2022年網路安全威脅態勢研究:攻擊面增長將成常態,七成企業尚未做好應對準備!

語言: CN / TW / HK

日前,趨勢科技研究釋出了《2022年網路安全威脅態勢報告(年中版)》,對目前影響網路安全發展格局的重要趨勢和事件進行了盤點和分析。報告研究發現,目前企業組織所面臨的網路安全威脅態勢,呈現出以下特點:

  • 勒索攻擊已經轉向更有利可圖和更流行的貨幣化方式,勒索軟體即服務(RaaS)成為廣泛應用的攻擊模式;
  • 高階持續性威脅(APT)組織開始利用更加複雜的工具包和廣泛的資訊基礎設施;
  • 安全漏洞數量仍在快速增長中,其中嚴重和高危性漏洞的數量佔比進一步提升;
  • 雲端計算平臺及其中的應用系統已經成為惡意攻擊者最關注的攻擊目標。

以上特點表明,企業數字攻擊面持續增長將成為常態化趨勢,組織應該為此做好充分準備,不僅要更全面地發現威脅隱患,同時還要認真思考,如何才能部署正確的安全措施和策略,以保護其環境和系統能夠應對不斷增長的網路攻擊面。

1、數字攻擊面威脅態勢分析

報告發現,在過去幾年中,許多公司通過採用數字技術來改變其現有的業務模式、流程和公司文化,以此應對數字化轉型的挑戰。這種轉變創造了更廣泛的數字攻擊面,涵蓋更廣泛的領域,包括電子郵件收件箱、物聯網(IoT)裝置、移動應用程式、網站、公共雲服務,甚至供應鏈基礎設施。

報告對來自29個國家(地區)的6,297名資訊化安全管理者進行了訪談調研,其中73%的受訪者對目前數字攻擊面的增長規模表示擔心,其所在的組織尚未做好應對準備;37%的受訪者將目前的攻擊面描述為“正在不斷擴充套件和複雜化”,而另外43%的受訪者擔心“未來的攻擊面管理可能會失控”。

報告還發現,許多企業組織並不確定如何應對他們面臨的風險。38%的受訪者認為量化網路風險是他們面臨的主要挑戰,而33%的受訪者表示他們缺乏瞭解和管理網路安全風險的資源。另有32%的受訪者表示,他們對面臨風險的領域瞭解有限。

反觀網路攻擊者,已經開始具備利用更多樣技術工具和基礎設施的能力。報告發現,目前高階持續性威脅(APT)組織的針對性攻擊活動仍在繼續,並且這些組織已經能夠使用更加大型的基礎設施,並在攻擊中整合不同種類的惡意軟體工具來實現長期潛伏。

此外,儘管新的惡意軟體通常會引起安全行業和公眾的關注,但那些已被證明有效的傳統惡意軟體仍然會對組織構成嚴重威脅。事實證明,惡意行為者正越來越多地轉向商品化惡意軟體和其他工具,以提高他們的攻擊效率。例如,Emotet僵屍網路正發展成為惡意軟體即服務(MaaS)方案。

Emotet於2014年首次亮相,後在不同國家執法機構的共同努力下,其基礎設施被拆除。然而,這並不意味著Emotet的終結。報告研究發現,與2021年上半年相比,Emotet在2022年上半年的檢測量大幅上升,這證明該僵屍網路開始死灰復燃,因為黑客組織選擇將其整合到他們的操作中。研究人員甚至將Conti運營商確認為推動Emotet復甦的原因之一。

相較2021年上半年,2022年上半年的Emotet檢測增加了10倍以上

2、勒索軟體威脅態勢分析

勒索軟體即服務(RaaS)的出現導致網路犯罪分子可以使用更多的工具和基礎設施。調查資料顯示,今年上半年,出現了超過50個活躍的RaaS和勒索組織,而且超過1,200個組織受到勒索軟體的攻擊。

活躍的RaaS和勒索組織數量(57個) VS. 受害組織數量(1205個)

報告指出,LockBit、Conti和BlackCat是2022年上半年RaaS領域的主要參與者。其中,BlackCat是一種相對較新的勒索軟體,在2021年幾乎檢測不到,但在2022年開始呈現迅速增長趨勢。即使是較老的勒索軟體,如LockBit和Conti,同樣出現了大幅增長趨勢。與去年上半年相比LockBit的檢測數量在2022年上半年增加了5倍以上,而Conti的檢測數量幾乎增加了兩倍。

