随着新冠疫苗和防疫措施的普及,更加难以防范的新冠病毒变异也接踵而来。2022年,与新冠病毒类似,随着企业部署新的网络安全工具和保护,工控安全威胁也快速“变异”。而最近肆虐全球的Log4j2超级漏洞被称为网络安全的“新冠病毒”,而工控安全领域,正是Log4j2漏洞的重灾区之一,这使得2022年工控安全领域的安全态势进一步恶化。
以下,是卡巴斯基根据2021年度监测数据给出的2022年APT攻击和工控安全威胁趋势预测:
01
APT攻击的四大趋势
⚫ 单次攻击的目标数量减少
网络犯罪活动中针对个人的攻击针对性越来越高,每次攻击的受害者数量越来越少。例如,我们看到基于间谍软件的身份验证数据盗窃犯罪生态系统中出现了一种新趋势,每次攻击都针对极少数目标(从个位数到几十个)。这一趋势正在迅速滚雪球,在世界的某些地区,被阻止的针对工控系统计算机的间谍软件中,多达20%都使用这种策略进行攻击。明年,此类攻击可能会占威胁格局的更大部分,而且这种策略也可能传播到其他类型的威胁。
⚫ 恶意软件生命周期缩短
为避免被发现,越来越多的网络犯罪分子采用频繁升级其所选家族中的恶意软件的策略。他们以最高效率使用恶意软件来突破安全解决方案的防御,然后在当前版本变得易于被检测时立即切换到新版本。对于某些类型的威胁(例如间谍软件),其开发部署生命周期都在缩短,并且在许多情况下不会超过3-4周(通常甚至更少)。现代MaaS平台的发展使全球恶意软件运营商更容易使用此策略。2022年我们肯定会在各种威胁场景中更频繁地遇到它。结合每次攻击的受害者数量呈下降趋势,这种策略的广泛使用将导致恶意软件的种类更多。
⚫ “持久”比“高级”重要
越来越多的APT开始采用“持久战”策略。缩略词APT中的“P”(持久性)已变得不那么依赖“A”(高级)。我们很早就看到了APT运营者如何“艰苦朴素”,以低成本方式顽强地在受害者基础设施中长期驻留——他们通过扩展和定期升级工具包,而不是采用昂贵而复杂的“高级”框架来逃避检测。这种策略很可能将在APT活动中越来越频繁地被采用。
⚫ 最大限度地减少恶意基础设施的使用
在与安全工具和防护措施的斗争中,攻击者会不断尝试减少攻击留下的可检测痕迹。尤其明显的一点是,攻击者正在尽量减少对恶意基础设施的使用。例如,一些APT中的C&C服务器的生命周期非常短,在攻击阶段运行不超过几个小时。
有时,攻击者不仅会设法避免使用任何恶意基础设施,而且还会避免使用可疑和不受信任的基础设施。例如,间谍软件攻击中的一种流行策略是:从目标受害者合作伙伴组织的受感染企业邮件帐户发送网络钓鱼电子邮件。在这种情况下,精心设计的钓鱼邮件内容实际上与合法邮件难以区分,并且几乎无法用自动化工具检测到。
毫无疑问,2022年,各类工控系统的攻击者将更频繁地使用此类策略。
02
APT攻击与网络犯罪
哪些威胁对工业企业的威胁最大?APT还是网络犯罪?工业企业提高信息安全能力,引入新的保护工具和措施的计划在某种程度上取决于所选的对手模型。同时,请记住,人们对某些类别的攻击者的利益、能力和作案手法的看法可能已经过时,因此需要不断更新观念和策略。让我们看看2022年的相关趋势。
⚫ APT和网络犯罪的技术、战术甚至策略越来越相似,可能需要类似的安全措施
事实上,许多APT和网络犯罪活动有时也难以区分,即使对于专家也是如此。例如,
-
技术和执行很糙的APT和“高级”网络犯罪攻击已经屡见不鲜。例如,一些著名的APT组织的攻击中,所使用的网络钓鱼电子邮件漏洞百出。而很多时候,一些针对性网络犯罪活动反而会更加“专业”和“高级”,能够制作出几乎完美无缺的钓鱼电子邮件。
-
同样,伪装成网络犯罪的APT以及伪装成APT的网络犯罪分子的攻击,也已经见多不怪。
-
此外,APT武器库中,我们越来越多地看到商业工具,甚至使用MaaS基础设施和交付方法作为初步渗透的手段。
