文章來源 / Zscaler 官方網站
回顧2022年,從人口壓力、氣候變化、政治衝突和工業供應鏈挑戰,各國面臨的風險與日俱增。而駭客攻擊的頻率手法在近年來也急劇增加;展望2023年,將有更多極巨破壞性的大規模攻擊持續發生,即便企業不斷強化其資安體質,網路犯罪者仍會持續潛伏、偵查及演進,更新穎的攻擊手法也將愈發頻繁。
新崛起的「網路犯罪即服務(Cybercrime-as-a-Service, CaaS)」攻擊手法正在快速演變,針對邊緣裝置、非典型目標大舉進攻,其具備的威脅數量、種類與規模也將急遽成長。根據Zscaler資安威脅研究團隊ThreatLabZ所做的觀察,針對2023年,他們進一步提出了13項網路威脅預測:
1. 2023年 將更難攔截到資安攻擊行為
一方面,隨著勒索病毒即服務(RaaS)類型的產品的演進,使新手及網路犯罪分子能夠發起高度複雜的攻擊,包括 SSL 加密、不可檢測的 BitB (Browser in the Browser)攻擊、語法完美的網路釣魚模板,或是可客製化的勒索軟體、深度的目標配置檔案等,都讓資安攻擊的門檻更為「容易上手」,不可不慎。
隨著妥協和最終攻擊之間的停留時間縮短,威脅變得更加頻繁且難以察覺。
2. 越來越多地使用 CaaS 產品
最新崛起的「網路犯罪即服務(Cybercrime-as-a-Service, CaaS)」攻擊手法正在快速演變,針對邊緣裝置或虛擬世界等非典型目標,其大舉進攻的威脅數量、種類與規模也將急遽成長。
勒索病毒即服務(RaaS)產品於 2016 年出現,旨在為網路犯罪分子提供類似業務的營運支持。
RaaS 開始變得極為流行,它推動了大部分現代勒索軟體攻擊,去年排名前 11 位的勒索軟體家族中,其中就有 8 個採用 RaaS 生態系。
3. 轉向更容易的目標
隨著威脅行為者也普遍尋求降低沉沒成本和追求利潤空間,使整個領域中的威脅模型不斷更新,也促使他們轉換目標。
勒索軟體模型不斷更新,以避免被發現並提高效率。
更多的攻擊者,現在也正在使用已洩露或在暗網上出售的RaaS 產品和公司資料。
勒索軟體威脅行為者希望保持較低的沉沒成本,因此小型企業更容易成為攻擊目標。
4. 供應鏈攻擊會增加
供應鏈攻擊,指的是對手破壞合作夥伴和供應商生態系統以達到其最終目標。破壞目標較弱的供應商更為容易,並導致上游攻擊成功,這就是為什麼攻擊者採用這種策略在未來也會逐步增加。
每個組織都有一個供應鏈網路,供應商可以訪問關鍵工具和資訊。
發現供應鏈中的分支機構對於攻擊者來說相對容易,並且可能在相鄰的妥協或攻擊期間偶然發生。
供應鏈中的弱點很難被發現,並且會大幅提升原本看似安全的組織遭受網路攻擊的風險。
5. 藉由網路釣魚攻擊,可以傳播更多惡意軟體
使用網路釣魚工具的威脅行為者也希望從投資中獲得回報,並且通常會投入大量時間和精力來選擇理想的目標,獲得有關其支付能力的情報、可用於惡意軟體攻擊的其他資訊,這專精於勒索攻擊的團隊尤為「有利可圖」。
藉由「網路犯罪即服務(CaaS)」產品,無論是擁有什麼技能水平,威脅行為者都可以輕鬆採取下一步行動並發起成功的攻擊,包括網路釣魚、竊取程式、部署惡意軟體,甚至是勒索軟體。
雲端服務讓惡意軟體的傳播變得更容易,因為用戶傾向於給予像Google這類型的雲端平台更多絕對的信任。
6. 停留時間將繼續減少
停留時間(Dwell Time)指的是攻擊者在目標網路內潛伏的時間。 通常,攻擊者會在目標網路內停留較長的時間,以便能夠更好地探索網路、收集資訊或是進行其他的攻擊行動。對於大多數組織而言,這也是攻擊在造成損害之前可以被防御者檢測到並阻止的時間長度。
根據著名美國網路安全顧問 Mandiant 的 2021 M-Trends 報告,勒索軟體事件的平均停留時間為五天。
速度是確保攻擊發生並增加獲得回報機率的關鍵。勒索軟體駐留時間正在逐步減少,更短的駐留時間會防禦者更難阻止攻擊。
7. 攻擊者將持續更名與重組品牌
惡意軟體、勒索軟體集團和其他網路犯罪組織經常自我重組,並且可能會因為新成員的加入而選擇更名,以避免刑事指控並確保他們能夠獲得網路保險賠付。
聯邦政府機構在追蹤勒索軟體支付和識別威脅行為者方面做得越來越好。
攻擊者可能會選擇重新關聯或重新標記以避免刑事定罪,並阻止政府和執法機構的追踪或識別工作。
資安攻擊者正在了解網路保險所能涵蓋的範圍,包括有關免賠額、保費、支付範圍和其他詳細資訊,以客製化勒索要求。
越來越多的網路安全保險保單聲明,他們不會為受害者多次支付同一類型的網路攻擊,因此一些攻擊集團可能會選擇「重塑品牌」,以確保他們可以獲得初始支付或未來由網路保險受害者支付的費用。
