2022年即将结束,这一年世界发生了翻天覆地的变化。但不变的是,网络攻击的威胁在不断演变,而且丝毫没有减弱的迹象。世界各地的人们无论身在何处都应该为可能发生的网络安全事件做好准备,因此尝试预测未来趋势可能会有所帮助。2022年APT预测回顾日前,卡巴斯基安全研究分析团队GReAT对2023年高级威胁(APT)攻击发展趋势进行预测预测,团队对2022年高级威胁的主要预测观点实战预测。1、移动设备将受到广泛攻击实际结果:未实现2022年确实发生了一些针对移动设备的攻击,但目前尚未发现有重大影响和后果的移动安全事件。预测2.更多供应链攻击实际结果:部分实现目前,利用供应链的攻击数量正在快速增长。虽然没有发生什么大事,但是我们看到了很多案例。预测3、基于远程工作模型的攻击实际结果:预测成功。2022年,企业组织安全建设仍将滞后于新冠疫情对企业业务发展的变革性影响。随着远程办公成为常态,许多员工都在匆忙部署远程访问工具,其中充斥着错误配置和安全漏洞。预测4.云安全和外包服务攻击激增;实际结果:预期成功对云身份安全公司Okta的攻击是2022年最具影响力的安全事件之一,证明老练的攻击者渗透主要云服务平台是多么容易。而CISA也在今年5月发布公告,警告各大托管服务商,因为他们发现针对该行业的恶意活动明显增多。预测5、低级组件漏洞利用攻击返回实际结果:预测成功。2022年在底层组件中发现了22个高危漏洞,可见攻击面巨大。这种高度复杂的植入攻击通常非常罕见,一年内发生多起单独的安全事件,并显示出明显的迹象。2023年APT发展趋势预测以下是GReAT团队对2023年APT攻击趋势的预测:1.破坏性攻击再次抬头。尽管近年来APT攻击主要针对商业利益,但到2022年,地缘政治冲突将成为这种变化,这种变化很可能会持续多年,历史表明,这种紧张局势必然会导致网络攻击活动进一步增加——有时是为了情报收集,有时作为外交信号的一种手段。因此,我们预计2023年将出现前所未有的严重网络攻击。具体而言,我们预计2023年破坏性APT攻击的数量将创历史新高,重点是政府部门和关键行业。需要注意的一件事是,其中一些攻击很可能会伪装成“伪勒索软件攻击”(pseudo-ransomware)或黑客活动的形式,为真正的攻击者提供似是而非的借口。此外,我们担心针对民用基础设施(如能源网或公共广播)的APT网络攻击将会发生,包括在某些情况下不再安全的水下电缆和光纤集线器。2、邮件服务器成为优先目标在过去的几年里,我们看到APT攻击者越来越关注电子邮件软件。企业电子邮件市场的领导者,包括MicrosoftExchange和Zimbra,都面临着攻击者在补丁可用之前利用的严重漏洞。我们认为对电子邮件软件漏洞的研究才刚刚开始。邮件服务器面临双重不幸的情况:一方面,它是APT参与者感兴趣的关键情报的“集中营”;另一方面,它是企业安全防御中最大的攻击面。2023年可能是针对任何主要电子邮件服务提供商的零日攻击最严重的一年。3、新一代WannaCry可能出现据统计,每隔6-7年就会出现一些规模较大、危害较大的网络病毒。上一次此类事件可追溯到臭名昭著的WannaCry勒索软件蠕虫,该蠕虫利用极其强大的“永恒之蓝”漏洞自动传播到易受攻击的计算设备。虽然能够产生蠕虫的错误很少见并且需要满足多个条件,但很难预测确切何时会发现这样的错误,但我们可以大胆猜测并设想在明年出现。增加此类事件可能性的一个潜在原因是,恶意行为者可能已经发现并有至少一个合适的漏洞可以利用,而当前的紧张局势大大增加了影子经纪人(ShadowBrokers,EternalBlueexploitsInstigatorofleaks)式的发生黑客和泄漏。4、APT攻击目标向空间领域转移。