的攻擊在 X-Force 事件響應團隊所觀察到的攻擊中占到了 23%。與歐洲類似的是，勒索軟件也是北美地區組織面臨的頭號攻擊類型，占該地區攻擊總量的 30%。由于該地區

64、在 2021 年加大了執法力度，包括打擊僵尸網絡和勒索軟件團伙，這可能影響了我們傳統上所觀察到的攻擊率。在 X-Force 于北美地區觀察到的勒索軟件攻擊中，REvil 攻擊占到了 43%，此外，X-Force 還發現了 LockBit 2.0、Conti、CryptoLocker 和 Eking。在北美地區，BEC 是僅次于勒索軟件攻擊的最常見攻擊類型，占攻擊總量的 12%，這表明 BEC 攻擊者已重新開始對北美地區的組織發起攻擊，試圖入侵那些尚未部署 MFA 的組織。服務器訪問攻擊(9%)在北美地區組織最易遭受的攻擊排行榜上位列第三。網絡釣魚似乎是瞄準北美地區的威脅實施者首選的攻擊媒介，在

65、 2021 年 X-Force 在該地區修復的事件中占到了 47%。漏洞利用以 29%的占比位列第二，此外，還使用了可移動介質(12%)、暴力破解(9%)和被盜憑證(9%)這些攻擊媒介。隨著越來越多的北美地區組織針對 2020 年和 2021 年發布的若干關鍵漏洞實施穩健的補丁管理計劃，威脅實施者可能會專注于網絡釣魚活動。制造業是北美地區遭受攻擊最多的行業，占 X-Force 修復的攻擊總量的 28%這一攻擊率可能與疫情導致的制造業在供應鏈方面承受巨大壓力有關。專業和商業服務行業以 15%的占比位居第二，其次是零售和批發行業，占比為 11%。制造業、專業服務和批發行業都是勒索軟件實施者爭相追逐

66、的目標，這可能是因為它們對停機時間的容忍度很低，而且其網絡上保存有敏感的客戶數據，如果不慎被盜并遭遇泄露危機，可能會給受害者帶來巨大壓力，最終不得不支付贖金。遭受攻擊最多的行業1.制造業28%2.專業與商業服務15%3.零售批發11%39地理區域趨勢中東和非洲出于報告的目的，IBM 認為中東和非洲包括黎凡特、阿拉伯半島、埃及、伊朗和伊拉克，以及整個非洲大陸。勒索軟件和服務器訪問攻擊是中東和非洲最常遭遇的事件類型，它們并列第一，各占攻擊總量的 18%。配置錯誤緊隨其后，占 14%，憑證收集和 DDoS 攻擊在該地區也相當普遍。在 X-Force 于中東和非洲地區修復的已知初始感染媒介的事件中，5

67、0%的事件都是由漏洞利用所引發的。使用被盜憑證和網絡釣魚也經常被用來訪問感興趣的中東和非洲地區網絡，密碼噴灑和使用可移動介質偶爾也會被用來獲得初始訪問權限。在 2021 年針對中東和非洲地區發起的攻擊中，金融和保險組織差不多扛下了半壁江山，遭遇的攻擊占攻擊總量的 48%，這表明該地區遭受的攻擊可能已從由民族國家支持的以能源為重點的攻擊轉變為以金融組織為重點的網絡犯罪攻擊。沙特阿拉伯從利用原油收入發展經濟轉向實現經濟多元化，可能也影響了這一趨勢。醫療保健組織遭受的攻擊占該地區所遭遇攻擊總量的 15%，而能源組織則與該地區 10%的攻擊有關。沙特阿拉伯、阿拉伯聯合酋長國和南非是中東和非洲地區遭受攻