8. 資安漏洞將繼續造成損害
過去一年中,有一些重大漏洞的出現(例如Log4j、PrintNightmare、ProxyShell/ProxyLogon),將成為許多組織未來幾年內持續抗爭的目標。
攻擊者將繼續搜索和利用未修正補丁、過時的軟體和伺服器,來繞過安全控制。
新的漏洞和攻擊將繼續成為防禦者關注的問題。
威脅參與者等待新的 0-day 發起大規模攻擊,而組織則試圖追趕並修補其易受攻擊的系統。
9. 毀滅性攻擊手法「Wiper」更加被運用於政治衝突
惡意資料抹除程式(Wipers)是破壞關鍵服務的有效方式,通常會在政府網站、系統、基礎架構和其他關鍵資源上啟動,能有效對目標國家或組織造成嚴重的營運損害。
如此一來,就能讓民族國家威脅行為者將矛頭指向經濟動機與政治動機,讓他們保有可否認性。
Zscaler觀察到,這些經過偽裝的惡意資料抹除程式,即使在最輕微的審查下也變得非常明顯,這可能是故意被當作一種恐懼傳播策略,讓受害者更容易知道他們自己就是目標。
10. 端點保護還不夠
威脅行為者將增加使用策略,來繞過防病毒和其他端點安全控制。
攻擊將越來越集中於核心業務服務技術,例如 VMware ESX。
組織將更需要加強縱深防禦,而不是僅僅依靠端點安全來預防和檢測入侵。
為了繞過防火牆和其他遺留安全技術,勒索軟體攻擊者在將數據轉移出目標環境之前對數據進行了加密。
11. 資料敲詐將激增
2019年以來,多方敲詐勒索手法層出不窮,越來越多的團體開始採用這種行之有效的手法。因此,敏感資料盜竊事件不斷增加,並且出現了更多的資料洩露的網站。
為了防止敏感資料被洩露,如果受害者願意支付費用,勒索威脅者就不需要加密。勒索軟體攻擊者著手進行中的無加密數據勒索攻擊,已經在威脅態勢中被觀察到。
沒有加密的資料勒索攻擊沒有恢復時間,如果受害者在數據洩露之前支付贖金,這被視為對支付贖金且無需經歷完整恢復過程的攻擊者和受害者的優惠。
這種趨勢減少了攻擊序列中檢測和阻止這些威脅的步驟數。
12. 遭到洩露的原始碼將導致分叉的出現
惡意軟體和其他威脅的更新版本和分叉版本使者更難被檢測到,因為有太多使用自定義技術部署相同攻擊的變體,且變體將繼續以不同的速度發展。
惡意軟體原始碼可能會被敵對組織、研究人員、防御者或任何感興趣的人洩露,當原始碼洩露時,防御者更容易建立檢測規則並採取其他安全措施來阻止這些威脅的部署。
惡意軟體開發人員還將在 2023 年增加更多混淆,以通過合併控制流扁平化、多態字符串混淆、使用基於虛擬機的加殼城市等先進技術,來阻礙逆向工程和繞過靜態簽名檢測。
13. 勒索軟體服務將會導致分叉
贖金支付服務對於威脅行為者獲得報酬至關重要,因他們也會持續進步和改進服務。
對於非常擅長資料備份和恢復的企業組織,多重勒索攻擊也成為突破的方法。
勒索軟體恢復工具和使用解密密鑰,可能比從強大的數據備份解決方案中恢復還需要更長的時間,因此,即使遭勒索的企業從攻擊者那裡獲得了解密密鑰和工具,大部分可能仍會選擇從備份中恢復。
隨著威脅行為者找到更好的收款方式,贖金解密服務變得不那麼重要,因此,他們可能會投入更少的開發資源,並使受害者更難通過解密恢復。
隨著聯邦調查局和其他政府打擊、追踪和追回更多贖金,原本使用比特幣的偏好有可能會轉向其他加密貨幣。
重新考慮您組織的資安策略?
令人擔憂的是,一些組織開始接受危險的觀念—受到勒索病毒威脅已是新常態。這樣的「接受」通常會導致資安方法存在缺陷,並且缺乏投資來防止攻擊,例如接受支付贖金的風險,因為第一次支付贖金可能更便宜。
在另一個案例中,一些公司使用某些系統(如備份虛擬機)作為誘捕系統(Honey Pot)來吸引攻擊者,然後當他們看到這些系統上的威脅活動時,他們只需點擊刪除,然後恢復。
這兩個例子都是針對長期問題的短期解方,需要一個完整而全面的零信任資安策略,以及適應未來威脅所需的所有人員、流程和基礎架構。為了幫助組織克服 2023 年以及未來迫在眉睫的資安挑戰,Zscaler 零信任交換提供了無縫的零信任架構,可通過以下方式幫助阻止攻擊:
防止妥協:大規模全面 SSL 檢查、瀏覽器隔離和策略驅動的訪問控制,以防止訪問可疑網站。
消除橫向移動:將用戶直接連接到應用程式,而不是網路本身,以限制潛在事件的爆炸範圍。
關閉受感染的用戶和內部威脅:如果攻擊者獲得對您組織的身份系統的訪問權限,我們可以通過線上檢查,進而防止被私人應用程式利用,並通過整合性的詐欺檢測,檢測出最老練的資安攻擊者。
阻止資料丟失:檢查動態資料和靜態資料,以防止主動攻擊者可能竊取資料。
Comments