Fortinet 發(fā)布《2022下半年度全球威脅態(tài)勢(shì)研究報(bào)告》，七大發(fā)現(xiàn)值得關(guān)注！

　　Fortinet®，近日發(fā)布《2022 下半年度全球威脅態(tài)勢(shì)研究報(bào)告》。報(bào)告指出，相對(duì)于組織攻擊面的不斷擴(kuò)大以及全球威脅態(tài)勢(shì)的持續(xù)演進(jìn)，網(wǎng)絡(luò)犯罪分子設(shè)計(jì)、優(yōu)化技術(shù)與戰(zhàn)術(shù)的能力也隨之與日俱增，全球各行業(yè)及各類規(guī)模企業(yè)將持續(xù)面臨重大風(fēng)險(xiǎn)。

　　2022 下半年度全球威脅態(tài)勢(shì)研究報(bào)告七大發(fā)現(xiàn)

　　2022 年破壞性雨刷惡意軟件等類似APT攻擊數(shù)量激增

　　雨刷惡意軟件分析數(shù)據(jù)揭示，網(wǎng)絡(luò)攻擊者已慣于利用破壞性攻擊技術(shù)，持續(xù)攻擊潛在特定目標(biāo)。此外，由于互聯(lián)網(wǎng)邊界的不斷擴(kuò)展，網(wǎng)絡(luò)攻擊者可肆意利用網(wǎng)絡(luò)犯罪即服務(wù)(CaaS)模式輕松擴(kuò)展此類攻擊。

　　2022 上半年，F(xiàn)ortiGuard Labs(Fortinet全球威脅研究與響應(yīng)實(shí)驗(yàn)室)已在局部地區(qū)發(fā)現(xiàn)數(shù)個(gè)全新雨刷惡意軟件變體。截至年底，雨刷惡意軟件已開始在多個(gè)國(guó)家肆意橫行，僅三、四季度，雨刷惡意軟件活動(dòng)量激增達(dá) 53%。值得關(guān)注的是，惡意軟件正迅速淪為網(wǎng)絡(luò)犯罪集團(tuán)的有力破壞工具，并逐漸蔓延至全球各個(gè)地區(qū)。據(jù)攻擊活動(dòng)跟蹤數(shù)據(jù)顯示，破壞性雨刷惡意軟件在第四季度依然活躍，也未有放緩跡象。這一趨勢(shì)表明任何組織都可能淪為不法分子的潛在攻擊目標(biāo)，而非僅限于局部地區(qū)及周邊國(guó)家企業(yè)組織。

　　CVE映射表明，漏洞紅區(qū)助力CISO精準(zhǔn)判定威脅優(yōu)先級(jí)

　　分析漏洞利用趨勢(shì)，有助于深入剖析網(wǎng)絡(luò)犯罪分子感興趣的攻擊目標(biāo)、未來使用的攻擊手段以及正積極瞄準(zhǔn)的攻擊目標(biāo)。FortiGuard Labs 掌握大量已知漏洞信息，經(jīng)數(shù)據(jù)富集分析，即可快速實(shí)時(shí)識(shí)別已被主動(dòng)利用的安全漏洞，并跨整個(gè)攻擊面繪制攻擊活躍區(qū)域風(fēng)險(xiǎn)圖。

　　2022 下半年，在規(guī)�；�企業(yè)中已檢測(cè)的漏洞總數(shù)中，位于端點(diǎn)并頻繁受到威脅攻擊的漏洞數(shù)不足 1%。然而，這種攻擊活躍度反而有助于首席信息安全官，通過活躍攻擊面威脅情報(bào)信息精準(zhǔn)定位“紅區(qū)”所在，從而精準(zhǔn)判定優(yōu)先緩解威脅及重點(diǎn)修復(fù)對(duì)象。

