信息來源:安全內(nèi)參
此前,BlackBerry公司發(fā)布了《2022年度網(wǎng)絡(luò)安全威脅報告》(BlackBerry 2022 Threat Report)。該報告探索了從勒索軟件到供應(yīng)鏈攻擊、從基礎(chǔ)設(shè)施安全到汽車網(wǎng)絡(luò)安全、從端點安全到人工智能的網(wǎng)絡(luò)安全趨勢。同時,該報告介紹了網(wǎng)絡(luò)犯罪分子(包括高級持續(xù)威脅 (APT) 組織)使用的最新技術(shù)、策略和程序 (TTP)。企業(yè)可以通過這些信息來明智地分配安全資源并防止網(wǎng)絡(luò)攻擊。
摘譯 | 林心雨/賽博研究院實習研究員
來源 |BlackBerry
2021年最大的網(wǎng)絡(luò)攻擊
勒索軟件
REvil——REvil(又名Sodin或Sodinokibi)是襲擊全球最大肉類供應(yīng)商JBS的罪魁禍首。這些襲擊威脅到全球糧食供應(yīng)鏈,并提醒人們關(guān)注世界各地的關(guān)鍵基礎(chǔ)設(shè)施狀況。在RaaS組織GandCrab關(guān)閉其運營后,這個惡意軟件充當RaaS(勒索軟件即服務(wù))的角色,變得非常猖獗。安全研究人員已經(jīng)發(fā)現(xiàn)了REvil和GandCrab之間的許多相似之處和代碼重用。
DarkSide——該勒索軟件變種于2020年年中首次出現(xiàn)。它同樣作為RaaS分布,用于進行有針對性的攻擊。DarkSide的目標是同時運行Windows和Linux設(shè)備。它在2021年因攻擊美國的主要燃油管道運營商殖民管道公司(Colonial Pipeline)而聞名。DarkSide使用雙重勒索方案,聲稱已在加密鎖定系統(tǒng)之前竊取了數(shù)據(jù),并威脅將竊取的數(shù)據(jù)泄漏到數(shù)據(jù)泄露站點上,除非受害者支付贖金。
Conti——該勒索軟件在2020年年中首次被發(fā)現(xiàn)。Conti是威脅行動者通過地下論壇分發(fā)和出售惡意服務(wù)的常用方式。由于這種威脅是作為一種可銷售的服務(wù)提供的,因此它是可定制的。許多分析人士認為,Conti是取代Ryuk的勒索軟件,并認為它是世界上最令人不安的勒索軟件之一。
Avaddon——該軟件變種于2020年初首次出現(xiàn)。FBI和澳大利亞網(wǎng)絡(luò)安全中心都發(fā)布了關(guān)于這個惡意軟件正在進行攻擊的警告。與DarkSide和REvil勒索軟件一樣,Avaddon 也使用雙重勒索,為了進一步敦促受害者,攻擊者還對受害者進行分布式拒絕服務(wù)(DDoS)攻擊,直到其支付贖金。
Ragnar Locker——該勒索軟件因攻擊臺灣一家生產(chǎn)高性能DRAM模塊和NAND閃存產(chǎn)品的企業(yè)而聞名。該家族的第一個變種出現(xiàn)在2019年底。與許多其他知名的勒索軟件變體一樣,目前的Ragnar Locker變體也使用雙重勒索技術(shù)來督促受害者支付贖金。
Hive——該勒索軟件首次出現(xiàn)于2021年6月,因攻擊商業(yè)房地產(chǎn)軟件公司Altus Group而登上頭條。這種威脅也采用雙重勒索,其開設(shè)了專門的數(shù)據(jù)泄露站點Hive Leaks。
信息竊取者
RedLine——一個信息竊取惡意軟件,通過以covid -19為主題的釣魚電子郵件傳播。整個2020年,它都是一個活躍的威脅。2021年,它通過惡意谷歌廣告和魚叉式網(wǎng)絡(luò)釣魚活動傳播。RedLine十分常見,已經(jīng)出現(xiàn)了各種木馬服務(wù)、游戲和工具,許多RedLine的樣本還帶有看起來合法的數(shù)字證書。
Agent Tesla——該軟件于2014年首次亮相,它包含了一系列強大的信息竊取功能。Agent Tesla最初可以通過一個網(wǎng)站購買,從那時起,便一直被網(wǎng)絡(luò)犯罪分子購買使用于各種活動中,常常通過垃圾郵件來傳播。
Ficker——一個信息竊取惡意軟件,在俄羅斯的地下論壇上出售和傳播。這種MaaS(惡意軟件即服務(wù))于2020年首次被發(fā)現(xiàn)。此前,F(xiàn)icker已經(jīng)通過木馬化的網(wǎng)站鏈接和被入侵的網(wǎng)站傳播。它的信息竊取目標活動包括網(wǎng)絡(luò)瀏覽器、信用卡信息、加密錢包等。
Hancitor——又名Chanitor,于2013年首次被發(fā)現(xiàn)。它通過社會工程技術(shù)傳播,比如看起來來自合法的文件簽名服務(wù)DocuSign®。一旦受害者受騙后同意惡意代碼的執(zhí)行,Hancitor就會感染他們的系統(tǒng)。
2021年十大惡意軟件威脅的流行率
網(wǎng)聯(lián)汽車、網(wǎng)絡(luò)安全以及人工智能的關(guān)聯(lián)
汽車行業(yè)正在探索人工智能的建設(shè)性用途,包括其執(zhí)行關(guān)鍵網(wǎng)絡(luò)安全任務(wù)的能力。
