時(shí)至年關(guān)，全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者Fortinet的FortiGuard Labs 全球威脅情報(bào)響應(yīng)與研究團(tuán)隊(duì)發(fā)布了《2022年全球網(wǎng)絡(luò)安全趨勢(shì)預(yù)測(cè)報(bào)告》。報(bào)告顯示，2022年將是網(wǎng)絡(luò)犯罪的高峰，勒索軟件數(shù)量將顯著增長(zhǎng)，攻擊者的數(shù)量也將達(dá)到空前的程度。同時(shí)，勒索軟件攻擊也將迅速蔓延至整個(gè)攻擊面，勒索軟件威脅將無(wú)處不在。在這種形勢(shì)下，企業(yè)組織的IT團(tuán)隊(duì)將面臨空前挑戰(zhàn)。

　　更具挑戰(zhàn)的是，越來(lái)越多的企業(yè)組織機(jī)構(gòu)轉(zhuǎn)向現(xiàn)場(chǎng)和遠(yuǎn)程混合辦公模式，并采用更多基于AI（人工智能）和 ML（機(jī)器學(xué)習(xí)） 的技術(shù)，啟用更多新的連接形式，還將更多關(guān)鍵業(yè)務(wù)應(yīng)用和設(shè)備部署到云中，使得攻擊面也隨之?dāng)U大。

　　如果借助MITRE ATT&CK 攻擊鏈模型來(lái)展示未來(lái)網(wǎng)絡(luò)威脅的發(fā)展，那么可以預(yù)測(cè)，在左側(cè)的“攻擊準(zhǔn)備”階段，網(wǎng)絡(luò)犯罪分子極有可能會(huì)投入更多時(shí)間和精力來(lái)搜尋零日漏洞，并利用新的技術(shù)將攻擊擴(kuò)展到更廣泛的網(wǎng)絡(luò)環(huán)境。

　　圖1：MITRE ATT&CK 機(jī)制的“左側(cè)”和“右側(cè)”

　　當(dāng)然，除了“攻擊鏈左側(cè)發(fā)力”外，由于“勒索軟件即服務(wù)”等市場(chǎng)的擴(kuò)大，攻擊鏈右側(cè)出現(xiàn)新的攻擊手法的速度也將顯著增加。比如，除了販賣(mài)勒索軟件和其它惡意軟件即服務(wù)外，報(bào)告還發(fā)現(xiàn)了一些新的犯罪手法，包括網(wǎng)絡(luò)釣魚(yú)和僵尸網(wǎng)絡(luò)即服務(wù)，以及被感染目標(biāo)訪問(wèn)權(quán)限交易數(shù)據(jù)的增加等。

　　總體來(lái)看，新型攻擊呈顯著增加的態(tài)勢(shì)。企業(yè)組織甚至要為自身的Linux平臺(tái)做更多的防護(hù)，避免成為那些針對(duì)Linux平臺(tái)的新型攻擊的目標(biāo)。一直以來(lái)，很多網(wǎng)絡(luò)后端系統(tǒng)仍在使用的Linux 系統(tǒng)很大程度上都被攻擊者忽視了，但是隨著攻擊面的擴(kuò)大，已經(jīng)有越來(lái)越多的針對(duì) Linux 系統(tǒng)的新型攻擊，例如 Vermilion Strike，它是 Cobalt Strike 的 Beacon 功能的惡意實(shí)現(xiàn)，專(zhuān)門(mén)針對(duì)具有遠(yuǎn)程訪問(wèn)功能的 Linux 系統(tǒng)進(jìn)行攻擊，還很難被檢測(cè)到的。

　　不僅如此，微軟也在積極地將 WSL（Windows Subsystem for Linux）集成到 Windows 11 中，這意味著Linux 系統(tǒng)的普及程度將獲得暴漲，這必然會(huì)引起攻擊者的極大興趣。目前已經(jīng)出現(xiàn)了針對(duì) WSL 的惡意測(cè)試文件，這些帶有惡意功能的文件被用作加載程序，只是這些文件目前還缺乏將惡意功能注入 WSL 系統(tǒng)的能力。此外，報(bào)告還發(fā)現(xiàn)了更多針對(duì) Linux 平臺(tái)編寫(xiě)的僵尸網(wǎng)絡(luò)惡意軟件，這標(biāo)志著隨著攻擊面的擴(kuò)大，更多以前被網(wǎng)絡(luò)犯罪分子忽視的節(jié)點(diǎn)或者區(qū)域正在受到威脅。

