2022年APT與工控安全威脅趨勢預測
隨著新冠疫苗和防疫措施的普及,更加難以防范的新冠病毒變異也接踵而來。2022年,與新冠病毒類似,隨著企業部署新的網絡安全工具和保護,工控安全威脅也快速“變異”。而最近肆虐全球的Log4j2超級漏洞被稱為網絡安全的“新冠病毒”,而工控安全領域,正是Log4j2漏洞的重災區之一,這使得2022年工控安全領域的安全態勢進一步惡化。
以下,是卡巴斯基根據2021年度監測數據給出的2022年APT攻擊和工控安全威脅趨勢預測:
01APT攻擊的四大趨勢
? 單次攻擊的目標數量減少
網絡犯罪活動中針對個人的攻擊針對性越來越高,每次攻擊的受害者數量越來越少。例如,我們看到基于間諜軟件的身份驗證數據盜竊犯罪生態系統中出現了一種新趨勢,每次攻擊都針對極少數目標(從個位數到幾十個)。這一趨勢正在迅速滾雪球,在世界的某些地區,被阻止的針對工控系統計算機的間諜軟件中,多達20%都使用這種策略進行攻擊。明年,此類攻擊可能會占威脅格局的更大部分,而且這種策略也可能傳播到其他類型的威脅。
? 惡意軟件生命周期縮短
為避免被發現,越來越多的網絡犯罪分子采用頻繁升級其所選家族中的惡意軟件的策略。他們以最高效率使用惡意軟件來突破安全解決方案的防御,然后在當前版本變得易于被檢測時立即切換到新版本。對于某些類型的威脅(例如間諜軟件),其開發部署生命周期都在縮短,并且在許多情況下不會超過3-4周(通常甚至更少)。現代MaaS平臺的發展使全球惡意軟件運營商更容易使用此策略。2022年我們肯定會在各種威脅場景中更頻繁地遇到它。結合每次攻擊的受害者數量呈下降趨勢,這種策略的廣泛使用將導致惡意軟件的種類更多。
? “持久”比“高級”重要
越來越多的APT開始采用“持久戰”策略。縮略詞APT中的“P”(持久性)已變得不那么依賴“A”(高級)。我們很早就看到了APT運營者如何“艱苦樸素”,以低成本方式頑強地在受害者基礎設施中長期駐留——他們通過擴展和定期升級工具包,而不是采用昂貴而復雜的“高級”框架來逃避檢測。這種策略很可能將在APT活動中越來越頻繁地被采用。
? 最大限度地減少惡意基礎設施的使用
在與安全工具和防護措施的斗爭中,攻擊者會不斷嘗試減少攻擊留下的可檢測痕跡。尤其明顯的一點是,攻擊者正在盡量減少對惡意基礎設施的使用。例如,一些APT中的C&C服務器的生命周期非常短,在攻擊階段運行不超過幾個小時。
有時,攻擊者不僅會設法避免使用任何惡意基礎設施,而且還會避免使用可疑和不受信任的基礎設施。例如,間諜軟件攻擊中的一種流行策略是:從目標受害者合作伙伴組織的受感染企業郵件帳戶發送網絡釣魚電子郵件。在這種情況下,精心設計的釣魚郵件內容實際上與合法郵件難以區分,并且幾乎無法用自動化工具檢測到。
毫無疑問,2022年,各類工控系統的攻擊者將更頻繁地使用此類策略。
02APT攻擊與網絡犯罪
哪些威脅對工業企業的威脅最大?APT還是網絡犯罪?工業企業提高信息安全能力,引入新的保護工具和措施的計劃在某種程度上取決于所選的對手模型。同時,請記住,人們對某些類別的攻擊者的利益、能力和作案手法的看法可能已經過時,因此需要不斷更新觀念和策略。讓我們看看2022年的相關趨勢。
? APT和網絡犯罪的技術、戰術甚至策略越來越相似,可能需要類似的安全措施
事實上,許多APT和網絡犯罪活動有時也難以區分,即使對于專家也是如此。例如,
- 技術和執行很糙的APT和“高級”網絡犯罪攻擊已經屢見不鮮。例如,一些著名的APT組織的攻擊中,所使用的網絡釣魚電子郵件漏洞百出。而很多時候,一些針對性網絡犯罪活動反而會更加“專業”和“高級”,能夠制作出幾乎完美無缺的釣魚電子郵件。
- 同樣,偽裝成網絡犯罪的APT以及偽裝成APT的網絡犯罪分子的攻擊,也已經見多不怪。
- 此外,APT武器庫中,我們越來越多地看到商業工具,甚至使用MaaS基礎設施和交付方法作為初步滲透的手段。