　　謀取非法暴利的網(wǎng)絡(luò)犯罪和勒索軟件威脅活動(dòng)仍高居不下

　　據(jù) FortiGuard Labs 事件響應(yīng)(IR)調(diào)查發(fā)現(xiàn)，謀取非法經(jīng)濟(jì)利益的網(wǎng)絡(luò)犯罪威脅事件數(shù)量占比最高(73.9%)，其次是間諜活動(dòng)(13%)。2022 年全年，82% 的非法牟利網(wǎng)絡(luò)犯罪均涉及勒索軟件或惡意腳本。這一現(xiàn)象表明，隨著勒索軟件即服務(wù)(RaaS)模式在暗網(wǎng)被日益追捧，全球勒索軟件威脅攻擊仍處于活躍狀態(tài)，未出現(xiàn)放緩跡象。

　　分析顯示，相比 2022 上半年，勒索軟件數(shù)量增加16%。在所有已知 99 個(gè)勒索軟件家族中，前五大家族的攻擊活動(dòng)約占 2022 下半年所有勒索軟件活動(dòng)的 37%。其中位居榜首的是2018年問世的RaaS惡意軟件GandCrab。盡管操控GandCrab的犯罪團(tuán)伙宣稱，其在豪賺超20億美元的巨額非法利益后即金盆洗手，但GandCrab在活躍期間衍生出多種變體。因此，該犯罪集團(tuán)利益版圖的擴(kuò)張可能從未停止并活躍至今，或其原有代碼被簡(jiǎn)單更改并重新發(fā)布。由此可見，攜手各行各業(yè)組織建立全球聯(lián)盟伙伴關(guān)系，對(duì)于永久打擊網(wǎng)絡(luò)犯罪活動(dòng)而言極為重要。全球公私組織和行業(yè)的網(wǎng)絡(luò)安全利益相關(guān)者之間，亟需構(gòu)建強(qiáng)大穩(wěn)固、互相信賴的協(xié)作關(guān)系，共同努力有效挫敗和破壞網(wǎng)絡(luò)犯罪供應(yīng)鏈。

　　代碼復(fù)用成網(wǎng)絡(luò)攻擊者的“錦囊妙計(jì)”

　　網(wǎng)絡(luò)威脅參與者通常精于創(chuàng)新并善于充分利用現(xiàn)有資產(chǎn)和知識(shí)技能，使攻擊活動(dòng)更有效、更有利可圖。作為一種高效掘金手段，網(wǎng)絡(luò)犯罪分子借助代碼復(fù)用屢屢偷襲成功的同時(shí)，不斷進(jìn)行迭代更新，以微調(diào)攻擊戰(zhàn)術(shù)并成功繞過不斷升級(jí)的防御機(jī)制。

　　FortiGuard  Labs 2022 下半年最流行惡意軟件分析顯示，一年多前廣為流行的惡意軟件依然位居前列。FortiGuard Labs進(jìn)一步檢測(cè)了一組不同的Emotet變體，以分析其代碼借用和復(fù)用情況。研究表明，Emotet迭代數(shù)量驚人，大致衍生出六種不同的惡意軟件“變體”。不法分子不僅善于利用自動(dòng)化威脅技術(shù)，還積極更新代碼，使攻擊技術(shù)更高效且更具破壞性。

　　傳統(tǒng)僵尸網(wǎng)絡(luò)復(fù)活增加攻擊供應(yīng)鏈彈性

　　除代碼復(fù)用外，攻擊者還善于利用現(xiàn)有基礎(chǔ)設(shè)施和傳統(tǒng)威脅技術(shù)，最大程度挖掘攻擊機(jī)會(huì)。按流行程度對(duì)僵尸網(wǎng)絡(luò)威脅進(jìn)行深入剖析時(shí)，F(xiàn)ortiGuard Labs 發(fā)現(xiàn)，許多穩(wěn)居榜首的僵尸網(wǎng)絡(luò)并不鮮見。例如，2011 年首次檢測(cè)到的 Morto 僵尸網(wǎng)絡(luò)，其數(shù)量在 2022 年底出現(xiàn)激增。諸如Mirai和Gh0st.Rat等其他惡意軟件，則持續(xù)在全球范圍內(nèi)大肆流行。值得關(guān)注的是，目前檢測(cè)到的前五大僵尸網(wǎng)絡(luò)中，近十年問世的僅有RotaJakiro，其他皆為“長(zhǎng)老級(jí)”成員。