　　根據(jù)預(yù)測(cè)，到明年就會(huì)出現(xiàn)針對(duì)衛(wèi)星網(wǎng)絡(luò)漏洞的新型威脅，攻擊“上天”將成為可能。衛(wèi)星基站作為衛(wèi)星網(wǎng)絡(luò)的接入點(diǎn)，幾乎可以將任何地方的任何人（包括網(wǎng)絡(luò)犯罪分子）接入衛(wèi)星網(wǎng)絡(luò)。目前已經(jīng)有六家主要的衛(wèi)星互聯(lián)網(wǎng)提供商做好了服務(wù)用戶(hù)的準(zhǔn)備，這也預(yù)示著將會(huì)有數(shù)以百萬(wàn)計(jì)的終端只要能夠接入衛(wèi)星網(wǎng)絡(luò)即可用來(lái)發(fā)動(dòng)攻擊，衛(wèi)星網(wǎng)絡(luò)已經(jīng)危機(jī)四伏。事實(shí)上，網(wǎng)絡(luò)上已經(jīng)出現(xiàn)了針對(duì)衛(wèi)星網(wǎng)絡(luò)的新型威脅，比如 ICARUS--一種概念驗(yàn)證型 DDoS 攻擊，可以利用衛(wèi)星網(wǎng)絡(luò)的全球直接可訪問(wèn)性從多個(gè)地點(diǎn)發(fā)起攻擊。

　　據(jù)預(yù)測(cè)，威脅的最大目標(biāo)將會(huì)是依賴(lài)衛(wèi)星網(wǎng)絡(luò)連接開(kāi)展業(yè)務(wù)的企業(yè)組織，以及向邊遠(yuǎn)地區(qū)提供關(guān)鍵服務(wù)的企業(yè)組織，還有如游輪、貨船和商業(yè)航空公司等為移動(dòng)中的客戶(hù)提供服務(wù)的企業(yè)組織。諸如勒索軟件等針對(duì)衛(wèi)星網(wǎng)絡(luò)的攻擊將隨之而來(lái)。

　　攻擊不僅能夠“上天”，還能“入地”--在最接“地氣”的用戶(hù)側(cè)，攻擊者針對(duì)加密錢(qián)包的數(shù)字盜竊也會(huì)增加。針對(duì)數(shù)字錢(qián)包的新型攻擊已經(jīng)出現(xiàn)：一種新型假冒的亞馬遜禮品卡生成器可以把受害者的錢(qián)包換成攻擊者的錢(qián)包。還有一種被稱(chēng)為ElectroRAT的攻擊，它則是通過(guò)將社交工程與自定義加密貨幣應(yīng)用和一個(gè)新的遠(yuǎn)程訪問(wèn)木馬 (RAT) 組合起來(lái)，可針對(duì)包括 Windows、Linux 和 MacOS 的多種操作系統(tǒng)。隨著越來(lái)越多的企業(yè)采用數(shù)字錢(qián)包進(jìn)行交易，報(bào)告預(yù)計(jì)還會(huì)有更多專(zhuān)門(mén)用來(lái)針對(duì)儲(chǔ)存的加密憑證和盜竊數(shù)字錢(qián)包的惡意軟件。

　　到明年，攻擊可能將蔓延至整個(gè)網(wǎng)絡(luò)，尤其針對(duì)工控網(wǎng)絡(luò)系統(tǒng)的攻擊將顯著增長(zhǎng)。據(jù) CISA (美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局) 最近的一份報(bào)告顯示，勒索軟件攻擊越來(lái)越多地針對(duì)關(guān)鍵基礎(chǔ)設(shè)施，對(duì)工控網(wǎng)絡(luò)資產(chǎn)和控制系統(tǒng)的威脅越來(lái)越大。隨著 IT 和 OT 網(wǎng)絡(luò)的融合，一些攻擊能夠通過(guò)被感染的遠(yuǎn)程工作者的家庭網(wǎng)絡(luò)和設(shè)備作為跳板滲透進(jìn)入 OT 系統(tǒng)。

　　以往都是熟悉 ICS 和 SCADA 系統(tǒng)的高度專(zhuān)業(yè)化的攻擊者對(duì) OT 系統(tǒng)進(jìn)行攻擊，但是現(xiàn)在那些針對(duì)工控網(wǎng)絡(luò)高度專(zhuān)業(yè)化的黑客工具已經(jīng)在暗網(wǎng)上售賣(mài)，使得越來(lái)越多不懂工控網(wǎng)絡(luò)的攻擊者也能購(gòu)買(mǎi)并發(fā)起工控網(wǎng)絡(luò)攻擊。

　　而在網(wǎng)絡(luò)的“邊緣”，新的挑戰(zhàn)正在出現(xiàn)。比如，一種允許惡意軟件和威脅制造者利用被感染環(huán)境中現(xiàn)有工具集和功能進(jìn)行竊密和攻擊的技術(shù)出現(xiàn)了，它就是“就地潛伏”技術(shù)，這種技術(shù)使得攻擊和數(shù)據(jù)泄露看起來(lái)像正常的系統(tǒng)活動(dòng)，很難被注意到�，F(xiàn)在隨著邊緣設(shè)備性能越來(lái)越強(qiáng)，安裝了更多本地功能，也具備了更多的特權(quán)，報(bào)告預(yù)計(jì)會(huì)有更多“依靠邊緣設(shè)備潛伏”的新型攻擊產(chǎn)生。“潛伏”在這些邊緣環(huán)境中的惡意軟件會(huì)使用本地資源來(lái)監(jiān)控邊緣活動(dòng)和數(shù)據(jù)，然后竊取、劫持甚至勒索關(guān)鍵系統(tǒng)、應(yīng)用和信息，同時(shí)躲避檢測(cè)。

