信息來(lái)源：安全內(nèi)參

此前，BlackBerry公司發(fā)布了《2022年度網(wǎng)絡(luò)安全威脅報(bào)告》（BlackBerry 2022 Threat Report）。該報(bào)告探索了從勒索軟件到供應(yīng)鏈攻擊、從基礎(chǔ)設(shè)施安全到汽車網(wǎng)絡(luò)安全、從端點(diǎn)安全到人工智能的網(wǎng)絡(luò)安全趨勢(shì)。同時(shí)，該報(bào)告介紹了網(wǎng)絡(luò)犯罪分子（包括高級(jí)持續(xù)威脅 (APT) 組織）使用的最新技術(shù)、策略和程序 (TTP)。企業(yè)可以通過(guò)這些信息來(lái)明智地分配安全資源并防止網(wǎng)絡(luò)攻擊。

摘譯 | 林心雨/賽博研究院實(shí)習(xí)研究員

來(lái)源 |BlackBerry

2021年最大的網(wǎng)絡(luò)攻擊

勒索軟件

REvil——REvil(又名Sodin或Sodinokibi)是襲擊全球最大肉類供應(yīng)商JBS的罪魁禍?zhǔn)?。這些襲擊威脅到全球糧食供應(yīng)鏈，并提醒人們關(guān)注世界各地的關(guān)鍵基礎(chǔ)設(shè)施狀況。在RaaS組織GandCrab關(guān)閉其運(yùn)營(yíng)后，這個(gè)惡意軟件充當(dāng)RaaS（勒索軟件即服務(wù)）的角色，變得非常猖獗。安全研究人員已經(jīng)發(fā)現(xiàn)了REvil和GandCrab之間的許多相似之處和代碼重用。

DarkSide——該勒索軟件變種于2020年年中首次出現(xiàn)。它同樣作為RaaS分布，用于進(jìn)行有針對(duì)性的攻擊。DarkSide的目標(biāo)是同時(shí)運(yùn)行Windows和Linux設(shè)備。它在2021年因攻擊美國(guó)的主要燃油管道運(yùn)營(yíng)商殖民管道公司（Colonial Pipeline）而聞名。DarkSide使用雙重勒索方案，聲稱已在加密鎖定系統(tǒng)之前竊取了數(shù)據(jù)，并威脅將竊取的數(shù)據(jù)泄漏到數(shù)據(jù)泄露站點(diǎn)上，除非受害者支付贖金。

Conti——該勒索軟件在2020年年中首次被發(fā)現(xiàn)。Conti是威脅行動(dòng)者通過(guò)地下論壇分發(fā)和出售惡意服務(wù)的常用方式。由于這種威脅是作為一種可銷售的服務(wù)提供的，因此它是可定制的。許多分析人士認(rèn)為，Conti是取代Ryuk的勒索軟件，并認(rèn)為它是世界上最令人不安的勒索軟件之一。

Avaddon——該軟件變種于2020年初首次出現(xiàn)。FBI和澳大利亞網(wǎng)絡(luò)安全中心都發(fā)布了關(guān)于這個(gè)惡意軟件正在進(jìn)行攻擊的警告。與DarkSide和REvil勒索軟件一樣，Avaddon 也使用雙重勒索，為了進(jìn)一步敦促受害者，攻擊者還對(duì)受害者進(jìn)行分布式拒絕服務(wù)(DDoS)攻擊，直到其支付贖金。

Ragnar Locker——該勒索軟件因攻擊臺(tái)灣一家生產(chǎn)高性能DRAM模塊和NAND閃存產(chǎn)品的企業(yè)而聞名。該家族的第一個(gè)變種出現(xiàn)在2019年底。與許多其他知名的勒索軟件變體一樣，目前的Ragnar Locker變體也使用雙重勒索技術(shù)來(lái)督促受害者支付贖金。

Hive——該勒索軟件首次出現(xiàn)于2021年6月，因攻擊商業(yè)房地產(chǎn)軟件公司Altus Group而登上頭條。這種威脅也采用雙重勒索，其開設(shè)了專門的數(shù)據(jù)泄露站點(diǎn)Hive Leaks。

信息竊取者

RedLine——一個(gè)信息竊取惡意軟件，通過(guò)以covid -19為主題的釣魚電子郵件傳播。整個(gè)2020年，它都是一個(gè)活躍的威脅。2021年，它通過(guò)惡意谷歌廣告和魚叉式網(wǎng)絡(luò)釣魚活動(dòng)傳播。RedLine十分常見，已經(jīng)出現(xiàn)了各種木馬服務(wù)、游戲和工具，許多RedLine的樣本還帶有看起來(lái)合法的數(shù)字證書。

