技術(shù)
導(dǎo)讀:報(bào)告顯示,2022年將是網(wǎng)絡(luò)犯罪的高峰,勒索軟件數(shù)量將顯著增長(zhǎng),攻擊者的數(shù)量也將達(dá)到空前的程度。同時(shí),勒索軟件攻擊也將迅速蔓延至整個(gè)攻擊面,勒索軟件威脅將無(wú)處不在。
12月22日消息,全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者Fortinet的FortiGuard Labs 全球威脅情報(bào)響應(yīng)與研究團(tuán)隊(duì)發(fā)布了《2022年全球網(wǎng)絡(luò)安全趨勢(shì)預(yù)測(cè)報(bào)告》。報(bào)告顯示,2022年將是網(wǎng)絡(luò)犯罪的高峰,勒索軟件數(shù)量將顯著增長(zhǎng),攻擊者的數(shù)量也將達(dá)到空前的程度。同時(shí),勒索軟件攻擊也將迅速蔓延至整個(gè)攻擊面,勒索軟件威脅將無(wú)處不在。在這種形勢(shì)下,企業(yè)組織的IT團(tuán)隊(duì)將面臨空前挑戰(zhàn)。
更具挑戰(zhàn)的是,越來(lái)越多的企業(yè)組織機(jī)構(gòu)轉(zhuǎn)向現(xiàn)場(chǎng)和遠(yuǎn)程混合辦公模式,并采用更多基于AI(人工智能)和 ML(機(jī)器學(xué)習(xí)) 的技術(shù),啟用更多新的連接形式,還將更多關(guān)鍵業(yè)務(wù)應(yīng)用和設(shè)備部署到云中,使得攻擊面也隨之?dāng)U大。
全攻擊鏈出現(xiàn)新型威脅
如果借助MITRE ATT&CK 攻擊鏈模型來(lái)展示未來(lái)網(wǎng)絡(luò)威脅的發(fā)展,那么可以預(yù)測(cè),在左側(cè)的“攻擊準(zhǔn)備”階段,網(wǎng)絡(luò)犯罪分子極有可能會(huì)投入更多時(shí)間和精力來(lái)搜尋零日漏洞,并利用新的技術(shù)將攻擊擴(kuò)展到更廣泛的網(wǎng)絡(luò)環(huán)境。
圖1:MITRE A TT&CK機(jī)制的“左側(cè)”和“右側(cè)”
當(dāng)然,除了“攻擊鏈左側(cè)發(fā)力”外,由于“勒索軟件即服務(wù)”等市場(chǎng)的擴(kuò)大,攻擊鏈右側(cè)出現(xiàn)新的攻擊手法的速度也將顯著增加。比如,除了販賣勒索軟件和其它惡意軟件即服務(wù)外,報(bào)告還發(fā)現(xiàn)了一些新的犯罪手法,包括網(wǎng)絡(luò)釣魚和僵尸網(wǎng)絡(luò)即服務(wù),以及被感染目標(biāo)訪問(wèn)權(quán)限交易數(shù)據(jù)的增加等。
總體來(lái)看,新型攻擊呈顯著增加的態(tài)勢(shì)。企業(yè)組織甚至要為自身的Linux平臺(tái)做更多的防護(hù),避免成為那些針對(duì)Linux平臺(tái)的新型攻擊的目標(biāo)。一直以來(lái),很多網(wǎng)絡(luò)后端系統(tǒng)仍在使用的Linux 系統(tǒng)很大程度上都被攻擊者忽視了,但是隨著攻擊面的擴(kuò)大,已經(jīng)有越來(lái)越多的針對(duì) Linux 系統(tǒng)的新型攻擊,例如 Vermilion Strike,它是 Cobalt Strike 的 Beacon 功能的惡意實(shí)現(xiàn),專門針對(duì)具有遠(yuǎn)程訪問(wèn)功能的 Linux 系統(tǒng)進(jìn)行攻擊,還很難被檢測(cè)到的。
不僅如此,微軟也在積極地將 WSL(Windows Subsystem for Linux)集成到 Windows 11 中,這意味著Linux 系統(tǒng)的普及程度將獲得暴漲,這必然會(huì)引起攻擊者的極大興趣。目前已經(jīng)出現(xiàn)了針對(duì) WSL 的惡意測(cè)試文件,這些帶有惡意功能的文件被用作加載程序,只是這些文件目前還缺乏將惡意功能注入 WSL 系統(tǒng)的能力。此外,報(bào)告還發(fā)現(xiàn)了更多針對(duì) Linux 平臺(tái)編寫的僵尸網(wǎng)絡(luò)惡意軟件,這標(biāo)志著隨著攻擊面的擴(kuò)大,更多以前被網(wǎng)絡(luò)犯罪分子忽視的節(jié)點(diǎn)或者區(qū)域正在受到威脅。