68、擊最多的國家。遭受攻擊最多的行業1.金融與保險48%2.醫療衛生15%3.能源部10%40地理區域趨勢拉丁美洲出于報告的目的，IBM 認為拉丁美洲包括墨西哥、中美洲和南美洲。2021 年，拉丁美洲主要遭受的攻擊類型就是勒索軟件攻擊，占攻擊總量的 29%，其次便是 BEC（21%）和憑證收集（21%），這兩類攻擊在排行榜上并列第二。REvil 是我們在拉丁美洲觀察到的最常見的勒索軟件團伙，其發起的攻擊次數占 X-Force 修復的勒索軟件攻擊量的 50%，此外，我們還發現，Ryuk 和 AtomSilo 也將黑手伸向該地區的組織。正如本文先前所述，針對拉丁美洲的 BEC 攻擊率高于其他任何地區，

69、并且自 2019 年以來急劇增加，這表明 BEC 攻擊者正在集中更多精力在拉丁美洲尋找“獵物”。網絡釣魚是威脅實施者在拉丁美洲搜尋“獵物”最常使用的感染媒介，這類攻擊占 X-Force 在該地區所修復攻擊量的 47%。通過網絡釣魚實施的大量 BEC 攻擊和勒索軟件攻擊可能正在推動這一趨勢的發展。被盜憑證導致的攻擊占拉丁美洲的組織所遭受攻擊量的 29%，這一比例明顯高于其他地區，這表明更廣泛地使用 MFA 有助于減少該地區的憑證被盜事件和 BEC 事件。在拉丁美洲的組織中，只有 18%的攻擊事件是由漏洞利用所引發的，而剩下的 6%則是由可移動介質所導致的。制造業是 2021 年拉丁美洲遭受攻擊最

70、多的行業，但只以 22%的比例小幅領先。緊隨其后的便是零售和批發業(20%)、金融和保險業(15%)，可能最令人驚訝的是，采礦業的占比也達到了 11%。拉丁美洲的專業和商業服務以及能源行業也遭到了相當嚴重的攻擊。勒索軟件攻擊者和 BEC 攻擊者似乎對這些行業很感興趣，這可能會提高拉丁美洲地區這些行業遭受的攻擊率。巴西、墨西哥和秘魯是拉丁美洲地區遭受攻擊最多的國家。遭受攻擊最多的行業1.金融與保險48%2.醫療衛生15%3.能源部10%41地理區域趨勢行業趨勢在本報告所研究的五年多的時間跨度里，2021 年，制造業首次成為遭受攻擊最多的行業，金融和保險業則以小幅差距位列第二。針對制造組織發起的猛

71、烈的勒索軟件和 BEC 攻擊，外加 COVID-19 疫情造成的供應鏈壓力，可能促成了這一轉變。除金融和制造業外，專業和商業服務在 2021 年也成為了主要目標，尤其吸引了勒索軟件實施者的注意。今年，我們正在將專業和商業服務以及零售和批發行業相結合，力求提供更廣泛的行業攻擊圖景。值得注意的是，去年，批發行業遭受攻擊的嚴重程度遠遠超過零售行業，這一行業的排名在很大程度上是由批發行業所推動的。我們希望確保在今年的排名中涵蓋針對批發行業發起的攻擊級別。圖 202021 年與 2020 年前 10 大行業遭受的攻擊率（資料來源：IBM Security X-Force）.%.%.%.%.%.%.%制造

72、業金融與保險專業與商業服務能源部零售批發醫療衛生交通運輸政府教育培訓.%媒體.倍.%.%.%.%.%.%.%.%.%.%.%42IBM Security#1|制造業自 2016 年以來，制造業首次在 X-Force 的排名中位居第一，成為 2021 年遭受攻擊最多的行業，在 X-Force 修復的攻擊中占到了 23.2%。勒索軟件是最主要的攻擊類型，占制造業組織所遭受攻擊的 23%，這凸顯了勒索軟件實施者正將制造業視為主要攻擊目標。服務器訪問攻擊以 12%的占比位列第二，這可能代表了攻擊者的一些失敗操作。BEC 和數據盜竊并列第三，各占 10%。BEC 攻擊者可能正在尋求利用制造業組織發展的眾

