2024年网络威胁预测报告

小二郎
攻击者经常找到新的方法来破坏网络,但成功的攻击却并非总是那么简单或快速。然而,由于网络犯罪即服务(CaaS)市场的增长,以及生成式人工智能的兴起,网络犯罪分子已比之前能更简单、快速的实施攻击。基于此,攻击者将通过大量工具箱中的新功能来扩展网络犯罪方法。

本文来自微信公众号“嘶吼专业版”,作者/小二郎。

攻击者经常找到新的方法来破坏网络,但成功的攻击却并非总是那么简单或快速。然而,由于网络犯罪即服务(CaaS)市场的增长,以及生成式人工智能的兴起,网络犯罪分子已比之前能更简单、快速的实施攻击。基于此,攻击者将通过大量工具箱中的新功能来扩展网络犯罪方法。

FortiGuard实验室(Fortinet的精英网络安全威胁情报和研究机构)发布的《2024年威胁预测报告》分享了2024年值得关注的新趋势。

以下是FortiGuard实验室对威胁形势发展的预测,以及安全实践建议。

2023年预测回顾

多年来,FortiGuard实验室一直在探讨许多攻击趋势,其在《2023年威胁预测报告》中指出,预计攻击者最喜欢的策略将在未来发生演变;高级持续性网络犯罪将变得越来越复杂和有针对性;网络犯罪团伙间的地盘争夺战愈演愈烈;人工智能用于支持攻击的方式也将发生转变等。以下是其对2023年一些关键预测的回顾,以及对2024年及以后威胁形势的预测。

高级持续性网络犯罪的新时代

在过去的几年里,新型漏洞的增长,加上对手之间更多的攻击前(pre-attack)活动,将为网络犯罪即服务(CaaS)市场的扩张铺平道路。如今,随着网络犯罪分子和高级持续性威胁(APT)组织继续合作(暗网上的APT组织比以往任何时候都多),可以肯定地说,2023年的预测成真了。

对于安全从业者来说,这只是冰山一角。APT活动呈上升趋势:在2023年上半年,APT活动显著增加,MITRE跟踪的138个组织中有41个(约30%)在此期间处于活跃状态,其中Turla、StrongPity、winti、OceanLotus和WildNeutron是最活跃的。

未来,我们预测更多的APT组织将变得更加活跃,并且可能从事双重网络犯罪和网络间谍活动。更糟糕的是,更多的APT组织可能将转向使用更隐蔽、更创新的方法来发起攻击。诸如HTML走私之类的技术将越来越受欢迎,我们预计在未来一年中还会出现更多的新方法,他们的战术、技术和程序(TTPs)在不断发展,过时的分析方法根本无法检测到。

除了APT操作的演变,我们预测网络犯罪集团将继续多样化他们的目标,在一系列已经被入侵的组织中寻找隐藏的(和高利润的)“皇冠上的宝石”。例如,在运营技术(OT)领域,制造业历来是网络罪犯的首要目标。我们预计OT攻击将越来越多地从制造业扩展至医疗保健、公用事业、金融、石油和天然气以及运输等行业。这些攻击也将不再仅限于加密数据,并以此来实施勒索,他们还将继续进行供应链攻击,破坏关键服务和组织。

在《2023年威胁预测报告》中,我们还预计边缘攻击将成为主流,未来将会看到更多此类活动。如今,这种情况不仅已经发生,而且攻击者使目标多样化,而非仅限于我们通常认为的边缘设备。有了Flipper Zero和其他类似的工具,设备或钱骡(money/device mules)可以通过克隆RFID卡或酒店钥匙卡来入侵物联网设备,然后在手机和笔记本电脑等设备上运行任意命令,使用零日漏洞,甚至可能无需用户交互。

网络犯罪的地盘争夺战愈演愈烈

几年前,我们就预测到网络犯罪集团之间会出现地盘争夺战,多个对手会瞄准同一个目标。

今天,我们看到的正是这种情况。多个网络犯罪组织试图在短时间内(有时在24小时或更短的时间内)渗透到同一个目标,以不同的组合部署AvosLocker、Diamond、Hive、Karakurt、LockBit、Quantum和royal等勒索软件变种。许多经历过这种情况的组织在几天内都受到了类似的攻击,这些攻击都是由不同的对手发起的。我们可以假设,其他网络犯罪分子密切监视暗网上的通信,然后进行相同的攻击,或者模仿最初由竞争对手实施的攻击。这一新兴趋势的增长促使联邦调查局于2023年9月向各组织发出警告,敦促安全领导者审查并加强防御,以防范勒索软件事件。

