BlackBerry 2022年度威胁报告：探索威胁趋势，人工智能及网联汽车的安全发展

此前，BlackBerry公司发布了《2022年度网络安全威胁报告》（BlackBerry 2022 Threat Report）。该报告探索了从勒索软件到供应链攻击、从基础设施安全到汽车网络安全、从端点安全到人工智能的网络安全趋势。同时，该报告介绍了网络犯罪分子（包括高级持续威胁 (APT) 组织）使用的最新技术、策略和程序 (TTP)。企业可以通过这些信息来明智地分配安全资源并防止网络攻击。

摘译 | 林心雨/赛博研究院实习研究员

来源 |BlackBerry

2021年最大的网络攻击

勒索软件

REvil——REvil(又名Sodin或Sodinokibi)是袭击全球最大肉类供应商JBS的罪魁祸首。这些袭击威胁到全球粮食供应链，并提醒人们关注世界各地的关键基础设施状况。在RaaS组织GandCrab关闭其运营后，这个恶意软件充当RaaS（勒索软件即服务）的角色，变得非常猖獗。安全研究人员已经发现了REvil和GandCrab之间的许多相似之处和代码重用。

DarkSide——该勒索软件变种于2020年年中首次出现。它同样作为RaaS分布，用于进行有针对性的攻击。DarkSide的目标是同时运行Windows和Linux设备。它在2021年因攻击美国的主要燃油管道运营商殖民管道公司（Colonial Pipeline）而闻名。DarkSide使用双重勒索方案，声称已在加密锁定系统之前窃取了数据，并威胁将窃取的数据泄漏到数据泄露站点上，除非受害者支付赎金。

Conti——该勒索软件在2020年年中首次被发现。Conti是威胁行动者通过地下论坛分发和出售恶意服务的常用方式。由于这种威胁是作为一种可销售的服务提供的，因此它是可定制的。许多分析人士认为，Conti是取代Ryuk的勒索软件，并认为它是世界上最令人不安的勒索软件之一。

Avaddon——该软件变种于2020年初首次出现。FBI和澳大利亚网络安全中心都发布了关于这个恶意软件正在进行攻击的警告。与DarkSide和REvil勒索软件一样，Avaddon 也使用双重勒索，为了进一步敦促受害者，攻击者还对受害者进行分布式拒绝服务(DDoS)攻击，直到其支付赎金。

Ragnar Locker——该勒索软件因攻击台湾一家生产高性能DRAM模块和NAND闪存产品的企业而闻名。该家族的第一个变种出现在2019年底。与许多其他知名的勒索软件变体一样，目前的Ragnar Locker变体也使用双重勒索技术来督促受害者支付赎金。

Hive——该勒索软件首次出现于2021年6月，因攻击商业房地产软件公司Altus Group而登上头条。这种威胁也采用双重勒索，其开设了专门的数据泄露站点Hive Leaks。

信息窃取者

RedLine——一个信息窃取恶意软件，通过以covid -19为主题的钓鱼电子邮件传播。整个2020年，它都是一个活跃的威胁。2021年，它通过恶意谷歌广告和鱼叉式网络钓鱼活动传播。RedLine十分常见，已经出现了各种木马服务、游戏和工具，许多RedLine的样本还带有看起来合法的数字证书。

Agent Tesla——该软件于2014年首次亮相，它包含了一系列强大的信息窃取功能。Agent Tesla最初可以通过一个网站购买，从那时起，便一直被网络犯罪分子购买使用于各种活动中，常常通过垃圾邮件来传播。

Ficker——一个信息窃取恶意软件，在俄罗斯的地下论坛上出售和传播。这种MaaS（恶意软件即服务）于2020年首次被发现。此前，Ficker已经通过木马化的网站链接和被入侵的网站传播。它的信息窃取目标活动包括网络浏览器、信用卡信息、加密钱包等。

Hancitor——又名Chanitor，于2013年首次被发现。它通过社会工程技术传播，比如看起来来自合法的文件签名服务DocuSign®。一旦受害者受骗后同意恶意代码的执行，Hancitor就会感染他们的系统。

