2022年行至尾聲，這一年世界可謂發(fā)生了巨大變化。但始終不變的是，網(wǎng)絡(luò)攻擊威脅仍然在持續(xù)發(fā)展，而且絲毫沒有消退的跡象。無論身處何處，世界各地的人們都應(yīng)該為可能的網(wǎng)絡(luò)安全事件做好應(yīng)對(duì)準(zhǔn)備，因此設(shè)法預(yù)見未來的趨勢(shì)將會(huì)大有裨益。

　　2022年APT預(yù)測(cè)回顧

　　日前，卡巴斯基公司的安全研究與分析團(tuán)隊(duì)GReAT對(duì)2023年高級(jí)威脅（APT）攻擊的發(fā)展趨勢(shì)進(jìn)行了展望和預(yù)測(cè)，不過在具體分享其預(yù)測(cè)觀點(diǎn)之前，首先回顧一下去年該團(tuán)隊(duì)對(duì)2022年高級(jí)威脅主要預(yù)測(cè)觀點(diǎn)的實(shí)際結(jié)果。

　　預(yù)測(cè)1、移動(dòng)設(shè)備將受到廣泛攻擊

　　實(shí)際結(jié)果：未實(shí)現(xiàn)

　　在2022年確實(shí)發(fā)生了一些針對(duì)移動(dòng)設(shè)備的攻擊事件，但目前沒有發(fā)現(xiàn)造成重大影響和后果的移動(dòng)安全事件。

　　預(yù)測(cè)2、更多的供應(yīng)鏈攻擊

　　實(shí)際結(jié)果：部分實(shí)現(xiàn)

　　目前，利用供應(yīng)鏈進(jìn)行攻擊的數(shù)量正在快速增長，盡管沒有重大事件，但是我們看到了很多案例。

　　預(yù)測(cè)3、基于遠(yuǎn)程工作模式的攻擊

　　實(shí)際結(jié)果：預(yù)測(cè)成功

　　在2022 年，企業(yè)組織的安全建設(shè)仍將落后于新冠疫情對(duì)企業(yè)業(yè)務(wù)開展的變革性影響。由于遠(yuǎn)程辦公模式成為常態(tài)，很多員工是在匆忙狀態(tài)下部署遠(yuǎn)程訪問工具，其中有大量的配置錯(cuò)誤和安全漏洞。

　　預(yù)測(cè)4、對(duì)云安全和外包服務(wù)的攻擊激增；

　　實(shí)際結(jié)果：預(yù)測(cè)成功

　　云身份安全公司Okta被攻擊是2022年最有影響的安全事件之一，這證明了老練的攻擊者滲透進(jìn)主要的云服務(wù)平臺(tái)是多么容易。而CISA也在今年5 月發(fā)布公告，警告各大托管服務(wù)提供商，因?yàn)樗麄儼l(fā)現(xiàn)針對(duì)這一行業(yè)的惡意活動(dòng)明顯增加。

　　預(yù)測(cè)5、低級(jí)別組件漏洞利用攻擊回歸

　　實(shí)際結(jié)果：預(yù)測(cè)成功

　　2022 年在低級(jí)別組件中發(fā)現(xiàn)了 22 個(gè)高嚴(yán)重性漏洞，這表明其中存在了巨大的攻擊面。這種高度復(fù)雜的植入攻擊通常非常少見，一年內(nèi)發(fā)生了多個(gè)單獨(dú)的安全事件表明了非常重要的信號(hào)。

　　2023年APT發(fā)展態(tài)勢(shì)預(yù)測(cè)

　　以下是GReAT團(tuán)隊(duì)對(duì)2023年APT攻擊趨勢(shì)的預(yù)測(cè)：

　　1、破壞性攻擊再次興起

　　盡管近年來的APT攻擊多以商業(yè)利益作為主要攻擊目標(biāo)，但是在2022年，地緣政治沖突變得更加激烈，這種變化可能將在未來多年持續(xù)，歷史表明，這種緊張關(guān)系總是會(huì)引發(fā)網(wǎng)絡(luò)攻擊活動(dòng)的進(jìn)一步增加——有時(shí)是為了情報(bào)收集，有時(shí)是作為外交信號(hào)的一種手段。因此，我們預(yù)計(jì)2023年將出現(xiàn)前所未有的嚴(yán)重網(wǎng)絡(luò)攻擊。

　　具體而言，我們預(yù)計(jì)2023年將會(huì)觀察到創(chuàng)紀(jì)錄數(shù)量的破壞性APT攻擊，重點(diǎn)影響政府部門和關(guān)鍵行業(yè)。需要注意的一點(diǎn)是，其中一部分攻擊很有可能被偽裝成采取“勒索軟件攻擊”（pseudo-ransomware）或黑客活動(dòng)的形式，以便為真正的攻擊者提供合理的推諉理由。