73、多供應商、次級供應商和批發運輸關系，并試圖將合作伙伴之間的付款重定向到由 BEC 攻擊者控制的賬戶。數據盜竊可能旨在竊取敏感的知識產權，或者持有數據以勒索贖金。漏洞利用是 2021 年制造業組織遭受攻擊的最主要感染媒介，占比為 47%，緊隨其后的是網絡釣魚，占比為 40%。這些數量龐大的攻擊可能推動了 X-Force 在 2021 年觀察到的整體初始感染媒介的發展趨勢?？梢苿咏橘|(7%)、被盜憑證(3%)和暴力破解(3%)也占攻擊的一小部分。盡管漏洞利用位居榜首，但除了漏洞管理之外，制造業組織可能還希望付出同等的努力來對抗網絡釣魚威脅。2021 年，對制造業組織發起的攻擊中，近三分之一(32%

74、)的攻擊活動發生在亞洲，北美(27%)和歐洲(26%)的攻擊占比十分接近。拉丁美洲(13%)以及中東和非洲(5%)的制造業也遭到了攻擊。占攻擊 總量的 23.2%43行業趨勢占攻擊 總量的 22.4%#2|金融與保險金融和保險組織也是攻擊者追逐的目標，它們所遭受的攻擊在 2021 年 X-Force 修復的攻擊中占到了 22.4%，在 X-Force 的行業排名中穩居第二位。在這些攻擊中，70%的攻擊針對銀行，16%針對保險機構，14%則是針對其他金融機構。金融業從榜首跌落，這表明大多數金融機構所實施的高安全標準正在逐漸取得實效，金融服務業正在踐行正確的安全之路。此外，混合云環境也在金融服務組

75、織中占主導地位，這提高了敏感數據的可見性和管理水平。2021 年，服務器訪問攻擊勉強成為金融和保險組織遭受的最主要攻擊類型，占攻擊總量的 14%。緊隨其后的是勒索軟件、配置錯誤和欺詐行為，它們以 10%的占比并列第二。RAT、廣告軟件和憑證收集也是金融服務行業相當常見的攻擊類型。網絡釣魚是金融服務行業最常見的感染媒介，2021 年，該行業 46%的攻擊都是由網絡釣魚所導致的。漏洞利用排在第二位，它所導致的攻擊在該行業遭受的攻擊中占到了 31%。我們還發現，密碼噴灑、暴力破解和 VPN 訪問也是威脅實施者藉以對金融和保險公司發起攻擊的感染媒介。2021 年，亞洲的金融和保險組織遭到了大量攻擊，占

76、該行業所遭受攻擊總量的 34%。中東和非洲的金融和保險組織遭受的攻擊也非常之多，達到了 29%，而歐洲(19%)、北美(9%)和拉丁美洲(9%)的金融和保險組織在 2021 年遭受的攻擊所占比重則較小。44行業趨勢#3|專業與商業服務專業服務涉及信息技術提供商、律師事務所、建筑師、會計師和專家顧問。商業服務則包括辦公室管理、人力資源、安全服務、旅行安排和景觀美化等公司。它們共同構成了一個更龐大的服務行業，我們正在將其納入 2022 年 X-Force 威脅情報指數的考量范疇。在 2022 年的攻擊排行榜上，專業和商業服務公司位列第三，占所觀察到的攻擊總量的 12.7%。其中，24%是商業服務公

77、司，76%是專業服務公司，29%是專門以信息技術為重點的專業服務提供商。勒索軟件攻擊是 2021 年專業和商業服務公司遭受的最主要攻擊類型，占 X-Force 在這些行業觀察到的攻擊總量的 32%。服務器訪問攻擊是第二常見的攻擊類型（19%），2021 年第四季度服務器訪問攻擊的增加與第四季度勒索軟件攻擊的減少正好吻合，這表明專業服務公司可以更好地及早識別和阻止勒索軟件攻擊者，讓他們的目標落空。在對專業和商業服務行業發起的所有攻擊中，惡意內部人員發起的攻擊位列第三，占到了 13%。2021 年，在 X-Force 對專業和商業服務公司實施補救的事件中，漏洞利用占到了 50%，網絡釣魚則占 20

