日前，趨勢(shì)科技研究發(fā)布了《2022年網(wǎng)絡(luò)安全威脅態(tài)勢(shì)報(bào)告（年中版）》，對(duì)目前影響網(wǎng)絡(luò)安全發(fā)展格局的重要趨勢(shì)和事件進(jìn)行了盤(pán)點(diǎn)和分析。報(bào)告研究發(fā)現(xiàn)，目前企業(yè)組織所面臨的網(wǎng)絡(luò)安全威脅態(tài)勢(shì)，呈現(xiàn)出以下特點(diǎn)：

　　勒索攻擊已經(jīng)轉(zhuǎn)向更有利可圖和更流行的貨幣化方式，勒索軟件即服務(wù)（RaaS）成為廣泛應(yīng)用的攻擊模式；

　　高級(jí)持續(xù)性威脅（APT）組織開(kāi)始利用更加復(fù)雜的工具包和廣泛的信息基礎(chǔ)設(shè)施；

　　安全漏洞數(shù)量仍在快速增長(zhǎng)中，其中嚴(yán)重和高危性漏洞的數(shù)量占比進(jìn)一步提升；

　　云計(jì)算平臺(tái)及其中的應(yīng)用系統(tǒng)已經(jīng)成為惡意攻擊者最關(guān)注的攻擊目標(biāo)。

　　以上特點(diǎn)表明，企業(yè)數(shù)字攻擊面持續(xù)增長(zhǎng)將成為常態(tài)化趨勢(shì)，組織應(yīng)該為此做好充分準(zhǔn)備，不僅要更全面地發(fā)現(xiàn)威脅隱患，同時(shí)還要認(rèn)真思考，如何才能部署正確的安全措施和策略，以保護(hù)其環(huán)境和系統(tǒng)能夠應(yīng)對(duì)不斷增長(zhǎng)的網(wǎng)絡(luò)攻擊面。

　　01 數(shù)字攻擊面威脅態(tài)勢(shì)分析

　　報(bào)告發(fā)現(xiàn)，在過(guò)去幾年中，許多公司通過(guò)采用數(shù)字技術(shù)來(lái)改變其現(xiàn)有的業(yè)務(wù)模式、流程和公司文化，以此應(yīng)對(duì)數(shù)字化轉(zhuǎn)型的挑戰(zhàn)。這種轉(zhuǎn)變創(chuàng)造了更廣泛的數(shù)字攻擊面，涵蓋更廣泛的領(lǐng)域，包括電子郵件收件箱、物聯(lián)網(wǎng)（IoT）設(shè)備、移動(dòng)應(yīng)用程序、網(wǎng)站、公共云服務(wù)，甚至供應(yīng)鏈基礎(chǔ)設(shè)施。

　　報(bào)告對(duì)來(lái)自29個(gè)國(guó)家（地區(qū)）的6,297名信息化安全管理者進(jìn)行了訪談?wù){(diào)研，其中73%的受訪者對(duì)目前數(shù)字攻擊面的增長(zhǎng)規(guī)模表示擔(dān)心，其所在的組織尚未做好應(yīng)對(duì)準(zhǔn)備；37%的受訪者將目前的攻擊面描述為“正在不斷擴(kuò)展和復(fù)雜化”，而另外43%的受訪者擔(dān)心“未來(lái)的攻擊面管理可能會(huì)失控”。

　　報(bào)告還發(fā)現(xiàn)，許多企業(yè)組織并不確定如何應(yīng)對(duì)他們面臨的風(fēng)險(xiǎn)。38%的受訪者認(rèn)為量化網(wǎng)絡(luò)風(fēng)險(xiǎn)是他們面臨的主要挑戰(zhàn)，而33%的受訪者表示他們?nèi)狈α私夂凸芾砭W(wǎng)絡(luò)安全風(fēng)險(xiǎn)的資源。另有32%的受訪者表示，他們對(duì)面臨風(fēng)險(xiǎn)的領(lǐng)域了解有限。

