信息來源：安全內(nèi)參

此前，BlackBerry公司發(fā)布了《2022年度網(wǎng)絡(luò)安全威脅報告》（BlackBerry 2022 Threat Report）。該報告探索了從勒索軟件到供應鏈攻擊、從基礎(chǔ)設(shè)施安全到汽車網(wǎng)絡(luò)安全、從端點安全到人工智能的網(wǎng)絡(luò)安全趨勢。同時，該報告介紹了網(wǎng)絡(luò)犯罪分子（包括高級持續(xù)威脅 (APT) 組織）使用的最新技術(shù)、策略和程序 (TTP)。企業(yè)可以通過這些信息來明智地分配安全資源并防止網(wǎng)絡(luò)攻擊。

摘譯 | 林心雨/賽博研究院實習研究員

來源 |BlackBerry

2021年最大的網(wǎng)絡(luò)攻擊

勒索軟件

REvil——REvil(又名Sodin或Sodinokibi)是襲擊全球最大肉類供應商JBS的罪魁禍首。這些襲擊威脅到全球糧食供應鏈，并提醒人們關(guān)注世界各地的關(guān)鍵基礎(chǔ)設(shè)施狀況。在RaaS組織GandCrab關(guān)閉其運營后，這個惡意軟件充當RaaS（勒索軟件即服務）的角色，變得非常猖獗。安全研究人員已經(jīng)發(fā)現(xiàn)了REvil和GandCrab之間的許多相似之處和代碼重用。

DarkSide——該勒索軟件變種于2020年年中首次出現(xiàn)。它同樣作為RaaS分布，用于進行有針對性的攻擊。DarkSide的目標是同時運行Windows和Linux設(shè)備。它在2021年因攻擊美國的主要燃油管道運營商殖民管道公司（Colonial Pipeline）而聞名。DarkSide使用雙重勒索方案，聲稱已在加密鎖定系統(tǒng)之前竊取了數(shù)據(jù)，并威脅將竊取的數(shù)據(jù)泄漏到數(shù)據(jù)泄露站點上，除非受害者支付贖金。

Conti——該勒索軟件在2020年年中首次被發(fā)現(xiàn)。Conti是威脅行動者通過地下論壇分發(fā)和出售惡意服務的常用方式。由于這種威脅是作為一種可銷售的服務提供的，因此它是可定制的。許多分析人士認為，Conti是取代Ryuk的勒索軟件，并認為它是世界上最令人不安的勒索軟件之一。

Avaddon——該軟件變種于2020年初首次出現(xiàn)。FBI和澳大利亞網(wǎng)絡(luò)安全中心都發(fā)布了關(guān)于這個惡意軟件正在進行攻擊的警告。與DarkSide和REvil勒索軟件一樣，Avaddon 也使用雙重勒索，為了進一步敦促受害者，攻擊者還對受害者進行分布式拒絕服務(DDoS)攻擊，直到其支付贖金。

Ragnar Locker——該勒索軟件因攻擊臺灣一家生產(chǎn)高性能DRAM模塊和NAND閃存產(chǎn)品的企業(yè)而聞名。該家族的第一個變種出現(xiàn)在2019年底。與許多其他知名的勒索軟件變體一樣，目前的Ragnar Locker變體也使用雙重勒索技術(shù)來督促受害者支付贖金。

Hive——該勒索軟件首次出現(xiàn)于2021年6月，因攻擊商業(yè)房地產(chǎn)軟件公司Altus Group而登上頭條。這種威脅也采用雙重勒索，其開設(shè)了專門的數(shù)據(jù)泄露站點Hive Leaks。

信息竊取者

RedLine——一個信息竊取惡意軟件，通過以covid -19為主題的釣魚電子郵件傳播。整個2020年，它都是一個活躍的威脅。2021年，它通過惡意谷歌廣告和魚叉式網(wǎng)絡(luò)釣魚活動傳播。RedLine十分常見，已經(jīng)出現(xiàn)了各種木馬服務、游戲和工具，許多RedLine的樣本還帶有看起來合法的數(shù)字證書。

Agent Tesla——該軟件于2014年首次亮相，它包含了一系列強大的信息竊取功能。Agent Tesla最初可以通過一個網(wǎng)站購買，從那時起，便一直被網(wǎng)絡(luò)犯罪分子購買使用于各種活動中，常常通過垃圾郵件來傳播。

Ficker——一個信息竊取惡意軟件，在俄羅斯的地下論壇上出售和傳播。這種MaaS（惡意軟件即服務）于2020年首次被發(fā)現(xiàn)。此前，F(xiàn)icker已經(jīng)通過木馬化的網(wǎng)站鏈接和被入侵的網(wǎng)站傳播。它的信息竊取目標活動包括網(wǎng)絡(luò)瀏覽器、信用卡信息、加密錢包等。

Hancitor——又名Chanitor，于2013年首次被發(fā)現(xiàn)。它通過社會工程技術(shù)傳播，比如看起來來自合法的文件簽名服務DocuSign®。一旦受害者受騙后同意惡意代碼的執(zhí)行，Hancitor就會感染他們的系統(tǒng)。

2021年十大惡意軟件威脅的流行率

網(wǎng)聯(lián)汽車、網(wǎng)絡(luò)安全以及人工智能的關(guān)聯(lián)

汽車行業(yè)正在探索人工智能的建設(shè)性用途，包括其執(zhí)行關(guān)鍵網(wǎng)絡(luò)安全任務的能力。

要理解如何將預防為主的人工智能網(wǎng)絡(luò)安全整合到聯(lián)網(wǎng)駕駛中，最好的方法是將技術(shù)分解為預防網(wǎng)絡(luò)攻擊和人工智能兩個單獨的元素。每一個都可以獨立于另一個實現(xiàn)。同樣地，為了在連接驅(qū)動中正確地部署它們，每個元素都必須發(fā)揮作用。

