2021年,我们一方面在继续应对从2020年就已经开始的全球新冠疫情,另一方面,我们也遇到了一系列新的网络安全挑战。
在这一年里,供应链攻击影响着医疗、汽车、旅游、零售和食品供应等方方面面,对供应链的威胁及其潜在的灾难性级联效应让供应链攻击成为各类重大威胁中的第一大威胁。在此期间,随着数字经济发展的不断深入,数据对提高生产效率的乘数作用不断凸显,成为最具时代特征的生产要素。数据作为新生产要素,在创造越来越多价值的同时,也面临着更多的安全威胁。随着企业上云步伐加速,针对云环境的威胁也不断增加。与此同时,勒索软件和挖矿攻击也急剧上升,远远超过了我们的预期水平。
本着合作与分享的精神,我们基于各种开源信息和网络威胁情报制定了《2022网络威胁形势研究报告》,希望与行业同仁共享我们观察到的网络威胁形势,与他们一道为守护企业业务发展、抗击网络犯罪携手奋战!
1. 供应链攻击
多年来,供应链攻击始终是一个重大安全问题,但自 2020 年初以来,整个社会似乎面临着更多更有组织的攻击。这可能是由于组织实施了更强大的安全保护,攻击者只好退而求其次转向供应商。他们设法通过让企业系统下线、经济损失和声誉受损等方式来产生重大影响。供应链之所以重要是因为一旦攻击成功就可能会影响大量使用受影响供应商的客户。因此,单一攻击的级联效应可能会产生广泛传播的影响。根据欧盟网络安全局(ENISA)的调查研究,供应链攻击呈现出以下趋势:
攻击者目标更加明确:66%攻击事件的攻击目标是供应商代码,20%攻击事件的攻击目标是数据,14%攻击事件的攻击目标是内部流程。
供应商并不清楚攻击者是如何发生的:在 66% 的供应链攻击中,供应商并不太清楚他们是如何受到攻击的。考虑到供应商大多属于技术部门,不了解供应链攻击的发生方式可能表明供应商基础设施的网络防御成熟度不高或不愿分享相关信息。还有其他因素可能导致对供应商不了解自己是如何被入侵的,比如攻击的复杂性以及发现攻击的速度,这都会对事件调查造成阻碍。
复杂的供应链攻击一般是APT组织所为:据研究调查,超过50%的供应链攻击归因于知名网络犯罪组织,包括 APT29、Thallium APT、UNC2546和Lazarus APT等等。但由于这类复杂攻击一般需要更长的时间来调查,2021年发生的很多攻击还没有办法归因于特定攻击组织。
2. 数据安全威胁
随着数据在数字化经济发展中发挥着更加重要的作用,针对数据的威胁也一直位居前列,并且预计这一趋势在2022年将继续存在。攻击者探索了一系列新技术,并利用了越来越多、影响力越来越大的在线服务。此外,鉴于数据的重要性,尤其是私人和敏感数据的重要性,攻击者正在针对目标数据采用更复杂的安全威胁,例如勒索软件或供应链攻击。根据Verizon的调查数据显示,数据安全威胁呈现出以下趋势:
人为错误是数据泄露的主要原因:据 Verizon 称,85%的数据泄露都与人为因素有关。考虑到社会工程和其他人为错误都是主要攻击模式,这就很容易理解了。总体来说,泄露最多的数据是凭证 (60%) 和个人数据 (50%),而由人为错误引起的数据泄露中,泄露最多的是个人数据 (80%)。
医疗保健行业数据泄露激增:由于疫情原因,医疗保健部门成为人们关注的焦点,攻击者利用这场危机打击了这个本已遭受重创的领域;同时由于疫情原因,在线医疗保健服务、远程医疗保健和远程医疗方法增加,因此攻击者窃取医疗数据的机会大大增加。此外,医疗记录中包含患者的医疗和行为健康数据和人口统计数据,以及他们的健康保险和联系信息,攻击者窃取医疗数据的动机远高于其他类型的数据。
