時(shí)至年關(guān)，全球網(wǎng)絡(luò )安全領(lǐng)導者Fortinet的FortiGuard Labs 全球威脅情報響應與研究團隊發(fā)布了《2022年全球網(wǎng)絡(luò )安全趨勢預測報告》。報告顯示，2022年將是網(wǎng)絡(luò )犯罪的高峰，勒索軟件數量將顯著(zhù)增長(cháng)，攻擊者的數量也將達到空前的程度。同時(shí)，勒索軟件攻擊也將迅速蔓延至整個(gè)攻擊面，勒索軟件威脅將無(wú)處不在。在這種形勢下，企業(yè)組織的IT團隊將面臨空前挑戰。

　　更具挑戰的是，越來(lái)越多的企業(yè)組織機構轉向現場(chǎng)和遠程混合辦公模式，并采用更多基于A(yíng)I（人工智能）和 ML（機器學(xué)習） 的技術(shù)，啟用更多新的連接形式，還將更多關(guān)鍵業(yè)務(wù)應用和設備部署到云中，使得攻擊面也隨之擴大。

　　如果借助MITRE ATT&CK 攻擊鏈模型來(lái)展示未來(lái)網(wǎng)絡(luò )威脅的發(fā)展，那么可以預測，在左側的“攻擊準備”階段，網(wǎng)絡(luò )犯罪分子極有可能會(huì )投入更多時(shí)間和精力來(lái)搜尋零日漏洞，并利用新的技術(shù)將攻擊擴展到更廣泛的網(wǎng)絡(luò )環(huán)境。

　　圖1：MITRE ATT&CK 機制的“左側”和“右側”

　　當然，除了“攻擊鏈左側發(fā)力”外，由于“勒索軟件即服務(wù)”等市場(chǎng)的擴大，攻擊鏈右側出現新的攻擊手法的速度也將顯著(zhù)增加。比如，除了販賣(mài)勒索軟件和其它惡意軟件即服務(wù)外，報告還發(fā)現了一些新的犯罪手法，包括網(wǎng)絡(luò )釣魚(yú)和僵尸網(wǎng)絡(luò )即服務(wù)，以及被感染目標訪(fǎng)問(wèn)權限交易數據的增加等。

　　總體來(lái)看，新型攻擊呈顯著(zhù)增加的態(tài)勢。企業(yè)組織甚至要為自身的Linux平臺做更多的防護，避免成為那些針對Linux平臺的新型攻擊的目標。一直以來(lái)，很多網(wǎng)絡(luò )后端系統仍在使用的Linux 系統很大程度上都被攻擊者忽視了，但是隨著(zhù)攻擊面的擴大，已經(jīng)有越來(lái)越多的針對 Linux 系統的新型攻擊，例如 Vermilion Strike，它是 Cobalt Strike 的 Beacon 功能的惡意實(shí)現，專(zhuān)門(mén)針對具有遠程訪(fǎng)問(wèn)功能的 Linux 系統進(jìn)行攻擊，還很難被檢測到的。

　　不僅如此，微軟也在積極地將 WSL（Windows Subsystem for Linux）集成到 Windows 11 中，這意味著(zhù)Linux 系統的普及程度將獲得暴漲，這必然會(huì )引起攻擊者的極大興趣。目前已經(jīng)出現了針對 WSL 的惡意測試文件，這些帶有惡意功能的文件被用作加載程序，只是這些文件目前還缺乏將惡意功能注入 WSL 系統的能力。此外，報告還發(fā)現了更多針對 Linux 平臺編寫(xiě)的僵尸網(wǎng)絡(luò )惡意軟件，這標志著(zhù)隨著(zhù)攻擊面的擴大，更多以前被網(wǎng)絡(luò )犯罪分子忽視的節點(diǎn)或者區域正在受到威脅。