威脅“上天”還“入地”
根據(jù)預(yù)測(cè),到明年就會(huì)出現(xiàn)針對(duì)衛(wèi)星網(wǎng)絡(luò)漏洞的新型威脅,攻擊“上天”將成為可能。衛(wèi)星基站作為衛(wèi)星網(wǎng)絡(luò)的接入點(diǎn),幾乎可以將任何地方的任何人(包括網(wǎng)絡(luò)犯罪分子)接入衛(wèi)星網(wǎng)絡(luò)。目前已經(jīng)有六家主要的衛(wèi)星互聯(lián)網(wǎng)提供商做好了服務(wù)用戶的準(zhǔn)備,這也預(yù)示著將會(huì)有數(shù)以百萬(wàn)計(jì)的終端只要能夠接入衛(wèi)星網(wǎng)絡(luò)即可用來(lái)發(fā)動(dòng)攻擊,衛(wèi)星網(wǎng)絡(luò)已經(jīng)危機(jī)四伏。事實(shí)上,網(wǎng)絡(luò)上已經(jīng)出現(xiàn)了針對(duì)衛(wèi)星網(wǎng)絡(luò)的新型威脅,比如 ICARUS——一種概念驗(yàn)證型 DDoS 攻擊,可以利用衛(wèi)星網(wǎng)絡(luò)的全球直接可訪問(wèn)性從多個(gè)地點(diǎn)發(fā)起攻擊。
據(jù)預(yù)測(cè),威脅的最大目標(biāo)將會(huì)是依賴衛(wèi)星網(wǎng)絡(luò)連接開展業(yè)務(wù)的企業(yè)組織,以及向邊遠(yuǎn)地區(qū)提供關(guān)鍵服務(wù)的企業(yè)組織,還有如游輪、貨船和商業(yè)航空公司等為移動(dòng)中的客戶提供服務(wù)的企業(yè)組織。諸如勒索軟件等針對(duì)衛(wèi)星網(wǎng)絡(luò)的攻擊將隨之而來(lái)。
攻擊不僅能夠“上天”,還能“入地”——在最接“地氣”的用戶側(cè),攻擊者針對(duì)加密錢包的數(shù)字盜竊也會(huì)增加。針對(duì)數(shù)字錢包的新型攻擊已經(jīng)出現(xiàn):一種新型假冒的亞馬遜禮品卡生成器可以把受害者的錢包換成攻擊者的錢包。還有一種被稱為ElectroRAT的攻擊,它則是通過(guò)將社交工程與自定義加密貨幣應(yīng)用和一個(gè)新的遠(yuǎn)程訪問(wèn)木馬 (RAT) 組合起來(lái),可針對(duì)包括 Windows、Linux 和 MacOS 的多種操作系統(tǒng)。隨著越來(lái)越多的企業(yè)采用數(shù)字錢包進(jìn)行交易,報(bào)告預(yù)計(jì)還會(huì)有更多專門用來(lái)針對(duì)儲(chǔ)存的加密憑證和盜竊數(shù)字錢包的惡意軟件。
威脅將蔓延至整個(gè)攻擊面
到明年,攻擊可能將蔓延至整個(gè)網(wǎng)絡(luò),尤其針對(duì)工控網(wǎng)絡(luò)系統(tǒng)的攻擊將顯著增長(zhǎng)。據(jù) CISA (美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局) 最近的一份報(bào)告顯示,勒索軟件攻擊越來(lái)越多地針對(duì)關(guān)鍵基礎(chǔ)設(shè)施,對(duì)工控網(wǎng)絡(luò)資產(chǎn)和控制系統(tǒng)的威脅越來(lái)越大。隨著 IT 和 OT 網(wǎng)絡(luò)的融合,一些攻擊能夠通過(guò)被感染的遠(yuǎn)程工作者的家庭網(wǎng)絡(luò)和設(shè)備作為跳板滲透進(jìn)入 OT 系統(tǒng)。
以往都是熟悉 ICS 和 SCADA 系統(tǒng)的高度專業(yè)化的攻擊者對(duì) OT 系統(tǒng)進(jìn)行攻擊,但是現(xiàn)在那些針對(duì)工控網(wǎng)絡(luò)高度專業(yè)化的黑客工具已經(jīng)在暗網(wǎng)上售賣,使得越來(lái)越多不懂工控網(wǎng)絡(luò)的攻擊者也能購(gòu)買并發(fā)起工控網(wǎng)絡(luò)攻擊。
