VMware發(fā)布了一年一度的《2022年全球事件威脅響應(yīng)報告》，結(jié)合此前另一家網(wǎng)絡(luò)安全企業(yè)Palo Alto Networks（以下簡稱“派拓網(wǎng)絡(luò)”）威脅情報團隊Unit 42所發(fā)布的《2022年事件響應(yīng)報告》，可以看出，他們均一致認(rèn)為，盡管勒索軟件攻擊和BEC（商業(yè)郵件攻擊）仍是本年度的主要網(wǎng)絡(luò)安全威脅，但地緣政治以及深度造假（Deepfake）在安全領(lǐng)域中正日益成為威脅的主角之一。（關(guān)于報告：《2022年全球事件威脅響應(yīng)報告》源于其制作者VMware在2022年6月進(jìn)行了一項關(guān)于事件響應(yīng)領(lǐng)域趨勢的在線調(diào)查，來自世界各地的125名網(wǎng)絡(luò)安全和事件響應(yīng)專業(yè)人員參與了調(diào)查。）

　　勒索軟件攻擊和BEC攻擊的數(shù)量

　　仍在不斷攀升

　　兩份報告在這方面可謂是完全達(dá)成了共識，VMware指出勒索軟件攻擊和BEC攻擊的數(shù)量仍在不斷攀升，而派拓網(wǎng)絡(luò)更是在其報告中表示有70%的安全事件可以歸因于這兩者（數(shù)據(jù)統(tǒng)計周期為2021年5月-2022年4月）。

　　其中在勒索軟件攻擊部分，在接受VMware調(diào)查的專業(yè)人士中，有57%的人表示他們在過去12個月里遭遇過勒索軟件攻擊，此類數(shù)據(jù)其實在各類媒體報道以及相關(guān)報告內(nèi)容上已經(jīng)看到很多，相比之下更為實際一點的數(shù)據(jù)看，那就是報告揭示了勒索軟件長期利用已知的漏洞來發(fā)起攻擊，結(jié)合派拓網(wǎng)絡(luò)的調(diào)查數(shù)據(jù)（48%的勒索軟件攻擊為利用已知的軟件漏洞發(fā)起），可以看出要想做好應(yīng)對勒索軟件攻擊，做好網(wǎng)絡(luò)安全的基礎(chǔ)工作——漏洞管理是必選項。

　　針對如何防范勒索軟件攻擊，安全419在今年推出了《勒索攻擊解決方案》系列訪談這一專題內(nèi)容，目前收錄了多家企業(yè)較為成熟的勒索攻擊解決方案，有興趣的朋友可以關(guān)注一下。（延伸閱讀：《勒索攻擊解決方案》系列訪談）

　　BEC攻擊隸屬于釣魚攻擊范疇，如果結(jié)合國內(nèi)CACTER郵件安全&中睿天下聯(lián)合發(fā)布的《2022年Q1企業(yè)郵箱安全報告》來看，國內(nèi)的形勢也不容樂觀，報告數(shù)據(jù)顯示，我國企業(yè)郵箱的釣魚郵件數(shù)量環(huán)比增長達(dá)10.74%，相比去年同期增長高達(dá)81.31%，而且發(fā)送源方面，來自境外的占比達(dá)到了81.68%，高達(dá)4952.5萬。

　　另外，關(guān)于此類攻擊，我國上半年還發(fā)生了一起典型事件——某大型互聯(lián)網(wǎng)企業(yè)遭釣魚攻擊，針對此類事件，我們也專門制作了一期視頻節(jié)目，來自持安科技、零零信安、無糖信息以及知道創(chuàng)宇的多位專家均在節(jié)目中為如何防范此類攻擊提出了建議。（延伸閱讀：——《大咖聊新聞：互聯(lián)網(wǎng)大廠遭釣魚郵件攻擊》）

　　說到這里，就不得不提VMware和Unit 42的兩大報告都同時提到的深度造假，VMware的報告指出，深度造假技術(shù)在此前主要用于仿冒活動等方面，而當(dāng)前越來越多地被用于網(wǎng)絡(luò)犯罪。報告數(shù)據(jù)顯示，深度造假攻擊同比增長13%，有66%的受訪者表示至少遭遇過一次此類攻擊。當(dāng)然，深度造假技術(shù)也被利用在地緣沖突中，作為輿論宣傳戰(zhàn)場上的一大利器，比如在今年3月，一段社交媒體上的視頻顯示烏克蘭總統(tǒng)要求其部隊向俄羅斯投降的視頻，的確欺騙了很多人，雖然后來被證實這個視頻是假的，但由此可以看出深度造假技術(shù)在地緣政治中的威脅作用。