　　根據預測，到明年就會(huì )出現針對衛星網(wǎng)絡(luò )漏洞的新型威脅，攻擊“上天”將成為可能。衛星基站作為衛星網(wǎng)絡(luò )的接入點(diǎn)，幾乎可以將任何地方的任何人（包括網(wǎng)絡(luò )犯罪分子）接入衛星網(wǎng)絡(luò )。目前已經(jīng)有六家主要的衛星互聯(lián)網(wǎng)提供商做好了服務(wù)用戶(hù)的準備，這也預示著(zhù)將會(huì )有數以百萬(wàn)計的終端只要能夠接入衛星網(wǎng)絡(luò )即可用來(lái)發(fā)動(dòng)攻擊，衛星網(wǎng)絡(luò )已經(jīng)危機四伏。事實(shí)上，網(wǎng)絡(luò )上已經(jīng)出現了針對衛星網(wǎng)絡(luò )的新型威脅，比如 ICARUS--一種概念驗證型 DDoS 攻擊，可以利用衛星網(wǎng)絡(luò )的全球直接可訪(fǎng)問(wèn)性從多個(gè)地點(diǎn)發(fā)起攻擊。

　　據預測，威脅的最大目標將會(huì )是依賴(lài)衛星網(wǎng)絡(luò )連接開(kāi)展業(yè)務(wù)的企業(yè)組織，以及向邊遠地區提供關(guān)鍵服務(wù)的企業(yè)組織，還有如游輪、貨船和商業(yè)航空公司等為移動(dòng)中的客戶(hù)提供服務(wù)的企業(yè)組織。諸如勒索軟件等針對衛星網(wǎng)絡(luò )的攻擊將隨之而來(lái)。

　　攻擊不僅能夠“上天”，還能“入地”--在最接“地氣”的用戶(hù)側，攻擊者針對加密錢(qián)包的數字盜竊也會(huì )增加。針對數字錢(qián)包的新型攻擊已經(jīng)出現：一種新型假冒的亞馬遜禮品卡生成器可以把受害者的錢(qián)包換成攻擊者的錢(qián)包。還有一種被稱(chēng)為ElectroRAT的攻擊，它則是通過(guò)將社交工程與自定義加密貨幣應用和一個(gè)新的遠程訪(fǎng)問(wèn)木馬 (RAT) 組合起來(lái)，可針對包括 Windows、Linux 和 MacOS 的多種操作系統。隨著(zhù)越來(lái)越多的企業(yè)采用數字錢(qián)包進(jìn)行交易，報告預計還會(huì )有更多專(zhuān)門(mén)用來(lái)針對儲存的加密憑證和盜竊數字錢(qián)包的惡意軟件。

　　到明年，攻擊可能將蔓延至整個(gè)網(wǎng)絡(luò )，尤其針對工控網(wǎng)絡(luò )系統的攻擊將顯著(zhù)增長(cháng)。據 CISA (美國網(wǎng)絡(luò )安全和基礎設施安全局) 最近的一份報告顯示，勒索軟件攻擊越來(lái)越多地針對關(guān)鍵基礎設施，對工控網(wǎng)絡(luò )資產(chǎn)和控制系統的威脅越來(lái)越大。隨著(zhù) IT 和 OT 網(wǎng)絡(luò )的融合，一些攻擊能夠通過(guò)被感染的遠程工作者的家庭網(wǎng)絡(luò )和設備作為跳板滲透進(jìn)入 OT 系統。

　　以往都是熟悉 ICS 和 SCADA 系統的高度專(zhuān)業(yè)化的攻擊者對 OT 系統進(jìn)行攻擊，但是現在那些針對工控網(wǎng)絡(luò )高度專(zhuān)業(yè)化的黑客工具已經(jīng)在暗網(wǎng)上售賣(mài)，使得越來(lái)越多不懂工控網(wǎng)絡(luò )的攻擊者也能購買(mǎi)并發(fā)起工控網(wǎng)絡(luò )攻擊。

