隨著新冠疫苗和防疫措施的普及,更加難以防范的新冠病毒變異也接踵而來(lái)。2022年,與新冠病毒類似,隨著企業(yè)部署新的網(wǎng)絡(luò)安全工具和保護(hù),工控安全威脅也快速“變異”。而最近肆虐全球的Log4j2超級(jí)漏洞被稱為網(wǎng)絡(luò)安全的“新冠病毒”,而工控安全領(lǐng)域,正是Log4j2漏洞的重災(zāi)區(qū)之一,這使得2022年工控安全領(lǐng)域的安全態(tài)勢(shì)進(jìn)一步惡化。
以下,是卡巴斯基根據(jù)2021年度監(jiān)測(cè)數(shù)據(jù)給出的2022年APT攻擊和工控安全威脅趨勢(shì)預(yù)測(cè):
01、APT攻擊的四大趨勢(shì)
?單次攻擊的目標(biāo)數(shù)量減少
網(wǎng)絡(luò)犯罪活動(dòng)中針對(duì)個(gè)人的攻擊針對(duì)性越來(lái)越高,每次攻擊的受害者數(shù)量越來(lái)越少。例如,我們看到基于間諜軟件的身份驗(yàn)證數(shù)據(jù)盜竊犯罪生態(tài)系統(tǒng)中出現(xiàn)了一種新趨勢(shì),每次攻擊都針對(duì)極少數(shù)目標(biāo)(從個(gè)位數(shù)到幾十個(gè))。這一趨勢(shì)正在迅速滾雪球,在世界的某些地區(qū),被阻止的針對(duì)工控系統(tǒng)計(jì)算機(jī)的間諜軟件中,多達(dá)20%都使用這種策略進(jìn)行攻擊。明年,此類攻擊可能會(huì)占威脅格局的更大部分,而且這種策略也可能傳播到其他類型的威脅。
?惡意軟件生命周期縮短
為避免被發(fā)現(xiàn),越來(lái)越多的網(wǎng)絡(luò)犯罪分子采用頻繁升級(jí)其所選家族中的惡意軟件的策略。他們以最高效率使用惡意軟件來(lái)突破安全解決方案的防御,然后在當(dāng)前版本變得易于被檢測(cè)時(shí)立即切換到新版本。對(duì)于某些類型的威脅(例如間諜軟件),其開發(fā)部署生命周期都在縮短,并且在許多情況下不會(huì)超過(guò)3-4周(通常甚至更少)?,F(xiàn)代MaaS平臺(tái)的發(fā)展使全球惡意軟件運(yùn)營(yíng)商更容易使用此策略。2022年我們肯定會(huì)在各種威脅場(chǎng)景中更頻繁地遇到它。結(jié)合每次攻擊的受害者數(shù)量呈下降趨勢(shì),這種策略的廣泛使用將導(dǎo)致惡意軟件的種類更多。
?“持久”比“高級(jí)”重要
越來(lái)越多的APT開始采用“持久戰(zhàn)”策略。縮略詞APT中的“P”(持久性)已變得不那么依賴“A”(高級(jí))。我們很早就看到了APT運(yùn)營(yíng)者如何“艱苦樸素”,以低成本方式頑強(qiáng)地在受害者基礎(chǔ)設(shè)施中長(zhǎng)期駐留——他們通過(guò)擴(kuò)展和定期升級(jí)工具包,而不是采用昂貴而復(fù)雜的“高級(jí)”框架來(lái)逃避檢測(cè)。這種策略很可能將在APT活動(dòng)中越來(lái)越頻繁地被采用。
?最大限度地減少惡意基礎(chǔ)設(shè)施的使用
在與安全工具和防護(hù)措施的斗爭(zhēng)中,攻擊者會(huì)不斷嘗試減少攻擊留下的可檢測(cè)痕跡。尤其明顯的一點(diǎn)是,攻擊者正在盡量減少對(duì)惡意基礎(chǔ)設(shè)施的使用。例如,一些APT中的C&C服務(wù)器的生命周期非常短,在攻擊階段運(yùn)行不超過(guò)幾個(gè)小時(shí)。
有時(shí),攻擊者不僅會(huì)設(shè)法避免使用任何惡意基礎(chǔ)設(shè)施,而且還會(huì)避免使用可疑和不受信任的基礎(chǔ)設(shè)施。例如,間諜軟件攻擊中的一種流行策略是:從目標(biāo)受害者合作伙伴組織的受感染企業(yè)郵件帳戶發(fā)送網(wǎng)絡(luò)釣魚電子郵件。在這種情況下,精心設(shè)計(jì)的釣魚郵件內(nèi)容實(shí)際上與合法郵件難以區(qū)分,并且?guī)缀鯚o(wú)法用自動(dòng)化工具檢測(cè)到。
