2023年，网络攻击背后的动机和所采用的方法一如既往的多样化。无论是出于经济利益、政治议程还是纯粹的恶意目的，网络犯罪分子都会利用网络安全防御的缺口，寻找切入点来获取敏感数据、破坏关键系统或劫持组织。

随着风险的不断增加，保持领先于网络对手不仅需要了解当前的威胁，还需要前瞻性的方法来预测和缓解未来的风险。

在本文中，我们将概述一些有关2023年网络攻击的调查结果，这些见解将为组织提供有价值的统计数据，以增强其网络安全战略。

一、恶意网络链接激增144%

据Hornetsecurity称，尽管协作和即时通讯软件的使用越来越多，但电子邮件仍然是网络攻击的一个重要领域，尤其是网络罪犯在电子邮件中使用有害网页链接的威胁正日益增加。

据Hornetsecurity对450亿封电子邮件的分析发现，与去年相比，这类攻击增加了144%，从2022年占所有威胁的12.5%上升到了2023年的30.5%。

然而，网络钓鱼仍然是最常见的电子邮件攻击技术，其使用量从2022年的39.6%上升到了2023年的43.3%。

此外，在被分析的450亿封电子邮件中，36.4%被归类为垃圾邮件。而在这一类别中，超过3.6%（或超过5.85亿）被确定为恶意软件。这显示了风险的广泛性，大量的电子邮件构成了潜在的威胁。

另一方面，调查显示威胁行为者精明且适应性极强。2022年，在Microsoft默认禁用宏之后，DOCX文件（下降了9.5个百分点）和XLSX文件（下降了6.7个百分点）的使用量显著下降。相反地，网络罪犯选择了HTML文件（占分析文件的37.1%）、PDF文件（23.3%）和Archive文件（20.8%）。其中，HTML文件的使用尤为显著：与2022年相比，2023年的使用率上升了76.6%。

二、网络犯罪分子转而使用现成的机器人进行快速攻击

根据Arkose Labs的数据显示，从2023年上半年到第三季度，机器人和人类欺诈农场（human fraud farm）发动了数十亿次攻击。这些攻击占所有网站和应用流量的73%。换句话说，几乎四分之三的数字财产流量是恶意的。

分析发现，在2023年上半年，机器人攻击总体增加了167%，其中智能机器人增加了291%。这些智能机器人能够进行复杂的上下文感知交互。

在2023年第二季度，试图接管消费者金融账户的机器人增加了202%，试图建立虚假新银行账户的机器人增加了164%。这一趋势一直持续到第三季度，第三季度的虚假新银行账户比第二季度增加了30%。

不过，这些攻击并不局限于机器人。研究发现，当欺诈者的机器人被阻止时，他们会将攻击转向人类欺诈农场。从2023年第一季度到第二季度，人类欺诈农场的数量增加了49%。

两种趋势推动了这种攻击级别的增加：生成人工智能（GenAI）和网络犯罪即服务（CaaS）。

在过去的六个月里，恶意行为者使用GenAI生成内容的情况有了显著的上升，他们现在可以编写用于中间人攻击的原始网络钓鱼电子邮件，或者在约会应用程序上发表措辞完美的回复。此外，研究人员发现，攻击者正使用机器人从网站上抓取数据，然后使用这些数据来调整他们的GenAI模型。

一个同样惊人的趋势是，网络犯罪即服务（CaaS）降低了攻击者实施网络犯罪的门槛。任何人都可以向这些供应商购买机器人来规避安全措施或进行攻击。如此一来，即便是零技术技能的欺诈者也可以大规模使用全自动机器人，对企业和消费者造成广泛损害。

三、自动化攻击的增加困扰电子商务行业

Imperva表示，由复杂的恶意机器人对应用程序业务逻辑进行的自动攻击是在线零售商面临的主要威胁。此外，帐户接管、DDoS、API滥用和客户端攻击也都是重大风险。

电子商务行业仍然是网络犯罪活动的一个有利可图的目标。基于API连接和第三方依赖的庞大网络，在线零售商越来越容易受到业务逻辑滥用和客户端攻击的影响。有经济动机的网络犯罪分子也渴望窃取用户账户的个人数据和支付信息。

