2023年勒索軟件、供應(yīng)鏈攻擊、地緣政治沖突與黑客活動主義、國家黑客間諜與APT組織活動成為網(wǎng)絡(luò)安全的熱點話題,生成式人工智能技術(shù)的武器化更是給動蕩的全球網(wǎng)絡(luò)安全威脅態(tài)勢增加了不確定性、不對稱性和復(fù)雜性。
即將到來的2024年,隨著網(wǎng)絡(luò)犯罪的規(guī)模化和新興網(wǎng)絡(luò)威脅的快速增長,防御者將面臨前所未有的艱巨挑戰(zhàn)。根據(jù)Cybersecurity Ventures的預(yù)測,到2024年底,網(wǎng)絡(luò)攻擊給全球經(jīng)濟造成的損失預(yù)計將高達10.5萬億美元。這意味著,2024年全球網(wǎng)絡(luò)犯罪造成的損失有望首次突破10萬億美元大關(guān),網(wǎng)絡(luò)犯罪已經(jīng)成為“GDP”增速驚人的全球第三大“經(jīng)濟體”。
面對復(fù)雜動態(tài)且不斷惡化種的威脅態(tài)勢,如何進行威脅預(yù)測和優(yōu)先級排序成為企業(yè)風(fēng)險管理的頭號難題,以下,GoUpSec為讀者梳理分析2024年的十大新興安全威脅和風(fēng)險趨勢:
一.云集中風(fēng)險
2023年11月阿里云發(fā)生全球性停機事故,此次故障的嚴重程度、影響規(guī)模和范圍在公有云歷史上都極為罕見,嚴重打擊了各行業(yè)用戶對公有云可靠性和安全性的信心,進一步凸顯了Gartner三季度風(fēng)險報告中強調(diào)的“云集中”風(fēng)險。
導(dǎo)致“云集中風(fēng)險”的原因有很多,許多企業(yè)為了降低IT復(fù)雜性、成本和技能要求,選擇將IT服務(wù)集中在少數(shù)幾個戰(zhàn)略云供應(yīng)商手中;而加劇這一風(fēng)險的是,少數(shù)幾個云計算巨頭憑借其技術(shù)能力優(yōu)勢、業(yè)務(wù)覆蓋范圍和合作伙伴生態(tài)系統(tǒng),在全球和區(qū)域市場占據(jù)主導(dǎo)地位。
在全球科技巨頭和云服務(wù)商爭先恐后“大煉數(shù)據(jù)”的生成式人工智能時代,企業(yè)和個人對存放于云端數(shù)據(jù)的安全焦慮與日俱增,密碼學(xué)專家布魯斯施奈爾認為,單純增加云服務(wù)商數(shù)量并不能從根本上降低“云風(fēng)險”,一個可行的策略是將身份、數(shù)據(jù)和行為解耦合。
“企業(yè)不應(yīng)再對云服務(wù)商的數(shù)據(jù)安全能力和意愿抱有幻想,企業(yè)唯一的出路是將數(shù)據(jù)安全重新掌握在自己手中。”施奈爾說道。
二.針對中小企業(yè)的“無惡意軟件攻擊”暴增
根據(jù)Huntress發(fā)布的中小企業(yè)威脅報告,2023年針對中小企業(yè)的“無惡意軟件攻擊”呈上升趨勢,2023年針對中小企業(yè)的網(wǎng)絡(luò)攻擊中,只有44%部署了惡意軟件,其余56%的安全事件屬于“無惡意軟件攻擊“——攻擊技術(shù)和工具包括使用“離地生存”二進制文件(LOLBins)、腳本框架(如PowerShell)和遠程監(jiān)控和管理(RMM)軟件。
在65%的“無惡意軟件攻擊”事件中,攻擊者在初次訪問受害者環(huán)境后使用RMM軟件作為持久性或遠程訪問機制的方法。
三.二維碼網(wǎng)絡(luò)釣魚攻擊肆虐全球
2023年,基于二維碼的網(wǎng)絡(luò)釣魚活動開始流行。2024年,以二維碼為中心的網(wǎng)絡(luò)釣魚活動預(yù)計會加速增長,主要原因是人們對二維碼的固有信任仍未打破,人們習(xí)慣毫無戒備,不假思索地掃描二維碼。網(wǎng)絡(luò)犯罪分子利用用戶對二維碼的這種信任在二維碼中嵌入惡意鏈接(指向惡意網(wǎng)站或者惡意軟件下載地址)。
為了進一步提高攻擊成功率,攻擊者還會利用企業(yè)內(nèi)部被盜郵件賬戶來發(fā)送釣魚郵件。