　　反觀網(wǎng)絡(luò)攻擊者，已經(jīng)開(kāi)始具備利用更多樣技術(shù)工具和基礎(chǔ)設(shè)施的能力。報(bào)告發(fā)現(xiàn)，目前高級(jí)持續(xù)性威脅（APT）組織的針對(duì)性攻擊活動(dòng)仍在繼續(xù)，并且這些組織已經(jīng)能夠使用更加大型的基礎(chǔ)設(shè)施，并在攻擊中集成不同種類(lèi)的惡意軟件工具來(lái)實(shí)現(xiàn)長(zhǎng)期潛伏。

　　此外，盡管新的惡意軟件通常會(huì)引起安全行業(yè)和公眾的關(guān)注，但那些已被證明有效的傳統(tǒng)惡意軟件仍然會(huì)對(duì)組織構(gòu)成嚴(yán)重威脅。事實(shí)證明，惡意行為者正越來(lái)越多地轉(zhuǎn)向商品化惡意軟件和其他工具，以提高他們的攻擊效率。例如，Emotet僵尸網(wǎng)絡(luò)正發(fā)展成為惡意軟件即服務(wù)（MaaS）方案。

　　Emotet于2014年首次亮相，后在不同國(guó)家執(zhí)法機(jī)構(gòu)的共同努力下，其基礎(chǔ)設(shè)施被拆除。然而，這并不意味著Emotet的終結(jié)。報(bào)告研究發(fā)現(xiàn)，與2021年上半年相比，Emotet在2022年上半年的檢測(cè)量大幅上升，這證明該僵尸網(wǎng)絡(luò)開(kāi)始死灰復(fù)燃，因?yàn)楹诳徒M織選擇將其整合到他們的操作中。研究人員甚至將Conti運(yùn)營(yíng)商確認(rèn)為推動(dòng)Emotet復(fù)蘇的原因之一。

　　相較2021年上半年，2022年上半年的Emotet檢測(cè)增加了10倍以上

　　02 勒索軟件威脅態(tài)勢(shì)分析

　　勒索軟件即服務(wù)（RaaS）的出現(xiàn)導(dǎo)致網(wǎng)絡(luò)犯罪分子可以使用更多的工具和基礎(chǔ)設(shè)施。調(diào)查數(shù)據(jù)顯示，今年上半年，出現(xiàn)了超過(guò)50個(gè)活躍的RaaS和勒索組織，而且超過(guò)1,200個(gè)組織受到勒索軟件的攻擊。

　　活躍的RaaS和勒索組織數(shù)量（57個(gè)） VS. 受害組織數(shù)量（1205個(gè)）

　　報(bào)告指出，LockBit、Conti和BlackCat是2022年上半年RaaS領(lǐng)域的主要參與者。其中，BlackCat是一種相對(duì)較新的勒索軟件，在2021年幾乎檢測(cè)不到，但在2022年開(kāi)始呈現(xiàn)迅速增長(zhǎng)趨勢(shì)。即使是較老的勒索軟件，如LockBit和Conti，同樣出現(xiàn)了大幅增長(zhǎng)趨勢(shì)。與去年上半年相比LockBit的檢測(cè)數(shù)量在2022年上半年增加了5倍以上，而Conti的檢測(cè)數(shù)量幾乎增加了兩倍。

　　調(diào)查同時(shí)發(fā)現(xiàn)，目前針對(duì)基于Linux設(shè)備的勒索軟件攻擊同比增加了75%，預(yù)計(jì)未來(lái)惡意攻擊者還會(huì)將更多精力集中在Linux上。