调查显示，在过去的一年中，针对零售站点最常见的攻击与业务逻辑有关——利用应用程序或API的预期功能和流程，而不是其技术漏洞。在零售业，攻击者将试图利用业务逻辑来操纵定价或访问受限制的产品。

2023年，业务逻辑攻击占零售站点攻击的42.6%，高于2022年同期的26%。对业务逻辑的大多数攻击都是自动化的，并且通常侧重于滥用API连接。在所有针对API的攻击中，有17%来自恶意机器人滥用业务逻辑。

四、组织应该为不可避免的基础设施攻击做好准备

根据Armis的说法，组织对技术的依赖导致了他们的攻击面在规模和复杂性上不断增长。

由于环境中的盲点，全球组织正面临着前所未有的网络风险，安全团队正被大量缺乏可操作见解的威胁情报数据所淹没。

因此，61%的组织确认他们在过去12个月中至少遭遇过一次数据泄露，31%的组织在同一时期经历过多次数据泄露。美国、新加坡、澳大利亚和新西兰是最容易遭受网络攻击的四个国家。

此外，全球受访者表示，他们的组织使用11种不同的工具来管理连接到网络的资产，而44%的受访者承认仍在使用手动电子表格。

员工可以绕过安全措施，在IT或安全团队不知情的情况下将应用程序和软件下载到资产上。75%的全球组织报告称“这种情况至少在某些时候会发生”，25%的组织报告称“这种情况一直在发生”。如果没有对这些资产的完全控制、管理和/或可见性，组织将面临更多的风险。

Armis首席信息安全官Curtis Simpson表示：

 五、终端恶意软件攻击随着活动范围的扩大而减少

根据WatchGuard的数据，2023年第二季度，95%的恶意软件通过加密连接交付，尽管攻击活动越来越广泛，但端点恶意软件的数量却在减少。

大多数恶意软件潜伏在安全网站使用的SSL/TLS加密之后。没有在网络边界检查SSL/TLS流量的组织可能会错过大多数恶意软件。此外，零日恶意软件占恶意软件检测总量的比例降至11%，创历史新低。然而，当通过加密连接检测恶意软件时，规避检测的份额增加到66%，这表明攻击者继续主要通过加密来传递复杂的恶意软件。

与上一季度相比，2023年第二季度端点恶意软件检测下降了8%。然而，当查看被10到50个系统或100个及更多系统捕获的端点恶意软件检测时，这些检测的数量分别增加了22%和21%。在更多的机器中检测到的增长趋势表明，从2023年第一季度到第二季度，广泛的恶意软件活动有所增加。

六、75%的教育部门攻击与账户泄露有关

根据Netrix的数据显示，在过去的12个月里，69%的教育机构遭受过网络攻击。其中，网络钓鱼和用户帐户泄露是这些组织最常见的攻击途径，而网络钓鱼和恶意软件（如勒索软件）则在其他垂直领域名列前茅。

更重要的是，在针对教育部门的攻击中，有四分之三（75%）与本地用户或管理帐户泄露有关，而其他部门的这一比例为48%。

一些网络攻击会带来可怕的后果，包括冻结运营，以至于组织破产。事实上，16%的组织估计他们因网络威胁造成的经济损失至少为50000美元。

为此，59%的组织已经或计划在12个月内购买网络保险；28%拥有网络保险的组织改变了他们的安全方法，以降低他们的保费；22%的组织不得不改善他们的安全状况，以获取参加这项政策的机会。

对于包括小型企业在内的各种规模的组织来说，三个主要的IT优先事项都是相同的，分别为数据安全、网络安全和员工的网络安全意识。

七、随着网络攻击的增加和多样化，加密劫持激增

据SonicWall指出，与前几年相比，数字威胁参与者正在采取不断发展的战术行为，选择不同类型的恶意攻击。

整体入侵企图有所增加，其中以加密劫持数量最高，威胁行为者从传统的勒索软件攻击转向了更隐蔽的恶意活动手段。数据显示，执法活动的增加、严厉的制裁和受害者拒绝支付赎金等因素改变了犯罪行为，迫使威胁行为者瞄准其他收入途径。

网络犯罪分子正在多样化和扩展他们攻击关键基础设施的技能，使威胁形势更加复杂，迫使组织重新考虑他们的安全需求。尽管全球范围内的勒索软件攻击次数有所下降（-41%），但各种其他攻击在全球范围内呈上升趋势，包括加密劫持（+399%）、物联网恶意软件（+37%）和加密威胁（+22%）。

