信息化觀察網(wǎng)

2021年，世界各地的威脅行為者加重了安全團(tuán)隊(duì)的壓力，甚至可以毫不夸張地說，這可能是有史以來最具挑戰(zhàn)性的一年，為了幫助安全團(tuán)隊(duì)更好地迎接挑戰(zhàn)，安全廠商ZeroFox情報(bào)團(tuán)隊(duì)日前發(fā)布《2022年威脅態(tài)勢(shì)預(yù)測(cè)》報(bào)告，對(duì)網(wǎng)絡(luò)領(lǐng)域持續(xù)增長(zhǎng)的威脅進(jìn)行了預(yù)測(cè)性分析。

報(bào)告關(guān)鍵發(fā)現(xiàn)

?勒索軟件將在2022年繼續(xù)加速發(fā)展。金融、制造、零售和醫(yī)療保健行業(yè)的組織將繼續(xù)面臨更高的風(fēng)險(xiǎn)。勒索軟件開發(fā)人員可能會(huì)專注于實(shí)施持久性和可持續(xù)發(fā)展的勒索活動(dòng)，包括將威脅引向知名人士；

?2022年“數(shù)據(jù)綁架”（data kidnapping）攻擊（無需加密受害者數(shù)據(jù)的敲詐勒索）將激增。所謂“數(shù)據(jù)綁架”是指在大數(shù)據(jù)時(shí)代背景下，人們主動(dòng)或被動(dòng)享受大數(shù)據(jù)帶來的種種好處和便利的同時(shí)，又不得不忍受大數(shù)據(jù)時(shí)代萬事萬物的數(shù)據(jù)化及其為人們社會(huì)生活帶來的一些負(fù)面影響；

?第三方供應(yīng)鏈攻擊在頻率、規(guī)模和復(fù)雜性方面將繼續(xù)呈上升趨勢(shì)；2022年，威脅參與者的目標(biāo)可能會(huì)集中在大型供應(yīng)鏈中的小型第三方供應(yīng)商和關(guān)鍵事件上；

?預(yù)計(jì)信息竊取軟件（infostealer）開發(fā)者間的競(jìng)爭(zhēng)將在2022年加劇，這必然會(huì)激勵(lì)開發(fā)者之間的創(chuàng)新，以構(gòu)建“更好”、更復(fù)雜的產(chǎn)品，以及更易于使用的服務(wù)；

?對(duì)初始訪問代理（IAB）服務(wù)的需求將在2022年繼續(xù)蓬勃發(fā)展。鑒于獲取初始訪問權(quán)限的低風(fēng)險(xiǎn)而且高需求的現(xiàn)狀，越來越多的威脅團(tuán)伙或個(gè)人參與者正試圖出售訪問權(quán)限；

?預(yù)計(jì)威脅行為者將尋找并使用新的基于Java的漏洞來重現(xiàn)Log4j漏洞“戰(zhàn)績(jī)”；

?預(yù)計(jì)網(wǎng)絡(luò)犯罪分子將繼續(xù)使用自動(dòng)化來推動(dòng)復(fù)雜的“網(wǎng)絡(luò)釣魚即服務(wù)”套件的銷售和許可的增長(zhǎng)；

?預(yù)計(jì)未來一年會(huì)有更多的網(wǎng)絡(luò)犯罪分子從比特幣轉(zhuǎn)向門羅幣，并將其作為他們的加密貨幣首選。

熱門領(lǐng)域威脅預(yù)測(cè)及建議

1、勒索軟件

勒索軟件非常有可能在2022年繼續(xù)加速發(fā)展。如果不對(duì)安全措施進(jìn)行重大改變以防止入侵，或改變國(guó)際法以防止威脅行為者在司法“豁免區(qū)”開展活動(dòng)，勒索軟件行業(yè)非常有可能繼續(xù)蓬勃發(fā)展，其目標(biāo)將鎖定所有行業(yè)中各種規(guī)模的組織。其中，金融、制造、零售和醫(yī)療保健行業(yè)面臨的勒索軟件威脅將更為嚴(yán)重。