2021年十大恶意软件威胁的流行率

网联汽车、网络安全以及人工智能的关联

汽车行业正在探索人工智能的建设性用途，包括其执行关键网络安全任务的能力。

要理解如何将预防为主的人工智能网络安全整合到联网驾驶中，最好的方法是将技术分解为预防网络攻击和人工智能两个单独的元素。每一个都可以独立于另一个实现。同样地，为了在连接驱动中正确地部署它们，每个元素都必须发挥作用。

预防网络安全攻击

保护任何系统的第一步，是在设计和构建系统时尽量减少安全漏洞的可能性。这一观点反映在ISO和联合国最近制定的一些指导方针中:

• ISO/SAE 21434于2021年8月发布，为车辆设计、制造、使用和退役期间的操作安全制定了标准。

• UN R155规定，不仅汽车平台要考虑网络安全，周边基础设施也要考虑网络安全。

预防和检测威胁并不是完全对立的，在系统设计和开发过程中无法发现的漏洞当然存在。为了防止这些未识别的漏洞被利用，需要检测针对系统的攻击并阻止其继续进行。

在新环境下，入侵检测通常先于入侵防御。它可以在还未产生不良后果的情况下监测和改进该系统，直到有信心对其运作能够采用以预防为基础的方法。

人工智能的使用

人工智能的使用让安全关键系统和其他车辆系统之间也出现了重要区别，不够，人工智能在安全关键系统中的应用也仍在争论中。

安全保障依赖于了解系统将如何响应其输入。如果系统行为不被很好地理解，一个基于机器学习的人工智能系统就会引入智力债务。对抗性机器学习等攻击则表明了设计师无法完全理解输入将如何影响人工智能系统的行动。而用于训练系统的数据也可能是攻击的目标，或者不能代表不断变化的现实世界条件。因此，重要的是不要把新的人工智能系统视为绝对正确的，而是要理解它们失败的原因。

使用人工智能来重构系统的状态、执行事后分析并发现其失败的原因，这将需要在许多领域投入大量资源。在减少与人工智能相关的智力债务方面，仍需要做许多工作。

网络安全立法和法规

目前，网络安全已成为七国集团(G7)国家和北约(NATO)盟国公共政策议程的重中之重。管道、医院、航空公司、供应链和基本服务遭受的持续的网络攻击凸显了保护关键基础设施、企业和公民的迫切需要。2020-2021年间，美国、英国、法国、日本、意大利、澳大利亚和德国政府共同承诺投入数十亿美元，并推出新措施以加强其网络抵御能力。

在美国，拜登政府于2021年5月发布了一项行政命令，旨在加强整个联邦政府的网络安全举措。拜登总统提名了一名国家网络主任来监督数字安全政策，并发布了保护和保护联邦信息系统的新措施。他还加强了美国国土安全部(DHS)网络安全和基础设施安全局(CISA)应对重大网络事件的权力。与此同时，国会已经通过立法来支持相关举措。

欧盟正在考虑广泛的网络安全立法，包括网络、关键基础设施和物联网产品的新安全认证。在加拿大，联邦政府已承诺起草新的国家网络安全战略，通过新的立法将网络罪犯绳之以法，并提高联邦网络能力。

结论

2021年全年，对关键基础设施和大型组织的有组织攻击成为头条新闻，勒索软件在其中扮演了重要的角色。威胁行为者通过利用恶意服务(RaaS、IaaS、MaaS等)和Initial Access Brokers（IAB），展示了他们模仿私营部门的能力。随着攻击者继续快速采用新技术并利用不断变化的环境，威胁分析人员随机应变显得越来越重要。这可能需要投资XDR类型的平台或XDR管理服务，这些服务可以跨产品和设备收集威胁遥测数据，同时将有用的信息从中分离出来。

此外，小型企业将继续成为网络犯罪的“重灾区”，中小企业(SMB)的每个终端每天面临着11次以上的网络安全威胁，随着网络罪犯逐渐采用协作思维，这一状况将日益恶化。影响到各种规模的组织的攻击都是直接或间接通过他们的供应链造成的。移动设备越来越普及，但其中的应用程序不一定完全安全。数字领域的每一个参与者——从跨国公司到智能手机用户，都面临着网络安全风险。

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。