此外，威胁行为者似乎正在利用现有的工具，来增加成功的几率。尽管前所未见的恶意软件变种有所减少，但威胁形势仍然复杂，每天都有近1000种新变种被发现。

八、20%的恶意软件攻击绕过防病毒防护

根据SpyCloud的数据显示，安全领导者担心攻击者利用恶意软件泄露的身份验证数据进行攻击，53%的人表示极度担心，不到1%的人承认他们根本不担心。

然而，许多企业仍然缺乏必要的工具来调查这些感染对安全和组织的影响，并有效地缓解后续攻击——98%的企业表示，更好地了解处于风险中的应用程序将显著改善其安全状况。

虽然对SSO和基于云的应用程序的被盗身份验证详细信息的可见性越来越高，但人类行为仍然困扰着IT安全团队。其中最容易被忽视的恶意软件入口包括：

• 57%的组织允许员工在个人设备和公司设备之间同步浏览器数据，使威胁行为者能够通过受感染的个人设备窃取员工凭据和其他用户身份验证数据，而不会被发现。

• 由于员工未经批准采用应用程序和系统，54%的组织与“影子IT”斗争，这不仅在可见性方面造成了缺口，而且在基本的安全控制和公司政策方面也造成了缺口。

• 36%的组织允许非管理的个人或共享设备访问业务应用程序和系统，这为脆弱设备访问敏感数据和资源打开了大门，并最大限度地减少了安全团队进行适当监控和补救所需的监督。

这些看似无害的行为可能会无意中使组织暴露于恶意软件和后续攻击中。根据研究显示，每次感染平均暴露26个业务应用程序的访问权限。

另一方面，在2023年上半年，研究人员发现，在所有重新捕获的恶意软件日志中，有20%在恶意软件成功执行时安装了防病毒程序。这些解决方案不仅不能防止攻击，而且还缺乏自动化能力来防止可能在事后使用的任何被盗数据。

在可见性和全面响应的斗争中，安全团队显然需要实施更强大、以身份为中心的感染后修复方法，在犯罪分子能够使用恶意软件泄露的数据进一步损害业务之前，对其进行阻止。

九、无文件攻击增加1400%

根据Aqua Security的蜜罐数据显示，在过去6个月里，超过50%的攻击集中在规避防御上。这些攻击包括伪装技术（例如从/tmp执行的文件）和混淆文件或信息（例如动态加载代码）。

此外，在5%的攻击中，威胁行为者使用了内存驻留恶意软件。与Aqua Nautilus之前在2022年的研究相比，无文件攻击增加了1400%。这清楚地表明，威胁行为者现在更多地关注规避检测的方法，以便在受损系统中建立更牢固的立足点。

云计算已经彻底改变了组织设计、开发、部署和管理其应用程序的方式。虽然这种现代方法带来了许多好处，如可扩展性、灵活性和敏捷性，但它也带来了固有的复杂性。随着向云原生架构的转变，攻击面已经显著扩大，引入了必须解决的新安全风险。

保护运行时环境至少需要一种监视方法，包括扫描已知的恶意文件和网络通信，然后阻止它们并在它们出现时发出警报。然而，这还不够。

更好的解决方案还包括监视暗示恶意行为的指示器或标记——例如，未授权访问敏感数据的尝试、在提升特权时试图隐藏进程以及向未知IP地址打开后门等行为。最后，在运行时环境中实现强大的保护措施，以确保数据和应用程序的安全并规避攻击是至关重要的。

十、网络勒索创历史新高

据Orange Cyberdefense称，网络勒索攻击近年来变得越来越普遍，对各种规模和行业的组织构成了重大威胁。

研究人员对6707家已确认的企业受害者的数据进行了分析，结果显示，不同国家和行业的受害者数量存在波动，攻击正在向新的地区扩展。虽然数据显示网络勒索受害者在2022年减少了8%，但这种减少是短暂的，因为最新数据显示2023年第一季度的数量是迄今为止最高的。

此外，网络勒索攻击的地域变化仍在继续，东南亚地区的网络勒索攻击数量同比显著增长（42%），其中印尼、新加坡、泰国、菲律宾和马来西亚受影响最大。与此同时，北美和欧洲等地区的受害者人数有所减少。