毫無(wú)疑問(wèn),2022年,各類工控系統(tǒng)的攻擊者將更頻繁地使用此類策略。
02、APT攻擊與網(wǎng)絡(luò)犯罪
哪些威脅對(duì)工業(yè)企業(yè)的威脅最大?APT還是網(wǎng)絡(luò)犯罪?工業(yè)企業(yè)提高信息安全能力,引入新的保護(hù)工具和措施的計(jì)劃在某種程度上取決于所選的對(duì)手模型。同時(shí),請(qǐng)記住,人們對(duì)某些類別的攻擊者的利益、能力和作案手法的看法可能已經(jīng)過(guò)時(shí),因此需要不斷更新觀念和策略。讓我們看看2022年的相關(guān)趨勢(shì)。
?APT和網(wǎng)絡(luò)犯罪的技術(shù)、戰(zhàn)術(shù)甚至策略越來(lái)越相似,可能需要類似的安全措施
事實(shí)上,許多APT和網(wǎng)絡(luò)犯罪活動(dòng)有時(shí)也難以區(qū)分,即使對(duì)于專家也是如此。例如,
●技術(shù)和執(zhí)行很糙的APT和“高級(jí)”網(wǎng)絡(luò)犯罪攻擊已經(jīng)屢見不鮮。例如,一些著名的APT組織的攻擊中,所使用的網(wǎng)絡(luò)釣魚電子郵件漏洞百出。而很多時(shí)候,一些針對(duì)性網(wǎng)絡(luò)犯罪活動(dòng)反而會(huì)更加“專業(yè)”和“高級(jí)”,能夠制作出幾乎完美無(wú)缺的釣魚電子郵件。
●同樣,偽裝成網(wǎng)絡(luò)犯罪的APT以及偽裝成APT的網(wǎng)絡(luò)犯罪分子的攻擊,也已經(jīng)見多不怪。
●此外,APT武器庫(kù)中,我們?cè)絹?lái)越多地看到商業(yè)工具,甚至使用MaaS基礎(chǔ)設(shè)施和交付方法作為初步滲透的手段。
?APT和網(wǎng)絡(luò)犯罪的目標(biāo)經(jīng)常重疊
在眾多工業(yè)企業(yè)中,APT的重點(diǎn)攻擊目標(biāo)是:
●軍工復(fù)合體和航空航天工業(yè)——最有可能用于軍事和技術(shù)間諜目的;
●能源、交通和公用事業(yè)——為了以防萬(wàn)一,試圖在“潛在對(duì)手”的關(guān)鍵基礎(chǔ)設(shè)施中站穩(wěn)腳跟,并利用它進(jìn)行其他攻擊;
●基于知識(shí)的行業(yè)——主要用于工業(yè)間諜目的。
而網(wǎng)絡(luò)犯罪分子則會(huì)攻擊他們能搞定的任何價(jià)值目標(biāo),并且在絕大多數(shù)情況下將使用相同的“成熟”方法通過(guò)攻擊獲利:
●通過(guò)替換銀行詳細(xì)信息直接盜竊資金——通過(guò)BEC策略或訪問(wèn)組織的財(cái)務(wù)系統(tǒng);
●勒索和勒索那些有能力并愿意支付的組織或個(gè)人;
●將被盜信息轉(zhuǎn)售給其他網(wǎng)絡(luò)犯罪分子、受害者的競(jìng)爭(zhēng)對(duì)手和其他相關(guān)方。
?網(wǎng)絡(luò)犯罪造成的直接經(jīng)濟(jì)損失更大,但APT造成的損失更難預(yù)測(cè),從長(zhǎng)遠(yuǎn)來(lái)看可能更大
從去年發(fā)生的事件來(lái)看,就直接經(jīng)濟(jì)損失而言,網(wǎng)絡(luò)犯罪分子的行為對(duì)行業(yè)企業(yè)而言似乎比APT更危險(xiǎn)。例如,在2021年,我們看到許多行業(yè)巨頭陷入停頓,向勒索軟件支付了數(shù)千萬(wàn)美元。與此同時(shí),一整年中只有一個(gè)已知的APT造成重大經(jīng)濟(jì)損失的案例(因?yàn)樵揂PT事件中攻擊者決定偽裝成勒索者)。
也就是說(shuō),APT攻擊可能會(huì)產(chǎn)生非常難以提前評(píng)估的延遲損失或負(fù)面影響(例如,幾年后,競(jìng)爭(zhēng)對(duì)手公司可能會(huì)根據(jù)被盜數(shù)據(jù)開發(fā)新產(chǎn)品)。