　　此外，我們還擔(dān)心，針對(duì)民用基礎(chǔ)設(shè)施（例如能源電網(wǎng)或公共廣播）的APT網(wǎng)絡(luò)攻擊將會(huì)發(fā)生，包括水下電纜和光纖集線器在某些情況下也不再安全。

　　2、郵件服務(wù)器成為優(yōu)先目標(biāo)

　　在過去幾年里，我們發(fā)現(xiàn)APT攻擊者越來越關(guān)注電子郵件軟件。企業(yè)級(jí)郵件市場(chǎng)的領(lǐng)導(dǎo)者（包括Microsoft Exchange和Zimbra等）都面臨著嚴(yán)重的漏洞威脅，在相關(guān)補(bǔ)丁發(fā)布之前，攻擊者就會(huì)利用這些漏洞。

　　我們相信，針對(duì)郵件軟件漏洞的研究才剛剛開始。郵件服務(wù)器正面臨雙重不幸的境遇：一方面，它是APT參與者感興趣的關(guān)鍵情報(bào)的“集中營”；另一方面，它是企業(yè)安全防護(hù)中最大的攻擊面。2023年很可能是所有主要電子郵件服務(wù)商遭遇零日攻擊的最嚴(yán)重一年。

　　3、新一代WannaCry或出現(xiàn)

　　據(jù)統(tǒng)計(jì)，一些規(guī)模巨大、影響惡劣的網(wǎng)絡(luò)病毒每6-7年就會(huì)發(fā)生一次。上一起這類事件還要追溯到臭名昭著的WannaCry勒索軟件蠕蟲，它利用極其強(qiáng)大的“永恒之藍(lán)”（EternalBlue）漏洞自動(dòng)傳播到易受攻擊的計(jì)算設(shè)備上。

　　盡管能夠生成蠕蟲的漏洞十分罕見，且需要滿足多種條件，很難預(yù)測(cè)究竟什么時(shí)候會(huì)發(fā)現(xiàn)這一起這樣的漏洞，但我們可以大膽猜測(cè)，并把它設(shè)想在明年。增加此類事件發(fā)生可能性的一個(gè)潛在原因是，惡意行為者可能已經(jīng)發(fā)現(xiàn)并擁有至少一種合適的漏洞可以利用，而當(dāng)前的緊張局勢(shì)極大地增加了發(fā)生shadowbrokers（影子經(jīng)紀(jì)人，永恒之藍(lán)漏洞泄露的始作俑者）式黑客攻擊和泄漏的機(jī)會(huì)。

　　4、APT攻擊目標(biāo)轉(zhuǎn)向太空領(lǐng)域

　　由于政府部門和私營組織對(duì)太空競(jìng)賽的興趣日益濃厚，以及近來網(wǎng)絡(luò)安全研究集中在衛(wèi)星漏洞問題上，明年將會(huì)出現(xiàn)更多面向太空設(shè)施的網(wǎng)絡(luò)攻擊事件。盡管看起來衛(wèi)星設(shè)備可能超出大多數(shù)APT威脅的影響范圍，但研究人員發(fā)現(xiàn)，黑客已經(jīng)可以使用一種簡(jiǎn)易但便捷的設(shè)備與衛(wèi)星進(jìn)行通信。此外，很多老舊的衛(wèi)星設(shè)備可能不具備現(xiàn)代化的安全控制措施。

　　事實(shí)上，太空網(wǎng)絡(luò)安全威脅早已出現(xiàn)。2022年2月24日，美國和歐盟組織就公開宣稱，某東歐國家對(duì)屬于Viasat的商用衛(wèi)星通信網(wǎng)KA-SAT發(fā)起網(wǎng)絡(luò)攻擊，利用“錯(cuò)誤配置的VPN”漏洞，獲得訪問權(quán)限，并橫向移動(dòng)到KA-SAT網(wǎng)絡(luò)管理部分，隨后執(zhí)行命令使得調(diào)制解調(diào)器的內(nèi)存溢出，使它們無法使用。如果Viasat事件是一個(gè)跡象，那么APT威脅組織很可能在未來更多地將注意力轉(zhuǎn)向操縱和干擾衛(wèi)星技術(shù)，使此類技術(shù)的安全形勢(shì)變得更加嚴(yán)峻。