78、%。使用被盜憑證，也在我們對該行業實施補救的事件中占到了 20%。在多起漏洞利用事件中，威脅實施者都利用了 2021 年初披露的 Microsoft Exchange 漏洞。占攻擊 總量的 12.7%45行業趨勢#4|能源在今年遭受攻擊最多的行業排行榜上，能源行業位列第四，在觀察到的攻擊總量中占到了 8.2%，從前一年的第三位下滑一位。在 DarkSide 于 2021 年 5 月對 Colonial Pipeline 發起的勒索軟件攻擊遭到反擊之后，因害怕受到報復，威脅實施者（尤其是勒索軟件實施者）可能已將注意力從能源組織轉移。2021 年，X-Force 在 6 月、7 月和 8 月觀察到

79、的對能源組織發起的攻擊事件都少于 5 月（Colonial Pipeline 于當月遭到了勒索軟件攻擊）。然而，到了 9 月，攻擊量似乎再次回升。勒索軟件攻擊(25%)是 2021 年能源組織遭受的最常見攻擊類型，其次就是 RAT、DDoS 和 BEC，它們并列第二(17%)。僵尸網絡、垃圾郵件和數據盜竊也在 2021 年對能源公司產生了一定的影響。網絡釣魚是威脅實施者用于訪問能源組織網絡的最常見感染媒介，約占攻擊總量的 60%，而漏洞利用則占剩下的 40%。北美地區的能源組織遭受的攻擊多于其他任何地區，在去年 X-Force 發現的所有針對能源行業的攻擊中占到了 31%，接下來歐洲占 28%

80、，拉丁美洲、中東和非洲以 17%的占比并列第三，亞洲則以 7%的占比居于末位。占攻擊 總量的 8.2%46行業趨勢#5|零售與批發零售商店主要是將制成品直接銷售給消費者，而批發組織則主要是直接通過制造商來分銷和運輸商品，通常是分銷給第三方或直接出售給消費者。這些行業在 X-Force 2022 年遭受攻擊最多行業榜單中排名第五，占 2021 年攻擊總量的 7.3%。其中，35%的攻擊針對的是零售企業，65%則將矛頭直指批發企業，這凸顯了威脅實施者去年對批發組織高度重視，這可能是由于它們在供應鏈以及商品從制造商到最終用戶手中的流動過程中所發揮的關鍵作用。BEC、服務器訪問、數據盜竊和憑證收集是去

81、年零售和批發行業遭受的主要攻擊類型。勒索軟件和銀行木馬在攻擊中所占的比重也很大，其次就是 RAT、配置錯誤和欺詐行為。網絡釣魚是 2021 年威脅實施者藉以對零售和批發行業發起攻擊的最主要感染媒介，在 X-Force 在該行業修復的已知初始感染媒介的攻擊中占到了 38%。被盜憑證以 31%的占比位居第二，漏洞利用在這些行業遭受的攻擊中占到了 23%。暴力破解（8%）也在一些攻擊中發揮了作用。在 2021 年零售和批發行業遭受的攻擊事件中，北美和拉丁美洲并列第一，各占 35%，而歐洲則緊隨其后，為 31%。占攻擊 總量的 7.3%47行業趨勢#6|醫療保健醫療保健行業在今年遭受攻擊最多行業榜單中

82、位列第六，占 X-Force 在 2021 年觀察到的攻擊總量的 5.1%，已從上一年的第七位上升一位。在醫療保健行業遭受的已知攻擊類型的攻擊中，38%是勒索軟件攻擊，這一比例高于其他大多數行業。AtomSilo、AvosLocker 和 REvil 勒索軟件實施者今年都將攻擊的矛頭指向了醫療保健組織。除了勒索軟件攻擊，今年 BEC 攻擊(25%)也對醫療保健行業造成了相當嚴重的打擊，服務器訪問、憑證收集和配置錯誤也產生了一定的影響。漏洞利用是 2021 年威脅實施者藉以對醫療保健組織發起攻擊的最主要感染媒介，X-Force 修復的事件中 57%都是由漏洞利用導致的，其次就是網絡釣魚，占比為

