技術(shù)
導(dǎo)讀:報(bào)告顯示,2022年將是網(wǎng)絡(luò)犯罪的高峰,勒索軟件數(shù)量將顯著增長(zhǎng),攻擊者的數(shù)量也將達(dá)到空前的程度。同時(shí),勒索軟件攻擊也將迅速蔓延至整個(gè)攻擊面,勒索軟件威脅將無(wú)處不在。
12月22日消息,全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者Fortinet的FortiGuard Labs 全球威脅情報(bào)響應(yīng)與研究團(tuán)隊(duì)發(fā)布了《2022年全球網(wǎng)絡(luò)安全趨勢(shì)預(yù)測(cè)報(bào)告》。報(bào)告顯示,2022年將是網(wǎng)絡(luò)犯罪的高峰,勒索軟件數(shù)量將顯著增長(zhǎng),攻擊者的數(shù)量也將達(dá)到空前的程度。同時(shí),勒索軟件攻擊也將迅速蔓延至整個(gè)攻擊面,勒索軟件威脅將無(wú)處不在。在這種形勢(shì)下,企業(yè)組織的IT團(tuán)隊(duì)將面臨空前挑戰(zhàn)。
更具挑戰(zhàn)的是,越來(lái)越多的企業(yè)組織機(jī)構(gòu)轉(zhuǎn)向現(xiàn)場(chǎng)和遠(yuǎn)程混合辦公模式,并采用更多基于AI(人工智能)和 ML(機(jī)器學(xué)習(xí)) 的技術(shù),啟用更多新的連接形式,還將更多關(guān)鍵業(yè)務(wù)應(yīng)用和設(shè)備部署到云中,使得攻擊面也隨之?dāng)U大。
全攻擊鏈出現(xiàn)新型威脅
如果借助MITRE ATT&CK 攻擊鏈模型來(lái)展示未來(lái)網(wǎng)絡(luò)威脅的發(fā)展,那么可以預(yù)測(cè),在左側(cè)的“攻擊準(zhǔn)備”階段,網(wǎng)絡(luò)犯罪分子極有可能會(huì)投入更多時(shí)間和精力來(lái)搜尋零日漏洞,并利用新的技術(shù)將攻擊擴(kuò)展到更廣泛的網(wǎng)絡(luò)環(huán)境。
圖1:MITRE A TT&CK機(jī)制的“左側(cè)”和“右側(cè)”
當(dāng)然,除了“攻擊鏈左側(cè)發(fā)力”外,由于“勒索軟件即服務(wù)”等市場(chǎng)的擴(kuò)大,攻擊鏈右側(cè)出現(xiàn)新的攻擊手法的速度也將顯著增加。比如,除了販賣(mài)勒索軟件和其它惡意軟件即服務(wù)外,報(bào)告還發(fā)現(xiàn)了一些新的犯罪手法,包括網(wǎng)絡(luò)釣魚(yú)和僵尸網(wǎng)絡(luò)即服務(wù),以及被感染目標(biāo)訪問(wèn)權(quán)限交易數(shù)據(jù)的增加等。
總體來(lái)看,新型攻擊呈顯著增加的態(tài)勢(shì)。企業(yè)組織甚至要為自身的Linux平臺(tái)做更多的防護(hù),避免成為那些針對(duì)Linux平臺(tái)的新型攻擊的目標(biāo)。一直以來(lái),很多網(wǎng)絡(luò)后端系統(tǒng)仍在使用的Linux 系統(tǒng)很大程度上都被攻擊者忽視了,但是隨著攻擊面的擴(kuò)大,已經(jīng)有越來(lái)越多的針對(duì) Linux 系統(tǒng)的新型攻擊,例如 Vermilion Strike,它是 Cobalt Strike 的 Beacon 功能的惡意實(shí)現(xiàn),專(zhuān)門(mén)針對(duì)具有遠(yuǎn)程訪問(wèn)功能的 Linux 系統(tǒng)進(jìn)行攻擊,還很難被檢測(cè)到的。
不僅如此,微軟也在積極地將 WSL(Windows Subsystem for Linux)集成到 Windows 11 中,這意味著Linux 系統(tǒng)的普及程度將獲得暴漲,這必然會(huì)引起攻擊者的極大興趣。目前已經(jīng)出現(xiàn)了針對(duì) WSL 的惡意測(cè)試文件,這些帶有惡意功能的文件被用作加載程序,只是這些文件目前還缺乏將惡意功能注入 WSL 系統(tǒng)的能力。此外,報(bào)告還發(fā)現(xiàn)了更多針對(duì) Linux 平臺(tái)編寫(xiě)的僵尸網(wǎng)絡(luò)惡意軟件,這標(biāo)志著隨著攻擊面的擴(kuò)大,更多以前被網(wǎng)絡(luò)犯罪分子忽視的節(jié)點(diǎn)或者區(qū)域正在受到威脅。