雖然2022年初的幾個(gè)月，威脅行為者可能會(huì)繼續(xù)關(guān)注中小型企業(yè)目標(biāo)，但預(yù)計(jì)“大型游戲狩獵”活動(dòng)將在隨后幾個(gè)月重新出現(xiàn)。這可能體現(xiàn)在以MSSP和其他第三方服務(wù)為目標(biāo)的攻擊活動(dòng)，因?yàn)樗麄兲峁?duì)多個(gè)客戶系統(tǒng)的特權(quán)訪問，允許威脅參與者通過一次入侵感染眾多下游組織。

另一方面，執(zhí)法機(jī)構(gòu)的取締活動(dòng)不太可能對(duì)勒索軟件攻擊活動(dòng)產(chǎn)生持續(xù)影響。因?yàn)榇祟惾【喕顒?dòng)所針對(duì)的團(tuán)體可能會(huì)暫停運(yùn)營(yíng)或改頭換面重新運(yùn)營(yíng)，如此循環(huán)往復(fù)。2021年最流行的勒索軟件家族——Conti、REvil、LockBit和BlackMatter背后的威脅行為者可能會(huì)在2022年以新的身份重新回歸。

鑒于2021年下半年的新興趨勢(shì)，ZeroFox預(yù)計(jì)威脅參與者將越來越關(guān)注入侵后的信息搜索、加密和泄露活動(dòng)。這將涉及執(zhí)行搜索字符串以識(shí)別和泄露業(yè)務(wù)關(guān)鍵信息，組織無法通過簡(jiǎn)單的安全措施（例如建立離線備份）來減輕此類威脅帶來的影響。目標(biāo)信息可能包括法律或保險(xiǎn)文件、商業(yè)財(cái)務(wù)信息、知識(shí)產(chǎn)權(quán)或市場(chǎng)敏感信息（例如收購(gòu)或合并的詳細(xì)信息）。威脅行為者可以利用這些信息要求受害者支付更高額的贖金，并對(duì)受害者施加更大的支付壓力。勒索軟件開發(fā)人員也可能更加關(guān)注持久性攻擊活動(dòng)，即便在安全團(tuán)隊(duì)認(rèn)為已經(jīng)消除了最初的威脅，威脅行為者也能夠再次攻擊受害者。

2021年，針對(duì)勒索軟件組織的積極執(zhí)法行動(dòng)促使一些人放棄了勒索軟件攻擊，轉(zhuǎn)而支持?jǐn)?shù)據(jù)綁架計(jì)劃，這些組織認(rèn)為這種計(jì)劃風(fēng)險(xiǎn)較小。在數(shù)據(jù)綁架行動(dòng)中，攻擊者/團(tuán)體通過網(wǎng)絡(luò)釣魚、轉(zhuǎn)儲(chǔ)配置錯(cuò)誤的服務(wù)器或其他方式獲取數(shù)據(jù)，然后威脅受害公司如果不付款就會(huì)泄露數(shù)據(jù)。這與勒索軟件攻擊不同，因?yàn)槭芎φ叩奈募]有加密，受害者可以完全控制其服務(wù)器和操作，但可能希望避免與已知數(shù)據(jù)泄露相關(guān)的名譽(yù)損失或罰款。

圖1數(shù)據(jù)綁架組織“Bonaci”提供的數(shù)據(jù)示例

隨著威脅行為者尋求更有效的手段來強(qiáng)迫受害者支付贖金，其勒索策略也可能會(huì)隨之演變。除了泄露和利用敏感的商業(yè)信息外，威脅行為者還可能轉(zhuǎn)向以知名人士為目標(biāo)來引誘其付款。對(duì)C級(jí)高管及其家人的威脅，或讓高管卷入非法活動(dòng)，這些都是可行方案。

緩解建議

1）從縱深防御策略轉(zhuǎn)為零信任安全策略

隔離重要資產(chǎn)和行政賬戶；

對(duì)遠(yuǎn)程訪問和管理帳戶實(shí)施多因素身份驗(yàn)證（MFA）；

監(jiān)控威脅參與者通信渠道以獲取泄露的憑據(jù)。

2）使用威脅情報(bào)將漏洞管理集中在被利用的漏洞上

3）減少攻擊面

為不需要它們的用戶禁用管理和腳本工具（例如PowerShell），以阻止威脅行為者濫用LOLBins（living off the land binaries）；