Agent Tesla——該軟件于2014年首次亮相，它包含了一系列強(qiáng)大的信息竊取功能。Agent Tesla最初可以通過(guò)一個(gè)網(wǎng)站購(gòu)買，從那時(shí)起，便一直被網(wǎng)絡(luò)犯罪分子購(gòu)買使用于各種活動(dòng)中，常常通過(guò)垃圾郵件來(lái)傳播。

Ficker——一個(gè)信息竊取惡意軟件，在俄羅斯的地下論壇上出售和傳播。這種MaaS（惡意軟件即服務(wù)）于2020年首次被發(fā)現(xiàn)。此前，F(xiàn)icker已經(jīng)通過(guò)木馬化的網(wǎng)站鏈接和被入侵的網(wǎng)站傳播。它的信息竊取目標(biāo)活動(dòng)包括網(wǎng)絡(luò)瀏覽器、信用卡信息、加密錢包等。

Hancitor——又名Chanitor，于2013年首次被發(fā)現(xiàn)。它通過(guò)社會(huì)工程技術(shù)傳播，比如看起來(lái)來(lái)自合法的文件簽名服務(wù)DocuSign®。一旦受害者受騙后同意惡意代碼的執(zhí)行，Hancitor就會(huì)感染他們的系統(tǒng)。

2021年十大惡意軟件威脅的流行率

網(wǎng)聯(lián)汽車、網(wǎng)絡(luò)安全以及人工智能的關(guān)聯(lián)

汽車行業(yè)正在探索人工智能的建設(shè)性用途，包括其執(zhí)行關(guān)鍵網(wǎng)絡(luò)安全任務(wù)的能力。

要理解如何將預(yù)防為主的人工智能網(wǎng)絡(luò)安全整合到聯(lián)網(wǎng)駕駛中，最好的方法是將技術(shù)分解為預(yù)防網(wǎng)絡(luò)攻擊和人工智能兩個(gè)單獨(dú)的元素。每一個(gè)都可以獨(dú)立于另一個(gè)實(shí)現(xiàn)。同樣地，為了在連接驅(qū)動(dòng)中正確地部署它們，每個(gè)元素都必須發(fā)揮作用。

預(yù)防網(wǎng)絡(luò)安全攻擊

保護(hù)任何系統(tǒng)的第一步，是在設(shè)計(jì)和構(gòu)建系統(tǒng)時(shí)盡量減少安全漏洞的可能性。這一觀點(diǎn)反映在ISO和聯(lián)合國(guó)最近制定的一些指導(dǎo)方針中:

• ISO/SAE 21434于2021年8月發(fā)布，為車輛設(shè)計(jì)、制造、使用和退役期間的操作安全制定了標(biāo)準(zhǔn)。

• UN R155規(guī)定，不僅汽車平臺(tái)要考慮網(wǎng)絡(luò)安全，周邊基礎(chǔ)設(shè)施也要考慮網(wǎng)絡(luò)安全。

預(yù)防和檢測(cè)威脅并不是完全對(duì)立的，在系統(tǒng)設(shè)計(jì)和開發(fā)過(guò)程中無(wú)法發(fā)現(xiàn)的漏洞當(dāng)然存在。為了防止這些未識(shí)別的漏洞被利用，需要檢測(cè)針對(duì)系統(tǒng)的攻擊并阻止其繼續(xù)進(jìn)行。

在新環(huán)境下，入侵檢測(cè)通常先于入侵防御。它可以在還未產(chǎn)生不良后果的情況下監(jiān)測(cè)和改進(jìn)該系統(tǒng)，直到有信心對(duì)其運(yùn)作能夠采用以預(yù)防為基礎(chǔ)的方法。

人工智能的使用

人工智能的使用讓安全關(guān)鍵系統(tǒng)和其他車輛系統(tǒng)之間也出現(xiàn)了重要區(qū)別，不夠，人工智能在安全關(guān)鍵系統(tǒng)中的應(yīng)用也仍在爭(zhēng)論中。