? APT和網絡犯罪的目標經常重疊
在眾多工業企業中,APT的重點攻擊目標是:
- 軍工復合體和航空航天工業——最有可能用于軍事和技術間諜目的;
- 能源、交通和公用事業——為了以防萬一,試圖在“潛在對手”的關鍵基礎設施中站穩腳跟,并利用它進行其他攻擊;
- 基于知識的行業——主要用于工業間諜目的。
而網絡犯罪分子則會攻擊他們能搞定的任何價值目標,并且在絕大多數情況下將使用相同的“成熟”方法通過攻擊獲利:
- 通過替換銀行詳細信息直接盜竊資金——通過BEC策略或訪問組織的財務系統;
- 勒索和勒索那些有能力并愿意支付的組織或個人;
- 將被盜信息轉售給其他網絡犯罪分子、受害者的競爭對手和其他相關方。
? 網絡犯罪造成的直接經濟損失更大,但APT造成的損失更難預測,從長遠來看可能更大
從去年發生的事件來看,就直接經濟損失而言,網絡犯罪分子的行為對行業企業而言似乎比APT更危險。例如,在2021年,我們看到許多行業巨頭陷入停頓,向勒索軟件支付了數千萬美元。與此同時,一整年中只有一個已知的APT造成重大經濟損失的案例(因為該APT事件中攻擊者決定偽裝成勒索者)。
也就是說,APT攻擊可能會產生非常難以提前評估的延遲損失或負面影響(例如,幾年后,競爭對手公司可能會根據被盜數據開發新產品)。
? 留神網絡流氓和黑客行動主義者
2021年,至少有三起由網絡流氓和黑客行動主義者導致的工控安全事件成為全球頭條新聞,這表明很多重要的工業基礎設施的安全措施形同虛設,甚至一些“打野”黑客都可以來去自如。
? 勒索攻擊
勒索軟件攻擊是2021年的主要趨勢,盡管各國政府紛紛重拳出擊,但勒索軟件依然勢不可擋。2022年勒索軟件攻擊將繼續,包括針對工業企業。網絡犯罪分子將更好地保護自己并規避風險,而受害者支付的贖金也將水漲船高。
032022年工控系統APT攻擊趨勢
以下網絡犯罪策略和技術將在2022年被積極使用。
? 網絡釣魚是有針對性(和非針對性)攻擊的首要初始滲透工具。如過去一年所示:
- 很遺憾,目前而言,即使是糟糕的網絡釣魚手段,也能收到很好的效果。盡快培訓您的員工安全意識,提高釣魚郵件的有效辨別能力。拼寫和語法錯誤、措辭不當、公司和官員名稱不正確、奇怪的話題和不尋常的請求都是網絡釣魚露出馬腳的地方。
- 遺憾的是,高質量的魚叉式網絡釣魚極難防范。在每家公司中,都必然會有人盲目打開附件、點擊鏈接、點擊按鈕甚至與攻擊者聯系,并在不知不覺中幫助他們在系統中啟動惡意載荷。
- 各種類型的網絡犯罪分子已經掌握了不使用惡意基礎設施的魚叉式網絡釣魚和僅使用受信任的基礎設施(如上所述)的網絡釣魚技術。而且,后者是最危險、最難檢測的方法。不幸的是,2022年此類方法將俘獲大批受害者。
? 面向互聯網的硬件中的已知漏洞也肯定會繼續成為流行的滲透媒介,建議及時更新防火墻和SSL VPN網關。
? 操作系統組件和流行IT產品中的零日漏洞將仍是高級APT中相對罕見的工具,而相對小眾(因此可能未經充分測試)的產品中的未知安全漏洞將也被網絡犯罪分子積極利用。
? 針對域名注冊商和認證機構以及供應商的攻擊
關于這些APT攻擊的“高級”策略,去年我們再次看到針對域名注冊商(最低限度訪問受害者的Web控制面板)和認證機構的入侵和攻擊,以及針對供應商的新攻擊場景。此類威脅有可能在很長一段時間內未被發現,從而使攻擊者能夠進行長期持續的操作。那些負擔得起此類攻擊成本的攻擊者自然不會輕易放棄此類攻擊手法。
因此,在規劃來年的保護手段和措施時,企業安全主管們不僅要注意自己的基礎設施的安全性,還要注意所使用的第三方服務的安全性。在為IT/OT系統選擇產品供應商時,請明確自己對產品和供應商二者的網絡安全要求。與業務合作伙伴合作時,也請注意他們的安全弱點可能對您構成的威脅。
(來源:@GoUpSec)