禁用不必要或過時(shí)的Windows和Linux組件（例如SMB、來自Internet的宏）；

停用不再需要的遠(yuǎn)程訪問解決方案。

4）為違規(guī)行為做好準(zhǔn)備

與執(zhí)法部門建立關(guān)系；

與執(zhí)法、法律、公關(guān)等部門進(jìn)行事件響應(yīng)計(jì)劃桌面演練。

2、第三方妥協(xié)（TPC）

ZeroFox預(yù)測(cè)，2022年TPC攻擊在頻率、規(guī)模和復(fù)雜程度方面有可能繼續(xù)呈上升趨勢(shì)。

使用TPC作為勒索軟件分發(fā)手段可能會(huì)呈上升趨勢(shì)，部分原因在于RaaS產(chǎn)品降低了威脅參與者的準(zhǔn)入門檻，同時(shí)將有效的惡意軟件交到了更多運(yùn)營(yíng)商手中。不過，勒索軟件相關(guān)的攻擊可能會(huì)引起大量媒體報(bào)道，這可能會(huì)成為一個(gè)緩解因素，因?yàn)橥{行為者不希望受到當(dāng)局的關(guān)注。

軟件供應(yīng)鏈的持續(xù)擴(kuò)張也可能導(dǎo)致TPC攻擊的增加。ZeroFox預(yù)計(jì)，大型供應(yīng)鏈中的小型第三方供應(yīng)商將被視為薄弱環(huán)節(jié)，威脅行為者可以通過這些薄弱環(huán)節(jié)瞄準(zhǔn)高價(jià)值、具有安全意識(shí)的組織。因此，組織不能只專注于加強(qiáng)自身的防御能力，還必須確保其供應(yīng)鏈的安全。針對(duì)遠(yuǎn)程辦公和云基礎(chǔ)設(shè)施中漏洞的攻擊也可能會(huì)增加。

此外，尋求進(jìn)行TPC攻擊的非國(guó)家行為體黑客也可能會(huì)增加。這些攻擊者可能會(huì)針對(duì)2022年的關(guān)鍵賽事，例如2022年中國(guó)冬季奧運(yùn)會(huì)，從而對(duì)賽事贊助商造成干擾和聲譽(yù)損害。此外，與2020年美國(guó)總統(tǒng)大選一樣，2022年中期選舉可能會(huì)進(jìn)一步凸顯與第三方供應(yīng)商相關(guān)的風(fēng)險(xiǎn)。

緩解建議

1）從縱深防御策略轉(zhuǎn)為零信任安全策略

除網(wǎng)絡(luò)和安全工具運(yùn)行所需的連接外，禁止其他網(wǎng)絡(luò)連接；

監(jiān)控網(wǎng)絡(luò)威脅通信渠道，了解有關(guān)的第三方違規(guī)行為對(duì)話；

通過攻擊面管理和網(wǎng)絡(luò)流來檢測(cè)第三方可能存在的勒索軟件漏洞。

2）在關(guān)鍵第三方建立和維護(hù)安全聯(lián)系人，以制定事件響應(yīng)計(jì)劃

3）應(yīng)向客戶提供準(zhǔn)確及時(shí)的信息，披露供應(yīng)鏈?zhǔn)录?/p>

3、惡意軟件即服務(wù)

ZeroFox預(yù)計(jì)，到2022年，地下犯罪市場(chǎng)將繼續(xù)為各類網(wǎng)絡(luò)犯罪分子提供一個(gè)有利可圖的渠道，以兜售從組織網(wǎng)絡(luò)竊取的憑據(jù)。ZeroFox斷言，對(duì)Redline、Raccoon和Vidar等信息竊取程序的使用量激增，將繼續(xù)推動(dòng)其開發(fā)人員和社區(qū)的發(fā)展。

此外，鑒于其攻擊效果和普及率，這些信息竊取軟件已經(jīng)具備的多維能力可能會(huì)在2022年進(jìn)一步擴(kuò)大和增長(zhǎng)。ZeroFox預(yù)測(cè)，信息竊取軟件開發(fā)者間的競(jìng)爭(zhēng)將會(huì)加劇，這必然會(huì)激勵(lì)開發(fā)者之間的創(chuàng)新，以構(gòu)建“更好”、更復(fù)雜的產(chǎn)品，以及更易于使用的服務(wù)，因?yàn)樗麄兌荚噲D將自己與競(jìng)爭(zhēng)對(duì)手區(qū)分開來。