　　報告也顯示出，包括第三方會議應(yīng)用（31%）、業(yè)務(wù)協(xié)作工具（27%）也經(jīng)常會被此類攻擊利用，其主要目的是用于詐騙，在行業(yè)方面，IT（47%）居首，金融（22%）和電信（13%）排在其后。

　　查閱一下與深度造假相關(guān)的事件新聞，其普遍的共性是大多數(shù)均通過電子郵件的渠道發(fā)起，占比達(dá)到了78%，與商業(yè)郵件攻擊呈現(xiàn)出同步上升的趨勢，根據(jù)VMware提供的數(shù)據(jù)看，2016-2021年間，商業(yè)郵件攻擊事件造成的損失估達(dá)433億美元。

　　0day漏洞激增或與地緣政治沖突有關(guān)

　　API成為攻防雙方的重要新戰(zhàn)場

　　VMware表示，在截至2022年6月的前12個月里，62%的受訪者表示遇到過0day漏洞，而去年同期這一數(shù)據(jù)是51%。報告指出，這一激增也可以歸因于地緣政治沖突，國家行為發(fā)起的可能性極高，因為實施這類襲擊的成本相當(dāng)高，而且大多只有一次有效，對于逐利的攻擊者或組織而言就有些得不償失。

　　報告也重點提到了著名的Log4j漏洞，指出在過去的半年中，攻擊者通過利用它發(fā)起了超過2500萬次的攻擊。此外，開源項目也是0day漏洞的一個敏感區(qū)域，比如在Kubernetes軟件使用的工具中發(fā)現(xiàn)的漏洞等等。

　　坦率地講，想要100%阻止0day漏洞攻擊幾乎是不可能的，作為防守一方，所能做的就是通過相關(guān)的安全建設(shè)（包括網(wǎng)絡(luò)、終端保護(hù)和響應(yīng)等工具或解決方案），比如通過利用漏洞優(yōu)先級技術(shù)（VPT）、基于風(fēng)險的漏洞管理（RBVM）等，或通過較為完整的攻擊面管理解決方案來時刻關(guān)注自身問題，確保漏洞尤其是那些高風(fēng)險漏洞的可見性，目前國內(nèi)專注于這方面的企業(yè)如華云安、零零信安等都有各自的解決方案去解決相關(guān)問題。（延伸閱讀：《華云安發(fā)布攻擊面管理產(chǎn)品解決方案》、《零零信安王宇：防御前置 外部攻擊面管理是抵御安全風(fēng)險的“疫苗”》）

　　前面包括勒索攻擊、釣魚攻擊以及漏洞都是一些老生常談的話題，除去這些之外，API風(fēng)險如今也被重點提及，VMware的報告內(nèi)容顯示，超過五分之一（23%）的受訪者經(jīng)歷的所有攻擊涉及API安全，其中最常見的API攻擊包括數(shù)據(jù)暴露（42%）、SQL注入攻擊（37%）和API注入攻擊（34%）。VMware方面表示，隨著應(yīng)用程序激增，API已經(jīng)成為攻防雙方的一個重要新戰(zhàn)場。

　　包括我國在內(nèi)，數(shù)字化轉(zhuǎn)型已經(jīng)成為一個全球趨勢，企業(yè)上云浪潮如火如荼，應(yīng)用程序之間數(shù)據(jù)交換的量級幾乎呈幾何增長，API風(fēng)險的可見性問題也變得愈加棘手。無論是從攻防角度，還是從業(yè)務(wù)安全角度，可見性都始終是API安全的重要挑戰(zhàn)。在Gartner日前發(fā)布的《Hype Cycle for Application Security, 2022》（2022年應(yīng)用安全技術(shù)成熟度曲線）報告中，強調(diào)API作為企業(yè)數(shù)字化轉(zhuǎn)型的重要基礎(chǔ)設(shè)施已逐漸成為攻擊者的主要攻擊目標(biāo)。