　　5、“入侵-泄密”戰(zhàn)術(shù)盛行

　　關(guān)于“網(wǎng)絡(luò)戰(zhàn)”是否真的會(huì)大規(guī)模爆發(fā)，仍有很多爭(zhēng)論。然而，一種新的混合沖突形式正在展開，包括“入侵-泄密”行動(dòng)。這種威脅攻擊手法包括侵入目標(biāo)并公開其內(nèi)部文件和電子郵件。勒索軟件組織已經(jīng)大量將這種策略作為對(duì)受害者施加壓力的一種方式，而APT攻擊者未來可能會(huì)利用它來達(dá)到純粹的破壞性目的。在過去，我們?cè)吹紸PT攻擊者估計(jì)泄露競(jìng)爭(zhēng)威脅組織的數(shù)據(jù)，或創(chuàng)建網(wǎng)站傳播個(gè)人信息。雖然很難從旁觀者的角度評(píng)估它們的危害，但它們現(xiàn)在正成為APT威脅發(fā)展的一部分，而且2023年將涉及更多的實(shí)際案例。

　　6、從CobaltStrike轉(zhuǎn)向其他替代方案

　　2012年發(fā)布的CobaltStrike是一個(gè)威脅模擬工具，旨在幫助安全紅隊(duì)了解攻擊者可以用來滲透網(wǎng)絡(luò)的方法。不幸的是，與Metasploit框架一樣，它已經(jīng)成為網(wǎng)絡(luò)犯罪集團(tuán)和APT威脅攻擊者的最常用工具。不過，研究人員發(fā)現(xiàn)，有一些威脅攻擊者已經(jīng)開始使用其他替代方案。

　　其中一個(gè)替代方案是Brute Ratel C4，這是一個(gè)商業(yè)級(jí)攻擊模擬工具，極具危險(xiǎn)性，因?yàn)樗脑O(shè)計(jì)可以繞過防病毒和EDR工具的檢測(cè)。另一個(gè)則是開源對(duì)抗性工具Sliver。除了以上現(xiàn)成的產(chǎn)品外，APT工具包還可能包括其他工具，例如Manjusaka、C&C全功能版本和Ninja等。

　　總的來說，我們認(rèn)為由于CobaltStrike已經(jīng)受到了防御者的太多關(guān)注，因此APT組織將嘗試多樣化他們的工具包，以避免被發(fā)現(xiàn)。

　　7、基于無線電的信號(hào)情報(bào)（SIGINT）

　　信號(hào)情報(bào)技術(shù)是隨著軍用無線電技術(shù)的發(fā)展而發(fā)展起來的情報(bào)技術(shù)，是電子戰(zhàn)的一個(gè)分支。美國國防部對(duì)信號(hào)情報(bào)SIGINT的定義是：一種包括了通信情報(bào)（COMINT）、電子情報(bào)（ELINT）和儀器信號(hào)情報(bào)（FISINT）的信息組合，其傳輸方式可能有很多種，包括有線、無線電、光纖傳輸?shù)鹊?，但信?hào)情報(bào)最主要處理的是無線電波。簡(jiǎn)而言之，信號(hào)情報(bào)就是從截獲的通信、電子和外國儀器的信號(hào)中獲得的情報(bào)。

　　如今，距離斯諾登曝光“棱鏡門”事件已經(jīng)過去了近10年。美國國家安全局利用與美國電信公司的合作關(guān)系，將服務(wù)器放置在互聯(lián)網(wǎng)骨干網(wǎng)絡(luò)的關(guān)鍵位置，以實(shí)施“man-on-the-side”攻擊。這種攻擊方式類似于中間人攻擊，只是中間人攻擊是完全控制一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，而man-on-the-side攻擊則是攻擊者監(jiān)聽通信信道利用時(shí)間差注入新數(shù)據(jù)。這種攻擊非常難以發(fā)現(xiàn)，但我們預(yù)測(cè)，它們?cè)?023年將會(huì)變得越來越普遍。

　　8、無人機(jī)攻擊

　　這里說的“無人機(jī)攻擊”并非是對(duì)用于監(jiān)視甚至軍事支援的無人機(jī)實(shí)施的黑客攻擊（盡管這也可能發(fā)生），而是使用商用級(jí)無人機(jī)實(shí)現(xiàn)近距離黑客攻擊。目前，面向公眾的無人機(jī)獲得了更強(qiáng)大的航程和能力。用流氓Wi-Fi接入點(diǎn)或IMSI接收器操縱一個(gè)無人機(jī)并不費(fèi)事；或者有足夠的工具來收集用于離線破解Wi-Fi密碼的WPA握手信息。另一種攻擊方案是使用無人機(jī)在限制區(qū)域投放惡意USB密鑰，然后希望路人能撿起并將其插入設(shè)備。總而言之，我們相信這是一個(gè)很有威脅的攻擊載體，可能會(huì)被一部分的攻擊者或已經(jīng)擅長混合物理和網(wǎng)絡(luò)入侵的黑客使用。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<