83、29%，使用被盜憑證則占 14%。中東和非洲的醫療保健組織在 2021 年遭受的攻擊最多，占醫療保健行業所遭受攻擊總量的 39%，緊隨其后的是北美，占 33%。亞洲和拉丁美洲均占 11%，而歐洲僅占 6%。占攻擊 總量的 5.1%48行業趨勢#7|交通運輸交通運輸行業遭受的攻擊占攻擊總量的 4.0%，從 2020 年的第 9 位上升至第 7 位。隨著 2021 年國際邊界和運輸網絡重新開放，該行業的活躍可能會再度吸引攻擊者的興趣。惡意內部人員攻擊成為 2021 年交通組織遭受的最主要攻擊類型，占該行業攻擊總量的 29%。勒索軟件、RAT、數據盜竊、憑證收集和服務器訪問攻擊也都在 2021 年對

84、交通運輸行業產生了一定的影響。在 2021 年 X-Force 對運輸組織實施補救的所有事件中，有一半的事件起初是由網絡釣魚電子郵件引發的，其次便是使用被盜憑證，占到了 33%，漏洞利用所占比重則為 17%。迄今為止，交通運輸行業遭受的攻擊大都集中在亞洲地區，占 2021 年 X-Force 觀察到的該行業事件總量的 64%，其次便是歐洲(21%)、中東和非洲(7%)以及北美(7%)。占攻擊 總量的 4.0%49行業趨勢#8|政府在 2021 年，政府和教育行業在遭受攻擊最多行業榜單上并列第八，占攻擊總量的 2.8%。服務器訪問攻擊是去年對公共部門發起攻擊的最常見攻擊類型，這表明 2021 年

85、 X-Force 的政府客戶特別擅長于及早識別并根除網絡中的威脅行為者，避免他們越過服務器訪問生出更多枝節。數據盜竊和欺詐行為在 2021 年也躋身于政府遭受的三大攻擊類型之列。漏洞利用是威脅實施者藉以對政府發起攻擊的最常用的感染媒介，其次是網絡釣魚。遭受攻擊的政府在地理上分布廣泛，其中有一半的攻擊發生在亞洲，緊隨其后的是北美，占比為 30%。中東和非洲(10%)以及歐洲(10%)也出現了一些針對政府組織的攻擊行為。占攻擊 總量的 2.8%50行業趨勢#9|教育根據 X-Force 的研究，教育機構在 2021 年遭受的攻擊占攻擊總量的 2.8%，因此與政府部門并列第八。廣告軟件是 2021

86、年觀察到的教育機構最常遭受的攻擊類型，占攻擊總量的 33%，緊隨其后的是勒索軟件，占 22%。去年，BEC、RAT、服務器訪問攻擊和欺詐行為在教育機構內也很常見。網絡釣魚是威脅實施者藉以對教育行業發起攻擊的最主要感染媒介，其次是暴力破解攻擊。就 2021 年教育機構遭受的攻擊事件而言，亞洲是攻擊的重災區，其次就是北美洲。占攻擊 總量的 2.8%51行業趨勢#10|媒體包括電信、新聞媒體、出版和電影制作在內的媒體行業在 2021 年遭受的攻擊占攻擊總量的 2.5%，躋身于遭受攻擊最多的十大行業之列。勒索軟件是所觀察到的媒體機構遭受的最主要攻擊類型，占 X-Force 在該領域觀察到的攻擊總量的

