更具挑戰的是,越來越多的企業組織機構轉向現場和遠程混合辦公模式,并采用更多基于AI(人工智能)和 ML(機器學習) 的技術,啟用更多新的連接形式,還將更多關鍵業務應用和設備部署到云中,使得攻擊面也隨之擴大。
全攻擊鏈出現新型威脅
如果借助MITRE ATT&CK 攻擊鏈模型來展示未來網絡威脅的發展,那么可以預測,在左側的“攻擊準備”階段,網絡犯罪分子極有可能會投入更多時間和精力來搜尋零日漏洞,并利用新的技術將攻擊擴展到更廣泛的網絡環境。
圖1:MITRE ATT&CK 機制的“左側”和“右側”
當然,除了“攻擊鏈左側發力”外,由于“勒索軟件即服務”等市場的擴大,攻擊鏈右側出現新的攻擊手法的速度也將顯著增加。比如,除了販賣勒索軟件和其它惡意軟件即服務外,報告還發現了一些新的犯罪手法,包括網絡釣魚和僵尸網絡即服務,以及被感染目標訪問權限交易數據的增加等。
總體來看,新型攻擊呈顯著增加的態勢。企業組織甚至要為自身的Linux平臺做更多的防護,避免成為那些針對Linux平臺的新型攻擊的目標。一直以來,很多網絡后端系統仍在使用的Linux 系統很大程度上都被攻擊者忽視了,但是隨著攻擊面的擴大,已經有越來越多的針對 Linux 系統的新型攻擊,例如 Vermilion Strike,它是 Cobalt Strike 的 Beacon 功能的惡意實現,專門針對具有遠程訪問功能的 Linux 系統進行攻擊,還很難被檢測到的。
不僅如此,微軟也在積極地將 WSL(Windows Subsystem for Linux)集成到 Windows 11 中,這意味著Linux 系統的普及程度將獲得暴漲,這必然會引起攻擊者的極大興趣。目前已經出現了針對 WSL 的惡意測試文件,這些帶有惡意功能的文件被用作加載程序,只是這些文件目前還缺乏將惡意功能注入 WSL 系統的能力。此外,報告還發現了更多針對 Linux 平臺編寫的僵尸網絡惡意軟件,這標志著隨著攻擊面的擴大,更多以前被網絡犯罪分子忽視的節點或者區域正在受到威脅。
威脅“上天”還“入地”
根據預測,到明年就會出現針對衛星網絡漏洞的新型威脅,攻擊“上天”將成為可能。衛星基站作為衛星網絡的接入點,幾乎可以將任何地方的任何人(包括網絡犯罪分子)接入衛星網絡。目前已經有六家主要的衛星互聯網提供商做好了服務用戶的準備,這也預示著將會有數以百萬計的終端只要能夠接入衛星網絡即可用來發動攻擊,衛星網絡已經危機四伏。事實上,網絡上已經出現了針對衛星網絡的新型威脅,比如 ICARUS——一種概念驗證型 DDoS 攻擊,可以利用衛星網絡的全球直接可訪問性從多個地點發起攻擊。
據預測,威脅的最大目標將會是依賴衛星網絡連接開展業務的企業組織,以及向邊遠地區提供關鍵服務的企業組織,還有如游輪、貨船和商業航空公司等為移動中的客戶提供服務的企業組織。諸如勒索軟件等針對衛星網絡的攻擊將隨之而來。
攻擊不僅能夠“上天”,還能“入地”——在最接“地氣”的用戶側,攻擊者針對加密錢包的數字盜竊也會增加。針對數字錢包的新型攻擊已經出現:一種新型假冒的亞馬遜禮品卡生成器可以把受害者的錢包換成攻擊者的錢包。還有一種被稱為ElectroRAT的攻擊,它則是通過將社交工程與自定義加密貨幣應用和一個新的遠程訪問木馬 (RAT) 組合起來,可針對包括 Windows、Linux 和 MacOS 的多種操作系統。隨著越來越多的企業采用數字錢包進行交易,報告預計還會有更多專門用來針對儲存的加密憑證和盜竊數字錢包的惡意軟件。
威脅將蔓延至整個攻擊面