由于政府部门和民间组织对太空竞赛的兴趣日益浓厚,以及近期网络安全研究重点关注卫星漏洞,明年将有更多针对太空设施的网络攻击。虽然卫星设备似乎超出了大多数APT威胁的范围,但研究人员发现黑客已经能够使用简单但方便的设备与卫星通信。此外,许多较旧的卫星设备可能没有现代安全控制。事实上,太空网络安全威胁早已存在。2022年2月24日,美国和欧盟公开宣称某东欧国家对Viasat旗下商业卫星通信网络KA-SAT发起网络攻击,并利用“错误配置的VPN”漏洞获取访问权限并横向移动到KA-SAT网络管理部分,然后执行溢出调制解调器内存的命令,使其无法使用。如果Viasat事件有任何迹象,APT威胁组织可能会在未来将更多注意力转向操纵和干扰卫星技术,从而使此类技术的安全形势更加严峻。5、“入侵-泄密”战术盛行关于“网络战”是否真的会大规模爆发,目前仍有很多争论。然而,一种新形式的混合冲突正在展开,包括“黑客和泄密”行动。这种类型的威胁攻击涉及破坏目标并暴露其内部文件和电子邮件。勒索软件组织大量使用这种策略来向受害者施加压力,APT攻击者将来可能会利用它来达到纯粹的破坏性目的。过去,我们已经看到APT攻击者可能从竞争威胁组织中窃取数据,或创建网站来传播个人信息。虽然很难从局外人的角度评估它们的危害,但它们现在是APT威胁演变的一部分,2023年将涉及更多真实世界的案例。6.从CobaltStrike转向其他替代方案CobaltStrike于2012年发布,是一种威胁模拟工具,旨在帮助安全红队了解攻击者可用于渗透网络的方法。不幸的是,与Metasploit框架一样,它已成为网络犯罪集团和APT威胁参与者最常用的工具。然而,研究人员发现一些威胁行为者已经开始使用其他替代方案。一种替代方案是BruteRatelC4,这是一种商业级攻击模拟工具,非常危险,因为它旨在逃避防病毒和EDR工具的检测。另一个是Sliver,一种开源对抗工具。除了上述现成的产品外,APT工具包还可能包括其他工具,如Manjusaka、C&C全功能版、Ninja等。总的来说,我们认为,由于CobaltStrike受到了防御者的如此多的关注,APT组织将尝试使他们的工具包多样化以避免被发现。7、基于无线电的信号情报(SIGINT)信号情报技术是随着军事无线电技术的发展而发展起来的情报技术,是电子战的一个分支。美国国防部对信号情报SIGINT的定义是:包括通信情报(COMINT)、电子情报(ELINT)和仪器信号情报(FISINT)在内的信息组合,可以通过多种方式传输,包括有线、无线电、光纤传输等,但信号情报主要处理无线电波。简单地说,信号情报就是从截获的通讯、电子和外国仪器信号中获得的情报。如今,距斯诺登曝光“棱镜门”事件已过去近10年。美国国家安全局利用与美国电信公司的合作伙伴关系,将服务器放置在互联网骨干网络的关键位置,以实施“旁人”攻击。这种攻击方式类似于中间人攻击,只不过中间人攻击是完全控制一个网络节点,而旁人攻击是攻击者监听通信通道并使用时差注入新数据。此类攻击很难检测到,但我们预测它们将在2023年变得更加普遍。8.无人机攻击这里的“无人机攻击”不是黑客攻击用于监视甚至军事支持的无人机(尽管这可能发生),而是使用商业级无人机实现近距离黑客攻击。目前,面向公众的无人机正在获得更大的航程和能力。用流氓Wi-Fi接入点或IMSI接收器驾驶无人机没什么大不了的;或者有足够的工具收集WPA握手信息,用于离线破解Wi-Fi密码。另一种攻击场景是使用无人机在限制区域投放恶意USB密钥,然后希望路人将其捡起并将其插入设备。总而言之,我们认为这是一个非常具有威胁性的攻击向量,可以被一部分已经擅长混合物理和网络入侵的攻击者或黑客使用。