要理解如何將預(yù)防為主的人工智能網(wǎng)絡(luò)安全整合到聯(lián)網(wǎng)駕駛中,最好的方法是將技術(shù)分解為預(yù)防網(wǎng)絡(luò)攻擊和人工智能兩個單獨的元素。每一個都可以獨立于另一個實現(xiàn)。同樣地,為了在連接驅(qū)動中正確地部署它們,每個元素都必須發(fā)揮作用。
預(yù)防網(wǎng)絡(luò)安全攻擊
保護任何系統(tǒng)的第一步,是在設(shè)計和構(gòu)建系統(tǒng)時盡量減少安全漏洞的可能性。這一觀點反映在ISO和聯(lián)合國最近制定的一些指導(dǎo)方針中:
預(yù)防和檢測威脅并不是完全對立的,在系統(tǒng)設(shè)計和開發(fā)過程中無法發(fā)現(xiàn)的漏洞當然存在。為了防止這些未識別的漏洞被利用,需要檢測針對系統(tǒng)的攻擊并阻止其繼續(xù)進行。
在新環(huán)境下,入侵檢測通常先于入侵防御。它可以在還未產(chǎn)生不良后果的情況下監(jiān)測和改進該系統(tǒng),直到有信心對其運作能夠采用以預(yù)防為基礎(chǔ)的方法。
人工智能的使用
人工智能的使用讓安全關(guān)鍵系統(tǒng)和其他車輛系統(tǒng)之間也出現(xiàn)了重要區(qū)別,不夠,人工智能在安全關(guān)鍵系統(tǒng)中的應(yīng)用也仍在爭論中。
安全保障依賴于了解系統(tǒng)將如何響應(yīng)其輸入。如果系統(tǒng)行為不被很好地理解,一個基于機器學習的人工智能系統(tǒng)就會引入智力債務(wù)。對抗性機器學習等攻擊則表明了設(shè)計師無法完全理解輸入將如何影響人工智能系統(tǒng)的行動。而用于訓(xùn)練系統(tǒng)的數(shù)據(jù)也可能是攻擊的目標,或者不能代表不斷變化的現(xiàn)實世界條件。因此,重要的是不要把新的人工智能系統(tǒng)視為絕對正確的,而是要理解它們失敗的原因。
使用人工智能來重構(gòu)系統(tǒng)的狀態(tài)、執(zhí)行事后分析并發(fā)現(xiàn)其失敗的原因,這將需要在許多領(lǐng)域投入大量資源。在減少與人工智能相關(guān)的智力債務(wù)方面,仍需要做許多工作。
網(wǎng)絡(luò)安全立法和法規(guī)
目前,網(wǎng)絡(luò)安全已成為七國集團(G7)國家和北約(NATO)盟國公共政策議程的重中之重。管道、醫(yī)院、航空公司、供應(yīng)鏈和基本服務(wù)遭受的持續(xù)的網(wǎng)絡(luò)攻擊凸顯了保護關(guān)鍵基礎(chǔ)設(shè)施、企業(yè)和公民的迫切需要。2020-2021年間,美國、英國、法國、日本、意大利、澳大利亞和德國政府共同承諾投入數(shù)十億美元,并推出新措施以加強其網(wǎng)絡(luò)抵御能力。
在美國,拜登政府于2021年5月發(fā)布了一項行政命令,旨在加強整個聯(lián)邦政府的網(wǎng)絡(luò)安全舉措。拜登總統(tǒng)提名了一名國家網(wǎng)絡(luò)主任來監(jiān)督數(shù)字安全政策,并發(fā)布了保護和保護聯(lián)邦信息系統(tǒng)的新措施。他還加強了美國國土安全部(DHS)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)應(yīng)對重大網(wǎng)絡(luò)事件的權(quán)力。與此同時,國會已經(jīng)通過立法來支持相關(guān)舉措。
歐盟正在考慮廣泛的網(wǎng)絡(luò)安全立法,包括網(wǎng)絡(luò)、關(guān)鍵基礎(chǔ)設(shè)施和物聯(lián)網(wǎng)產(chǎn)品的新安全認證。在加拿大,聯(lián)邦政府已承諾起草新的國家網(wǎng)絡(luò)安全戰(zhàn)略,通過新的立法將網(wǎng)絡(luò)罪犯繩之以法,并提高聯(lián)邦網(wǎng)絡(luò)能力。
結(jié)論
2021年全年,對關(guān)鍵基礎(chǔ)設(shè)施和大型組織的有組織攻擊成為頭條新聞,勒索軟件在其中扮演了重要的角色。威脅行為者通過利用惡意服務(wù)(RaaS、IaaS、MaaS等)和Initial Access Brokers(IAB),展示了他們模仿私營部門的能力。隨著攻擊者繼續(xù)快速采用新技術(shù)并利用不斷變化的環(huán)境,威脅分析人員隨機應(yīng)變顯得越來越重要。這可能需要投資XDR類型的平臺或XDR管理服務(wù),這些服務(wù)可以跨產(chǎn)品和設(shè)備收集威脅遙測數(shù)據(jù),同時將有用的信息從中分離出來。
此外,小型企業(yè)將繼續(xù)成為網(wǎng)絡(luò)犯罪的“重災(zāi)區(qū)”,中小企業(yè)(SMB)的每個終端每天面臨著11次以上的網(wǎng)絡(luò)安全威脅,隨著網(wǎng)絡(luò)罪犯逐漸采用協(xié)作思維,這一狀況將日益惡化。影響到各種規(guī)模的組織的攻擊都是直接或間接通過他們的供應(yīng)鏈造成的。移動設(shè)備越來越普及,但其中的應(yīng)用程序不一定完全安全。數(shù)字領(lǐng)域的每一個參與者——從跨國公司到智能手機用戶,都面臨著網(wǎng)絡(luò)安全風險。