重磅 | 啟明星辰集團發布《2020-2021網絡安全態勢觀察報告》
2021年對于啟明星辰集團來講是砥礪前行、豪情萬丈的一年。面對新形勢、新征程,我們將迎接新的數字時代。站在新起點,面對復雜嚴峻的安全態勢,我們理應對過去一年多的網絡安全狀況進行全面總結、思考和展望。
為此,啟明星辰集團發布《2020~2021網絡安全態勢觀察報告》,以觀察者視角嘗試剖析2020年全年至2021年上半年網絡安全形勢及其變化,希望以此為各行業以及相關企事業單位提供網絡安全戰略和決策的參考。
1、網絡安全法制化建設穩步推進,數據安全逐漸成為焦點
習近平總書記指出:安全是發展的前提,發展是安全的保障。這表明在塑造數字化發展這個新“動力系統”的同時,也要注重實現網絡和數據安全“制動系統”。唯有如此,才能形成健康、良性、高質量的數字化發展新格局。
近幾年,我國網絡安全法制化建設穩步推進。網絡安全法、數據安全法、網絡安全審查辦法、個人信息保護法、網絡產品安全漏洞管理規定等一系列法律法規的制定和實施構建起了網絡安全強國的牢固基石。同時,數據安全保障工作也已取得顯著成效。隱私計算、區塊鏈、數據令牌化、數字水印、同態加密等技術的不斷發展和演進為數據安全提供了有力保障。
我們相信,隨著相關法律法規的不斷落地以及相關技術的不斷成熟,我國網絡安全治理能力和數據安全保障水平將會不斷邁上新的臺階。
2、威脅框架進入“攻防兼備”新階段,并逐漸成為網絡安全行業的風向標
過去一年多,以ATT&CK為代表的威脅框架熱度不減,并逐漸進入“攻防兼備”的新階段。
2020 年1月,MITRE發布ATT&CK For ICS知識庫,首次成功描繪了針對工控系統的攻擊所涉及的技術。
2020年10月,MITRE發布ATT&CK v8版本,將PRE-ATT&CK替代為新的偵察和資源開發兩個戰術,較上一版本更加完整地描繪了攻擊者針對傳統IT系統的攻擊過程。
2021年4月,MITRE發布ATT&CK v9版本,新增了ATT&CK for Containers,首次描繪出針對Kubernetes和Docker的攻擊技術。
2020年8月,MITRE發布了用于主動防御的實戰型指導框架:MITRE Shield。MITRE Shield提供了針對ATT&CK攻擊技術對應防御技術的映射,防御者可以利用ATT&CK威脅框架分析攻擊者的技戰術,同時利用Shield知識庫部署網絡防御設施。
2021年6月,NSA協助MITRE發布了D3FEND框架,D3FEND作為ATT&CK的重要補充提供了對抗常見攻擊技術的方法模型,并將每一項防御技術與ATT&CK模型中的攻擊技術相對應。
以ATT&CK為代表的攻擊框架和以Shield、D3FEND為代表的防御框架的出現,為網絡安全行業做出了重大貢獻。未來,以它們為代表的攻防框架將逐漸成為網絡安全行業的風向標。
3、網絡犯罪產業鏈逐漸成型,地下黑產技術“深度融合”
隨著RaaS(勒索軟件即服務)、MaaS(惡意軟件即服務)等模式的發展,網絡犯罪產業鏈逐漸成型。網絡犯罪過程中的任何環節都能夠找到相應的服務,網絡犯罪團伙儼然已經成為一個協作有序、相互匿名的項目團隊。在日益成熟的網絡犯罪產業鏈下,地下黑產技術“深度融合”。
4、勒索攻擊已成為全球公敵,“多重勒索”、“APT化”成為勒索攻擊標配
2020年,全球勒索攻擊次數較2019年同比增長了150%以上,每次勒索的平均贖金達到了31萬美元;2021年預計每11秒就發生一次勒索攻擊,“勒索攻擊產業”年收入將達到數千億美元。勒索軟件的威脅堪比“911”事件后全球恐怖主義所面臨的挑戰,并逐漸成為全球公敵。