87、33%，其次是服務器訪問、RAT、加密挖掘和惡意內部人員事件。暴力破解和被盜憑證是 X-Force 觀察到的攻擊者用來破壞媒體機構的主要方法，這表明該行業可能通過穩健實施 MFA 將若干種攻擊類型擋在門外。媒體行業遭受攻擊最嚴重的地區是歐洲和拉丁美洲，中東和非洲、北美以及亞洲也發生過針對媒體的攻擊行為。占攻擊 總量的 2.5%52行業趨勢風險緩解建議我們在本報告中介紹的威脅可能會引起讀者的擔憂，因為本報告重點說明了來自勒索軟件不斷加劇的嚴重威脅、商業電子郵件攻擊(BEC)和網絡釣魚攻擊帶來的新威脅，并強調了在去年一整年中，一些零日漏洞一直在被威脅實施者利用。但是，我們發布這份報告的目的是讓組織

88、更好地了解目前的威脅形勢，幫助他們建立信心，采取所需的行動對抗這些威脅。X-Force 發現，某些安全原則有助于對抗目前的網絡威脅，這包括零信任方法、安全事件響應自動化以及擴展的檢測和響應能力。零信任有助于降低最主要攻擊的風險零信任是行為模式的轉變，是解決安全問題的新方法，它假設安全違規已經發生，旨在加大攻擊活動滲透到整個網絡的難度。其核心理念是了解關鍵數據位于何處，以及誰有權訪問這些數據，它在整個網絡中建立強有力的驗證措施，以確保只有具有權限的個人才能以適當的方式訪問這些數據。X-Force 威脅研究人員的研究證實，與零信任方法相關的原則（包括實施 MFA 以及最少特權原則）有助于降低組織對

89、本報告中確定的最主要攻擊類型的脆弱性，特別是勒索軟件和 BEC。尤其是，通過將最少特權原則應用于域控制者和域管理員帳戶，可以增加勒索軟件攻擊者所面臨的障礙，因為許多攻擊者都是通過被破解的域控制者帳戶向網絡部署勒索軟件的。此外，實施 MFA 會增加網絡犯罪分子接管帳戶的難度，因為這會要求他們提供進一步的認證，僅僅盜取憑證無法攻破網絡。53IBM Security了解有關如何建立零信任方法的更多信息安全自動化增強事件響應能力X-Force 安全事件響應工作團隊每年都要處理不同地理區域中的數百起安全事件，協助內部安全事件響應分析員，解決一系列范圍廣泛的攻擊類型。速度是關鍵，無論是在威脅實施者在網絡上

90、部署勒索軟件之前發現并消滅他們，還是快速高效地解決問題，以便為處理下一次安全事件贏得時間。在這個快節奏的環境中，安全自動化是關鍵-將會占用分析人員或團隊時間的機器任務外包出去，并確定改進工作流程的機制。在 2021 年年中，IBM 向開放網絡安全聯盟(Open Cybersecurity Alliance)捐贈了一個威脅搜尋自動化工具，旨在協助安全運營中心(SOC)分析師快速開展取證調查，解決網絡安全事件。此外，X-Force IR 團隊使用 IBM Security QRadar SOAR 增強其安全事件響應能力。擴展的檢測和響應能力幫助我們針對攻擊者形成巨大優勢通過使用檢測和響應技術，尤其

91、是將幾種不同的解決方案合并為一個擴展的檢測和響應(XDR)解決方案，為組織帶來了顯著的優勢，能夠在攻擊者到達最終攻擊階段（例如勒索軟件部署或數據盜竊）之前發現和根除他們。在多個例子中，當 X-Force IR 團隊在客戶的網絡上部署終端檢測和響應(EDR)或 XDR 解決方案后，IR 能夠立即獲得額外的洞察，這有助于發現并快速應對攻擊者的活動。XDR 技術有助于更有效地防御 X-Force 觀察到的服務器訪問和其他攻擊類型，這表明攻擊者在達到目的之前就被發現和阻止。54風險緩解建議了解有關 IBM 安全事件響應服務的更多信息了解有關 IBM Security QRadar XDR 的更多信息。