　　既往威脅看似沉寂，但不排除再次爆發(fā)的可能，任何行業(yè)的企業(yè)組織仍需保持高度警惕。這些“長(zhǎng)老級(jí)”僵尸網(wǎng)絡(luò)依然能夠攪動(dòng)風(fēng)云的原因在于，犯罪分子至今還可以此為手段獲取高額收益。誘于高額投資回報(bào)，狡詐多謀的不法分子將持續(xù)利用現(xiàn)有僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施，借助高度專業(yè)化技術(shù)，將其升級(jí)為具備持久攻擊能力的流行工具。例如，2022 下半年，Mirai 的主要攻擊目標(biāo)包括托管安全服務(wù)提供商(MSSP)、電信/運(yùn)營(yíng)商以及高度依賴運(yùn)營(yíng)技術(shù)(OT)的制造業(yè)。由此可見，網(wǎng)絡(luò)犯罪分子正齊心協(xié)力，以行之有效的方法瞄準(zhǔn)這些“待宰羔羊”。

　　Log4j 漏洞肆虐，已成眾矢之的

　　2021 至 2022 年初，Log4j漏洞一度甚囂塵上，頻頻受到業(yè)內(nèi)關(guān)注，但仍有大量企業(yè)組織尚未修復(fù)該漏洞或仍未部署適當(dāng)安全控制措施，以保護(hù)自身免受該知名漏洞侵害。

　　2022 下半年，Log4j 在所有地區(qū)仍異常活躍，位居第二。FortiGuard Labs研究發(fā)現(xiàn)，41% 的組織已檢測(cè)到Log4j漏洞利用活動(dòng)，足以判斷該威脅的流行程度。鑒于Apache Log4j作為開源軟件廣受歡迎，Log4j IPS攻擊活動(dòng)在技術(shù)領(lǐng)域、政府部門和教育機(jī)構(gòu)最為頻發(fā)不足為奇。

　　惡意軟件傳送方式改變，用戶安全意識(shí)亟待提高

　　對(duì)攻擊策略進(jìn)行全面剖析，便于深入了解攻擊技術(shù)和戰(zhàn)術(shù)的演進(jìn)歷程，更好地防范未來攻擊場(chǎng)景。FortiGuard Labs 基于沙箱數(shù)據(jù)，深入研究已捕獲惡意軟件功能，跟蹤最常見的威脅傳送方式。應(yīng)注意，僅以已觸發(fā)攻擊樣本為研究對(duì)象。

　　對(duì)沙箱捕獲的前八種戰(zhàn)術(shù)和技術(shù)進(jìn)行研究發(fā)現(xiàn)，“Drive-by-compromise(水坑攻擊)”是網(wǎng)絡(luò)犯罪分子非法訪問全球所有地區(qū)組織系統(tǒng)的最流行戰(zhàn)術(shù)。當(dāng)毫無防備的用戶瀏覽互聯(lián)網(wǎng)并通過訪問受感染網(wǎng)站、打開惡意電子郵件附件，甚至單擊鏈接或欺騙性彈出窗口而無意中下載惡意負(fù)載時(shí)，攻擊者便可乘機(jī)訪問受害者系統(tǒng)。水坑戰(zhàn)術(shù)的挑戰(zhàn)在于，一旦惡意負(fù)載被訪問和下載，除非用戶系統(tǒng)已部署完善的安全解決方案，否則通常難以逃脫威脅入侵的厄運(yùn)。