　　而在網(wǎng)絡(luò )的“邊緣”，新的挑戰正在出現。比如，一種允許惡意軟件和威脅制造者利用被感染環(huán)境中現有工具集和功能進(jìn)行竊密和攻擊的技術(shù)出現了，它就是“就地潛伏”技術(shù)，這種技術(shù)使得攻擊和數據泄露看起來(lái)像正常的系統活動(dòng)，很難被注意到。現在隨著(zhù)邊緣設備性能越來(lái)越強，安裝了更多本地功能，也具備了更多的特權，報告預計會(huì )有更多“依靠邊緣設備潛伏”的新型攻擊產(chǎn)生。“潛伏”在這些邊緣環(huán)境中的惡意軟件會(huì )使用本地資源來(lái)監控邊緣活動(dòng)和數據，然后竊取、劫持甚至勒索關(guān)鍵系統、應用和信息，同時(shí)躲避檢測。

　　Fortinet認為防御這波新型威脅需要一個(gè)整體的、集成的安全方案。無(wú)論哪種場(chǎng)景，單點(diǎn)安全產(chǎn)品都應替換為專(zhuān)門(mén)用于協(xié)同組成統一解決方案的安全設備。它們需要支持全鏈路數據追蹤以及支持策略一致性來(lái)保護每個(gè)用戶(hù)、設備和應用。集中管理有助于確保策略執行的一致性，能夠統一實(shí)時(shí)的將配置和更新下發(fā)到每一個(gè)策略執行點(diǎn)，并能夠集中收集網(wǎng)絡(luò )中任何地方，包括云環(huán)境之外、之中等所有場(chǎng)景中發(fā)生的可疑事件，還要進(jìn)行關(guān)聯(lián)分析。

　　我們建議各個(gè)企業(yè)組織能夠進(jìn)一步加強他們的 Linux 和其它一些以前不太關(guān)注的設備的安全防御措施，同時(shí)，還應該準備好專(zhuān)用工具來(lái)保護、檢測和響應針對這些設備的威脅。各個(gè)企業(yè)組織在采用新技術(shù)時(shí)，無(wú)論是升級 Windows 系統還是采用衛星網(wǎng)絡(luò )連接，都需要采取一種“安全第一”的方案，來(lái)確保在將它們添加到網(wǎng)絡(luò )之前已經(jīng)做好安全保護。此外，企業(yè)組織還要部署行為分析來(lái)檢測攻擊鏈“左側”的新型威脅，因為在攻擊鏈的偵察和探測初期發(fā)現和阻止攻擊行為，將有助于提升威脅認知并防止在攻擊鏈后期出現問(wèn)題。

　　安全工具的選擇應基于企業(yè)組織在威脅前沿建立或惡意攻擊啟動(dòng)之前檢測和預防已知和未知威脅，實(shí)時(shí)響應攻擊的能力。為了提升威脅防御水平，企業(yè)組織需要在整個(gè)網(wǎng)絡(luò )中廣泛部署人工智能和機器學(xué)習功能，并設定正常網(wǎng)絡(luò )行為的基準，實(shí)時(shí)響應環(huán)境的變動(dòng)，在復雜威脅執行攻擊之前實(shí)現威脅檢測和阻斷。這些功能對關(guān)聯(lián)分析大量收集到的數據，以及檢測惡意行為也至關(guān)重要，包括使用模擬攻擊預測最有可能發(fā)生攻擊的位置并主動(dòng)加強相應防御。為了將傳統的被動(dòng)網(wǎng)絡(luò )安全轉為主動(dòng)防御系統，還可以考慮欺騙式防御等先進(jìn)技術(shù)。

　　綜合來(lái)看，網(wǎng)絡(luò )安全威脅還沒(méi)有放緩的跡象。如果您的網(wǎng)絡(luò )和安全工具現在還沒(méi)有準備好抵御下一代新型威脅，那么亟需盡快行動(dòng)。全面部署、深度協(xié)同和動(dòng)態(tài)智能，加上高性能和超可擴展性，是現在所有專(zhuān)門(mén)用于保護企業(yè)組織業(yè)務(wù)運營(yíng)方式的安全系統的標志。為了應對這些不斷演變的威脅，采用基于網(wǎng)絡(luò )安全網(wǎng)格架構的Fortinet Security Fabric 安全架構平臺是各個(gè)企業(yè)組織的不二之選。

　　https://www.fortinet.com/content/dam/maindam/PUBLIC/02_MARKETING/02_Collateral/WhitePaper/wp-threat-prediction-2022.pdf

　　（完）