FortiGuard Labs 預測網絡攻擊將針對萬物
加密錢包至衛星網絡均可遭殃
進階持續網絡犯罪技術將導致更具破壞性的勒索軟件及供應鏈攻擊
FortiGuard Labs安全洞察及全球威脅聯盟負責人Derek Manky 表示:「網絡犯罪份子不斷演變,變得與傳統的進階持續威脅(APT) 團隊相似;他們掌握零時漏洞、具破壞性,並可拓展所需技術以達至目標。隨著攻擊者利用分散的網絡邊界、各自孤立的團隊與工具以及大幅擴大的攻擊面,我們將看到攻擊進一步擴展至網絡延伸部分之外的地方,甚至太空。該些威脅將使負擔沉重的IT 團隊百上加斤,以混亂的方式堵塞每個可能出現的攻擊途徑。為了應對該些不斷演變的威脅,機構需採用基於網絡安全網狀架構的保安纖維。」
新聞概要
全球頂尖的全方位自動化網絡保安服務方案供應商Fortinet 今日發表由 FortiGuard Labs 全球威脅情報和研究團隊進行的 2022 網絡安全型態預測。網絡敵人不斷演變,並會針對橫跨整個網絡攻擊面的全新漏洞而拓展攻擊手法,而在隨處工作的模式持續下,情況更為明顯。他們正致力從 5G 網絡邊緣、核心網絡、家居甚至太空衛星互聯網謀求最大機會。
至於香港的情況,FortiGuard Labs 發現在 2021 年第三季,木馬程式 JS/Cryxos.5478!tr 佔整體病毒檢測數目一半,成為清單之前列;而在2016 年發現的 Mirai仍然是最盛行的殭屍網絡。整體而言,亞太地區的威脅活動佔該季全球約四分之一。今年十二月,Apache 軟件基金會旗下一個廣泛採用的日誌記錄程式 Log4j出現零時漏洞,能供黑客進行遙距代碼執行,全面控制系統,影響數以百萬伺服器。FortiGuard Labs 及時發現並深入分析漏洞,向用戶發出警示, 協助應對有關潛在攻擊。
憑藉前瞻的趨勢分析,FortiGuard Labs預測網絡敵人將會採用的策略,並提供建議協助抵禦攻擊。以下為預測重點,如需更詳細的預測及主要資訊,請閱讀相關網誌。
攻擊前偵測活動將增加,以提升勒索軟件等攻擊成效
在 MITRE ATT&CK 框架等攻擊鏈分析中,網絡攻擊可區分為左右兩側。位於攻擊鏈左側的屬於攻擊前期的準備功夫,包括計劃、開發和武器化策略,而右側為熟悉的攻擊執行階段。FortiGuard Labs 預測,網絡犯罪份子將花更多時間和精力偵測和發掘零時漏洞,以利用新技術確保攻擊更有成效。同時,右側攻擊的發動數目亦會因為「犯罪即服務」市場的擴展而增加。
- 勒索軟件將變得更具破壞性:犯罪軟件持續擴張,而勒索軟件繼續成為未來焦點。攻擊者早把勒索軟件結合 DDoS 以圖拖垮 IT 團隊,使他們無法在最後一刻採取行動減低損害,而加入惡意清除軟件這枚「計時炸彈」後,數據不但會受到破壞,系統和硬件亦會受損害,使公司需要更迫切地繳交款項。惡意清除軟件顯然已捲土重來,針對東京奧運的攻擊就是其中一個例子。鑑於網絡犯罪攻擊手法與進階持續威脅(APT)的融合,惡意消除軟件等破壞性功能被加至勒索軟件工具包只是時間問題,對於網絡邊緣環境、關鍵基礎設施和供應鏈而言是一個憂慮。
- 網絡犯罪份子以人工智能使用深偽技術(deep fakes):人工智能已多方面用於安全守護,如偵測可能表示殭屍網絡攻擊的異常行為。網絡犯罪份子亦同時利用人工智能制衡偵測異常活動的複雜演算法。展望將來,深偽技術將備受關注,因犯罪份子會利用人工智能模仿人們活動,並增加社交工程攻擊的能力。另外,隨著高階應用程式持續商品化,製作深偽技術的門檻將會降低,使用語音和影像應用進行即時偽冒的情況將會出現,並可繞過生物分析,為聲紋或人臉識別等安全認證構成挑戰。
- 供應鏈備受忽視的系統將面臨更多攻擊:Linux 在很多網絡上運行不少後端計算系統,直至最近方成為網絡犯罪社群的主要目標。Microsoft「適用於 Linux 的 Windows 子系統 (Windows Subsystem for Linux)」能在 Windows 10、Windows 11 和 Windows Server 2019 原生執行 Linux 二進制執行檔,最近針對該相容層的惡意二進制檔案亦被發現。此外,針對 Linux 平台的殭屍網絡惡意軟件亦正在開發,使攻擊面進一步擴展至網絡核心,增加需要防範的威脅。在 Linux 平台上運行的 OT 裝置和供應鏈將受影響。根據 FortiGuard Labs 的 2021 年第三季數據, Linux 內核一個 TCP 封包處理的錯誤在香港亦已成為黑客常用的漏洞,以供發動 DoS 攻擊。
網絡犯罪份子無處不在 — 錢包、太空、家居
