McAfee及FireEye首席科学家及研究人员Raj Samani表示,“在过去的一年里,我们看到网络犯罪分子在重新调整策略,以执行新的威胁行为计划,无论是勒索软件还是民族国家黑客,都变得更聪明且更迅速。我们预计,这种情况在2022年不会发生改变。随着威胁形势的不断演变及全球疫情的持续影响,企业必须时刻了解网络安全趋势,以便能够积极主动地保护信息并采取行动。”
McAfee及FireEye预测:
1、使用社交媒体进行有针对性的攻击。社交媒体将继续成为黑客渗透组织以获取犯罪收益的首选平台。这种策略并不新鲜,但并不经常使用。毕竟,将目标“钓鱼”到对话中需要进行一些研究,黑客们将花更多时间在目标研究和建立虚假档案上,以确保进行富有成效的攻击。以个人作为攻击目标已被证明是一种非常有效的途径,这种方式的使用不仅会在间谍团体中增长,还会在其他试图渗透进入组织以获取自身非法利益的威胁行为者之间增长。
2、民族国家雇佣黑客。民族国家正在雇佣网络犯罪分子来发起恶意软件攻击。到2022年,网络犯罪和民族国家行动的融合将变得更加普遍。通常情况下,会成立一家初创公司,一个由幌子公司或现有“技术”企业组成的网络参与由各国情报部门指导和控制的业务。
在过去,特定的恶意软件家族与民族国家组织相关联,而当雇佣黑客编写代码并执行操作时,模糊现象开始发生。初始的战术和工具违规行为可能类似于“常规”网络犯罪行动,但重要的是监控接下来发生的事情,并迅速采取行动。预计到2022年,网络犯罪与民族国家行为者之间的模糊程度将增加,公司应审核可见性,并从威胁行为者针对其行业采取的策略和操作中学习。
3、勒索软件的权利游戏。近年来,勒索软件攻击一直是头条新闻,可以说是最具影响力的网络威胁。勒索软件即服务(RaaS)模式为技术水平较低的犯罪分子开辟了网络犯罪职业道路,最终导致更多的违规行为和更高的犯罪利润。
长期以来,RaaS管理员和开发人员被列为首要目标,往往忽略了附属机构,因为他们被认为技能较低。再加上RaaS生态系统没有受到破坏,营造了一种氛围,使得那些技能较低的附属机构可以茁壮成长,并成长为非常有能力的网络犯罪分子,最终拥有自己的思想。
流行的网络犯罪论坛已禁止勒索软件参与者投放广告。现在,RaaS组织不再有第三方平台来积极招募、展示资历、提供托管、让版主测试二进制文件或解决争端。缺乏可见性使得RaaS组织更难建立或维持信誉,并使RaaS开发人员更难维持其目前在地下的顶级地位。
近年来,勒索软件已经产生了数十亿美元的收入,一些认为自己没有得到公平份额的人会变得愤怒,这只是时间问题。到2022年,预计会有更多自力更生的网络犯罪集团崛起,并将RaaS生态环境中的权力平衡从控制勒索软件的人转移到控制受害者网络的人。
4、小型附属公司崛起。勒索软件即服务生态系统随着附属机构、中间人、与开发商合作分享利润人士的使用而发展。从历史上看,勒索软件开发人员掌控着一切,他们能够选择并确定其运营中的附属机构,甚至通过“工作面试”来建立技术专长。随着越来越多的勒索软件玩家进入市场,研究人员怀疑最有才华的附属机构能够出售他们的服务,以获得更大的利润,并且可能要求在运营方面拥有更广泛的发言权。例如,在DarkSide勒索软件中引入Active Directory枚举可能旨在消除对附属公司技术专长的依赖。这些转变预示着潜在的回归到勒索软件早期,使用勒索软件开发人员编码的专业知识的技能较低的操作员的需求增加。
5、密切关注API。威胁行为者关注企业统计数据和趋势,并识别提供增加潜在风险的服务和应用程序。云应用程序,无论其风格如何(SaaS、PaaS或IaaS),都改变了软件开发人员设计、使用和利用API的方式,无论是B2B场景还是B2C场景。其中一些云应用程序的覆盖面和流行度,以及这些API背后的业务关键数据和功能的宝库,使其成为威胁行为者有利可图的目标。根据最近的数据,基于API的服务占所有互联网流量的80%以上。随着5G和物联网流量的增加,API服务和应用程序将成为更有利可图的目标,从而泄露个人信息。
API的互联结构可能使企业面临更多的风险,因为它是更大规模供应链攻击的切入点。在大多数情况下,对API的攻击不会被引起注意,因为其被视为可信路径,并且缺乏相同级别的治理和安全措施。研究人员认为,未来演变的一些主要风险包括:
1、API配置错误;
2、利用现代身份验证机制;
3、传统恶意软件攻击演变为使用更多云API;
4、可能滥用API对企业数据发起攻击;
5、API在软件定义基础设施中的使用也意味着潜在滥用。
对于开发人员来说,为API开发有效的威胁模型并拥有零信任访问控制机制以及有效的安全日志记录和遥测应该是优先事项,以便更好地响应事件和检测恶意滥用。
6、劫持者将以应用程序容器为目标。
容器(Container)已取代传统云平台,成为现代云应用程序的实际平台。容器拥有可移植性、效率和速度等优势,可以缩短部署和管理为企业创新提供动力的应用程序的时间。根据IBM最近的一项调查,64%的早期采用者预计在未来两年内将一半以上的现有和新业务应用程序容器化。
然而,容器的加速使用增加了组织的攻击面。APT及勒索软件组织经常利用面向公众的应用程序。云安全联盟(CSA)认为,存在风险的容器包括镜像(Image)、编排(Orchestrator)、仓库(Registry)、容器(Container)、主机操作系统和硬件。
虽然容器攻击并不新鲜,但由于漏洞检查不力和针对易受攻击的应用程序的攻击,研究人员预计,2022年编排层上的漏洞利用会增加,恶意或后门镜像的使用也会增加。风险主要包括:
1、编排风险:对编排层的攻击增加,例如Kubernetes和相关API,主要由错误配置驱动;
2、镜像或仓库风险:通过漏洞检查不足,增加恶意或后门镜像的使用;
3、容器风险:针对易受攻击的应用程序的攻击越来越多。
2022年对上述漏洞的扩大利用可能导致通过加密挖掘恶意软件、劫持端点资源、数据盗窃、攻击者持久性和容器逃逸到主机系统。
7、零日漏洞。由于在野外暴露的零日漏洞数量,2021年已经被称为有史以来最糟糕的年份之一。这些利用的规模、目标应用程序的范围、以及由此产生的组织影响都值得注意。展望2022年,预计这些因素将加快企业的响应速度,因此可能会更加关注资产和补丁管理。攻击者及安全研究人员都将继续改进他们的技术,直到在漏洞披露后的数小时内就出现武器化漏洞和POC。从识别面向公众的资产到在潜在业务中断的情况下快速部署修补程序,公司将重新关注缩短“修补时间”,尽管这会不可避免的影响业务。
参考资源:
【1】https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/mcafee-enterprise-fireeye-2022-threat-predictions/
【2】https://www.fireeye.com/company/press-releases/2021/look-ahead-to-2022-mcafee-enterprise-fireeye-predict-top-cyber-threats.html
【3】https://cisomag.eccouncil.org/threat-predictions-2022/
【4】https://channelpostmea.com/2021/10/27/mcafee-enterprise-fireeye-release-2022-threat-predictions/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