預防網(wǎng)絡(luò)安全攻擊

保護任何系統(tǒng)的第一步，是在設(shè)計和構(gòu)建系統(tǒng)時盡量減少安全漏洞的可能性。這一觀點反映在ISO和聯(lián)合國最近制定的一些指導方針中:

• ISO/SAE 21434于2021年8月發(fā)布，為車輛設(shè)計、制造、使用和退役期間的操作安全制定了標準。

• UN R155規(guī)定，不僅汽車平臺要考慮網(wǎng)絡(luò)安全，周邊基礎(chǔ)設(shè)施也要考慮網(wǎng)絡(luò)安全。

預防和檢測威脅并不是完全對立的，在系統(tǒng)設(shè)計和開發(fā)過程中無法發(fā)現(xiàn)的漏洞當然存在。為了防止這些未識別的漏洞被利用，需要檢測針對系統(tǒng)的攻擊并阻止其繼續(xù)進行。

在新環(huán)境下，入侵檢測通常先于入侵防御。它可以在還未產(chǎn)生不良后果的情況下監(jiān)測和改進該系統(tǒng)，直到有信心對其運作能夠采用以預防為基礎(chǔ)的方法。

人工智能的使用

人工智能的使用讓安全關(guān)鍵系統(tǒng)和其他車輛系統(tǒng)之間也出現(xiàn)了重要區(qū)別，不夠，人工智能在安全關(guān)鍵系統(tǒng)中的應用也仍在爭論中。

安全保障依賴于了解系統(tǒng)將如何響應其輸入。如果系統(tǒng)行為不被很好地理解，一個基于機器學習的人工智能系統(tǒng)就會引入智力債務。對抗性機器學習等攻擊則表明了設(shè)計師無法完全理解輸入將如何影響人工智能系統(tǒng)的行動。而用于訓練系統(tǒng)的數(shù)據(jù)也可能是攻擊的目標，或者不能代表不斷變化的現(xiàn)實世界條件。因此，重要的是不要把新的人工智能系統(tǒng)視為絕對正確的，而是要理解它們失敗的原因。

使用人工智能來重構(gòu)系統(tǒng)的狀態(tài)、執(zhí)行事后分析并發(fā)現(xiàn)其失敗的原因，這將需要在許多領(lǐng)域投入大量資源。在減少與人工智能相關(guān)的智力債務方面，仍需要做許多工作。

網(wǎng)絡(luò)安全立法和法規(guī)

目前，網(wǎng)絡(luò)安全已成為七國集團(G7)國家和北約(NATO)盟國公共政策議程的重中之重。管道、醫(yī)院、航空公司、供應鏈和基本服務遭受的持續(xù)的網(wǎng)絡(luò)攻擊凸顯了保護關(guān)鍵基礎(chǔ)設(shè)施、企業(yè)和公民的迫切需要。2020-2021年間，美國、英國、法國、日本、意大利、澳大利亞和德國政府共同承諾投入數(shù)十億美元，并推出新措施以加強其網(wǎng)絡(luò)抵御能力。

在美國，拜登政府于2021年5月發(fā)布了一項行政命令，旨在加強整個聯(lián)邦政府的網(wǎng)絡(luò)安全舉措。拜登總統(tǒng)提名了一名國家網(wǎng)絡(luò)主任來監(jiān)督數(shù)字安全政策，并發(fā)布了保護和保護聯(lián)邦信息系統(tǒng)的新措施。他還加強了美國國土安全部(DHS)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)應對重大網(wǎng)絡(luò)事件的權(quán)力。與此同時，國會已經(jīng)通過立法來支持相關(guān)舉措。

歐盟正在考慮廣泛的網(wǎng)絡(luò)安全立法，包括網(wǎng)絡(luò)、關(guān)鍵基礎(chǔ)設(shè)施和物聯(lián)網(wǎng)產(chǎn)品的新安全認證。在加拿大，聯(lián)邦政府已承諾起草新的國家網(wǎng)絡(luò)安全戰(zhàn)略，通過新的立法將網(wǎng)絡(luò)罪犯繩之以法，并提高聯(lián)邦網(wǎng)絡(luò)能力。

結(jié)論

2021年全年，對關(guān)鍵基礎(chǔ)設(shè)施和大型組織的有組織攻擊成為頭條新聞，勒索軟件在其中扮演了重要的角色。威脅行為者通過利用惡意服務(RaaS、IaaS、MaaS等)和Initial Access Brokers（IAB），展示了他們模仿私營部門的能力。隨著攻擊者繼續(xù)快速采用新技術(shù)并利用不斷變化的環(huán)境，威脅分析人員隨機應變顯得越來越重要。這可能需要投資XDR類型的平臺或XDR管理服務，這些服務可以跨產(chǎn)品和設(shè)備收集威脅遙測數(shù)據(jù)，同時將有用的信息從中分離出來。

此外，小型企業(yè)將繼續(xù)成為網(wǎng)絡(luò)犯罪的“重災區(qū)”，中小企業(yè)(SMB)的每個終端每天面臨著11次以上的網(wǎng)絡(luò)安全威脅，隨著網(wǎng)絡(luò)罪犯逐漸采用協(xié)作思維，這一狀況將日益惡化。影響到各種規(guī)模的組織的攻擊都是直接或間接通過他們的供應鏈造成的。移動設(shè)備越來越普及，但其中的應用程序不一定完全安全。數(shù)字領(lǐng)域的每一個參與者——從跨國公司到智能手機用戶，都面臨著網(wǎng)絡(luò)安全風險。