全球领先的网络安全解决方案提供商Fortinet®(NASDAQ: FTNT),于近日发布2021年下半年《全球威胁态势报告》。据报告显示,当前全球网络攻击的自动化和攻击速度均显著提升,更具破坏性、 不可预测性且更加持续的网络犯罪正快速演进。此外,伴随随时随地办公(WFA)及混合IT环境而来的不断扩大的攻击面,更是给了网络犯罪分子更多的可乘之机。
全球威胁五大趋势愈演愈烈
Fortinet最新发布的《全球威胁态势研究报告》汇聚了FortiGuard Labs实验室的集体智慧。其分析研究所采用的威胁数据源自Fortinet传感器在全球范围内捕获的数十亿个威胁事件。本次报告基于MITRE ATT&CK框架中的前期侦察、资源开发和初始访问前三组战略,将对手战术和技术进行分类,以描述攻击者如何搜寻漏洞、如何建立恶意架构以及如何利用攻击目标发动攻击。
该研究报告还特别采用全球和地区双视角展望未来的安全挑战,为安全专业人员提供广泛而具体的威胁态势现状分析,旨在帮助他们做出降低安全风险,并更好地防护和维护其关键数字资源的重要决策。总结来看,愈演愈烈的全球威胁呈现以下五大趋势。
趋势一
Log4j事件预示着全球企业组织正面临漏洞攻击飞速增长的空前局势。2021年底全球爆发的Log4j漏洞攻击事件表明,网络犯罪分子大肆利用漏洞发起攻击的速度较以往更加迅猛。12月中旬,该安全漏洞的攻击数量飞速攀升,仅不到一个月,便跃居2021年下半年IPS最热门的检测目标。此外,与2021年初爆发且众所周知的ProxyLogon漏洞事件相比,Log4j攻击的活跃数高达50倍之多。面对如此骇人的攻击数量,加之网络犯罪分子不断处心积虑搜寻新的攻击目标,全球企业组织对此毫无招架之力,无法及时响应或修补。
趋势二
网络犯罪分子快速瞄准攻击面新载体。未来,一些看似不起眼的安全威胁可能释放出巨大的破坏力,这一点应引起持续关注。例如,近期出现的新型恶意软件利用Linux系统漏洞,通过可执行和可链接二进制文件格式(ELF)发起攻击。由于Linux操作系统通常运行着多数网络的后端系统,并为物联网(IoT)设备和任务关键型应用程序提供基于容器的解决方案,这一特性使其逐渐成为网络攻击的热门目标。事实上,随着ELF Muhstik变体、RedXOR恶意软件以及Log4j系列漏洞事件相继将Linux视为主要攻击目标以来,截至2021年第四季度,已发现的新型Linux恶意软件签名率,较第一季度超出4倍之多。与此同时,2021年针对ELF及其他Linux恶意软件的检测较往年也翻了一番。变种病毒数量及攻击范围的极速攀升,意味着以Linux为目标的勒索软件正日益成为网络犯罪分子武器库中运用自如的攻击工具。
趋势三
勒索软件活动更加猖獗、更具破坏性。去年以来,勒索软件攻击数量依然高居不下,其复杂性、侵略性及造成的负面影响必将挥之不去。威胁攻击者还将不断利用各种推陈出新的勒索软件攻击全球企业组织,并造成广泛的破坏影响。与此同时,不法分子正蓄意更新、增强传统勒索软件,比如臭名昭著的雨刷(Wiper)恶意软件因此卷土重来,而其他勒索软件也在不断升级,并采用勒索软件即服务(RaaS)的新型运营模式。一改往日需自行创建恶意软件的传统攻击形式,RaaS支持更多攻击者大肆利用其平台随意分发恶意软件。报告还发现,当前恶意活动越来越频繁地捆绑多种勒索软件组团攻击,比如新型Phobos变种病毒、Yanluowang及BlackMatter等勒索软件。BlackMatter勒索团伙虽然公开宣称,不会将医疗卫生行业及其他关键基础设施行业作为其攻击目标,但结果却依旧痛下毒手。无论行业或企业规模如何,勒索软件攻击对于全球企业组织而言始终是一种威胁所在。
趋势四
僵尸网络的演变趋势预示着网络攻击技术更加复杂。不断升级、不断进化的新型网络犯罪攻击技术的应用正成为僵尸网络的演进趋势。僵尸网络不再以DDoS的单一体攻击为主,攻击者转而利用捆绑勒索软件在内的多目标攻击工具等更为复杂的攻击技术。例如,包括Mirai等僵尸网络运营商在内的犯罪团伙,还将Log4j漏洞的利用整合至其攻击工具包之中。与此同时,僵尸网络活动还被追踪到与RedXOR恶意软件新变种有关,蓄意攻击Linux操作系统,大肆搜刮和窃取数据。去年10月初,对传播RedLine Stealer恶意软件变体僵尸网络的检测数量也在激增,该变种利用以COVID为主题的文件开展网络钓鱼活动并搜寻新的目标。
