日前,趋势科技研究院发布《2022年网络安全威胁态势报告(年中版)》,对影响当前网络安全发展格局的重要趋势和事件进行了盘点和分析。报告发现,当前企业组织面临的网络安全威胁呈现出以下特点:勒索软件攻击已转向利润更高、更受欢迎的变现方式,勒索软件即服务(RaaS)成为广泛使用的攻击方式;高级持续威胁(APT)组织已经开始使用更复杂的工具包和广泛的信息基础设施;安全漏洞数量仍在快速增长,严重和高危漏洞占比进一步增加;云计算平台及其应用系统已经成为恶意攻击者最为关注的目标。以上特征表明,企业数字化攻击面的持续增长将成为常态。组织应为此做好充分准备。他们不仅应该更全面地发现隐藏的威胁,还应该仔细思考如何部署正确的安全措施和策略。保护其环境和系统免受不断增长的网络攻击面。1.数字攻击面威胁格局分析报告发现,在过去几年中,许多公司采用数字技术改变现有的业务模式、流程和企业文化,以应对数字化转型的挑战。这种转变创造了更广泛的数字攻击面,涵盖更广泛的领域,包括电子邮件收件箱、物联网(IoT)设备、移动应用程序、网站、公共云服务,甚至供应链基础设施。报告对来自29个国家(地区)的6297名信息安全管理人员进行了访谈,73%的受访者对当前数字攻击面增长的规模表示担忧,其组织还没有做好应对准备;37%的受访者将当前的攻击面描述为“不断扩大且复杂”,而另有43%的受访者担心“未来的攻击面管理可能会失控”。该报告还发现,许多组织不确定如何应对他们面临的风险。38%的受访者将量化网络风险视为他们的主要挑战,而33%的受访者表示他们缺乏了解和管理网络安全风险的资源。另有32%的人表示他们对风险区域的了解有限。相比之下,网络攻击者已经开始具备使用更多样化的技术工具和基础设施的能力。报告发现,高级持续性威胁(APT)组织的针对性攻击仍在继续,并且这些组织已经能够使用更大的基础设施并在攻击中集成不同种类的恶意软件工具以实现长期延迟。此外,虽然新的恶意软件经常引起安全行业和公众的注意,但已被证明有效的遗留恶意软件继续对组织构成严重威胁。事实证明,恶意行为者越来越多地转向商品化的恶意软件和其他工具来提高攻击的有效性。例如,Emotet僵尸网络正在演变成恶意软件即服务(MaaS)解决方案。Emotet于2014年首次亮相,之后其基础设施在不同国家的执法机构的共同努力下被拆除。然而,这并不意味着Emotet的终结。该报告的研究发现,与2021年上半年相比,Emotet的检测在2022年上半年急剧上升,证明僵尸网络开始重新浮出水面,因为黑客组织选择将其整合到他们的行动中。研究人员甚至将Conti运算符确定为Emotet恢复的原因之一。与2021年上半年相比,2022年上半年的Emotet检测增加了10倍以上2.勒索软件威胁态势分析勒索软件即服务(RaaS)的出现导致网络犯罪分子可以使用更多工具和基础设施。调查数据显示,今年上半年,活跃的RaaS和勒索软件组织超过50家,受到勒索软件攻击的组织超过1200家。活跃的RaaS和勒索组织的数量(57)与受害组织的数量(1205)报告称,LockBit、Conti和BlackCat是2022年上半年RaaS领域的主要参与者。其中,BlackCat是相对较新的勒索软件在2021年几乎检测不到,但在2022年开始呈现快速增长趋势。即使是较老的勒索软件,如LockBit和Conti,也出现了大幅增长。与去年上半年相比,2022年上半年LockBit的检测次数增长了5倍多,而Conti的检测次数几乎翻了三倍。调查还发现,针对基于Linux的设备的勒索软件攻击同比增长了75%,预计未来恶意攻击者将更多地关注Linux。2022年上半年针对Linux设备的勒索软件攻击数量三、漏洞安全态势分析(一)严重和高危漏洞数量增加2022年上半年,CVE发布的漏洞数量明显增加:12,380条CVE记录,与2021年上半年发布的相比,这是一个巨大的增长,相比于.趋势科技ZDI计划披露的漏洞数量也呈现同样趋势,发布公告约944个漏洞,较2021年上半年的770个漏洞增加约23%,其中高危漏洞占比已发布漏洞的最大部分(68%)。与2021年同期相比,危重和高危漏洞均有明显增加。2022年上半年安全漏洞态势(二)关键业务工具和软件中的漏洞涉及关键软件、工具和组件的漏洞,由于其影响的性质,通常是最危险的漏洞类型之一。2022年上半年,影响企业应用软件安全的漏洞将会更多,其中最为突出的就是Spring4Shell漏洞。当特殊对象或类暴露于特定条件时,通常会发生Spring4Shell漏洞。想要直接访问对象的攻击者可以通过在他的请求中指定一个类变量来实现。除其他外,Samba(适用于Linux和Unix的Windows互操作性程序标准套件)中的漏洞CVE-2021-44142可能允许未经身份验证的攻击者在根级别执行代码。这些漏洞进一步证实,影响普遍存在的基本软件漏洞仍将是恶意行为者利用的主要选择。(3)新发现的漏洞威胁到DDS标准数据分发服务(DDS)标准是中间件技术的一个例子,它作为一种连接标准,可以实现安全的实时信息交换、模块化应用程序开发和工业物联网(IIoT)快速集成。DDS用于在交通、机器人、电信、医疗保健和国防等领域的传感器、控制器和执行器之间实现可靠的通信层。