信息竊取軟件顯著降低了低級(jí)威脅參與者的準(zhǔn)入門檻，其提供的僵尸網(wǎng)絡(luò)日志有助于攻擊者通過憑據(jù)收集，獲取敏感信息或協(xié)助部署其他有效負(fù)載，以獲得對(duì)其他服務(wù)的額外訪問權(quán)限。信息竊取軟件的多功能性及其竊取海量敏感數(shù)據(jù)的能力，使其對(duì)所有行業(yè)的所有組織都構(gòu)成了威脅。

緩解建議

1）為業(yè)務(wù)活動(dòng)提供公司設(shè)備，而非個(gè)人便攜設(shè)備（BYOD）；

2）不建議在個(gè)人帳戶和企業(yè)帳戶之間重復(fù)使用密碼，建議僅將企業(yè)電子郵件用于商業(yè)目的；

3）對(duì)公司資產(chǎn)的所有遠(yuǎn)程訪問實(shí)施多因素身份認(rèn)證（MFA）；

4）通過跨用戶及其關(guān)聯(lián)設(shè)備的持續(xù)、上下文和基于風(fēng)險(xiǎn)的驗(yàn)證，創(chuàng)建訪問策略。

4、初始訪問代理（IAB）

ZeroFox認(rèn)為，IAB的高投資回報(bào)率，以及訪問代理和勒索軟件運(yùn)營(yíng)商間“共生關(guān)系”的不斷發(fā)展，使得市場(chǎng)對(duì)IAB服務(wù)的需求會(huì)在2022年繼續(xù)蓬勃發(fā)展。這將繼續(xù)加劇跨多個(gè)行業(yè)的實(shí)體攻擊，并簡(jiǎn)化網(wǎng)絡(luò)入侵過程，使威脅參與者能夠更快速、更有效地采取行動(dòng)。

ZeroFox預(yù)計(jì)，鑒于獲取初始訪問權(quán)限的低風(fēng)險(xiǎn)而且高需求的現(xiàn)狀，更多的團(tuán)體或威脅行為者將參與并試圖向各種組織出售訪問權(quán)限。

緩解建議

1）持續(xù)審核遠(yuǎn)程訪問帳戶并禁用不再需要的帳戶；

2）開發(fā)一個(gè)攻擊面管理程序，持續(xù)監(jiān)控互聯(lián)網(wǎng)上暴露的可利用資產(chǎn)；

3）對(duì)遠(yuǎn)程訪問帳戶實(shí)施多因素身份驗(yàn)證（MFA）；

4）利用受信任的供應(yīng)商來監(jiān)控威脅參與者通信渠道（論壇、市場(chǎng)、消息傳遞平臺(tái)）是否存在泄露的憑據(jù)。

5、漏洞和利用

根據(jù)2021年觀察到的趨勢(shì)，ZeroFox判斷Log4j漏洞事件展示了當(dāng)今軟件生態(tài)系統(tǒng)中的一個(gè)關(guān)鍵問題，該問題可能會(huì)延續(xù)到2022年。也就是說，捆綁和導(dǎo)入到各種應(yīng)用程序的軟件包中所存在的漏洞，可能會(huì)繼續(xù)吸引那些希望實(shí)現(xiàn)最大化攻擊效果的威脅行為者。他們可能會(huì)花時(shí)間從各種應(yīng)用程序中找到一致的輸入，這些輸入最終會(huì)導(dǎo)致流行庫中存在相同的易受攻擊的功能。這可能允許攻擊者為各種應(yīng)用程序開發(fā)有效的漏洞利用工具，增加潛在目標(biāo)的數(shù)量，同時(shí)降低工作量。

ZeroFox預(yù)測(cè)，不法分子將研究更多基于Java的漏洞利用途徑，組織應(yīng)重點(diǎn)關(guān)注暴露給攻擊者的公共庫。

ZeroFox還預(yù)測(cè)，從Log4j漏洞事件中獲得訪問權(quán)限的威脅參與者將進(jìn)一步破壞系統(tǒng)、提取個(gè)人身份信息（PII）并實(shí)施數(shù)據(jù)勒索計(jì)劃。截至2022年1月上旬，威脅參與者已經(jīng)開始兜售對(duì)數(shù)十萬臺(tái)易受Log4j漏洞攻擊的未修補(bǔ)服務(wù)器的訪問權(quán)限。