　　2022年上半年針對(duì)Linux設(shè)備的勒索攻擊數(shù)量

　　03 漏洞安全態(tài)勢(shì)分析

　　01 嚴(yán)重和高危漏洞數(shù)量增加

　　2022年上半年，CVE發(fā)布的漏洞數(shù)量大幅增加：12,380個(gè)CVE記錄，與2021年上半年發(fā)布的9,420個(gè)CVE記錄相比大幅增加。同樣的趨勢(shì)也呈現(xiàn)在趨勢(shì)科技ZDI計(jì)劃披露的漏洞數(shù)量上，該計(jì)劃發(fā)布了關(guān)于944個(gè)漏洞的公告，比2021年上半年的770個(gè)漏洞增加了約23%。其中，高危等級(jí)的漏洞占已發(fā)布漏洞的最大部分（68%）。與2021年同期相比，嚴(yán)重和高危性漏洞均大幅增加。

　　2022年上半年安全漏洞態(tài)勢(shì)

　　02 重要業(yè)務(wù)工具和軟件存在漏洞隱患

　　涉及關(guān)鍵軟件、工具和組件的漏洞由于其影響的性質(zhì)，通常是最危險(xiǎn)的缺陷類(lèi)型之一。2022年上半年出現(xiàn)了更多影響企業(yè)應(yīng)用軟件安全的漏洞，其中最引人注目的是Spring4Shell漏洞。Spring4Shell漏洞通常發(fā)生在特殊對(duì)象或類(lèi)暴露于特定條件時(shí)，想要直接訪問(wèn)對(duì)象的攻擊者可以通過(guò)在其請(qǐng)求中指定類(lèi)變量來(lái)實(shí)現(xiàn)。除此之外，Samba（適用于Linux和Unix的標(biāo)準(zhǔn)Windows互操作性程序套件）中的漏洞CVE-2021-44142允許未經(jīng)身份驗(yàn)證的攻擊者在root級(jí)別執(zhí)行代碼。這些漏洞進(jìn)一步證實(shí)，影響無(wú)處不在的基礎(chǔ)軟件漏洞仍將是惡意行為者利用的主要選擇。

　　03 新發(fā)現(xiàn)的漏洞威脅DDS標(biāo)準(zhǔn)

　　數(shù)據(jù)分發(fā)服務(wù)（DDS）標(biāo)準(zhǔn)是中間件技術(shù)的一個(gè)示例，它作為連接標(biāo)準(zhǔn)，可實(shí)現(xiàn)安全的實(shí)時(shí)信息交換、模塊化應(yīng)用程序開(kāi)發(fā)以及工業(yè)物聯(lián)網(wǎng)（IIoT）的快速集成。DDS用于在交通、機(jī)器人、電信、醫(yī)療保健和國(guó)防等領(lǐng)域的傳感器、控制器和執(zhí)行器之間實(shí)現(xiàn)可靠的通信層。

　　除了DDS在軟件供應(yīng)鏈中的重要性之外，還值得注意的是，它位于供應(yīng)鏈的起點(diǎn)，很容易被人遺忘。因此，惡意行為者將DDS視為一個(gè)有吸引力的目標(biāo)。由于它是系統(tǒng)的安全關(guān)鍵構(gòu)建塊，因此利用單個(gè)漏洞可能會(huì)對(duì)軟件堆棧的其余部分產(chǎn)生影響。

　　DDS漏洞可以分為影響網(wǎng)絡(luò)級(jí)別的漏洞和影響配置級(jí)別的漏洞。前者可用于實(shí)施各種惡意技術(shù)，例如拒絕服務(wù)（DoS）攻擊、欺騙和自動(dòng)收集，而后者可用于針對(duì)DDS系統(tǒng)開(kāi)發(fā)人員和集成商。

　　04 影響非Windows操作系統(tǒng)的重大漏洞

　　2022年上半年，出現(xiàn)了一些值得注意的影響Windows以外平臺(tái)的漏洞。例如suhelperd中的漏洞CVE-2022-22639，它是包含SUHelper類(lèi)（通過(guò)進(jìn)程間通信機(jī)制負(fù)責(zé)關(guān)鍵系統(tǒng)服務(wù)）的macOS軟件更新的輔助守護(hù)進(jìn)程。成功利用該漏洞可導(dǎo)致攻擊者獲得可用于惡意攻擊的root權(quán)限。

