導讀:報告顯示,2022年將是網(wǎng)絡犯罪的高峰,勒索軟件數(shù)量將顯著增長,攻擊者的數(shù)量也將達到空前的程度。同時,勒索軟件攻擊也將迅速蔓延至整個攻擊面,勒索軟件威脅將無處不在。
12月22日消息,全球網(wǎng)絡安全領導者Fortinet的FortiGuard Labs 全球威脅情報響應與研究團隊發(fā)布了《2022年全球網(wǎng)絡安全趨勢預測報告》。報告顯示,2022年將是網(wǎng)絡犯罪的高峰,勒索軟件數(shù)量將顯著增長,攻擊者的數(shù)量也將達到空前的程度。同時,勒索軟件攻擊也將迅速蔓延至整個攻擊面,勒索軟件威脅將無處不在。在這種形勢下,企業(yè)組織的IT團隊將面臨空前挑戰(zhàn)。
更具挑戰(zhàn)的是,越來越多的企業(yè)組織機構轉向現(xiàn)場和遠程混合辦公模式,并采用更多基于AI(人工智能)和 ML(機器學習) 的技術,啟用更多新的連接形式,還將更多關鍵業(yè)務應用和設備部署到云中,使得攻擊面也隨之擴大。
全攻擊鏈出現(xiàn)新型威脅
如果借助MITRE ATT&CK 攻擊鏈模型來展示未來網(wǎng)絡威脅的發(fā)展,那么可以預測,在左側的“攻擊準備”階段,網(wǎng)絡犯罪分子極有可能會投入更多時間和精力來搜尋零日漏洞,并利用新的技術將攻擊擴展到更廣泛的網(wǎng)絡環(huán)境。
圖1:MITRE A TT&CK機制的“左側”和“右側”
當然,除了“攻擊鏈左側發(fā)力”外,由于“勒索軟件即服務”等市場的擴大,攻擊鏈右側出現(xiàn)新的攻擊手法的速度也將顯著增加。比如,除了販賣勒索軟件和其它惡意軟件即服務外,報告還發(fā)現(xiàn)了一些新的犯罪手法,包括網(wǎng)絡釣魚和僵尸網(wǎng)絡即服務,以及被感染目標訪問權限交易數(shù)據(jù)的增加等。
總體來看,新型攻擊呈顯著增加的態(tài)勢。企業(yè)組織甚至要為自身的Linux平臺做更多的防護,避免成為那些針對Linux平臺的新型攻擊的目標。一直以來,很多網(wǎng)絡后端系統(tǒng)仍在使用的Linux 系統(tǒng)很大程度上都被攻擊者忽視了,但是隨著攻擊面的擴大,已經(jīng)有越來越多的針對 Linux 系統(tǒng)的新型攻擊,例如 Vermilion Strike,它是 Cobalt Strike 的 Beacon 功能的惡意實現(xiàn),專門針對具有遠程訪問功能的 Linux 系統(tǒng)進行攻擊,還很難被檢測到的。
不僅如此,微軟也在積極地將 WSL(Windows Subsystem for Linux)集成到 Windows 11 中,這意味著Linux 系統(tǒng)的普及程度將獲得暴漲,這必然會引起攻擊者的極大興趣。目前已經(jīng)出現(xiàn)了針對 WSL 的惡意測試文件,這些帶有惡意功能的文件被用作加載程序,只是這些文件目前還缺乏將惡意功能注入 WSL 系統(tǒng)的能力。此外,報告還發(fā)現(xiàn)了更多針對 Linux 平臺編寫的僵尸網(wǎng)絡惡意軟件,這標志著隨著攻擊面的擴大,更多以前被網(wǎng)絡犯罪分子忽視的節(jié)點或者區(qū)域正在受到威脅。
威脅“上天”還“入地”
根據(jù)預測,到明年就會出現(xiàn)針對衛(wèi)星網(wǎng)絡漏洞的新型威脅,攻擊“上天”將成為可能。衛(wèi)星基站作為衛(wèi)星網(wǎng)絡的接入點,幾乎可以將任何地方的任何人(包括網(wǎng)絡犯罪分子)接入衛(wèi)星網(wǎng)絡。目前已經(jīng)有六家主要的衛(wèi)星互聯(lián)網(wǎng)提供商做好了服務用戶的準備,這也預示著將會有數(shù)以百萬計的終端只要能夠接入衛(wèi)星網(wǎng)絡即可用來發(fā)動攻擊,衛(wèi)星網(wǎng)絡已經(jīng)危機四伏。事實上,網(wǎng)絡上已經(jīng)出現(xiàn)了針對衛(wèi)星網(wǎng)絡的新型威脅,比如 ICARUS——一種概念驗證型 DDoS 攻擊,可以利用衛(wèi)星網(wǎng)絡的全球直接可訪問性從多個地點發(fā)起攻擊。
據(jù)預測,威脅的最大目標將會是依賴衛(wèi)星網(wǎng)絡連接開展業(yè)務的企業(yè)組織,以及向邊遠地區(qū)提供關鍵服務的企業(yè)組織,還有如游輪、貨船和商業(yè)航空公司等為移動中的客戶提供服務的企業(yè)組織。諸如勒索軟件等針對衛(wèi)星網(wǎng)絡的攻擊將隨之而來。
