2022年8月,VMware发布了一年一度的《2022年全球事件威胁响应报告》,结合此前另一家网络安全企业Palo Alto Networks(以下简称“派拓网络”)威胁情报团队Unit 42所发布的《2022年事件响应报告》,可以看出,他们均一致认为,尽管勒索软件攻击和BEC(商业邮件攻击)仍是本年度的主要网络安全威胁,但地缘政治以及深度造假(Deepfake)在安全领域中正日益成为威胁的主角之一。(关于报告:《2022年全球事件威胁响应报告》源于其制作者VMware在2022年6月进行了一项关于事件响应领域趋势的在线调查,来自世界各地的125名网络安全和事件响应专业人员参与了调查。)
勒索软件攻击和BEC攻击的数量仍在不断攀升
两份报告在这方面可谓是完全达成了共识,VMware指出勒索软件攻击和BEC攻击的数量仍在不断攀升,而派拓网络更是在其报告中表示有70%的安全事件可以归因于这两者(数据统计周期为2021年5月-2022年4月)。
其中在勒索软件攻击部分,在接受VMware调查的专业人士中,有57%的人表示他们在过去12个月里遭遇过勒索软件攻击,此类数据其实在各类媒体报道以及相关报告内容上已经看到很多,相比之下更为实际一点的数据看,那就是报告揭示了勒索软件长期利用已知的漏洞来发起攻击,结合派拓网络的调查数据(48%的勒索软件攻击为利用已知的软件漏洞发起),可以看出要想做好应对勒索软件攻击,做好网络安全的基础工作——漏洞管理是必选项。
针对如何防范勒索软件攻击,安全419在今年推出了《勒索攻击解决方案》系列访谈这一专题内容,目前收录了多家企业较为成熟的勒索攻击解决方案,有兴趣的朋友可以关注一下。(延伸阅读:《勒索攻击解决方案》系列访谈)
BEC攻击隶属于钓鱼攻击范畴,如果结合国内CACTER邮件安全&中睿天下联合发布的《2022年Q1企业邮箱安全报告》来看,国内的形势也不容乐观,报告数据显示,我国企业邮箱的钓鱼邮件数量环比增长达10.74%,相比去年同期增长高达81.31%,而且发送源方面,来自境外的占比达到了81.68%,高达4952.5万。
另外,关于此类攻击,我国上半年还发生了一起典型事件——某大型互联网企业遭钓鱼攻击,针对此类事件,我们也专门制作了一期视频节目,来自持安科技、零零信安、无糖信息以及知道创宇的多位专家均在节目中为如何防范此类攻击提出了建议。(延伸阅读:——《大咖聊新闻:互联网大厂遭钓鱼邮件攻击》)
说到这里,就不得不提VMware和Unit 42的两大报告都同时提到的深度造假,VMware的报告指出,深度造假技术在此前主要用于仿冒活动等方面,而当前越来越多地被用于网络犯罪。报告数据显示,深度造假攻击同比增长13%,有66%的受访者表示至少遭遇过一次此类攻击。当然,深度造假技术也被利用在地缘冲突中,作为舆论宣传战场上的一大利器,比如在今年3月,一段社交媒体上的视频显示乌克兰总统要求其部队向俄罗斯投降的视频,的确欺骗了很多人,虽然后来被证实这个视频是假的,但由此可以看出深度造假技术在地缘政治中的威胁作用。
报告也显示出,包括第三方会议应用(31%)、业务协作工具(27%)也经常会被此类攻击利用,其主要目的是用于诈骗,在行业方面,IT(47%)居首,金融(22%)和电信(13%)排在其后。
查阅一下与深度造假相关的事件新闻,其普遍的共性是大多数均通过电子邮件的渠道发起,占比达到了78%,与商业邮件攻击呈现出同步上升的趋势,根据VMware提供的数据看,2016-2021年间,商业邮件攻击事件造成的损失估达433亿美元。
0day漏洞激增或与地缘政治冲突有关 API成为攻防双方的重要新战场
VMware表示,在截至2022年6月的前12个月里,62%的受访者表示遇到过0day漏洞,而去年同期这一数据是51%。报告指出,这一激增也可以归因于地缘政治冲突,国家行为发起的可能性极高,因为实施这类袭击的成本相当高,而且大多只有一次有效,对于逐利的攻击者或组织而言就有些得不偿失。
报告也重点提到了著名的Log4j漏洞,指出在过去的半年中,攻击者通过利用它发起了超过2500万次的攻击。此外,开源项目也是0day漏洞的一个敏感区域,比如在Kubernetes软件使用的工具中发现的漏洞等等。