⚫ APT和网络犯罪的目标经常重叠
在众多工业企业中,APT的重点攻击目标是:
-
军工复合体和航空航天工业——最有可能用于军事和技术间谍目的;
-
能源、交通和公用事业——为了以防万一,试图在“潜在对手”的关键基础设施中站稳脚跟,并利用它进行其他攻击;
-
基于知识的行业——主要用于工业间谍目的。
而网络犯罪分子则会攻击他们能搞定的任何价值目标,并且在绝大多数情况下将使用相同的“成熟”方法通过攻击获利:
-
通过替换银行详细信息直接盗窃资金——通过BEC策略或访问组织的财务系统;
-
勒索和勒索那些有能力并愿意支付的组织或个人;
-
将被盗信息转售给其他网络犯罪分子、受害者的竞争对手和其他相关方。
⚫ 网络犯罪造成的直接经济损失更大,但APT造成的损失更难预测,从长远来看可能更大
从去年发生的事件来看,就直接经济损失而言,网络犯罪分子的行为对行业企业而言似乎比APT更危险。例如,在2021年,我们看到许多行业巨头陷入停顿,向勒索软件支付了数千万美元。与此同时,一整年中只有一个已知的APT造成重大经济损失的案例(因为该APT事件中攻击者决定伪装成勒索者)。
也就是说,APT攻击可能会产生非常难以提前评估的延迟损失或负面影响(例如,几年后,竞争对手公司可能会根据被盗数据开发新产品)。
⚫ 留神网络流氓和黑客行动主义者
2021年,至少有三起由网络流氓和黑客行动主义者导致的工控安全事件成为全球头条新闻,这表明很多重要的工业基础设施的安全措施形同虚设,甚至一些“打野”黑客都可以来去自如。
⚫ 勒索攻击
勒索软件攻击是2021年的主要趋势,尽管各国政府纷纷重拳出击,但勒索软件依然势不可挡。2022年勒索软件攻击将继续,包括针对工业企业。网络犯罪分子将更好地保护自己并规避风险,而受害者支付的赎金也将水涨船高。
03
2022年工控系统APT攻击趋势
以下网络犯罪策略和技术将在2022年被积极使用。
⚫ 网络钓鱼是有针对性(和非针对性)攻击的首要初始渗透工具。如过去一年所示:
-
很遗憾,目前而言,即使是糟糕的网络钓鱼手段,也能收到很好的效果。尽快培训您的员工安全意识,提高钓鱼邮件的有效辨别能力。拼写和语法错误、措辞不当、公司和官员名称不正确、奇怪的话题和不寻常的请求都是网络钓鱼露出马脚的地方。
-
遗憾的是,高质量的鱼叉式网络钓鱼极难防范。在每家公司中,都必然会有人盲目打开附件、点击链接、点击按钮甚至与攻击者联系,并在不知不觉中帮助他们在系统中启动恶意载荷。
-
各种类型的网络犯罪分子已经掌握了不使用恶意基础设施的鱼叉式网络钓鱼和仅使用受信任的基础设施(如上所述)的网络钓鱼技术。而且,后者是最危险、最难检测的方法。不幸的是,2022年此类方法将俘获大批受害者。
⚫ 面向互联网的硬件中的已知漏洞也肯定会继续成为流行的渗透媒介,建议及时更新防火墙和SSL VPN网关。
⚫ 操作系统组件和流行IT产品中的零日漏洞将仍是高级APT中相对罕见的工具,而相对小众(因此可能未经充分测试)的产品中的未知安全漏洞将也被网络犯罪分子积极利用。
⚫ 针对域名注册商和认证机构以及供应商的攻击
关于这些APT攻击的“高级”策略,去年我们再次看到针对域名注册商(最低限度访问受害者的Web控制面板)和认证机构的入侵和攻击,以及针对供应商的新攻击场景。此类威胁有可能在很长一段时间内未被发现,从而使攻击者能够进行长期持续的操作。那些负担得起此类攻击成本的攻击者自然不会轻易放弃此类攻击手法。
因此,在规划来年的保护手段和措施时,企业安全主管们不仅要注意自己的基础设施的安全性,还要注意所使用的第三方服务的安全性。在为IT/OT系统选择产品供应商时,请明确自己对产品和供应商二者的网络安全要求。与业务合作伙伴合作时,也请注意他们的安全弱点可能对您构成的威胁。