緩解建議

1）開發(fā)一個(gè)攻擊面管理程序，持續(xù)監(jiān)控公司資產(chǎn)并將該數(shù)據(jù)集成到漏洞管理工具中；

2）使用漏洞情報(bào)將修復(fù)工作集中在已知被利用的漏洞上，而非關(guān)鍵和高CVSS分?jǐn)?shù)漏洞；

3）使用軟件物料清單（SBOM）發(fā)現(xiàn)和清點(diǎn)軟件組件/庫。

6、網(wǎng)絡(luò)釣魚即服務(wù)（PhaaS）

ZeroFox預(yù)計(jì)，網(wǎng)絡(luò)犯罪分子將在2022年繼續(xù)使用復(fù)雜和自動(dòng)化的網(wǎng)絡(luò)釣魚工具包，將網(wǎng)絡(luò)犯罪提升到一個(gè)新的水平，從而推動(dòng)PhaaS的增長(zhǎng)。這些類型的工具包可能在復(fù)雜性和繁復(fù)度上有所不同，可以通過地下犯罪網(wǎng)絡(luò)、秘密渠道，有時(shí)甚至是透明的網(wǎng)絡(luò)平臺(tái)購(gòu)買。

這種類型的網(wǎng)絡(luò)犯罪商業(yè)模式為工具包創(chuàng)建者帶來了一些主要好處：

√套件部署必須經(jīng)過驗(yàn)證，未經(jīng)授權(quán)的用戶（或未付費(fèi)用戶）將無法完全部署網(wǎng)絡(luò)釣魚套件；

√技術(shù)水平較低的攻擊者可以輕松部署網(wǎng)絡(luò)釣魚工具包；

√套件創(chuàng)建者收取許可證費(fèi)用，并且可以按月定期付款，這與SaaS應(yīng)用程序的合法商業(yè)模式不同；

√在這些工具包中使用模糊代碼或數(shù)字版權(quán)管理（DRM），可降低工具包被帶走并轉(zhuǎn)售給其他威脅參與者的風(fēng)險(xiǎn)。

從這些平臺(tái)購(gòu)買套件的運(yùn)營(yíng)商通常由套件創(chuàng)建者提供大部分（如果不是全部的話）必要資源。這包括快速部署登錄頁面的工具、檢測(cè)規(guī)避工具，甚至是生成混淆HTML模板的界面，這些模板能夠繞過反垃圾郵件或網(wǎng)絡(luò)釣魚電子郵件檢查機(jī)制，并成功到達(dá)收件人的信箱。

ZeroFox發(fā)現(xiàn)，參與網(wǎng)絡(luò)釣魚工具包分發(fā)的威脅行為者可以通過地下犯罪網(wǎng)絡(luò)和秘密渠道來宣傳他們的工具包，甚至通過使用機(jī)器人出售泄露數(shù)據(jù)來實(shí)現(xiàn)交易自動(dòng)化。鑒于旨在檢測(cè)網(wǎng)絡(luò)釣魚工具包和網(wǎng)站的安全技術(shù)不斷改進(jìn)和發(fā)展，威脅參與者也在不斷更改其戰(zhàn)術(shù)、技術(shù)和程序（TTP）以逃避檢測(cè)并維持其運(yùn)營(yíng)。ZeroFox預(yù)測(cè)，PhaaS將在2022年繼續(xù)使用演進(jìn)的策略和復(fù)雜的技術(shù)來進(jìn)行憑據(jù)網(wǎng)絡(luò)釣魚攻擊。

緩解建議

1）將戰(zhàn)略性威脅情報(bào)集成到電子郵件安全網(wǎng)關(guān)、安全運(yùn)營(yíng)中心（SOC）和網(wǎng)絡(luò)釣魚報(bào)告流程中；