92、建議以下建議包含組織可采取的具體措施，以便更有效地保護網絡的安全，防止本報告中分析的威脅。針對勒索軟件制定響應計劃。所有行業和所有地理地域都處于勒索軟件攻擊的風險之中，團隊應對關鍵時刻的方式會對所花時間和經濟損失產生顯著影響。在響應計劃中包含要立即采取的限制措施、應告知利益相關方和執法部門官員的內容、組織安全地進行存儲并從備份中恢復的方法，以及在修復期間運行關鍵業務職能的備用地點。在計劃中包含勒索軟件攻擊過程中的數據盜竊和泄露場景-這些場景是勒索軟件目前非常常見的策略，在 X-Force 修復的勒索軟件攻擊中的出鏡率非常高。進行勒索軟件攻防演練，充分考慮組織是否會支付贖金，以及哪些因素會改變對

93、該決策的考量。確保勒索軟件響應計劃包含與云相關的安全事件的特定應急方案，因為這可能需要額外的工具和技能。使用閃存解決方案，避免因惡意軟件或勒索軟件攻擊而造成數據損壞，閃存解決方案有助于防止數據丟失、促進運營連續性，以及降低基礎架構成本。X-Force 的 勒索軟件權威指南 就如何應對勒索軟件攻擊提供了更多詳細的建議。X-Force 的安全事件響應團隊還可以為貴組織開展勒索軟件準備情況評估，幫助制定和檢驗勒索軟件事件響應計劃。與此類似，X-Force 指揮中心也可以幫助組織為勒索軟件攻擊做好應對準備，同時考慮所需的業務和技術應對措施。對每個遠程網絡訪問點實施多因子認證。X-Force 發現，越來

94、越多的組織比以往更成功地實施 MFA。這實際上改變了威脅態勢，迫使威脅實施者尋找新的網絡入侵方式，僅僅利用被盜的電子郵件憑證無法攻破防線；此外，還降低了電子郵件接管攻擊活動的有效性。MFA 有助于降低多種不同的攻擊類型的風險，包括勒索軟件、數據盜竊、BEC 和服務器訪問等。此外，身份和訪問管理技術使 MFA 實施每年都變得更簡單，無論是對于實施團隊還是最終用戶而言。采用分層方法對抗網絡釣魚攻擊。遺憾的是，目前沒有任何一種工具或解決方案可以阻止所有網絡釣魚攻擊，威脅實施者持續優化社會工程攻擊和反惡意軟件檢測方法，以規避既有的安全控制機制。因此，我們建議實施多層解決方案，以提高捕獲網絡釣魚電子郵件

95、的機會。首先，有效提高用戶的安全意識和安全培訓水平，并為他們提供現實世界的示例。其次，采用電子郵件軟件安全解決方案，讓機器擔負起發現和過濾惡意電子郵件的任務。第三，實施多道防線，幫助捕獲惡意軟件或者內網漫游，防止網絡釣魚電子郵件快速溜過，這包括基于行為的反惡意軟件檢測、終端檢測和響應(EDR)、入侵檢測和預防解決方案(IDPS)，以及安全信息和事件管理(SIEM)系統。55風險緩解建議確保漏洞管理系統不斷完善，日臻成熟。漏洞管理是一門藝術-這包括確定哪些漏洞最適合貴組織的網絡架構，以及確定如何在不影響流程中任何內容的情況下部署該系統。建立一個專門負責漏洞管理的團隊，為該團隊提供充足的資源和支持

96、，從而確保貴組織的網絡受到嚴格保護，遠離潛在的漏洞利用攻擊。我們建議優先考慮此評估中提到的適用于貴組織的任何漏洞。IBM 的 X-Force Exchange 還包含漏洞和相關嚴重性級別的存儲庫，可幫助您發現最關注的漏洞；此外，X-Force Red 可提供專門的漏洞掃描和管理服務。56風險緩解建議關于 IBM Security X-ForceIBM Security X-Force 是以威脅為中心的團隊，由黑客、應對人員、研究人員和分析人員組成。我們的產品服務組合包括各種進攻性和防御性的產品和服務，以全方位的威脅情報提供支持。通過與 X-Force 合作，您可以確信自己面臨的數據泄露風險的發