在“RaaS(勒索軟件即服務)”、“APT化”攻擊模式以及“Big Game Hunting(大型狩獵游戲)”盛行的大背景下,勒索攻擊的參與者越來越多,勒索攻擊的事后追查越來越困難,勒索入侵的過程越來越復雜,勒索攻擊的目標越來越有針對性。同時,勒索攻擊者已經普遍不滿足于依靠單一勒索方式達到目的,而是采取泄露攻擊目標重要數據,對攻擊目標發動DDoS攻擊甚至威脅與受害企業相關的客戶等“多重勒索”方式達成最終的目的。此外,隨著云計算、物聯網、移動互聯網等技術的快速發展,勒索已經逐漸瞄準云上資源、IoT設備、工控系統以及移動終端設備。
我們預計,未來除了針對價值目標的“APT化”勒索攻擊外,類似DarkSide組織以摧毀重要基礎設施為目的的高級勒索攻擊將會屢見不鮮,勒索攻擊將成為危害網絡安全的首要威脅。
5、供應鏈攻擊成為黑客攻擊重要突破口,其影響已經上升到國家層面
根據ATT&CK框架對供應鏈攻擊的分類,供應鏈攻擊一般分為軟件供應鏈攻擊、硬件供應鏈攻擊和軟件開發工具或依賴庫供應鏈攻擊三種形式:軟件供應鏈攻擊案例最為廣泛,主要是通過在軟件開發階段修改源代碼,分發階段替換為惡意軟件等方式進行攻擊。2020年底發生的以竊密為目的的Solarwinds事件以及2021年年中發生的以勒索為目的的Kaseya事件都是典型的軟件供應鏈攻擊案例。硬件供應鏈攻擊是通過替換、植入、修改等方式在硬件產品送達消費者之前的整個環節中進行攻擊。相較于軟件供應鏈攻擊,硬件供應鏈攻擊更加難以發現,攻擊成本也相對更高。
通過篡改軟件開發工具以及使用廣泛的開源項目是供應鏈攻擊的第三種方式,也被稱為“下一代供應鏈攻擊”。過去12個月就發生了929次針對開源軟件的供應鏈攻擊。相比之下,過去五年的總和才僅有200余起。
供應鏈攻擊具有極端隱蔽、檢測困難、攻擊面廣泛、攻擊成本低回報高等特點。我們預計,未來供應鏈攻擊事件會逐漸增長甚至爆發,國家級背景的攻擊組織主導的供應鏈攻擊事件將會屢見不鮮。由于我國大部分信息化系統的軟硬件核心技術對歐美的依賴程度仍比較高,因此供應鏈安全將是我們未來面臨的重要挑戰。
6、就地取材,LOLBins、攻擊性安全工具濫用成趨勢
過去一年多,在“Living off the land”熱度不減的同時,攻擊性安全工具(Offensive Security Tools,簡稱OST)越來越受到攻擊者的關注。“Living off the land”通常指攻擊者使用目標主機上已安裝的工具或功能進行攻擊的方式,被利用的工具通常叫做“LOLBin”。雖然“Living off the land”可以最大限度地避免攻擊被發現的可能,但僅利用系統提供的有限功能“拼湊”出整個攻擊過程并非易事,攻擊性安全工具便進入了攻擊者的視野。攻擊性安全工具是指在不利用軟件自身缺陷或漏洞的情況下,以合法身份實施入侵或規避安全防御機制的軟件代碼庫。攻擊性安全工具一般由信息安全專業人士開發,目的是促進網絡安全相關技術的發展。通俗地講,攻擊性安全工具就是開源代碼共享網站可以下載到的滲透工具或者較為知名的商業滲透攻擊套件的集合。
在詳細報告中,我們基于ATT&CK框架總結了近年來在各個攻擊階段較為常用的LOLBins以及攻擊性安全工具。
7、IoT僵尸網絡變得更加隱蔽,NAS設備逐漸成為IoT攻擊新寵
傳統的IoT僵尸網絡由連接到命令與控制(C&C)服務器的眾多受感染設備(Bot)組成,犯罪分子使用C&C服務器控制著整個僵尸網絡。這意味著只要關閉C&C服務器,就會使僵尸網絡無法工作。但是過去一年多,我們發現越來越多的僵尸網絡引入了P2P和Tor網絡技術,這使得僵尸網絡變得越來越隱蔽,更加難以關閉。