網(wǎng)絡(luò)犯罪分子熱衷使用惡意二維碼的另外一個原因是傳統(tǒng)電子郵件安全產(chǎn)品往往無法檢測到二維碼網(wǎng)絡(luò)釣魚攻擊,因為二維碼釣魚郵件郵件往往不包含任何文本,只有一個圖片文件附件,能夠繞過基于文本分析的電子郵件安全方案。
四.“小語種”惡意軟件激增
近年來,使用Golang、Nim和Rust等“小語種”編程語言開發(fā)的惡意軟件越來越多,2024年“小語種”惡意軟件將激增。
Go的簡單性和并發(fā)能力使其成為快速制作輕量級惡意軟件的首選。Nim對性能和表現(xiàn)力的關(guān)注使其對于開發(fā)復(fù)雜的惡意軟件非常有用。同時,Rust的內(nèi)存管理功能對于勒索軟件組織和其他注重惡意軟件樣本加密效率的攻擊者來說很有吸引力。
Nim和Rust語言相對較新,與C或Python等流行語言相比,安全業(yè)界缺乏針對這類語言的全面分析工具,給分析和對抗用“小語種”惡意軟件的網(wǎng)絡(luò)安全專家?guī)砹酥卮筇魬?zhàn),這進一步增加了“小語種”惡意軟件的風(fēng)險。
五.工業(yè)物聯(lián)網(wǎng)邊緣設(shè)備成為APT重點目標
隨著IT與OT進一步融合,企業(yè)物聯(lián)網(wǎng)資產(chǎn)與漏洞管理、威脅檢測與事件響應(yīng)難度不斷加大。勒索軟件、供應(yīng)鏈攻擊、地緣政治沖突、國家黑客與APT組織對工業(yè)物聯(lián)網(wǎng)和關(guān)鍵基礎(chǔ)設(shè)施的威脅不斷增長。
2024年,網(wǎng)絡(luò)安全威脅焦點將向邊緣轉(zhuǎn)移,經(jīng)常被忽視的邊緣設(shè)備(包括防火墻、路由器、VPN、交換機、多路復(fù)用器和網(wǎng)關(guān)等)正在成為勒索軟件和APT組織的熱門目標。(物聯(lián)網(wǎng))邊緣設(shè)備面臨獨特的網(wǎng)絡(luò)安全挑戰(zhàn),因為黑客將更多地利用零日漏洞來實現(xiàn)長期駐留和訪問,而且這些邊緣設(shè)備與傳統(tǒng)網(wǎng)絡(luò)組件不同,難以通過部署IDS/IPS進行入侵檢測。
六.影子AI
根據(jù)Gartner的報告,2022年82%的數(shù)據(jù)泄露是“員工不安全或疏忽行為造成的”,三分之一的成功網(wǎng)絡(luò)攻擊來自影子IT,給企業(yè)造成數(shù)百萬美元的損失。而影子AI正在加速放大這種“人為因素”產(chǎn)生的威脅。
根據(jù)The Conference Board的一項調(diào)查,56%的北美企業(yè)員工在工作中使用生成式AI,但只有26%的企業(yè)制定了明確的生成式AI使用政策。在沒有制訂AI政策的企業(yè)中,使用影子AI的員工中只有40%向主管如實匯報。
很多公司都在嘗試限制或規(guī)范員工在工作中使用生成式AI的行為。但是,在提高生產(chǎn)力的“第一性”需求刺激下,多達30%的員工在沒有IT部門的許可,不計后果地使用生成式AI,也就是所謂的影子AI。
七.惡意大語言模型成為主流黑客工具
大型語言模型是一柄雙刃劍,激發(fā)生產(chǎn)力的同時也容易被網(wǎng)絡(luò)犯罪分子濫用進行大規(guī)模攻擊。
GPT-4、Claude和PaLM2等領(lǐng)先的大語言模型在生成連貫文本、回答復(fù)雜查詢、解決問題、編碼和許多其他自然語言任務(wù)方面取得了突破性的進展,同時也為黑客提供了一種經(jīng)濟高效的工具,無需大量專業(yè)知識、時間和資源就可發(fā)動大規(guī)模針對性攻擊。
