信息來源:安全內(nèi)參
此前,BlackBerry公司發(fā)布了《2022年度網(wǎng)絡安全威脅報告》(BlackBerry 2022 Threat Report)。該報告探索了從勒索軟件到供應鏈攻擊、從基礎設施安全到汽車網(wǎng)絡安全、從端點安全到人工智能的網(wǎng)絡安全趨勢。同時,該報告介紹了網(wǎng)絡犯罪分子(包括高級持續(xù)威脅 (APT) 組織)使用的最新技術、策略和程序 (TTP)。企業(yè)可以通過這些信息來明智地分配安全資源并防止網(wǎng)絡攻擊。
摘譯 | 林心雨/賽博研究院實習研究員
來源 |BlackBerry
2021年最大的網(wǎng)絡攻擊
勒索軟件
REvil——REvil(又名Sodin或Sodinokibi)是襲擊全球最大肉類供應商JBS的罪魁禍首。這些襲擊威脅到全球糧食供應鏈,并提醒人們關注世界各地的關鍵基礎設施狀況。在RaaS組織GandCrab關閉其運營后,這個惡意軟件充當RaaS(勒索軟件即服務)的角色,變得非常猖獗。安全研究人員已經(jīng)發(fā)現(xiàn)了REvil和GandCrab之間的許多相似之處和代碼重用。
DarkSide——該勒索軟件變種于2020年年中首次出現(xiàn)。它同樣作為RaaS分布,用于進行有針對性的攻擊。DarkSide的目標是同時運行Windows和Linux設備。它在2021年因攻擊美國的主要燃油管道運營商殖民管道公司(Colonial Pipeline)而聞名。DarkSide使用雙重勒索方案,聲稱已在加密鎖定系統(tǒng)之前竊取了數(shù)據(jù),并威脅將竊取的數(shù)據(jù)泄漏到數(shù)據(jù)泄露站點上,除非受害者支付贖金。
Conti——該勒索軟件在2020年年中首次被發(fā)現(xiàn)。Conti是威脅行動者通過地下論壇分發(fā)和出售惡意服務的常用方式。由于這種威脅是作為一種可銷售的服務提供的,因此它是可定制的。許多分析人士認為,Conti是取代Ryuk的勒索軟件,并認為它是世界上最令人不安的勒索軟件之一。
Avaddon——該軟件變種于2020年初首次出現(xiàn)。FBI和澳大利亞網(wǎng)絡安全中心都發(fā)布了關于這個惡意軟件正在進行攻擊的警告。與DarkSide和REvil勒索軟件一樣,Avaddon 也使用雙重勒索,為了進一步敦促受害者,攻擊者還對受害者進行分布式拒絕服務(DDoS)攻擊,直到其支付贖金。
Ragnar Locker——該勒索軟件因攻擊臺灣一家生產(chǎn)高性能DRAM模塊和NAND閃存產(chǎn)品的企業(yè)而聞名。該家族的第一個變種出現(xiàn)在2019年底。與許多其他知名的勒索軟件變體一樣,目前的Ragnar Locker變體也使用雙重勒索技術來督促受害者支付贖金。
Hive——該勒索軟件首次出現(xiàn)于2021年6月,因攻擊商業(yè)房地產(chǎn)軟件公司Altus Group而登上頭條。這種威脅也采用雙重勒索,其開設了專門的數(shù)據(jù)泄露站點Hive Leaks。
信息竊取者
RedLine——一個信息竊取惡意軟件,通過以covid -19為主題的釣魚電子郵件傳播。整個2020年,它都是一個活躍的威脅。2021年,它通過惡意谷歌廣告和魚叉式網(wǎng)絡釣魚活動傳播。RedLine十分常見,已經(jīng)出現(xiàn)了各種木馬服務、游戲和工具,許多RedLine的樣本還帶有看起來合法的數(shù)字證書。
Agent Tesla——該軟件于2014年首次亮相,它包含了一系列強大的信息竊取功能。Agent Tesla最初可以通過一個網(wǎng)站購買,從那時起,便一直被網(wǎng)絡犯罪分子購買使用于各種活動中,常常通過垃圾郵件來傳播。
Ficker——一個信息竊取惡意軟件,在俄羅斯的地下論壇上出售和傳播。這種MaaS(惡意軟件即服務)于2020年首次被發(fā)現(xiàn)。此前,F(xiàn)icker已經(jīng)通過木馬化的網(wǎng)站鏈接和被入侵的網(wǎng)站傳播。它的信息竊取目標活動包括網(wǎng)絡瀏覽器、信用卡信息、加密錢包等。
Hancitor——又名Chanitor,于2013年首次被發(fā)現(xiàn)。它通過社會工程技術傳播,比如看起來來自合法的文件簽名服務DocuSign®。一旦受害者受騙后同意惡意代碼的執(zhí)行,Hancitor就會感染他們的系統(tǒng)。
2021年十大惡意軟件威脅的流行率
網(wǎng)聯(lián)汽車、網(wǎng)絡安全以及人工智能的關聯(lián)