由于IoT類設備一般無重要數據存儲,所以勒索軟件一直以PC、服務器等IT類資產為目標。近年來隨著NAS設備的普及,勒索軟件已開始瞄準IoT設備進行攻擊。我們預計,未來會有更多的勒索軟件以IoT設備為目標進行攻擊。由于附加在IoT設備上的安全能力普遍偏弱,其危害將會明顯大于傳統Windows/Linux下的勒索攻擊。
8、Web攻擊工具逐漸自動化、加密化,辦公系統、安全設備漏洞威脅愈發嚴重
近年來,Web攻擊工具呈現逐漸自動化、加密化的趨勢。以冰蝎、哥斯拉為代表的新型Webshell管理工具正逐漸往流量加密的趨勢發展。傳統的以特征串匹配為基礎的流量檢測手段已逐漸失效,以流量行為特征、機器學習、威脅狩獵為基礎的檢測方式正逐漸走上舞臺。以Goby、Xray為代表的漏掃工具方興未艾,功能越來越強大,使用越來越方便,即使是入門級的新手也能依靠這些工具自動化完成大部分滲透工作。
此外,仍有不少0day漏洞被曝光,這其中大部分都是辦公系統及安全設備本身的漏洞。這類漏洞在國內具有覆蓋范圍廣、危害大,利用難度低的特點。由于OA系統通常位于DMZ區或內網,安全設備通常位于內網,加之國內部分企業網絡環境相對復雜,訪問控制策略不規范,時常會有內外網或DMZ區互通的現象出現。此時OA系統或辦公設備的漏洞就會成為攻擊者的絕佳入口,攻擊者可利用OA系統掛馬或當作跳板直達核心辦公網,甚至利用安全設備漏洞直接關閉告警信息讓攻擊者暢通無阻。
9、新挖礦木馬如雨后春筍般涌現,容器成為挖礦攻擊新目標
與普遍“APT”化的勒索攻擊不同,為了獲得更多的計算資源,挖礦攻擊仍然以不斷擴大感染面為主要目標。
過去一年多,隨著以比特幣為代表的數字加密貨幣的暴漲,挖礦木馬也隨之更加活躍,甚至一些知名APT組織也加入挖礦陣營。在這一年里,老的挖礦木馬持續活躍,新的挖礦木馬層出不窮。除了使用弱口令爆破、常見的漏洞利用外,挖礦木馬逐漸瞄準容器等云上資源。同時借助僵尸網絡的傳播,進一步擴大感染范圍獲取巨額利益。
10、高級隱蔽網絡蓬勃發展,防溯源能力顯著增強
網絡攻防對抗一直處于激烈的拉鋸戰之中,例如網絡追蹤溯源技術和網絡隱蔽防溯源技術。網絡追蹤溯源技術通過對蜜罐、蜜網等網絡誘騙技術的研究,深入分析各類攻擊行為特征,深入了解網絡攻擊手段、攻擊方法和攻擊目標等,為攻擊溯源和調查取證提供依據,實現網絡攻擊行為的快速跟蹤溯源、精確定位。網絡隱蔽防溯源技術則爭鋒相對,利用多級跳轉、加密傳輸、反追蹤、專線專用等技術手段,實現匿名安全的互聯網接入。
11、網絡靶場定位更加清晰,靶場建設作用日益明顯
近年來,網絡空間靶場逐漸定義為支撐網絡安全戰略建設的重要基礎設施,是取得國家網絡空間安全主導權的關鍵領域,事關國家和人民安全,網絡空間靶場建設正在成為世界各國搶先布局的網絡作戰新高地。
通過網絡空間靶場的建設構建可控、逼真的仿真環境及培訓、演練、測試等各類場景,可用于完成人才培養、競賽考核、實戰演練、應急演練、系統測試、技術研究、效能評估等任務。
啟明星辰集團新戰略定位在“中國數字場景,安全最佳實踐”。最佳實踐需要依靠甲乙雙方共同完成,必須和用戶誠摯合作。在甲乙雙方共生的生態中,共同聯手探索數字化場景和應用的安全問題,不斷提出變革,不斷追求場景化創新,這樣才能使安全產業更有價值、更加健康、持續地發展下去。
二十六年來,啟明星辰持守信息安全行業,以在一寸寬的路上深入一公里的精神專注,在沉靜中腳踏實地不斷堅守,經歷無數探索與風雨洗禮,與行業、用戶共同成長。未來,我們會繼續承擔歷史賦予的重擔,守護數字中國情境下的網絡安全,繼續深植、耕耘不輟。