在今年上半年,大约三分之二的MITRE ATT&CK技术被积极用于攻击,防御规避是最常用的策略。被盗的凭据就像坏人的“万能通行证”,使他们能够渗透到目标网络中,启动勒索软件和其他攻击。鉴于被盗凭据对威胁行为者的价值,我们预测凭据和初始访问代理服务产品的新兴趋势将在未来继续增长,使网络犯罪分子更容易获得执行成功攻击所需的凭据(有时针对同一目标)。这种类型的服务可能会像勒索软件即服务(RaaS)一样成熟和发展,以满足市场需求,变得更加商业化,而非仅在暗网上可用。

通过AI链来支持所有攻击阶段

人工智能的武器化给已经肆虐的威胁形势火上浇油——它使攻击者能够加强攻击的每个阶段,并且比以前做得更好、更快。我们看到网络犯罪分子越来越多地使用人工智能来支持各种恶意活动——从挫败检测社会工程的算法,到通过人工智能音频欺骗和制造其他深度伪造(Deepfakes)等活动来模仿人类行为,但攻击者并非就此止步。我们预计网络犯罪分子将以未知的创新方式利用人工智能,例如:

·攻击者将使用人工智能进行生成分析——从社交网站和其他公共网站上抓取个人身份信息,这是恶意行为者为执行攻击而进行研究的另一种方式。

·我们将看到更多的人工智能链攻击出现,网络犯罪分子使用可操作的模型使其攻击链更加模块化。例如,攻击者可能在侦察阶段使用ML,将其链接到AI驱动的武器化有效载荷的部署,这种联合人工智能方法减少了他们的妥协时间模型。

·网络罪犯将利用人工智能加强密码喷洒。密码暴力破解、填充和喷洒是攻击者识别、窃取和出售凭据的常用方法。使用人工智能识别密码的模式和主题将增加这种可能性,并缩短成功攻击所需的时间。

·人工智能中毒攻击——网络罪犯故意篡改人工智能模型训练数据和系统本身——将变得普遍,恶意行为者可能会使用自动化工具包来执行这些攻击。安全团队需要开始防范这些攻击,依靠入侵防御服务和应用程序控制来保护组织的人工智能资产。

2024年及以后的攻击趋势

网络犯罪分子将继续布局攻击策略来实现其恶意目标。

然而,现代攻击者如今拥有更多的工具,包括越来越多的网络犯罪即服务(CaaS)产品和人工智能驱动的技术,以帮助他们在攻击的每个阶段更智能、更快地工作。

随着网络犯罪行业的发展,我们将在2024年及以后看到一些明显的新攻击趋势。下面是一些预测结果:

更高阶的攻击战术

如果在各种网络攻击中有一个“最受欢迎榜单”,勒索软件绝对会位列榜首。在过去的几年里,全球范围内的勒索软件攻击数量猛增,使每个组织(无论规模或行业)都沦为攻击目标。根据FortiGuard实验室《2023上半年威胁形势报告》指出,2023年上半年末的勒索软件活动比年初高出13倍。尽管78%的受访组织表示他们做好了防御勒索软件的准备,但仍有一半的组织成为了攻击的受害者。

得益于RaaS操作的快速扩张,攻击者将继续通过采用更复杂的毒株来渗透网络,包括高度破坏性磁盘擦除恶意软件。然而,随着越来越多的网络犯罪分子发起勒索软件攻击,以期获得丰厚的利润,网络犯罪集团正迅速从规模较小、更容易被黑客攻击的目标转移。

因此,我们预测网络罪犯将变得更加激进,并扩大他们各自的目标名单和战术,希望获得巨额回报的对手会将注意力转向医疗保健、公用事业、制造业和金融等关键行业,寻找那些一旦被成功破坏,将对社会产生重大不利影响的目标。除了瞄准更高价值的目标外,攻击者还会超越他们已经建立的游戏,他们的战术将变得更具侵略性和破坏性,从加密转向专注于DoS和勒索。

随着对手被迫调整策略,网络保险公司可能成为有吸引力的目标。在过去的几年里,我们看到一种趋势,即组织通过增加网络保险来弥补他们战略上的缺口。但随着勒索软件的加剧,网络保险公司在赔付的时间和方式上变得越来越讲究。随着网络保险公司变得越来越严格,支付赎金的频率越来越低,这笔钱最终将受到限制。目前还没有观察到网络保险公司成为攻击者的直接目标,但在未来,这个行业可能会被视为一个高价值的目标,尤其是在保险公司限制下游支付的情况下。

一个新的(而且更有利可图的)零日环境

随着组织为支持日常业务运营所依赖的平台、应用程序和技术的数量不断增加,网络犯罪分子有了大量的新机会来发现和利用软件漏洞。数据显示,2023年出现的零日漏洞和新的CVE数量创历史新高,而且这个数字还在上升。