　　還有一些突出的漏洞影響基于Linux和Unix的操作系統(tǒng)。例如，CVE-2022-0847（也稱(chēng)為Dirty Pipe）是一個(gè)影響Linux內(nèi)核5.8及更高版本的漏洞，允許攻擊者提升主機(jī)上的root權(quán)限。

　　此外，CVE-2022-2946472作為一個(gè)嚴(yán)重的RCE漏洞，影響了WSO2的多個(gè)產(chǎn)品。WSO2是一家技術(shù)提供商，提供用于集成應(yīng)用程序編程接口（API）、應(yīng)用程序和Web服務(wù)的開(kāi)源平臺(tái)。利用這個(gè)無(wú)需用戶交互或管理權(quán)限的漏洞，攻擊者可以滲透到受影響系統(tǒng)的網(wǎng)絡(luò)中。

　　04 云計(jì)算安全態(tài)勢(shì)分析

　　01 云上加密貨幣挖掘攻擊呈上升趨勢(shì)

　　盡管加密貨幣價(jià)格在2022年上半年大幅下跌，但圍繞它構(gòu)建的計(jì)劃不需要高昂的投資成本，因?yàn)榈湫偷幕诩用茇泿诺墓粢蕾囀芎φ叩幕A(chǔ)設(shè)施和資源來(lái)挖掘加密貨幣?；谠频募用茇泿磐诰蚪M織主要包括：

　　Outlaw組織的首選目標(biāo)包括物聯(lián)網(wǎng)設(shè)備和Linux云服務(wù)器，通過(guò)利用已知漏洞或執(zhí)行安全外殼（SSH）暴力攻擊實(shí)現(xiàn)破壞；

　　TeamTNT組織的首選作案手法是利用易受攻擊的軟件來(lái)破壞主機(jī)，然后再執(zhí)行憑據(jù)盜竊作為在受害者系統(tǒng)內(nèi)橫向移動(dòng)和利用錯(cuò)誤配置的前兆；

　　Kinsing組織以快速采用新的漏洞利用而聞名，它曾在Log4Shell漏洞首先公開(kāi)幾天后就成功使用它；

　　Kek Security是一個(gè)相對(duì)較新的組織，且正在不斷開(kāi)發(fā)其惡意軟件，其中一些最近添加的功能提供了更好的混淆功能，以逃避檢測(cè)和阻止研究人員分析；

　　所有組織都在搶奪有限資源的現(xiàn)實(shí)，推動(dòng)了惡意行為者的不斷創(chuàng)新。這些創(chuàng)新使他們能夠攻擊更多的云計(jì)算系統(tǒng)。

　　02 濫用云隧道服務(wù)進(jìn)行攻擊

　　報(bào)告研究顯示，攻擊者正在濫用云隧道服務(wù)進(jìn)行攻擊活動(dòng)。在企業(yè)環(huán)境中，云隧道作為一個(gè)方便的工具，允許用戶部署本地開(kāi)發(fā)服務(wù)，而無(wú)需配置網(wǎng)絡(luò)防火墻和注冊(cè)域名，很多開(kāi)發(fā)人員需要使用這些服務(wù)來(lái)測(cè)試和部署代碼。

　　使用云隧道服務(wù)的攻擊組織通常將它們用于臨時(shí)目的，這樣他們就無(wú)需維護(hù)永久性基礎(chǔ)設(shè)施，也無(wú)需通過(guò)掩蓋他們的真實(shí)位置來(lái)增加另一層保密。云隧道威脅可以分為兩種不同的類(lèi)型：內(nèi)部威脅和外部威脅。內(nèi)部威脅是指使用服務(wù)（有意或無(wú)意地）暴露內(nèi)部服務(wù)（如服務(wù)器消息塊SMB、FTP和HTTP）的攻擊；外部威脅涉及傳統(tǒng)的攻擊和套路，例如通過(guò)云隧道進(jìn)行的網(wǎng)絡(luò)釣魚(yú)和C&C通信。