　　積極轉(zhuǎn)變防御策略，從容應(yīng)對(duì)威脅態(tài)勢(shì)演進(jìn)趨勢(shì)

　　作為企業(yè)級(jí)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)創(chuàng)新產(chǎn)品的領(lǐng)導(dǎo)者，F(xiàn)ortinet助力首席信息安全官和安全團(tuán)隊(duì)快速瓦解攻擊殺傷鏈，最大限度降低網(wǎng)絡(luò)安全事件引發(fā)的負(fù)面影響，全面高效應(yīng)對(duì)潛在網(wǎng)絡(luò)威脅。

　　Fortinet 安全解決方案套件涵蓋一系列強(qiáng)大工具，如下一代防火墻(NGFW)，網(wǎng)絡(luò)遙測(cè)和分析，端點(diǎn)檢測(cè)和響應(yīng)(EDR)，擴(kuò)展檢測(cè)和響應(yīng)(XDR)，數(shù)字風(fēng)險(xiǎn)防護(hù)(DRP)，安全信息和事件管理(SIEM)，內(nèi)聯(lián)沙箱，欺騙技術(shù)，安全編排、自動(dòng)化和響應(yīng)(SOAR)等解決方案和服務(wù)。這些先進(jìn)的解決方案可提供高級(jí)威脅檢測(cè)和防御功能，助力企業(yè)跨所有攻擊面快速檢測(cè)和響應(yīng)各類安全事件。

　　為強(qiáng)化旗下解決方案的安全功能，并支持因網(wǎng)絡(luò)安全人才短缺而負(fù)擔(dān)過重的安全團(tuán)隊(duì)，F(xiàn)ortinet 為用戶提供基于機(jī)器學(xué)習(xí)的威脅情報(bào)和響應(yīng)服務(wù)，及時(shí)提供最新網(wǎng)絡(luò)威脅前沿情報(bào)信息，助力企業(yè)快速響應(yīng)安全事件，最大限度減少威脅引發(fā)的負(fù)面影響。Fortinet 還推出以人為本的 SOC 增強(qiáng)服務(wù)和威脅情報(bào)服務(wù)，支持實(shí)時(shí)威脅監(jiān)測(cè)和事件響應(yīng)功能，賦能安全團(tuán)隊(duì)全方位高效防御潛在網(wǎng)絡(luò)威脅。

　　Fortinet功能全面的網(wǎng)絡(luò)安全解決方案和服務(wù)，助力首席信息安全官和安全團(tuán)隊(duì)，專注業(yè)務(wù)高效開展，全程守護(hù)高優(yōu)先級(jí)項(xiàng)目。

　　Fortinet 全球威脅情報(bào)副總裁、FortiGuard Labs 首席安全策略師Derek Manky表示：“隨著當(dāng)今網(wǎng)絡(luò)防御策略的不斷升級(jí)，企業(yè)網(wǎng)絡(luò)安全防線更加牢不可破。網(wǎng)絡(luò)攻擊者為持續(xù)獲得非法訪問并成功繞過安全檢測(cè)，必然需借助更多偵察技術(shù)，部署更為復(fù)雜的替代攻擊方案，以有效利用雨刷惡意軟件或其他高級(jí)攻擊載荷等類似高級(jí)持續(xù)性威脅(APT)攻擊方法，對(duì)特定目標(biāo)發(fā)起更具持續(xù)性和破壞性攻擊。為有效防范此類高級(jí)持續(xù)性網(wǎng)絡(luò)犯罪戰(zhàn)術(shù)，企業(yè)組織亟需利用機(jī)器學(xué)習(xí)等先進(jìn)智能技術(shù)，實(shí)時(shí)獲取所有安全設(shè)備的協(xié)同可操作威脅情報(bào)，全方位檢測(cè)可疑行為，跨越不斷擴(kuò)展的攻擊面，執(zhí)行協(xié)調(diào)一致的威脅緩解措施。”