　　正如大家常說的“你無法保護(hù)你看不見的東西”，API安全也是如此，API資產(chǎn)可見性是API安全測試的基礎(chǔ)。此前國內(nèi)安全企業(yè)永安在線在其發(fā)布的《API安全建設(shè)白皮書》中關(guān)于API安全挑戰(zhàn)相關(guān)內(nèi)容中，API資產(chǎn)不可見也被列在第一位。當(dāng)然，盡管API安全管理面臨諸多的痛點、難點，但也并非缺乏對策。一方面要從自身內(nèi)部的管理層面入手不斷加強，建立和完善相關(guān)制度建設(shè)，并培養(yǎng)相關(guān)人員的安全意識和素養(yǎng)，盡可能地避免甚至杜絕人為制造API安全問題的可能性。另一方面，還需要借助專業(yè)力量的支持，專業(yè)的API安全管理產(chǎn)品、解決方案，能在很大程度上幫助企業(yè)解決API的不可知、不可控兩大核心問題，快速建立起有效的API安全防線。當(dāng)前國內(nèi)包括像永安在線、星闌科技等目前專注于API安全領(lǐng)域的企業(yè)都推出了面向不同方向且有針對性的API安全管理解決方案，另外還有一些綜合性安全企業(yè)也推出了相關(guān)的防護(hù)產(chǎn)品，都可以幫助企業(yè)有效應(yīng)對API的安全挑戰(zhàn)。《延伸閱讀：為何要格外重視并積極應(yīng)對API安全挑戰(zhàn)？》

　　近一半的入侵活動涉及橫向移動

　　除了前述內(nèi)容之外，關(guān)于橫向移動攻擊也是《2022年全球事件威脅響應(yīng)報告》研究的重點內(nèi)容之一。VMware的高級副總裁表示，CISO普遍將投資用于兩個領(lǐng)域，分別是網(wǎng)絡(luò)邊界防護(hù)以及端點防護(hù)，但可惜的是，這些投資有時候未能收到成效，因為它并沒有阻止攻擊者們?nèi)テ茐亩它c，這意味著作為防御一方，應(yīng)將注意力重新定位于應(yīng)用程序、數(shù)據(jù)中心、接入點和其他基礎(chǔ)設(shè)施方面，以避免攻擊者一旦突破外部安全屏障，就可以訪問所有的內(nèi)部網(wǎng)絡(luò)。

　　在當(dāng)前復(fù)雜的網(wǎng)絡(luò)中，網(wǎng)絡(luò)邊界可以說已經(jīng)消失了，因此，阻止必須轉(zhuǎn)向以大多數(shù)人尚未采取的方式保護(hù)內(nèi)部資源和以往受信任的安全戰(zhàn)略。

　　報告中的調(diào)查數(shù)據(jù)指出，在其統(tǒng)計的事件中，攻擊者利用橫向移動攻擊的比例達(dá)到了四分之一。許多攻擊者每天都在想方設(shè)法潛入到其目標(biāo)邊界后方的數(shù)據(jù)流中，通常的做法是將隱藏到合法流量中，混入東西向流量經(jīng)防火墻或端點，一旦潛入內(nèi)部，一些狡猾的攻擊者可能還會繼續(xù)隱藏其中，發(fā)現(xiàn)資產(chǎn)，利用常見的端口和協(xié)議在目標(biāo)網(wǎng)絡(luò)中橫向移動，以造成更大規(guī)模的破壞，這在勒索軟件攻擊中已經(jīng)比較常見。

　　根據(jù)VMware的數(shù)據(jù)分析結(jié)果，僅2022年4月-5月間，就有近一半的入侵活動包含橫向移動行為，其中大多數(shù)涉及使用遠(yuǎn)程訪問工具 （RAT） 或現(xiàn)有服務(wù)，例如遠(yuǎn)程桌面協(xié)議 （RDP） 或 PsExec。

　　VMware的報告內(nèi)容指出，幾乎沒有攻擊不涉及從一個地方開始并移動到另一個地方。越來越多的攻擊發(fā)生在虛擬機管理程序中，許多組織根本沒有能力看到它。

　　在今年早些時候，VMware的安全專家在對2022年的安全形勢預(yù)測中，就提到了橫向移動攻擊，當(dāng)時他們表示，隨著多云環(huán)境的普及，攻擊面將繼續(xù)擴大。這將導(dǎo)致通用端口和協(xié)議進(jìn)一步增加，進(jìn)入企業(yè)機構(gòu)網(wǎng)絡(luò)的敵對勢力會利用這些端口和協(xié)議進(jìn)行橫向移動并盜取數(shù)據(jù)。在2022年，敵對勢力將想方設(shè)法地停留和隱藏在企業(yè)機構(gòu)網(wǎng)絡(luò)的常見噪聲中。在保護(hù)今天的多云環(huán)境時，如果具備對這種噪聲的可見性，那就能夠識別敵對勢力，而這項能力將比以往更加重要。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<