安全保障依賴于了解系統(tǒng)將如何響應(yīng)其輸入。如果系統(tǒng)行為不被很好地理解，一個(gè)基于機(jī)器學(xué)習(xí)的人工智能系統(tǒng)就會(huì)引入智力債務(wù)。對(duì)抗性機(jī)器學(xué)習(xí)等攻擊則表明了設(shè)計(jì)師無(wú)法完全理解輸入將如何影響人工智能系統(tǒng)的行動(dòng)。而用于訓(xùn)練系統(tǒng)的數(shù)據(jù)也可能是攻擊的目標(biāo)，或者不能代表不斷變化的現(xiàn)實(shí)世界條件。因此，重要的是不要把新的人工智能系統(tǒng)視為絕對(duì)正確的，而是要理解它們失敗的原因。

使用人工智能來(lái)重構(gòu)系統(tǒng)的狀態(tài)、執(zhí)行事后分析并發(fā)現(xiàn)其失敗的原因，這將需要在許多領(lǐng)域投入大量資源。在減少與人工智能相關(guān)的智力債務(wù)方面，仍需要做許多工作。

網(wǎng)絡(luò)安全立法和法規(guī)

目前，網(wǎng)絡(luò)安全已成為七國(guó)集團(tuán)(G7)國(guó)家和北約(NATO)盟國(guó)公共政策議程的重中之重。管道、醫(yī)院、航空公司、供應(yīng)鏈和基本服務(wù)遭受的持續(xù)的網(wǎng)絡(luò)攻擊凸顯了保護(hù)關(guān)鍵基礎(chǔ)設(shè)施、企業(yè)和公民的迫切需要。2020-2021年間，美國(guó)、英國(guó)、法國(guó)、日本、意大利、澳大利亞和德國(guó)政府共同承諾投入數(shù)十億美元，并推出新措施以加強(qiáng)其網(wǎng)絡(luò)抵御能力。

在美國(guó)，拜登政府于2021年5月發(fā)布了一項(xiàng)行政命令，旨在加強(qiáng)整個(gè)聯(lián)邦政府的網(wǎng)絡(luò)安全舉措。拜登總統(tǒng)提名了一名國(guó)家網(wǎng)絡(luò)主任來(lái)監(jiān)督數(shù)字安全政策，并發(fā)布了保護(hù)和保護(hù)聯(lián)邦信息系統(tǒng)的新措施。他還加強(qiáng)了美國(guó)國(guó)土安全部(DHS)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)應(yīng)對(duì)重大網(wǎng)絡(luò)事件的權(quán)力。與此同時(shí)，國(guó)會(huì)已經(jīng)通過(guò)立法來(lái)支持相關(guān)舉措。

歐盟正在考慮廣泛的網(wǎng)絡(luò)安全立法，包括網(wǎng)絡(luò)、關(guān)鍵基礎(chǔ)設(shè)施和物聯(lián)網(wǎng)產(chǎn)品的新安全認(rèn)證。在加拿大，聯(lián)邦政府已承諾起草新的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略，通過(guò)新的立法將網(wǎng)絡(luò)罪犯繩之以法，并提高聯(lián)邦網(wǎng)絡(luò)能力。

結(jié)論

2021年全年，對(duì)關(guān)鍵基礎(chǔ)設(shè)施和大型組織的有組織攻擊成為頭條新聞，勒索軟件在其中扮演了重要的角色。威脅行為者通過(guò)利用惡意服務(wù)(RaaS、IaaS、MaaS等)和Initial Access Brokers（IAB），展示了他們模仿私營(yíng)部門的能力。隨著攻擊者繼續(xù)快速采用新技術(shù)并利用不斷變化的環(huán)境，威脅分析人員隨機(jī)應(yīng)變顯得越來(lái)越重要。這可能需要投資XDR類型的平臺(tái)或XDR管理服務(wù)，這些服務(wù)可以跨產(chǎn)品和設(shè)備收集威脅遙測(cè)數(shù)據(jù)，同時(shí)將有用的信息從中分離出來(lái)。

此外，小型企業(yè)將繼續(xù)成為網(wǎng)絡(luò)犯罪的“重災(zāi)區(qū)”，中小企業(yè)(SMB)的每個(gè)終端每天面臨著11次以上的網(wǎng)絡(luò)安全威脅，隨著網(wǎng)絡(luò)罪犯逐漸采用協(xié)作思維，這一狀況將日益惡化。影響到各種規(guī)模的組織的攻擊都是直接或間接通過(guò)他們的供應(yīng)鏈造成的。移動(dòng)設(shè)備越來(lái)越普及，但其中的應(yīng)用程序不一定完全安全。數(shù)字領(lǐng)域的每一個(gè)參與者——從跨國(guó)公司到智能手機(jī)用戶，都面臨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。