97、生可能性和影響降到最低。IBM Security X-Force 威脅情報結合了 IBM 安全運營遙測、研究、事件響應調查、商業數據和開放資源，可幫助客戶了解新出現的威脅并快速做出明智的安全決策。此外，X-Force 事件響應團隊提供檢測、響應、修復和準備服務，幫助您最大程度降低數據泄露的影響。X-Force 結合 IBM Security 指揮中心的豐富經驗，培訓您的團隊（從分析人員一直到最高管理層），幫助他們為目前的威脅現實狀況做好準備。X-Force Red 是 IBM Security 的黑客團隊，負責提供進攻性安全服務，包括滲透測試、漏洞管理和對手模擬等。這一年來，IBM X-For

98、ce 研究人員還以博客、白皮書、網絡研討會和播客等形式提供了持續性的研究和分析，重點強調了我們在高級威脅實施者、新惡意軟件和新攻擊方法方面的洞察力。此外，我們在整個 X-Force 威脅情報解決方案中為訂閱客戶提供了大量最新的前沿分析。57IBM Security了解有關 IBM Security QRadar XDR 的更多信息。關于 IBM SecurityIBM Security 竭誠與您合作，幫助您保護企業安全，為您提供融合了 AI 技術以及采用零信任原則的現代安全戰略方法的高級集成式企業安全產品與服務組合，支持貴組織在充滿不確定性的世界里蓬勃發展。我們的集成式解決方案能夠使您的安全策

99、略與您的業務保持一致，旨在保護您的數字用戶、資產和數據，幫助您通過部署技術來管控和抵御日益增長的威脅。此外，我們還會幫助您管理和治理支持當今混合云環境的風險。我們全新的現代開放式方法 IBM Cloud Pak for Security 基于 RedHat Open Shift，旨在利用廣泛的合作伙伴生態系統支持當今的混合多云環境。Cloud Pak for Security 是面向企業的容器化軟件解決方案，通過快速集成現有的安全工具，深入洞察混合云環境中的威脅，從而幫助您輕松管理數據和應用的安全性-數據都保留在原處，輕松實現安全響應統籌和自動化。如需了解更多信息，請訪問 或閱讀 IBM 安全

100、情報博客。58關于 IBM Security X-Force貢獻者Camille SingletonCharles DeBeckJoshua ChungDave McMillenScott CraigScott Moore Copyright IBM Corporation 2022國際商業機器中國有限公司北京市朝陽區北四環中路27號盤古大觀寫字樓25層郵編:100101美國出品2022 年 2 月IBM、IBM 品牌和 是 International Business Machines Corp.在全球許多司法管轄區域注冊的商標。其他產品和服務可能是 IBM 或其他公司的商標。 上“版權和商

101、標信息”部分中包含了 IBM 商標的最新列表。本文檔為自最初公布日期起的最新版本，IBM 可隨時對其進行修改。IBM 并不一定在開展業務的所有國家或地區提供所有產品或服務。引用的性能數據和客戶示例僅用于演示目的。實際性能結果可能因具體配置和運行條件而異。本文檔中的信息按現狀提供，不附有任何種類的（無論是明示的還是默示的）保證，不包含任何有關適銷、適用于某種特定用途的保證以及有關非侵權的任何保證或條件。IBM 產品根據其提供時所依據協議的條款和條件獲得保證?？蛻糌撠煷_保對適用的法律和法規的合規性。IBM 不提供任何法律咨詢，也不聲明或保證其服務或產品將確?？蛻糇裱魏畏苫蚍ㄒ?。關于 IBM 未來方向和意向的聲明僅表示目標和目的，可能隨時更改或撤銷，恕不另行通知。Charlotte HammondJohn DwyerMelissa FrydrychOle VilladsenRichard EmersonGuy-Vincent JourdanVio OnutStephanie CarruthersAdam LaurieMichelle AlvarezSalina WuttkeGeorgia PrassinosJohn ZorabedianMitch MayneLimor KessemIan GallagherAri Eitan59IBM Security