攻擊不僅能夠“上天”,還能“入地”——在最接“地氣”的用戶側,攻擊者針對加密錢包的數(shù)字盜竊也會增加。針對數(shù)字錢包的新型攻擊已經(jīng)出現(xiàn):一種新型假冒的亞馬遜禮品卡生成器可以把受害者的錢包換成攻擊者的錢包。還有一種被稱為ElectroRAT的攻擊,它則是通過將社交工程與自定義加密貨幣應用和一個新的遠程訪問木馬 (RAT) 組合起來,可針對包括 Windows、Linux 和 MacOS 的多種操作系統(tǒng)。隨著越來越多的企業(yè)采用數(shù)字錢包進行交易,報告預計還會有更多專門用來針對儲存的加密憑證和盜竊數(shù)字錢包的惡意軟件。
威脅將蔓延至整個攻擊面
到明年,攻擊可能將蔓延至整個網(wǎng)絡,尤其針對工控網(wǎng)絡系統(tǒng)的攻擊將顯著增長。據(jù) CISA (美國網(wǎng)絡安全和基礎設施安全局) 最近的一份報告顯示,勒索軟件攻擊越來越多地針對關鍵基礎設施,對工控網(wǎng)絡資產(chǎn)和控制系統(tǒng)的威脅越來越大。隨著 IT 和 OT 網(wǎng)絡的融合,一些攻擊能夠通過被感染的遠程工作者的家庭網(wǎng)絡和設備作為跳板滲透進入 OT 系統(tǒng)。
以往都是熟悉 ICS 和 SCADA 系統(tǒng)的高度專業(yè)化的攻擊者對 OT 系統(tǒng)進行攻擊,但是現(xiàn)在那些針對工控網(wǎng)絡高度專業(yè)化的黑客工具已經(jīng)在暗網(wǎng)上售賣,使得越來越多不懂工控網(wǎng)絡的攻擊者也能購買并發(fā)起工控網(wǎng)絡攻擊。
而在網(wǎng)絡的“邊緣”,新的挑戰(zhàn)正在出現(xiàn)。比如,一種允許惡意軟件和威脅制造者利用被感染環(huán)境中現(xiàn)有工具集和功能進行竊密和攻擊的技術出現(xiàn)了,它就是“就地潛伏”技術,這種技術使得攻擊和數(shù)據(jù)泄露看起來像正常的系統(tǒng)活動,很難被注意到?,F(xiàn)在隨著邊緣設備性能越來越強,安裝了更多本地功能,也具備了更多的特權,報告預計會有更多“依靠邊緣設備潛伏”的新型攻擊產(chǎn)生?!皾摲痹谶@些邊緣環(huán)境中的惡意軟件會使用本地資源來監(jiān)控邊緣活動和數(shù)據(jù),然后竊取、劫持甚至勒索關鍵系統(tǒng)、應用和信息,同時躲避檢測。
Fortinet Security Fabric 安全架構平臺應對新型威脅
Fortinet認為防御這波新型威脅需要一個整體的、集成的安全方案。無論哪種場景,單點安全產(chǎn)品都應替換為專門用于協(xié)同組成統(tǒng)一解決方案的安全設備。它們需要支持全鏈路數(shù)據(jù)追蹤以及支持策略一致性來保護每個用戶、設備和應用。集中管理有助于確保策略執(zhí)行的一致性,能夠統(tǒng)一實時的將配置和更新下發(fā)到每一個策略執(zhí)行點,并能夠集中收集網(wǎng)絡中任何地方,包括云環(huán)境之外、之中等所有場景中發(fā)生的可疑事件,還要進行關聯(lián)分析。
我們建議各個企業(yè)組織能夠進一步加強他們的 Linux 和其它一些以前不太關注的設備的安全防御措施,同時,還應該準備好專用工具來保護、檢測和響應針對這些設備的威脅。各個企業(yè)組織在采用新技術時,無論是升級 Windows 系統(tǒng)還是采用衛(wèi)星網(wǎng)絡連接,都需要采取一種“安全第一”的方案,來確保在將它們添加到網(wǎng)絡之前已經(jīng)做好安全保護。此外,企業(yè)組織還要部署行為分析來檢測攻擊鏈“左側”的新型威脅,因為在攻擊鏈的偵察和探測初期發(fā)現(xiàn)和阻止攻擊行為,將有助于提升威脅認知并防止在攻擊鏈后期出現(xiàn)問題。
安全工具的選擇應基于企業(yè)組織在威脅前沿建立或惡意攻擊啟動之前檢測和預防已知和未知威脅,實時響應攻擊的能力。為了提升威脅防御水平,企業(yè)組織需要在整個網(wǎng)絡中廣泛部署人工智能和機器學習功能,并設定正常網(wǎng)絡行為的基準,實時響應環(huán)境的變動,在復雜威脅執(zhí)行攻擊之前實現(xiàn)威脅檢測和阻斷。這些功能對關聯(lián)分析大量收集到的數(shù)據(jù),以及檢測惡意行為也至關重要,包括使用模擬攻擊預測最有可能發(fā)生攻擊的位置并主動加強相應防御。為了將傳統(tǒng)的被動網(wǎng)絡安全轉為主動防御系統(tǒng),還可以考慮欺騙式防御等先進技術。