2023年,F(xiàn)raudGPT和WormGPT等武器化的惡意大語言模型工具已經(jīng)在網(wǎng)絡(luò)犯罪網(wǎng)絡(luò)中占據(jù)主導(dǎo)地位,用于自動化創(chuàng)建網(wǎng)絡(luò)釣魚電子郵件、假冒網(wǎng)頁以及能夠逃避檢測的惡意軟件,使得大規(guī)模網(wǎng)絡(luò)釣魚活動變得更便宜且更容易實施。根據(jù)CrowdStrike的報道,惡意大語言模型已經(jīng)成為暗網(wǎng)最暢銷的黑客工具,吸引了數(shù)以千計的不法分子。
惡意大語言模型應(yīng)用極大地降低了網(wǎng)絡(luò)犯罪的門檻并極大提高攻擊效率和成功率,預(yù)計2024年惡意大語言模型工具的開發(fā)和濫用將加速。
八.“腳本小子”復(fù)活
免費和開源軟件導(dǎo)致了“腳本小子”的崛起,這些人幾乎沒有任何專業(yè)技術(shù)知識,使用自動化工具或腳本來發(fā)起攻擊。隨著企業(yè)網(wǎng)絡(luò)安全工具和措施的不斷健全,腳本小子逐漸淡出視野。但是,過去一年隨著勒索軟件即服務(wù)(RaaS)和人工智能技術(shù)的爆炸式增長,以及惡意大語言模型工具的泛濫,低技能攻擊者比以往任何時候都更容易發(fā)起大規(guī)模的復(fù)雜攻擊。腳本小子將再次復(fù)活,并對企業(yè)構(gòu)成重大安全威脅。
九.驅(qū)動程序攻擊將構(gòu)成重大威脅
最近的許多安全事件表明,易受攻擊的驅(qū)動程序構(gòu)成了重大威脅。簽名的易受攻擊驅(qū)動程序在黑客論壇“炙手可熱”,因為它們可用于隱秘駐留并能在攻擊的早期階段禁用安全解決方案。在此類攻擊中,攻擊者會刪除使用有效證書簽名并能夠在受害者設(shè)備上以內(nèi)核權(quán)限運行的合法驅(qū)動程序。成功利用該漏洞使攻擊者能夠?qū)崿F(xiàn)內(nèi)核級權(quán)限升級,從而授予他們對目標系統(tǒng)資源的最高級別訪問和控制權(quán)。
ZeroMemoryEx Blackout項目、Spyboy的Terminator工具和AuKill工具都成功利用易受攻擊的驅(qū)動程序繞過安全控制并成功實施了震驚業(yè)界的攻擊。雖然業(yè)界發(fā)布了一些緩解措施,例如微軟的Vulnerable Driver Blocklist和LOL Drivers項目。然而,這并沒有改變這樣一個事實:驅(qū)動程序攻擊執(zhí)行起來既簡單成功率又高,并且易受攻擊的驅(qū)動程序更容易訪問。預(yù)計2024年基于驅(qū)動程序的漏洞利用將產(chǎn)生廣泛影響。
十.基于合法工具的攻擊
隨著企業(yè)網(wǎng)絡(luò)安全工具和措施的不斷升級,越來越多的攻擊者開始利用合法工具來繞過安全工具檢測實施破壞,包括禁用安全措施、橫向移動和傳輸文件等,因為基于合法商業(yè)工具的攻擊更容易逃避檢測。
利用合法工具的攻擊可以偽裝成日常操作,從而繞過檢測橫向移動或者長期駐留,因為端點安全產(chǎn)品通常可以檢測到自定義攻擊工具或惡意軟件,但往往會為合法商用工具放行。
例如GMER,PC Hunter,Process Hacker和Defender Control等第三方和內(nèi)置的Windows工具都不是惡意軟件,但卻常被攻擊者用來禁用或卸載安全產(chǎn)品。上述工具的濫用已經(jīng)多次出現(xiàn)在真實的網(wǎng)絡(luò)攻擊中,尤其是勒索軟件攻擊。
攻擊者還熱衷使用遠程監(jiān)控和管理(RMM)軟件來訪問或長期駐留系統(tǒng)。經(jīng)常被利用的RMM軟件包括ConnectWise Control(以前稱為ScreenConnect),AnyDesk,Atera和Syncro等。
還有一些用于審核、AD枚舉和密碼恢復(fù)的合法工具,攻擊者可以方便地使用這些工具來實施偵測或憑據(jù)轉(zhuǎn)儲。
被濫用的不僅僅是第三方工具。攻擊者還嘗試使用操作系統(tǒng)自身的合法二進制文件執(zhí)行惡意活動,或利用內(nèi)置Windows進程(如taskkill或net stop命令)殺死或停止進程,以停止與備份相關(guān)的進程。
