勒索软件、民族国家、社交媒体和远程办公已然成为2021年的头条新闻。不良行为者将从今年的成功策略中吸取经验,并运用在明年的行动中,将对我们的生活造成更大破坏。随着威胁形势的不断变化和新冠疫情的持续影响,企业必须时刻了解网络安全趋势,这样才能主动保护自己的信息并采取有效行动。
在2022年,企业应注意哪些网络安全威胁?
各国组织将以社交媒体为武器,瞄准更多的企业人员
Lazarus(朝鲜APT组织)申请添加您为好友
某些威胁团体会绕过传统的安全控制,通过假装提供高薪职位直接与感兴趣公司的高管沟通。另一些团体也会盗取大V账户来直接发布消息。
尽管为了吸引目标上钩需要提前作一定功课,伪造一套个人资料也并非易事,但这种方法并不是新鲜事务。以个体为目标已经被证明是一个非常成功的攻击渠道,而且我们预测,除了间谍集团,还有其他希望渗透到组织中获利的威胁行为者,都会越来越多地使用这种载体。
民族国家将利用网络犯罪分子发起攻击行动
热招岗位:守约歹徒
网络罪犯与国家行动关系密切:俄罗斯、朝鲜和伊朗都应用了这些策略,雇佣黑客参与各国情报部门主导的行动,创建恶意软件,攻击感兴趣的目标,窃取商业情报、贸易机密和敏感技术信息。
在过去,特定的恶意软件家族可以关联到某个民族国家集团,但当黑客被雇佣来编写代码并参与行动时,情况就变的错综复杂。据预测,2022年网络犯罪和民族国家行为者之间的界限会越来越模糊,公司应当审视其对威胁的可见性,并学习所在行业威胁行为者常用的战术与行动。
勒索软件即服务(RaaS)生态权力转移:能力型网络犯罪团伙将崛起
勒索软件权力的游戏
长期以来,RaaS管理员和开发人员被看作首要打击对象,附属机构往往由于被认为技术水平较低而遭到忽视,从而成长为非常有能力的网络犯罪分子。
作为对美国Colonial输油管道攻击事件的回应,流行的网络犯罪论坛已经禁止勒索软件行为者做广告,使RaaS开发者难以保持当前在地下的顶级地位。2022年,预计会有更多自力更生的网络犯罪团伙崛起,并将RaaS生态环境中的权力平衡从控制勒索软件的人转向控制受害者网络的人。
在RaaS生态权力变迁中,傻瓜式运营者不必屈膝投降
傻瓜式勒索软件
勒索软件即服务的生态体系通过附属团伙(中间商与开发商合作共赢分享利润)不断发展,但这个不完美的联盟存在嫌隙。
从历史上看,勒索软件开发商掌握着话语权,他们甚至举行”面试”来根据技术专长选择附属机构。随着更多的勒索软件玩家进入市场,我们怀疑附属机构可能会要求在勒索软件运营中拥有更广泛的发言权。这些转变预示着可能回到勒索软件的发展初期:由于可以使用勒索软件开发者编码的专业知识,使技术水平较低的运营者需求不断增长。
5G和物联网日益普及,API成为越来越有利可图的目标
密切关注API
随着云应用的广泛普及,API背后通常隐藏着关键业务数据和能力,使它们成为威胁行为者眼中的肥肉。API的连通性也可能成为供应链攻击的入口载体。以下是一些关键风险:
1.API的错误配置
2.利用现代认证机制的漏洞
3.从传统的恶意软件攻击进化为使用更多的云API
4.通过潜在的误用API对企业数据发起攻击
5.为软件定义的基础设施使用API,也意味着潜在的误用
对于开发者来说,应当优先考虑为他们的API建立一个有效的威胁模型,并加上零信任访问控制机制,同时还要具备有效的安全日志和遥测技术,以便更好地应对事件和检测恶意误用。
对容器薄弱点的扩大利用将导致端点资源被控制
劫持者盯上了你的应用程序容器
容器的快速普及增加了组织的攻击面。云安全联盟(CSA)确定了多个容器风险组:
1.编排工具风险:对编排层的攻击会越来越多,如Kubernetes和相关的API,主要由错误配置导致。
2.镜像或仓库风险:由于缺乏脆弱性检查,恶意镜像或被植入后门的镜像逐渐增多。
3.容器风险:针对脆弱应用程序的攻击愈演愈烈。
在2022年,对上述脆弱性的扩大利用可能会导致端点资源被劫持,包括挖矿恶意软件、耗尽其他资源、窃取数据、攻击持久化以及从容器逃逸至宿主机。
从漏洞到有效利用的时间将以小时计算,而你对此无能为力…除了打补丁
无人关心0day漏洞
尽管2021年已经是被吹捧为有史以来0day漏洞被利用数量最多的年份之一,失陷主机数量显著增长,但组织的响应时间也不尽如人意。
随着攻击者和安全研究人员技艺精进,在漏洞披露后的几个小时内就会出现武器化的利用程序和POC。因此,我们必须再次重视资产和补丁管理:从识别面向公众的资产,到重新关注减少”补丁窗口期”的方法。随着更多的组织重新打牢基础,原本影响广泛的漏洞的利用范围将被缩小。
文章来源:https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/mcafee-enterprise-fireeye-2022-threat-predictions/