除了DDS在软件供应链中的重要性之外,还值得注意的是它位于供应链的起始端,很容易被遗忘。因此,恶意行为者将DDS视为一个有吸引力的目标。由于它是系统的安全关键构建块,因此利用单个漏洞可能会对软件堆栈的其余部分产生影响。DDS漏洞分为影响网络层面的和影响配置层面的。前者可用于实施拒绝服务(DoS)攻击、欺骗和自动采集等各种恶意技术,而后者可用于针对DDS系统开发人员和集成商。(4)影响非Windows操作系统的重大漏洞2022年上半年,出现了一些影响非Windows平台的值得注意的漏洞。这方面的一个例子是suhelperd中的漏洞CVE-2022-22639,suhelperd是macOS软件更新的辅助守护程序,包含SUHelper类,它通过进程间通信机制负责关键系统服务。成功利用此漏洞可能允许攻击者获得可用于恶意攻击的根权限。还有一些影响Linux和基于Unix的操作系统的突出漏洞。例如,CVE-2022-0847(也称为脏管道)是一个影响Linux内核5.8及更高版本的漏洞,允许攻击者提升主机上的根权限。此外,CVE-2022-2946472作为一个严重的RCE漏洞,影响了WSO2的多款产品。WSO2是一家技术提供商,提供用于集成应用程序编程接口(API)、应用程序和Web服务的开源平台。利用此漏洞不需要用户交互或管理权限,可能允许攻击者渗透受影响系统的网络。4.云计算安全态势分析(一)云上的加密货币挖矿攻击呈上升趋势虽然加密货币价格将在2022年上半年大幅下跌,但围绕它构建的计划不需要很高的投资成本,因为典型的基于加密货币的攻击依靠受害者的基础设施和资源来挖掘加密货币。基于云的加密货币挖矿集团主要包括:Outlaw集团的首选目标包括物联网设备和Linux云服务器,可以通过利用已知漏洞或执行安全外壳(SSH)暴力攻击来破坏这些设备。TeamTNT小组的首选作案手法是利用易受攻击的软件来破坏主机,然后再执行凭据盗窃,作为在受害者系统内横向移动和利用错误配置的前兆。Kinsing小组以快速采用新漏洞而闻名,在Log4Shell漏洞首次公开几天后就成功利用了该漏洞。KekSecurity是一个相对较新的组织,并且在不断开发其恶意软件,最近添加的一些恶意软件提供更好的混淆以逃避检测并阻止研究人员的分析。所有组织都在争夺有限资源的现实驱使恶意行为者不断创新。这些创新使他们能够攻击更多的云计算系统。(2)滥用云隧道服务进行攻击报告研究表明,攻击者滥用云隧道服务进行攻击。在企业环境中,CloudTunnel作为一个便捷的工具,让用户无需配置网络防火墙和注册域名,即可部署本地开发服务。许多开发人员需要使用这些服务来测试和部署代码。使用云隧道服务的攻击组织通常将它们用于临时目的,因此他们不需要维护永久性基础设施或通过隐藏其真实位置来增加另一层保密性。云隧道威胁可以分为两种不同的类型:内部威胁和外部威胁。内部威胁是指利用服务(有意或无意)暴露内部服务的攻击,如ServerMessageBlockSMB、FTP、HTTP;外部威胁涉及传统的攻击和例程,例如通过云隧道进行的网络钓鱼和C&C通信。(3)错误配置仍然是云安全的主要威胁错误配置的云计算应用软件仍然是许多组织面临的重大问题。根据RedHat对300多名DevOps、工程和安全专业人士的调查,53%的受访者发现他们的容器或Kubernetes部署存在错误配置。TrendMicro的数据显示,来自AWS、MicrosoftAzure和GoogleCloudPlatform的服务是错误配置率最高的工具和服务。五、企业攻击面管理分析与建议随着企业信息化工作环境的变化和越来越多新技术的应用,组织需要分配更多的资源来覆盖尽可能多的安全攻击面。该报告的研究人员认为,攻击面的发现本身就是有效的攻击面管理(ASM)的基础。组织需要定期检查其IT资产并确定资产的重要性、潜在漏洞、威胁活动级别和威胁级别。评估可用的安全控制和风险保护策略也是规划组织的ASM的重要步骤。ASM的一个重要组成部分是可见性,因为它提供有关潜在威胁的特定信息。反过来,它帮助企业识别他们的风险敞口,并允许他们采取必要的步骤来减轻这些风险。正确的安全协议和最佳实践在帮助企业保护其系统免受攻击方面大有帮助。组织应优先考虑尽快更新其软件,以最大程度地减少攻击者成功利用其系统漏洞的机会。与此同时,云用户应确保他们的云基础设施配置正确,并采用适当的安全协议来防止攻击者利用错误配置。用户教育也是成功的安全态势的关键部分,因为最终用户通常是最薄弱的环节。然而,保护基础设施、系统和端点的复杂现实意味着即使有了这些,如果没有合适的安全工具,保护每个可能的攻击点仍然是一个不可能完成的挑战。虽然有一些技术可以单独解决系统不同部分的安全问题,但这些技术有其自身的缺点,例如无法关联来自每个孤立源的不同数据点。可以覆盖整个攻击面的单一平台对于组织来说无疑是一个理想的解决方案,尤其是那些资源有限的组织。借助全面的ASM平台(服务),组织可以充分了解其攻击面,同时具备关联不同指标进行综合分析的能力。统一的ASM管理平台还可以提供多层次的保障,降低企业的整体预算投入。为了最大限度地减少潜在的安全漏洞,该平台必须是可配置的,并且能够为数字资产提供持续保护,以最大限度地减少潜在的安全漏洞。