網絡安全守護者的挑戰不止攻擊數量的上升或技術的演變,可供利用的全新領域亦正被發掘,並將橫跨更廣闊的攻擊面。受隨處工作、遙距學習和全新雲端服務推動,世界各地的機構將繼續以全新的網絡邊緣擴張網絡,使情況變得尤其困難;而在家居,線上學習和遊戲亦已變得普及。隨時隨地快速連接的興起為網絡犯罪份子帶來龐大的攻擊機會。威脅製造者將轉移大量資源,瞄準和利用網絡延伸部分的新興邊緣和「無處不在」的環境,而不再只針對核心網絡。
- 網絡犯罪針對太空環境:FortiGuard Labs 預期,隨著基於衛星的互聯網持續量增長,全新針對衛星網絡的概念驗證威脅將在明年出現。如機構依賴衛星支援低延時活動,像網絡遊戲,或偏遠地區、遠端辦公室、管道、郵輪和飛機的關鍵服務,將成為主要目標。由於機構以衛星網絡把遙距OT 裝置等過往離線的系統與互連的網絡接合,潛在的攻擊面將會擴大,當事故發生時,勒索軟件可隨之而來。
- 保護你的電子錢包:隨著金融機構加密交易並採用多因素認證,網絡犯罪份子已難以截取電匯交易,唯電子錢包有時候可能不太安全。雖然針對個人錢包未必有豐厚回報,但當企業開始以電子錢包進行線上交易時,情況有可能會改變。當這情況發生時,更多專門針對儲存憑證和盜取電子錢包款項的惡意程式料會出現。
- 電子競技亦成攻擊目標:電子競技為具組織的多人電子遊戲比賽,通常涉及專業玩家和團隊,相關收入可望在今年內超越 10 億美元,是一項發展蓬勃的行業。由於電競從業員需要持續連接網絡,並經常在安全水平較參差的家居網絡或大量公共 Wi-Fi 進行,該行業已成為網絡犯罪份子的誘人目標,手法包括DDoS 攻擊、勒索軟件、財務與交易盜竊,或社交工程攻擊。由於電子遊戲具有互動性質,他們亦是社交工程引誘和攻擊的目標。鑑於增長的速度和日漸濃厚的興趣,電競和線上遊戲料將成為 2022 年的大型攻擊目標。
於邊緣上寄生
物聯網與 OT 裝置的數目正在增長,而 5G 和人工智能亦促使即時交易和應用的建立,驅動更多的智能裝置。這正推動更多網絡邊緣的出現,而由於網絡犯罪份子視整個延伸的網絡為攻擊的切入點,全新以邊緣為基礎的威脅將繼續出現。智能邊緣和高級運算能力將締造潛在保安漏洞,他們將致力從中高階和更具破壞性的威脅,規模將前所未有。另外,隨著邊緣裝置變得更強大,並加入更多原生功能,全新的攻擊將會「脫離邊緣」。由於 IT 和 OT 網絡持續融合,針對 OT,尤其網絡邊緣的攻擊料會增加。
- 網絡犯罪份子於邊緣上「離地攻擊」:全新基於邊緣的威脅正在出現。「離地攻擊(LoTL)」讓惡意程式利用遭入侵環境的現有工具集和功能,使攻擊和數據洩露仿似難以察覺的正常系統活動。於 Microsoft Exchange 伺服器的 Hafnium 攻擊利用了該技術在域名控制器內持續寄存。離地攻擊利用正當工具發動惡意活動,故非常有效。若離地攻擊與邊緣存取木馬程式(EAT)結合,更表示全新的攻擊方式不僅離地,更將脫離邊緣,因為邊緣裝置加入了更多原生功能,變得更強大並具備更多權限。邊緣惡意程式可在避免被偵察的情況下,監察邊緣活動和數據,然後竊取、劫持基至勒索關鍵系統、應用和資訊。
- 暗網使關鍵基礎設施的攻擊變得可延伸:網絡犯罪份子已知道他們能把惡意程式作為服務於線上出售。他們不會與其他人競爭提供相似工具,而是擴展組合,加入基於 OT 的攻擊,尤其 OT 和 IT 在邊緣環境持續融合。劫持該類系統和關鍵基礎設施謀求贖金不但有利可圖,更可引致可怕後果,包括危及個人生命和安全。由於網絡之間聯繫日深,幾乎任何存取點都可成為進入 IT 網絡的目標。傳統而言,OT 系統的攻擊是較專業威脅製造者的領域,但該範疇已逐漸加至攻擊套件之中,並可在暗網購買,使更多類型的攻擊者都能使用。
基於網絡安全網狀架構的保安纖維
網絡邊界變得更加分散,安全團隊亦往往各自運作;與此同時,不少機構正過渡至多雲或混合雲模式。種種因素促使網絡犯罪分子採取的方式變得全面、精密。網絡安全網狀架構把安全控制融合至廣泛分布的網絡和資產,而加上保安纖維後,機構可從一體式安全平台受惠,保障所有於本地、數據中心、雲端和邊緣的資產安全。
安全守護者現需利用人工智能和機械學習的長處加快威脅預防、偵測和應對。終端偵測及應對技術(EDR)有助識別基於行為的惡意威脅。此外,為把安全保障延伸至流動員工和學習者,零信任網絡存取(ZTNA)對安全的應用存取十分關鍵,而安全軟件定義廣域網(Secure SD-WAN)在保護不斷發展的 WAN 邊緣時亦舉足輕重。
區隔仍然是限制網絡犯罪份子在網絡橫向移動,把入侵局限於網絡一小部份的基本策略。可行和智能的威脅情報有助機構在攻擊速度不斷增加的情況下,改善即時防禦的能力。機構無論屬於何種行業或類型,均可透過資料共享和夥伴合作以更有效地應對和預測未來的技術,打擊不法份子的企圖。互相協調分工亦應繼續,使對方策動攻擊前便能切斷供應鏈。
發表迴響