威脅“上天”還“入地”
根據(jù)預(yù)測(cè),到明年就會(huì)出現(xiàn)針對(duì)衛(wèi)星網(wǎng)絡(luò)漏洞的新型威脅,攻擊“上天”將成為可能。衛(wèi)星基站作為衛(wèi)星網(wǎng)絡(luò)的接入點(diǎn),幾乎可以將任何地方的任何人(包括網(wǎng)絡(luò)犯罪分子)接入衛(wèi)星網(wǎng)絡(luò)。目前已經(jīng)有六家主要的衛(wèi)星互聯(lián)網(wǎng)提供商做好了服務(wù)用戶的準(zhǔn)備,這也預(yù)示著將會(huì)有數(shù)以百萬(wàn)計(jì)的終端只要能夠接入衛(wèi)星網(wǎng)絡(luò)即可用來(lái)發(fā)動(dòng)攻擊,衛(wèi)星網(wǎng)絡(luò)已經(jīng)危機(jī)四伏。事實(shí)上,網(wǎng)絡(luò)上已經(jīng)出現(xiàn)了針對(duì)衛(wèi)星網(wǎng)絡(luò)的新型威脅,比如 ICARUS——一種概念驗(yàn)證型 DDoS 攻擊,可以利用衛(wèi)星網(wǎng)絡(luò)的全球直接可訪問(wèn)性從多個(gè)地點(diǎn)發(fā)起攻擊。
據(jù)預(yù)測(cè),威脅的最大目標(biāo)將會(huì)是依賴衛(wèi)星網(wǎng)絡(luò)連接開(kāi)展業(yè)務(wù)的企業(yè)組織,以及向邊遠(yuǎn)地區(qū)提供關(guān)鍵服務(wù)的企業(yè)組織,還有如游輪、貨船和商業(yè)航空公司等為移動(dòng)中的客戶提供服務(wù)的企業(yè)組織。諸如勒索軟件等針對(duì)衛(wèi)星網(wǎng)絡(luò)的攻擊將隨之而來(lái)。
攻擊不僅能夠“上天”,還能“入地”——在最接“地氣”的用戶側(cè),攻擊者針對(duì)加密錢(qián)包的數(shù)字盜竊也會(huì)增加。針對(duì)數(shù)字錢(qián)包的新型攻擊已經(jīng)出現(xiàn):一種新型假冒的亞馬遜禮品卡生成器可以把受害者的錢(qián)包換成攻擊者的錢(qián)包。還有一種被稱(chēng)為ElectroRAT的攻擊,它則是通過(guò)將社交工程與自定義加密貨幣應(yīng)用和一個(gè)新的遠(yuǎn)程訪問(wèn)木馬 (RAT) 組合起來(lái),可針對(duì)包括 Windows、Linux 和 MacOS 的多種操作系統(tǒng)。隨著越來(lái)越多的企業(yè)采用數(shù)字錢(qián)包進(jìn)行交易,報(bào)告預(yù)計(jì)還會(huì)有更多專(zhuān)門(mén)用來(lái)針對(duì)儲(chǔ)存的加密憑證和盜竊數(shù)字錢(qián)包的惡意軟件。
威脅將蔓延至整個(gè)攻擊面
到明年,攻擊可能將蔓延至整個(gè)網(wǎng)絡(luò),尤其針對(duì)工控網(wǎng)絡(luò)系統(tǒng)的攻擊將顯著增長(zhǎng)。據(jù) CISA (美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局) 最近的一份報(bào)告顯示,勒索軟件攻擊越來(lái)越多地針對(duì)關(guān)鍵基礎(chǔ)設(shè)施,對(duì)工控網(wǎng)絡(luò)資產(chǎn)和控制系統(tǒng)的威脅越來(lái)越大。隨著 IT 和 OT 網(wǎng)絡(luò)的融合,一些攻擊能夠通過(guò)被感染的遠(yuǎn)程工作者的家庭網(wǎng)絡(luò)和設(shè)備作為跳板滲透進(jìn)入 OT 系統(tǒng)。
以往都是熟悉 ICS 和 SCADA 系統(tǒng)的高度專(zhuān)業(yè)化的攻擊者對(duì) OT 系統(tǒng)進(jìn)行攻擊,但是現(xiàn)在那些針對(duì)工控網(wǎng)絡(luò)高度專(zhuān)業(yè)化的黑客工具已經(jīng)在暗網(wǎng)上售賣(mài),使得越來(lái)越多不懂工控網(wǎng)絡(luò)的攻擊者也能購(gòu)買(mǎi)并發(fā)起工控網(wǎng)絡(luò)攻擊。