?留神網(wǎng)絡(luò)流氓和黑客行動(dòng)主義者
2021年,至少有三起由網(wǎng)絡(luò)流氓和黑客行動(dòng)主義者導(dǎo)致的工控安全事件成為全球頭條新聞,這表明很多重要的工業(yè)基礎(chǔ)設(shè)施的安全措施形同虛設(shè),甚至一些“打野”黑客都可以來(lái)去自如。
?勒索攻擊
勒索軟件攻擊是2021年的主要趨勢(shì),盡管各國(guó)政府紛紛重拳出擊,但勒索軟件依然勢(shì)不可擋。2022年勒索軟件攻擊將繼續(xù),包括針對(duì)工業(yè)企業(yè)。網(wǎng)絡(luò)犯罪分子將更好地保護(hù)自己并規(guī)避風(fēng)險(xiǎn),而受害者支付的贖金也將水漲船高。
03、2022年工控系統(tǒng)APT攻擊趨勢(shì)
以下網(wǎng)絡(luò)犯罪策略和技術(shù)將在2022年被積極使用。
?網(wǎng)絡(luò)釣魚是有針對(duì)性(和非針對(duì)性)攻擊的首要初始滲透工具。如過(guò)去一年所示:
很遺憾,目前而言,即使是糟糕的網(wǎng)絡(luò)釣魚手段,也能收到很好的效果。盡快培訓(xùn)您的員工安全意識(shí),提高釣魚郵件的有效辨別能力。拼寫和語(yǔ)法錯(cuò)誤、措辭不當(dāng)、公司和官員名稱不正確、奇怪的話題和不尋常的請(qǐng)求都是網(wǎng)絡(luò)釣魚露出馬腳的地方。
遺憾的是,高質(zhì)量的魚叉式網(wǎng)絡(luò)釣魚極難防范。在每家公司中,都必然會(huì)有人盲目打開附件、點(diǎn)擊鏈接、點(diǎn)擊按鈕甚至與攻擊者聯(lián)系,并在不知不覺(jué)中幫助他們?cè)谙到y(tǒng)中啟動(dòng)惡意載荷。
各種類型的網(wǎng)絡(luò)犯罪分子已經(jīng)掌握了不使用惡意基礎(chǔ)設(shè)施的魚叉式網(wǎng)絡(luò)釣魚和僅使用受信任的基礎(chǔ)設(shè)施(如上所述)的網(wǎng)絡(luò)釣魚技術(shù)。而且,后者是最危險(xiǎn)、最難檢測(cè)的方法。不幸的是,2022年此類方法將俘獲大批受害者。
?面向互聯(lián)網(wǎng)的硬件中的已知漏洞也肯定會(huì)繼續(xù)成為流行的滲透媒介,建議及時(shí)更新防火墻和SSL VPN網(wǎng)關(guān)。
?操作系統(tǒng)組件和流行IT產(chǎn)品中的零日漏洞將仍是高級(jí)APT中相對(duì)罕見的工具,而相對(duì)小眾(因此可能未經(jīng)充分測(cè)試)的產(chǎn)品中的未知安全漏洞將也被網(wǎng)絡(luò)犯罪分子積極利用。
?針對(duì)域名注冊(cè)商和認(rèn)證機(jī)構(gòu)以及供應(yīng)商的攻擊
關(guān)于這些APT攻擊的“高級(jí)”策略,去年我們?cè)俅慰吹结槍?duì)域名注冊(cè)商(最低限度訪問(wèn)受害者的Web控制面板)和認(rèn)證機(jī)構(gòu)的入侵和攻擊,以及針對(duì)供應(yīng)商的新攻擊場(chǎng)景。此類威脅有可能在很長(zhǎng)一段時(shí)間內(nèi)未被發(fā)現(xiàn),從而使攻擊者能夠進(jìn)行長(zhǎng)期持續(xù)的操作。那些負(fù)擔(dān)得起此類攻擊成本的攻擊者自然不會(huì)輕易放棄此類攻擊手法。
因此,在規(guī)劃來(lái)年的保護(hù)手段和措施時(shí),企業(yè)安全主管們不僅要注意自己的基礎(chǔ)設(shè)施的安全性,還要注意所使用的第三方服務(wù)的安全性。在為IT/OT系統(tǒng)選擇產(chǎn)品供應(yīng)商時(shí),請(qǐng)明確自己對(duì)產(chǎn)品和供應(yīng)商二者的網(wǎng)絡(luò)安全要求。與業(yè)務(wù)合作伙伴合作時(shí),也請(qǐng)注意他們的安全弱點(diǎn)可能對(duì)您構(gòu)成的威脅。