2）對(duì)遠(yuǎn)程訪問帳戶實(shí)施多因素身份驗(yàn)證（MFA）；

3）在威脅情報(bào)平臺(tái)中保留網(wǎng)絡(luò)釣魚樣本，以便衡量、分析和豐富新的網(wǎng)絡(luò)釣魚警報(bào)；

4）使用外部威脅情報(bào)服務(wù)不斷識(shí)別冒充品牌的域和網(wǎng)站，并自動(dòng)破壞該犯罪基礎(chǔ)設(shè)施。

7、加密貨幣

ZeroFox預(yù)計(jì)，“匯款密集型”經(jīng)濟(jì)體將在2022年以更快的速度轉(zhuǎn)向數(shù)字貨幣，尤其是在中東和中歐。加密貨幣對(duì)美元和歐元等“長(zhǎng)期存在型”貨幣的威脅，可能會(huì)加劇對(duì)該行業(yè)的監(jiān)管力度。

鑒于加密貨幣以被獨(dú)裁者用來逃避制裁、洗錢和破壞以美元為基礎(chǔ)的經(jīng)濟(jì)體系而聞名，因此，針對(duì)該行業(yè)的進(jìn)一步監(jiān)管可能來自傳統(tǒng)經(jīng)濟(jì)大國(guó)，例如，美國(guó)去年推出了新的稅務(wù)報(bào)告要求，該要求將持續(xù)到2022年；歐盟也在探索數(shù)字歐元，以在未來幾年與加密貨幣競(jìng)爭(zhēng)。

ZeroFox預(yù)測(cè)，2022年針對(duì)加密貨幣交易所的攻擊將繼續(xù)增加。除了給受害者造成經(jīng)濟(jì)損失外，威脅行為者還可能會(huì)尋求機(jī)會(huì)利用區(qū)塊鏈公司，以竊取客戶PII，使用戶數(shù)據(jù)遭泄露，因?yàn)檫@些公司出于安全原因會(huì)從客戶那里收集大量數(shù)據(jù)。

ZeroFox建議，在訪問任何加密帳戶時(shí)都應(yīng)采取基本的安全措施，包括啟用雙因素身份驗(yàn)證或使用硬件密鑰。

隨著網(wǎng)絡(luò)犯罪分子找到竊取投資者金融資產(chǎn)的新方法，以及加密貨幣攻擊變得更具針對(duì)性，利用數(shù)字貨幣的機(jī)會(huì)不僅會(huì)吸引網(wǎng)絡(luò)犯罪分子，國(guó)家行為體黑客也可能在2022年繼續(xù)以更高的速度攻擊加密貨幣行業(yè)，以此為政府籌集資金以規(guī)避各種經(jīng)濟(jì)制裁。

此外，網(wǎng)絡(luò)犯罪分子可能會(huì)加快“從比特幣過渡到以門羅幣為首選加密貨幣”的進(jìn)程，以促進(jìn)交易，應(yīng)對(duì)更積極的執(zhí)法行動(dòng)和政府審查。ZeroFox估計(jì)，正如在暗網(wǎng)市場(chǎng)White House Market和AlphaBay上所觀察到的那樣，到2022年，威脅行為者社區(qū)中門羅幣的使用可能會(huì)大幅增加。

圖2犯罪市場(chǎng)White House Market顯示門羅幣是該網(wǎng)站上唯一接受的加密貨幣

緩解建議

1）盡快向執(zhí)法部門報(bào)告非法的加密貨幣錢包，以增加阻止加密貨幣洗錢的可能性；

2）利用外部威脅情報(bào)服務(wù)來監(jiān)控加密貨幣的犯罪使用情況。

結(jié)語

可以肯定地說，2022年，網(wǎng)絡(luò)威脅并不會(huì)減弱。安全團(tuán)隊(duì)必須為其組織提供資源并采用策略來應(yīng)對(duì)新出現(xiàn)的威脅戰(zhàn)術(shù)、技術(shù)和程序（TTP）。安全領(lǐng)導(dǎo)者應(yīng)監(jiān)測(cè)地緣政治波動(dòng)和宏觀經(jīng)濟(jì)趨勢(shì)，以提供有關(guān)國(guó)家關(guān)系和犯罪威脅行為者下一個(gè)目標(biāo)的跡象和警告。威脅情報(bào)的重要性在于，它可以通過將注意力集中在相關(guān)威脅上，幫助負(fù)擔(dān)過重的安全團(tuán)隊(duì)努力跟上違規(guī)、漏洞披露和攻擊周期的步伐。