趋势五
操纵恶意软件的网络犯罪团伙热衷于“远程兴风作浪”。对全球不同区域恶意软件变体泛滥程度的评估表明,网络犯罪分子热衷于远程操控的攻击手段并不断研究学习新的攻击载体。值得注意的是,各种基于浏览器的恶意软件广为盛行。这些恶意软件通常采用网络钓鱼诱饵、注入恶意代码或将用户从合法网站重定向至恶意网站等不法手段。虽然全球各地的检测方法各不相同,但针对以下三种分发机制的利用最为广泛:Microsoft Office可执行文件(MSExcel/、MSOffice/)、PDF文件以及浏览器脚本(HTML/、JS/)。此类技术仍然是犯罪分子利用人们对全球疫情、政治局势、运动健身及其他热门头条最新资讯的渴求心态,诱导受害者访问并找到成功侵入企业网络的切入点。
高效防御网络犯罪活动知己知彼
Fortinet认为守护网络安全不仅要对网络攻击者了如指掌,对网络攻击目标的精准分析也至关重要,知己知彼方能百战不殆。这种全局的认知有助于安全人员更好地调整防御措施以高效应对攻击技术的快速演进。为了全面分析各种攻击行为造成的恶意后果,FortiGuard Labs通过触发捕获的恶意软件样本,分析检测到的恶意软件功能,追踪恶意软件完成整个攻击过程所需的各个战术、技术及步骤(TTP)。
这种高精度的威胁情报明确表明,及早部署阻击攻击者的防范策略是全球企业组织的当务之急,有时通过重点专注于少数已识别的战术,部署相应的安全防护措施,即可事半功倍,有效阻断恶意软件攻击。如下图所示,“攻击执行”阶段一栏中的前三种技术占整个活动的82%。而“攻击持续”阶段一栏中的前两种技术则代表了近95%已观察到的功能。利用此分析结果可以帮助企业组织确定其安全策略部署的优先级,以最大限度发挥安全防护措施产生的积极影响。
鉴于此,面对空前的漏洞攻击态势,全球企业组织亟需部署人工智能(AI)及机器学习(ML)赋能的入侵防御系统(IPS),建立高效的补丁管理策略,并实现威胁情报的全面可视化,以优先应对快速散播的网络威胁,从而有效降低网络的整体安全风险系数。
同时,面对不断扩大的攻击面,全球企业组织更不能厚此薄彼,应同时加强Linux的安全防护、监控及管理,并为其部署高级自动化端点防护、检测及响应策略。此外,还应优先考虑网络安全环境整治,以实现系统主动威胁防护,抵御那些看似低级的安全威胁。
而面对猖獗的勒索软件攻击,全球企业组织有必要变被动为主动,积极部署支持实时可见性、实时分析、安全防护及攻击修复等优势功能全面集成的安全解决方案,并深度集成零信任网络访问策略、动态智能隔离及定期数据备份功能,以便构建更高效的企业防护网络。
此外,面对空前复杂的网络安全态势,为确保本地网络及应用安全,全球企业组织亟需部署零信任访问解决方案,以支持最低访问权限,尤其在接入网络的大量物联网(loT)终端和设备防护方面更应如此,还应集成自动化威胁检测和响应功能,以实时主动检测异常网络行为。
尤其当前随时随地办公(WFA)及混合学习模式日渐成为人们的生活常态,而恶意软件和潜在受害者之间的防护层却越来越薄弱。全球企业组织亟需部署高效的安全解决方案,此外,还应集成融合端点高级安全解决方案(EDR)与零信任访问解决方案(ZTNA)。无论用户身居何处,都能实现对用户的追踪、支持及无缝防护,以安全伴随“随时随地办公”(WFA)新模式。面对当下不断扩展的网络环境,安全SD-WAN解决方案对于广域网安全连接防护也同样至关重要。
总而言之,当前网络攻击呈现愈加复杂的发展趋势,并加速跨越整个攻击面发动攻击。全球企业组织亟需部署支持协同互联的安全解决方案,而非继续依赖孤立运行的防护技术。防御不断升级的攻击技术,必然需要更加智能的解决方案,以获取实时威胁情报、检测和识别威胁模式和指纹、关联海量数据以检测异常活动,并自动启动协调响应。此外,企业组织还应摒弃传统的单点产品,转而打造以支持本地部署的多种安全解决方案实现集中管理、自动化和协同运行的网络安全网格平台,高效防御快速发展且复杂多变的网络犯罪活动。