　　Fortinet認(rèn)為防御這波新型威脅需要一個(gè)整體的、集成的安全方案。無(wú)論哪種場(chǎng)景，單點(diǎn)安全產(chǎn)品都應(yīng)替換為專(zhuān)門(mén)用于協(xié)同組成統(tǒng)一解決方案的安全設(shè)備。它們需要支持全鏈路數(shù)據(jù)追蹤以及支持策略一致性來(lái)保護(hù)每個(gè)用戶(hù)、設(shè)備和應(yīng)用。集中管理有助于確保策略執(zhí)行的一致性，能夠統(tǒng)一實(shí)時(shí)的將配置和更新下發(fā)到每一個(gè)策略執(zhí)行點(diǎn)，并能夠集中收集網(wǎng)絡(luò)中任何地方，包括云環(huán)境之外、之中等所有場(chǎng)景中發(fā)生的可疑事件，還要進(jìn)行關(guān)聯(lián)分析。

　　我們建議各個(gè)企業(yè)組織能夠進(jìn)一步加強(qiáng)他們的 Linux 和其它一些以前不太關(guān)注的設(shè)備的安全防御措施，同時(shí)，還應(yīng)該準(zhǔn)備好專(zhuān)用工具來(lái)保護(hù)、檢測(cè)和響應(yīng)針對(duì)這些設(shè)備的威脅。各個(gè)企業(yè)組織在采用新技術(shù)時(shí)，無(wú)論是升級(jí) Windows 系統(tǒng)還是采用衛(wèi)星網(wǎng)絡(luò)連接，都需要采取一種“安全第一”的方案，來(lái)確保在將它們添加到網(wǎng)絡(luò)之前已經(jīng)做好安全保護(hù)。此外，企業(yè)組織還要部署行為分析來(lái)檢測(cè)攻擊鏈“左側(cè)”的新型威脅，因?yàn)樵诠�擊鏈的偵察和探測(cè)初期發(fā)現(xiàn)和阻止攻擊行為，將有助于提升威脅認(rèn)知并防止在攻擊鏈后期出現(xiàn)問(wèn)題。

　　安全工具的選擇應(yīng)基于企業(yè)組織在威脅前沿建立或惡意攻擊啟動(dòng)之前檢測(cè)和預(yù)防已知和未知威脅，實(shí)時(shí)響應(yīng)攻擊的能力。為了提升威脅防御水平，企業(yè)組織需要在整個(gè)網(wǎng)絡(luò)中廣泛部署人工智能和機(jī)器學(xué)習(xí)功能，并設(shè)定正常網(wǎng)絡(luò)行為的基準(zhǔn)，實(shí)時(shí)響應(yīng)環(huán)境的變動(dòng)，在復(fù)雜威脅執(zhí)行攻擊之前實(shí)現(xiàn)威脅檢測(cè)和阻斷。這些功能對(duì)關(guān)聯(lián)分析大量收集到的數(shù)據(jù)，以及檢測(cè)惡意行為也至關(guān)重要，包括使用模擬攻擊預(yù)測(cè)最有可能發(fā)生攻擊的位置并主動(dòng)加強(qiáng)相應(yīng)防御。為了將傳統(tǒng)的被動(dòng)網(wǎng)絡(luò)安全轉(zhuǎn)為主動(dòng)防御系統(tǒng)，還可以考慮欺騙式防御等先進(jìn)技術(shù)。

　　綜合來(lái)看，網(wǎng)絡(luò)安全威脅還沒(méi)有放緩的跡象。如果您的網(wǎng)絡(luò)和安全工具現(xiàn)在還沒(méi)有準(zhǔn)備好抵御下一代新型威脅，那么亟需盡快行動(dòng)。全面部署、深度協(xié)同和動(dòng)態(tài)智能，加上高性能和超可擴(kuò)展性，是現(xiàn)在所有專(zhuān)門(mén)用于保護(hù)企業(yè)組織業(yè)務(wù)運(yùn)營(yíng)方式的安全系統(tǒng)的標(biāo)志。為了應(yīng)對(duì)這些不斷演變的威脅，采用基于網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)的Fortinet Security Fabric 安全架構(gòu)平臺(tái)是各個(gè)企業(yè)組織的不二之選。

　　https://www.fortinet.com/content/dam/maindam/PUBLIC/02_MARKETING/02_Collateral/WhitePaper/wp-threat-prediction-2022.pdf

　　（完）