新发现的零日漏洞很有价值,我们预计这会使许多漏洞将不会被报告。未报告的零日漏洞对攻击者来说更有价值,这意味着安全团队需要更加提高警惕,同时,不要忘记N-days漏洞也在呈增加趋势。我们认为N-days是“延长保质期的零日”,这些漏洞可能会在很长一段时间,甚至几年的时间里构成风险。虽然N-days是已知的漏洞,但如果没有修补或没有可用的修补程序,它们仍然会带来风险。

我们预计在CaaS社区中会出现零日漏洞经纪人——在暗网上向多个买家出售零日漏洞的网络犯罪集团。零日漏洞经纪人的崛起将为网络犯罪分子扩大攻击规模铺平道路,并通过更协调的行动达到更广泛的攻击面。未来,我们将看到变化,因为非加固产品的攻击面越来越大,这使得攻击者能够对成千上万的CVE进行攻击,而这些漏洞势必会被发现。

今天,我们可以采取许多步骤来防范零日漏洞,例如使用下一代防火墙、进行漏洞扫描和实施智能补丁管理策略。然而,这些工具和活动都是为了防止漏洞被发现后才设计的。工程团队有机会通过增强他们的软件开发生命周期(SDL)方法来帮助减缓零日漏洞的增长。当网络罪犯使用模糊测试(fuzzing,一种旨在发现软件漏洞的自动化软件测试技术)发现新的漏洞时,开发团队也可以使用模糊测试在他们自己的游戏中击败攻击者。开发人员应该考虑将模糊测试整合到他们的SDL过程中,以帮助加固产品,增强安全性,并在对手发现和利用潜在的漏洞之前找到并修复它们。

内部游戏

为了应对不断变化的威胁形势,许多企业正在升级其安全控制并采用新技术和流程来加强其防御能力。这些增强的控制使攻击者更难以从外部渗透网络,这就要求网络犯罪分子找到新的方法来达到他们的目标。

考虑到这一变化,我们预测攻击者将继续在战术、侦察和武器化方面“左移”(shift left),犯罪团伙将开始从目标组织内部招募人员,用于初始访问目的。例如,网络犯罪分子可以很容易地使用生成式人工智能来克隆高管或受信任的个人的声音,利用这些录音迫使毫无戒心的目标执行命令、披露密码或数据,或释放资金。我们可以很容易地看到,“招募即服务”(recruiting-as-a-service)是这一趋势的下一个发展阶段,它允许攻击者获得更多的信息来分析他们的目标。

虽然有些目标可能在不知不觉中成为网络犯罪计划的受害者,但其他员工可能会将与网络罪犯的一次性合作视为一种快速增加收入的方式。

特定事件驱动的攻击

在2024年,我们预计攻击者将利用更多定制和事件驱动的机会,虽然网络犯罪分子过去也曾试图破坏重大事件或利用地缘政治事件,但他们现在有了新的工具(尤其是生成式人工智能)来帮助他们实现目标。

政府已经就人工智能对即将到来的选举威胁发出警告,并谈到这项技术可能在加速网上虚假信息传播方面发挥的作用。但除了这些重大事件之外,还有更多的机会造成混乱。例如,网络犯罪分子可以很容易地使用ML和AI来进行区域攻击,使用大语言模型将相关通信翻译成当地语言。

缩小TTP竞争环境

我们预计攻击者将不可避免地继续扩大他们用于破坏目标的TTP集合。然而,通过缩小“比赛范围”并找到破坏这些活动的方法,防御者可以获得优势。

虽然网络安全防御者所做的大部分日常工作都与阻止妥协指标有关,但仔细研究攻击者经常使用的TTP,并找到可以破坏他们攻击模型的点,这是很有价值的。虽然攻击者可能有广泛的工具包来执行勒索软件或网络钓鱼活动,但他们的技术往往是相似的。作为防御者,我们可以映射攻击者正在做什么,在安全社区之间共享情报,并缓解特定的技术。

攻击流项目(The Attack Flow Project)由MITRE威胁信息防御天才中心领导,与包括Fortinet在内的几个合作伙伴合作,为安全从业者提供了缩小TTP竞争环境的机会。项目贡献者正在创建一个数据模型,旨在通过记录恶意参与者在攻击中所采取的步骤,帮助安全社区找到突破口。随着网络犯罪分子继续推进他们的行动,并变得更善于逃避传统的检测措施,找到他们的“突破口”将变得更加重要。

与攻击者打持久战

OT系统等边缘设备一度被认为是网络罪犯的非传统目标。然而,在过去的十年里,我们看到针对这些目标的攻击越来越复杂,数量也越来越多。

现在,5G直接到设备的连接现在已经成为现实。此外,近地轨道卫星空间出现了更多的连接设备。简单地说,更多的连接设备为攻击者提供了更大的攻击面,这为攻击者提供了无限的机会。对5G基础设施的成功攻击很容易破坏石油和天然气、交通、公共安全和医疗保健等关键行业。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论