商业环境中的数据泄露事件增多:据SANS Institute称,在过去几年中,大约 74,000 名员工、承包商和供应商因公司笔记本电脑被盗而受到数据泄露的影响。数据未加密则加剧了这种情况。
攻击动机和攻击向量保持不变:据 Verizon 报道,与攻击者动机和主要攻击向量相关的趋势基本保持不变。网络钓鱼仍然是数据泄露的主要原因(36%),其次是使用被盗凭证 (25%) 和勒索软件 (10%)。经济动机仍然是攻击的主要动因,其次是间谍活动,通常涉及盗窃知识产权或其他机密信息。
3. 云环境威胁
基于云的服务现在构成了许多业务流程的关键要素,简化了文件共享和协作。然而,这些基于云的服务在计算机网络运营 (CNO) 过程中越来越多地被攻击者利用,其发展呈现出以下趋势:
云漏洞利用增多:攻击者倾向于利用服务器软件中已知的 RCE 漏洞,通常是扫描哪些服务器有漏洞,而不是关注特定领域或地区。在实现初始访问之后,攻击者就可以部署各种工具。
恶意软件托管和命令与控制(C2):电子犯罪和有针对性的入侵攻击者大多是利用合法的云服务来传播恶意软件;针对性的入侵攻击者也使用这些服务进行命令与控制。这种策略的优势在于能够规避基于签名的检测,因为云托管服务的顶级域名通常受到许多网络扫描服务的信任。
利用配置错误的镜像容器:攻击者会定期利用配置不当的 Docker 容器。 Docker 镜像是用于创建容器的模板,一个镜像有问题将会影响N个节点和集群。此外,攻击者还会访问和修改 Kubernetes 集群。Kubernetes 框架是一个复杂的系统,由许多组成部分组成,很容易出现配置错误。
4. 勒索软件攻击
勒索软件是一种恶意攻击,攻击者会加密企业的数据并要求付款才能恢复访问权限。通过钓鱼邮件和暴力破解远程桌面协议 (RDP) 服务进行攻击是两种最常见的攻击向量。在过去一年里,勒索软件攻击呈现出以下趋势:
勒索软件组织针对基础设施发起攻击:虽然针对基础设施的勒索软件攻击并不是什么新鲜事,但这类攻击在 2021 年显著增加,几乎日常生活的方方面面都受到勒索软件的威胁,例如医院、警局、自来水厂、燃料管道、食品生产商和学校等等。知名的勒索软件攻击事件包括Colonial Pipeline、JBS Foods、New Cooperative攻击事件,更多详细信息及完整报告,请关注公众号“青藤云安全”免费下载索取。
RDP和钓鱼依旧是最常见的攻击向量:在过去几年中,通过 RDP 进行初步攻击一直是主要的攻击向量。然而,自 2021 年以来,我们看到这种攻击向量正在下降。相比之下,通过网络钓鱼电子邮件进行的攻击有所增加。我们将这两种攻击向量视为获得初始立足点的最常用方式,而且这两个攻击向量也是攻击者最便宜且最有利可图的方法。
从双重勒索发展到多重勒索:攻击者为了实现利润最大化开始实施多重勒索计划。首先,攻击者会从组织窃取并加密敏感数据,威胁受害者付款,否则就要公开发布这些数据。现在,攻击者现在还针对组织的客户和/或合作伙伴索要赎金。一些研究将 DDoS 的使用作为第三重攻击向量,然后将向受害者客户索要赎金作为第四重勒索。
勒索软件即服务(RaaS)商业模式发展壮大:在攻击中使用勒索软件即服务 (RaaS) 平台已成为常态。这种类型的服务为其他攻击者提供了一个平台,并且实行的是联属营销模式,让RaaS平台像企业一样运转盈利。有了RaaS平台,即使攻击者缺乏技术知识,也可以进行勒索软件攻击。
招募企业内鬼:更复杂的勒索软件攻击即将出现的趋势是积极招募员工在勒索软件活动期间提供协助。据悉,一名俄罗斯国民因锁定和招募特斯拉员工协助勒索而被定罪。该员工需要在其公司的计算机系统上执行恶意软件,从而从公司网络中窃取数据。
5. 漏洞利用