　　03 配置錯(cuò)誤仍然是云安全的主要威脅

　　對(duì)于許多組織來(lái)說(shuō)，錯(cuò)誤配置的云計(jì)算應(yīng)用軟件仍然是一個(gè)重大問(wèn)題。根據(jù)Red Hat對(duì)300多名DevOps、工程和安全專(zhuān)業(yè)人員的調(diào)查顯示，53%的受訪者檢測(cè)到他們的容器或Kubernetes部署中存在錯(cuò)誤配置。而趨勢(shì)科技數(shù)據(jù)顯示，來(lái)自AWS、Microsoft Azure和Google Cloud Platform的服務(wù)是錯(cuò)誤配置率最高的工具和服務(wù)。

　　05 企業(yè)攻擊面管理分析與建議

　　隨著企業(yè)信息化工作環(huán)境的改變，以及越來(lái)越多的新技術(shù)應(yīng)用，都要求組織分配更多的資源以覆蓋盡可能多的安全攻擊面。報(bào)告研究人員認(rèn)為，發(fā)現(xiàn)攻擊面本身是開(kāi)展有效攻擊面管理（ASM）工作的基礎(chǔ)，組織需要定期檢查其IT資產(chǎn)并確定資產(chǎn)的重要性、潛在漏洞、威脅活動(dòng)級(jí)別以及威脅程度等要素。評(píng)估可用的安全控制能力以及風(fēng)險(xiǎn)防護(hù)策略也是規(guī)劃組織ASM的重要步驟。

　　ASM的一個(gè)重要組成部分是可見(jiàn)性，因?yàn)樗峁┝擞嘘P(guān)潛在威脅的具體信息。反過(guò)來(lái)，它也可以幫助企業(yè)確定他們的風(fēng)險(xiǎn)敞口，并允許他們采取必要的措施來(lái)減輕這些風(fēng)險(xiǎn)。適當(dāng)?shù)陌踩珔f(xié)議和最佳實(shí)踐對(duì)幫助企業(yè)保護(hù)其系統(tǒng)免受攻擊大有幫助。組織應(yīng)優(yōu)先考慮盡快更新其軟件，以最大程度地減少攻擊者成功利用其系統(tǒng)漏洞的機(jī)會(huì)。與此同時(shí)，云用戶應(yīng)確保他們的云基礎(chǔ)設(shè)施配置正確，并采用適當(dāng)?shù)陌踩珔f(xié)議，以防止攻擊者利用錯(cuò)誤配置。用戶教育也是成功安全態(tài)勢(shì)的關(guān)鍵部分，因?yàn)樽罱K用戶通常是最薄弱的環(huán)節(jié)。

　　然而，保護(hù)基礎(chǔ)設(shè)施、系統(tǒng)和端點(diǎn)的復(fù)雜現(xiàn)實(shí)意味著，即使有了這些，如果沒(méi)有合適的安全工具，保護(hù)每個(gè)可能的攻擊點(diǎn)仍然是一個(gè)不可能的挑戰(zhàn)。雖然有些技術(shù)可以單獨(dú)處理系統(tǒng)不同部分的安全性，但這些技術(shù)也有其自身的缺點(diǎn)，例如無(wú)法關(guān)聯(lián)來(lái)自每個(gè)孤立源的不同數(shù)據(jù)點(diǎn)?？梢愿采w整個(gè)攻擊面的單一平臺(tái)無(wú)疑是組織的理想解決方案，尤其是那些資源有限的組織。

　　借助綜合的ASM平臺(tái)（服務(wù)），組織可以全面了解其攻擊面，同時(shí)具備關(guān)聯(lián)不同指標(biāo)綜合分析的能力。統(tǒng)一的ASM管理平臺(tái)還可以提供多層次的保護(hù)，降低企業(yè)的整體預(yù)算投入。為了最大限度地減少潛在的安全漏洞，該平臺(tái)必須是可配置的，并且能夠提供對(duì)數(shù)字資產(chǎn)的持續(xù)保護(hù)，以最大限度地減少潛在的安全防護(hù)能力差距。

　　更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<