而在網(wǎng)絡(luò)的“邊緣”,新的挑戰(zhàn)正在出現(xiàn)。比如,一種允許惡意軟件和威脅制造者利用被感染環(huán)境中現(xiàn)有工具集和功能進(jìn)行竊密和攻擊的技術(shù)出現(xiàn)了,它就是“就地潛伏”技術(shù),這種技術(shù)使得攻擊和數(shù)據(jù)泄露看起來(lái)像正常的系統(tǒng)活動(dòng),很難被注意到?,F(xiàn)在隨著邊緣設(shè)備性能越來(lái)越強(qiáng),安裝了更多本地功能,也具備了更多的特權(quán),報(bào)告預(yù)計(jì)會(huì)有更多“依靠邊緣設(shè)備潛伏”的新型攻擊產(chǎn)生。“潛伏”在這些邊緣環(huán)境中的惡意軟件會(huì)使用本地資源來(lái)監(jiān)控邊緣活動(dòng)和數(shù)據(jù),然后竊取、劫持甚至勒索關(guān)鍵系統(tǒng)、應(yīng)用和信息,同時(shí)躲避檢測(cè)。
Fortinet Security Fabric 安全架構(gòu)平臺(tái)應(yīng)對(duì)新型威脅
Fortinet認(rèn)為防御這波新型威脅需要一個(gè)整體的、集成的安全方案。無(wú)論哪種場(chǎng)景,單點(diǎn)安全產(chǎn)品都應(yīng)替換為專(zhuān)門(mén)用于協(xié)同組成統(tǒng)一解決方案的安全設(shè)備。它們需要支持全鏈路數(shù)據(jù)追蹤以及支持策略一致性來(lái)保護(hù)每個(gè)用戶、設(shè)備和應(yīng)用。集中管理有助于確保策略執(zhí)行的一致性,能夠統(tǒng)一實(shí)時(shí)的將配置和更新下發(fā)到每一個(gè)策略執(zhí)行點(diǎn),并能夠集中收集網(wǎng)絡(luò)中任何地方,包括云環(huán)境之外、之中等所有場(chǎng)景中發(fā)生的可疑事件,還要進(jìn)行關(guān)聯(lián)分析。
我們建議各個(gè)企業(yè)組織能夠進(jìn)一步加強(qiáng)他們的 Linux 和其它一些以前不太關(guān)注的設(shè)備的安全防御措施,同時(shí),還應(yīng)該準(zhǔn)備好專(zhuān)用工具來(lái)保護(hù)、檢測(cè)和響應(yīng)針對(duì)這些設(shè)備的威脅。各個(gè)企業(yè)組織在采用新技術(shù)時(shí),無(wú)論是升級(jí) Windows 系統(tǒng)還是采用衛(wèi)星網(wǎng)絡(luò)連接,都需要采取一種“安全第一”的方案,來(lái)確保在將它們添加到網(wǎng)絡(luò)之前已經(jīng)做好安全保護(hù)。此外,企業(yè)組織還要部署行為分析來(lái)檢測(cè)攻擊鏈“左側(cè)”的新型威脅,因?yàn)樵诠翩湹膫刹旌吞綔y(cè)初期發(fā)現(xiàn)和阻止攻擊行為,將有助于提升威脅認(rèn)知并防止在攻擊鏈后期出現(xiàn)問(wèn)題。
安全工具的選擇應(yīng)基于企業(yè)組織在威脅前沿建立或惡意攻擊啟動(dòng)之前檢測(cè)和預(yù)防已知和未知威脅,實(shí)時(shí)響應(yīng)攻擊的能力。為了提升威脅防御水平,企業(yè)組織需要在整個(gè)網(wǎng)絡(luò)中廣泛部署人工智能和機(jī)器學(xué)習(xí)功能,并設(shè)定正常網(wǎng)絡(luò)行為的基準(zhǔn),實(shí)時(shí)響應(yīng)環(huán)境的變動(dòng),在復(fù)雜威脅執(zhí)行攻擊之前實(shí)現(xiàn)威脅檢測(cè)和阻斷。這些功能對(duì)關(guān)聯(lián)分析大量收集到的數(shù)據(jù),以及檢測(cè)惡意行為也至關(guān)重要,包括使用模擬攻擊預(yù)測(cè)最有可能發(fā)生攻擊的位置并主動(dòng)加強(qiáng)相應(yīng)防御。為了將傳統(tǒng)的被動(dòng)網(wǎng)絡(luò)安全轉(zhuǎn)為主動(dòng)防御系統(tǒng),還可以考慮欺騙式防御等先進(jìn)技術(shù)。