安全漏洞是指信息系统中的弱点,这个弱点或者脆弱性是由于缺乏防控措施或者防控措施不足造成的,比如组织没有应用某一个组件的补丁而造成的脆弱性暴露。漏洞的暴露和利用不仅仅会给企业带来巨大的经济损失,还有可能损害客户利益、企业声誉。虽然漏洞之多已经让很多人对其无感,但漏洞依然是攻击者热衷的对象。下面是关于漏洞利用的发展趋势:
公开的CVE漏洞首次超过20000:根据 NIST 数据显示,2021 年发布了 20,136 个常见漏洞和披露 (CVE)。这标志着连续五年发现了创纪录的漏洞数量,也是历史上第一次 CVE 的数量超过 20,000 个。
被利用的前 10 个漏洞中有 80% 是原有漏洞:在2021年7月,CISA发布了2020年网络犯罪分子利用的主要漏洞列表。利用最多的前10个漏洞中都已经有补丁或已有更新版本,而且只有两个是在2020年发现的,这再次凸显了全面、及时打补丁的重要性和必要性。
史诗级漏洞Log4j席卷全球:虽然 Apache Log4j 漏洞是 2021 年发现的最后一个重大漏洞,但它很快成为被利用最多的一个漏洞。虽然针对Log4j漏洞及时打补丁会存在一些困难,但真正的困难将是识别有哪些前端、中间件、后端、桌面应用程序、现成的软件和内部创建的软件受到了影响。青藤万相支持全面、细粒度的资产清点,支持精确识别10余类主机关键信息清点,800多项业务应用识别,其中包括Web框架、系统安装包、Jar库/类库等,能够有效识别已部署的业务系统使用的PHP、JAVA、Python框架情况。区别于常规的SCA工具,青藤万相通过黑盒检测方式,为用户提供持续性、动态的业务系统成分分析,支撑应用环节的软件供应链安全防护。
6. 挖矿攻击
挖矿劫持是犯罪分子偷偷使用受害者的计算能力来获取数字货币的一种网络攻击形式。挖矿劫持不仅仅是挖掘加密货币,而且是大规模盗窃资源,可以禁用受害者的防病毒软件并打开安全端口,以便与其命令与控制基础设施进行通信。挖矿劫持还可以为更复杂的攻击提供强大的数据转移能力。在过去一年里,挖矿攻击主要呈现出以下发展趋势:
2021 年加密劫持数量创历史新高:自 2019 年以来,我们看到过去几年占主导地位的挖矿程序呈稳步下降的趋势,Coinhive 和JSECoin 的关闭加速了这种下降趋势,但现在攻击者已经转移到其他类型的恶意活动。2021年思科报告称,其 69% 的客户 2020 年受到加密挖矿恶意软件的影响,而且还表示加密挖矿在任何其他恶意活动中产生的 DNS 流量最多。我们可以总结得出,与加密劫持相关的经济收益激励了相关的攻击者进行这些攻击。基于加密货币的波动价值,预计挖矿将在2022年仍是一个重要的攻击方式。
XMRig主导了挖矿市场:根据Check Point发布的一份报告称,2020 年全球挖矿恶意软件市场由 XMRig(35%)、JSECoin(27%)、Lucifer(7%)、WannaMine(6%)、RubyMiner(5%)和其他(20%)主导。2021 年上半年,其市场份额增至 51%,占所有加密恶意软件的一半以上。
从浏览器转向基于文件的加密劫持:Verizon的研究证实,自 Coinhive 关闭以来,基于浏览器的挖矿程序占比下降了。基于文件的挖矿程序填补这一空缺,它们首先入侵受害者的主机,然后在主机上投放挖矿软件。
挖矿攻击开始针对云和容器基础设施:云基础设施的使用,让处理能力能够根据需要随时扩大。当云主机被加密劫持恶意软件感染时,成本可能会变得巨大。容器基础设施也是一个吸引攻击者眼球的目标,因为这些环境将根据需要生成工作节点。过去在 Kubernetes 上已经看到过加密挖矿,但切入点要么是易受攻击的 Web 应用程序,要么是已经包含挖掘恶意软件的恶意容器。