汽車行業(yè)正在探索人工智能的建設性用途,包括其執(zhí)行關鍵網(wǎng)絡安全任務的能力。
要理解如何將預防為主的人工智能網(wǎng)絡安全整合到聯(lián)網(wǎng)駕駛中,最好的方法是將技術分解為預防網(wǎng)絡攻擊和人工智能兩個單獨的元素。每一個都可以獨立于另一個實現(xiàn)。同樣地,為了在連接驅動中正確地部署它們,每個元素都必須發(fā)揮作用。
預防網(wǎng)絡安全攻擊
保護任何系統(tǒng)的第一步,是在設計和構建系統(tǒng)時盡量減少安全漏洞的可能性。這一觀點反映在ISO和聯(lián)合國最近制定的一些指導方針中:
預防和檢測威脅并不是完全對立的,在系統(tǒng)設計和開發(fā)過程中無法發(fā)現(xiàn)的漏洞當然存在。為了防止這些未識別的漏洞被利用,需要檢測針對系統(tǒng)的攻擊并阻止其繼續(xù)進行。
在新環(huán)境下,入侵檢測通常先于入侵防御。它可以在還未產(chǎn)生不良后果的情況下監(jiān)測和改進該系統(tǒng),直到有信心對其運作能夠采用以預防為基礎的方法。
人工智能的使用
人工智能的使用讓安全關鍵系統(tǒng)和其他車輛系統(tǒng)之間也出現(xiàn)了重要區(qū)別,不夠,人工智能在安全關鍵系統(tǒng)中的應用也仍在爭論中。
安全保障依賴于了解系統(tǒng)將如何響應其輸入。如果系統(tǒng)行為不被很好地理解,一個基于機器學習的人工智能系統(tǒng)就會引入智力債務。對抗性機器學習等攻擊則表明了設計師無法完全理解輸入將如何影響人工智能系統(tǒng)的行動。而用于訓練系統(tǒng)的數(shù)據(jù)也可能是攻擊的目標,或者不能代表不斷變化的現(xiàn)實世界條件。因此,重要的是不要把新的人工智能系統(tǒng)視為絕對正確的,而是要理解它們失敗的原因。
使用人工智能來重構系統(tǒng)的狀態(tài)、執(zhí)行事后分析并發(fā)現(xiàn)其失敗的原因,這將需要在許多領域投入大量資源。在減少與人工智能相關的智力債務方面,仍需要做許多工作。
網(wǎng)絡安全立法和法規(guī)
目前,網(wǎng)絡安全已成為七國集團(G7)國家和北約(NATO)盟國公共政策議程的重中之重。管道、醫(yī)院、航空公司、供應鏈和基本服務遭受的持續(xù)的網(wǎng)絡攻擊凸顯了保護關鍵基礎設施、企業(yè)和公民的迫切需要。2020-2021年間,美國、英國、法國、日本、意大利、澳大利亞和德國政府共同承諾投入數(shù)十億美元,并推出新措施以加強其網(wǎng)絡抵御能力。
在美國,拜登政府于2021年5月發(fā)布了一項行政命令,旨在加強整個聯(lián)邦政府的網(wǎng)絡安全舉措。拜登總統(tǒng)提名了一名國家網(wǎng)絡主任來監(jiān)督數(shù)字安全政策,并發(fā)布了保護和保護聯(lián)邦信息系統(tǒng)的新措施。他還加強了美國國土安全部(DHS)網(wǎng)絡安全和基礎設施安全局(CISA)應對重大網(wǎng)絡事件的權力。與此同時,國會已經(jīng)通過立法來支持相關舉措。
歐盟正在考慮廣泛的網(wǎng)絡安全立法,包括網(wǎng)絡、關鍵基礎設施和物聯(lián)網(wǎng)產(chǎn)品的新安全認證。在加拿大,聯(lián)邦政府已承諾起草新的國家網(wǎng)絡安全戰(zhàn)略,通過新的立法將網(wǎng)絡罪犯繩之以法,并提高聯(lián)邦網(wǎng)絡能力。
結論
2021年全年,對關鍵基礎設施和大型組織的有組織攻擊成為頭條新聞,勒索軟件在其中扮演了重要的角色。威脅行為者通過利用惡意服務(RaaS、IaaS、MaaS等)和Initial Access Brokers(IAB),展示了他們模仿私營部門的能力。隨著攻擊者繼續(xù)快速采用新技術并利用不斷變化的環(huán)境,威脅分析人員隨機應變顯得越來越重要。這可能需要投資XDR類型的平臺或XDR管理服務,這些服務可以跨產(chǎn)品和設備收集威脅遙測數(shù)據(jù),同時將有用的信息從中分離出來。
此外,小型企業(yè)將繼續(xù)成為網(wǎng)絡犯罪的“重災區(qū)”,中小企業(yè)(SMB)的每個終端每天面臨著11次以上的網(wǎng)絡安全威脅,隨著網(wǎng)絡罪犯逐漸采用協(xié)作思維,這一狀況將日益惡化。影響到各種規(guī)模的組織的攻擊都是直接或間接通過他們的供應鏈造成的。移動設備越來越普及,但其中的應用程序不一定完全安全。數(shù)字領域的每一個參與者——從跨國公司到智能手機用戶,都面臨著網(wǎng)絡安全風險。