調查同時發現,目前針對基於Linux裝置的勒索軟體攻擊同比增加了75%,預計未來惡意攻擊者還會將更多精力集中在Linux上。

2022年上半年針對Linux裝置的勒索攻擊數量

3、漏洞安全態勢分析

(1)嚴重和高危漏洞數量增加

2022年上半年,CVE釋出的漏洞數量大幅增加:12,380個CVE記錄,與2021年上半年釋出的9,420個CVE記錄相比大幅增加。同樣的趨勢也呈現在趨勢科技ZDI計劃披露的漏洞數量上,該計劃釋出了關於944個漏洞的公告,比2021年上半年的770個漏洞增加了約23%。其中,高危等級的漏洞佔已釋出漏洞的最大部分(68%)。與2021年同期相比,嚴重和高危性漏洞均大幅增加。

2022年上半年安全漏洞態勢

(2)重要業務工具和軟體存在漏洞隱患

涉及關鍵軟體、工具和元件的漏洞由於其影響的性質,通常是最危險的缺陷型別之一。2022年上半年出現了更多影響企業應用軟體安全的漏洞,其中最引人注目的是Spring4Shell漏洞。Spring4Shell漏洞通常發生在特殊物件或類暴露於特定條件時,想要直接訪問物件的攻擊者可以通過在其請求中指定類變數來實現。除此之外,Samba(適用於Linux和Unix的標準Windows互操作性程式套件)中的漏洞CVE-2021-44142允許未經身份驗證的攻擊者在root級別執行程式碼。這些漏洞進一步證實,影響無處不在的基礎軟體漏洞仍將是惡意行為者利用的主要選擇。

(3)新發現的漏洞威脅DDS標準

資料分發服務(DDS)標準是中介軟體技術的一個示例,它作為連線標準,可實現安全的實時資訊交換、模組化應用程式開發以及工業物聯網(IIoT)的快速整合。DDS用於在交通、機器人、電信、醫療保健和國防等領域的感測器、控制器和執行器之間實現可靠的通訊層。

除了DDS在軟體供應鏈中的重要性之外,還值得注意的是,它位於供應鏈的起點,很容易被人遺忘。因此,惡意行為者將DDS視為一個有吸引力的目標。由於它是系統的安全關鍵構建塊,因此利用單個漏洞可能會對軟體堆疊的其餘部分產生影響。

DDS漏洞可以分為影響網路級別的漏洞和影響配置級別的漏洞。前者可用於實施各種惡意技術,例如拒絕服務(DoS)攻擊、欺騙和自動收集,而後者可用於針對DDS系統開發人員和整合商。

(4)影響非Windows作業系統的重大漏洞

2022年上半年,出現了一些值得注意的影響Windows以外平臺的漏洞。例如suhelperd中的漏洞CVE-2022-22639,它是包含SUHelper類(通過程序間通訊機制負責關鍵系統服務)的macOS軟體更新的輔助守護程序。成功利用該漏洞可導致攻擊者獲得可用於惡意攻擊的root許可權。

還有一些突出的漏洞影響基於Linux和Unix的作業系統。例如,CVE-2022-0847(也稱為Dirty Pipe)是一個影響Linux核心5.8及更高版本的漏洞,允許攻擊者提升主機上的root許可權。

此外,CVE-2022-2946472作為一個嚴重的RCE漏洞,影響了WSO2的多個產品。WSO2是一家技術提供商,提供用於整合應用程式程式設計介面(API)、應用程式和Web服務的開源平臺。利用這個無需使用者互動或管理許可權的漏洞,攻擊者可以滲透到受影響系統的網路中。

4、雲端計算安全態勢分析

(1)雲上加密貨幣挖掘攻擊呈上升趨勢

儘管加密貨幣價格在2022年上半年大幅下跌,但圍繞它構建的計劃不需要高昂的投資成本,因為典型的基於加密貨幣的攻擊依賴受害者的基礎設施和資源來挖掘加密貨幣。基於雲的加密貨幣挖掘組織主要包括:

  • Outlaw組織的首選目標包括物聯網裝置和Linux雲伺服器,通過利用已知漏洞或執行安全外殼(SSH)暴力攻擊實現破壞。
  • TeamTNT組織的首選作案手法是利用易受攻擊的軟體來破壞主機,然後再執行憑據盜竊作為在受害者系統內橫向移動和利用錯誤配置的前兆。
  • Kinsing組織以快速採用新的漏洞利用而聞名,它曾在Log4Shell漏洞首先公開幾天後就成功使用它。
  • Kek Security是一個相對較新的組織,且正在不斷開發其惡意軟體,其中一些最近新增的功能提供了更好的混淆功能,以逃避檢測和阻止研究人員分析。
  • 所有組織都在搶奪有限資源的現實,推動了惡意行為者的不斷創新。這些創新使他們能夠攻擊更多的雲端計算系統。

(2)濫用雲隧道服務進行攻擊

報告研究顯示,攻擊者正在濫用雲隧道服務進行攻擊活動。在企業環境中,雲隧道作為一個方便的工具,允許使用者部署本地開發服務,而無需配置網路防火牆和註冊域名,很多開發人員需要使用這些服務來測試和部署程式碼。

使用雲隧道服務的攻擊組織通常將它們用於臨時目的,這樣他們就無需維護永久性基礎設施,也無需通過掩蓋他們的真實位置來增加另一層保密。雲隧道威脅可以分為兩種不同的型別:內部威脅和外部威脅。內部威脅是指使用服務(有意或無意地)暴露內部服務(如伺服器訊息塊SMB、FTP和HTTP)的攻擊;外部威脅涉及傳統的攻擊和套路,例如通過雲隧道進行的網路釣魚和C&C通訊。

(3)配置錯誤仍然是雲安全的主要威脅

對於許多組織來說,錯誤配置的雲端計算應用軟體仍然是一個重大問題。根據Red Hat對300多名DevOps、工程和安全專業人員的調查顯示,53%的受訪者檢測到他們的容器或Kubernetes部署中存在錯誤配置。而趨勢科技資料顯示,來自AWS、Microsoft Azure和Google Cloud Platform的服務是錯誤配置率最高的工具和服務。

5、企業攻擊面管理分析與建議

隨著企業資訊化工作環境的改變,以及越來越多的新技術應用,都要求組織分配更多的資源以覆蓋儘可能多的安全攻擊面。報告研究人員認為,發現攻擊面本身是開展有效攻擊面管理(ASM)工作的基礎,組織需要定期檢查其IT資產並確定資產的重要性、潛在漏洞、威脅活動級別以及威脅程度等要素。評估可用的安全控制能力以及風險防護策略也是規劃組織ASM的重要步驟。

ASM的一個重要組成部分是可見性,因為它提供了有關潛在威脅的具體資訊。反過來,它也可以幫助企業確定他們的風險敞口,並允許他們採取必要的措施來減輕這些風險。適當的安全協議和最佳實踐對幫助企業保護其系統免受攻擊大有幫助。組織應優先考慮儘快更新其軟體,以最大程度地減少攻擊者成功利用其系統漏洞的機會。與此同時,雲使用者應確保他們的雲基礎設施配置正確,並採用適當的安全協議,以防止攻擊者利用錯誤配置。使用者教育也是成功安全態勢的關鍵部分,因為終端使用者通常是最薄弱的環節。

然而,保護基礎設施、系統和端點的複雜現實意味著,即使有了這些,如果沒有合適的安全工具,保護每個可能的攻擊點仍然是一個不可能的挑戰。雖然有些技術可以單獨處理系統不同部分的安全性,但這些技術也有其自身的缺點,例如無法關聯來自每個孤立源的不同資料點。可以覆蓋整個攻擊面的單一平臺無疑是組織的理想解決方案,尤其是那些資源有限的組織。

藉助綜合的ASM平臺(服務),組織可以全面瞭解其攻擊面,同時具備關聯不同指標綜合分析的能力。統一的ASM管理平臺還可以提供多層次的保護,降低企業的整體預算投入。為了最大限度地減少潛在的安全漏洞,該平臺必須是可配置的,並且能夠提供對數字資產的持續保護,以最大限度地減少潛在的安全防護能力差距。