而在網(wǎng)絡(luò)的“邊緣”,新的挑戰(zhàn)正在出現(xiàn)。比如,一種允許惡意軟件和威脅制造者利用被感染環(huán)境中現(xiàn)有工具集和功能進(jìn)行竊密和攻擊的技術(shù)出現(xiàn)了,它就是“就地潛伏”技術(shù),這種技術(shù)使得攻擊和數(shù)據(jù)泄露看起來(lái)像正常的系統(tǒng)活動(dòng),很難被注意到?,F(xiàn)在隨著邊緣設(shè)備性能越來(lái)越強(qiáng),安裝了更多本地功能,也具備了更多的特權(quán),報(bào)告預(yù)計(jì)會(huì)有更多“依靠邊緣設(shè)備潛伏”的新型攻擊產(chǎn)生?!皾摲痹谶@些邊緣環(huán)境中的惡意軟件會(huì)使用本地資源來(lái)監(jiān)控邊緣活動(dòng)和數(shù)據(jù),然后竊取、劫持甚至勒索關(guān)鍵系統(tǒng)、應(yīng)用和信息,同時(shí)躲避檢測(cè)。
Fortinet Security Fabric 安全架構(gòu)平臺(tái)應(yīng)對(duì)新型威脅
Fortinet認(rèn)為防御這波新型威脅需要一個(gè)整體的、集成的安全方案。無(wú)論哪種場(chǎng)景,單點(diǎn)安全產(chǎn)品都應(yīng)替換為專門用于協(xié)同組成統(tǒng)一解決方案的安全設(shè)備。它們需要支持全鏈路數(shù)據(jù)追蹤以及支持策略一致性來(lái)保護(hù)每個(gè)用戶、設(shè)備和應(yīng)用。集中管理有助于確保策略執(zhí)行的一致性,能夠統(tǒng)一實(shí)時(shí)的將配置和更新下發(fā)到每一個(gè)策略執(zhí)行點(diǎn),并能夠集中收集網(wǎng)絡(luò)中任何地方,包括云環(huán)境之外、之中等所有場(chǎng)景中發(fā)生的可疑事件,還要進(jìn)行關(guān)聯(lián)分析。
我們建議各個(gè)企業(yè)組織能夠進(jìn)一步加強(qiáng)他們的 Linux 和其它一些以前不太關(guān)注的設(shè)備的安全防御措施,同時(shí),還應(yīng)該準(zhǔn)備好專用工具來(lái)保護(hù)、檢測(cè)和響應(yīng)針對(duì)這些設(shè)備的威脅。各個(gè)企業(yè)組織在采用新技術(shù)時(shí),無(wú)論是升級(jí) Windows 系統(tǒng)還是采用衛(wèi)星網(wǎng)絡(luò)連接,都需要采取一種“安全第一”的方案,來(lái)確保在將它們添加到網(wǎng)絡(luò)之前已經(jīng)做好安全保護(hù)。此外,企業(yè)組織還要部署行為分析來(lái)檢測(cè)攻擊鏈“左側(cè)”的新型威脅,因?yàn)樵诠翩湹膫刹旌吞綔y(cè)初期發(fā)現(xiàn)和阻止攻擊行為,將有助于提升威脅認(rèn)知并防止在攻擊鏈后期出現(xiàn)問(wèn)題。
安全工具的選擇應(yīng)基于企業(yè)組織在威脅前沿建立或惡意攻擊啟動(dòng)之前檢測(cè)和預(yù)防已知和未知威脅,實(shí)時(shí)響應(yīng)攻擊的能力。為了提升威脅防御水平,企業(yè)組織需要在整個(gè)網(wǎng)絡(luò)中廣泛部署人工智能和機(jī)器學(xué)習(xí)功能,并設(shè)定正常網(wǎng)絡(luò)行為的基準(zhǔn),實(shí)時(shí)響應(yīng)環(huán)境的變動(dòng),在復(fù)雜威脅執(zhí)行攻擊之前實(shí)現(xiàn)威脅檢測(cè)和阻斷。這些功能對(duì)關(guān)聯(lián)分析大量收集到的數(shù)據(jù),以及檢測(cè)惡意行為也至關(guān)重要,包括使用模擬攻擊預(yù)測(cè)最有可能發(fā)生攻擊的位置并主動(dòng)加強(qiáng)相應(yīng)防御。為了將傳統(tǒng)的被動(dòng)網(wǎng)絡(luò)安全轉(zhuǎn)為主動(dòng)防御系統(tǒng),還可以考慮欺騙式防御等先進(jìn)技術(shù)。