到明年,攻擊可能將蔓延至整個網絡,尤其針對工控網絡系統的攻擊將顯著增長。據 CISA (美國網絡安全和基礎設施安全局) 最近的一份報告顯示,勒索軟件攻擊越來越多地針對關鍵基礎設施,對工控網絡資產和控制系統的威脅越來越大。隨著 IT 和 OT 網絡的融合,一些攻擊能夠通過被感染的遠程工作者的家庭網絡和設備作為跳板滲透進入 OT 系統。
以往都是熟悉 ICS 和 SCADA 系統的高度專業化的攻擊者對 OT 系統進行攻擊,但是現在那些針對工控網絡高度專業化的黑客工具已經在暗網上售賣,使得越來越多不懂工控網絡的攻擊者也能購買并發起工控網絡攻擊。
而在網絡的“邊緣”,新的挑戰正在出現。比如,一種允許惡意軟件和威脅制造者利用被感染環境中現有工具集和功能進行竊密和攻擊的技術出現了,它就是“就地潛伏”技術,這種技術使得攻擊和數據泄露看起來像正常的系統活動,很難被注意到。現在隨著邊緣設備性能越來越強,安裝了更多本地功能,也具備了更多的特權,報告預計會有更多“依靠邊緣設備潛伏”的新型攻擊產生。“潛伏”在這些邊緣環境中的惡意軟件會使用本地資源來監控邊緣活動和數據,然后竊取、劫持甚至勒索關鍵系統、應用和信息,同時躲避檢測。
Fortinet Security Fabric 安全架構平臺應對新型威脅
Fortinet認為防御這波新型威脅需要一個整體的、集成的安全方案。無論哪種場景,單點安全產品都應替換為專門用于協同組成統一解決方案的安全設備。它們需要支持全鏈路數據追蹤以及支持策略一致性來保護每個用戶、設備和應用。集中管理有助于確保策略執行的一致性,能夠統一實時的將配置和更新下發到每一個策略執行點,并能夠集中收集網絡中任何地方,包括云環境之外、之中等所有場景中發生的可疑事件,還要進行關聯分析。
我們建議各個企業組織能夠進一步加強他們的 Linux 和其它一些以前不太關注的設備的安全防御措施,同時,還應該準備好專用工具來保護、檢測和響應針對這些設備的威脅。各個企業組織在采用新技術時,無論是升級 Windows 系統還是采用衛星網絡連接,都需要采取一種“安全第一”的方案,來確保在將它們添加到網絡之前已經做好安全保護。此外,企業組織還要部署行為分析來檢測攻擊鏈“左側”的新型威脅,因為在攻擊鏈的偵察和探測初期發現和阻止攻擊行為,將有助于提升威脅認知并防止在攻擊鏈后期出現問題。
安全工具的選擇應基于企業組織在威脅前沿建立或惡意攻擊啟動之前檢測和預防已知和未知威脅,實時響應攻擊的能力。為了提升威脅防御水平,企業組織需要在整個網絡中廣泛部署人工智能和機器學習功能,并設定正常網絡行為的基準,實時響應環境的變動,在復雜威脅執行攻擊之前實現威脅檢測和阻斷。這些功能對關聯分析大量收集到的數據,以及檢測惡意行為也至關重要,包括使用模擬攻擊預測最有可能發生攻擊的位置并主動加強相應防御。為了將傳統的被動網絡安全轉為主動防御系統,還可以考慮欺騙式防御等先進技術。
綜合來看,網絡安全威脅還沒有放緩的跡象。如果您的網絡和安全工具現在還沒有準備好抵御下一代新型威脅,那么亟需盡快行動。全面部署、深度協同和動態智能,加上高性能和超可擴展性,是現在所有專門用于保護企業組織業務運營方式的安全系統的標志。為了應對這些不斷演變的威脅,采用基于網絡安全網格架構的Fortinet Security Fabric 安全架構平臺是各個企業組織的不二之選。
了解《2022年全球網絡安全趨勢預測報告》全部內容請點擊:
https://www.fortinet.com/content/dam/maindam/PUBLIC/02_MARKETING/02_Collateral/WhitePaper/wp-threat-prediction-2022.pdf
京公網安備 11010502049343號