坦率地讲,想要100%阻止0day漏洞攻击几乎是不可能的,作为防守一方,所能做的就是通过相关的安全建设(包括网络、终端保护和响应等工具或解决方案),比如通过利用漏洞优先级技术(VPT)、基于风险的漏洞管理(RBVM)等,或通过较为完整的攻击面管理解决方案来时刻关注自身问题,确保漏洞尤其是那些高风险漏洞的可见性,目前国内专注于这方面的企业如华云安、零零信安等都有各自的解决方案去解决相关问题。(延伸阅读:《华云安发布攻击面管理产品解决方案》、《零零信安王宇:防御前置 外部攻击面管理是抵御安全风险的“疫苗”》)
前面包括勒索攻击、钓鱼攻击以及漏洞都是一些老生常谈的话题,除去这些之外,API风险如今也被重点提及,VMware的报告内容显示,超过五分之一(23%)的受访者经历的所有攻击涉及API安全,其中最常见的API攻击包括数据暴露(42%)、SQL注入攻击(37%)和API注入攻击(34%)。VMware方面表示,随着应用程序激增,API已经成为攻防双方的一个重要新战场。
包括我国在内,数字化转型已经成为一个全球趋势,企业上云浪潮如火如荼,应用程序之间数据交换的量级几乎呈几何增长,API风险的可见性问题也变得愈加棘手。无论是从攻防角度,还是从业务安全角度,可见性都始终是API安全的重要挑战。在Gartner日前发布的《Hype Cycle for Application Security, 2022》(2022年应用安全技术成熟度曲线)报告中,强调API作为企业数字化转型的重要基础设施已逐渐成为攻击者的主要攻击目标。
正如大家常说的“你无法保护你看不见的东西”,API安全也是如此,API资产可见性是API安全测试的基础。此前国内安全企业永安在线在其发布的《API安全建设白皮书》中关于API安全挑战相关内容中,API资产不可见也被列在第一位。当然,尽管API安全管理面临诸多的痛点、难点,但也并非缺乏对策。一方面要从自身内部的管理层面入手不断加强,建立和完善相关制度建设,并培养相关人员的安全意识和素养,尽可能地避免甚至杜绝人为制造API安全问题的可能性。另一方面,还需要借助专业力量的支持,专业的API安全管理产品、解决方案,能在很大程度上帮助企业解决API的不可知、不可控两大核心问题,快速建立起有效的API安全防线。 当前国内包括像永安在线、星阑科技等目前专注于API安全领域的企业都推出了面向不同方向且有针对性的API安全管理解决方案,另外还有一些综合性安全企业也推出了相关的防护产品,都可以帮助企业有效应对API的安全挑战。《延伸阅读:为何要格外重视并积极应对API安全挑战?》
近一半的入侵活动涉及横向移动
除了前述内容之外,关于横向移动攻击也是《2022年全球事件威胁响应报告》研究的重点内容之一。VMware的高级副总裁表示,CISO普遍将投资用于两个领域,分别是网络边界防护以及端点防护,但可惜的是,这些投资有时候未能收到成效,因为它并没有阻止攻击者们去破坏端点,这意味着作为防御一方,应将注意力重新定位于应用程序、数据中心、接入点和其他基础设施方面,以避免攻击者一旦突破外部安全屏障,就可以访问所有的内部网络。
在当前复杂的网络中,网络边界可以说已经消失了,因此,阻止必须转向以大多数人尚未采取的方式保护内部资源和以往受信任的安全战略。
报告中的调查数据指出,在其统计的事件中,攻击者利用横向移动攻击的比例达到了四分之一。许多攻击者每天都在想方设法潜入到其目标边界后方的数据流中,通常的做法是将隐藏到合法流量中,混入东西向流量经防火墙或端点,一旦潜入内部,一些狡猾的攻击者可能还会继续隐藏其中,发现资产,利用常见的端口和协议在目标网络中横向移动,以造成更大规模的破坏,这在勒索软件攻击中已经比较常见。
根据VMware的数据分析结果,仅2022年4月-5月间,就有近一半的入侵活动包含横向移动行为,其中大多数涉及使用远程访问工具 (RAT) 或现有服务,例如远程桌面协议 (RDP) 或 PsExec。
VMware的报告内容指出,几乎没有攻击不涉及从一个地方开始并移动到另一个地方。越来越多的攻击发生在虚拟机管理程序中,许多组织根本没有能力看到它。
在今年早些时候,VMware的安全专家在对2022年的安全形势预测中,就提到了横向移动攻击,当时他们表示,随着多云环境的普及,攻击面将继续扩大。这将导致通用端口和协议进一步增加,进入企业机构网络的敌对势力会利用这些端口和协议进行横向移动并盗取数据。在2022年,敌对势力将想方设法地停留和隐藏在企业机构网络的常见噪声中。在保护今天的多云环境时,如果具备对这种噪声的可见性,那就能够识别敌对势力,而这项能力将比以往更加重要。