近日，卡巴斯基在其安全博客Securelist上發(fā)布了2020年APT威脅全景圖，并在2020年現(xiàn)狀基礎(chǔ)上，給出了對2021年APT網(wǎng)絡(luò)安全威脅的八大趨勢預(yù)測。

一、APT組織從網(wǎng)絡(luò)罪犯那里購買初始網(wǎng)絡(luò)訪問權(quán)限[[355745]]

去年，我們觀察到許多使用通用惡意軟件(例如Trickbot)的針對性勒索軟件攻擊，從而在目標網(wǎng)絡(luò)中立足。我們還觀察到有針對性的勒索軟件攻擊與成熟的地下網(wǎng)絡(luò)(如Genesis)之間的聯(lián)系，后者通常是被盜憑證的交易場所。2021年，APT組織在實施攻擊時將延續(xù)這一做法，因此，企業(yè)也應(yīng)更加關(guān)注通用惡意軟件的防范，并在每臺受感染的計算機上執(zhí)行基本的事件響應(yīng)活動，以防止通用惡意軟件(所竊取的憑據(jù))被用于部署復(fù)雜攻擊。

二、越來越多的國家將法律起訴作為其網(wǎng)絡(luò)戰(zhàn)略的一部分

幾年前，我們預(yù)測政府將訴諸“點名和羞辱”的方法來引起對敵對APT團體活動的關(guān)注。在過去的12個月中，我們已經(jīng)看到了幾起案例。美國網(wǎng)絡(luò)司令部的“持久參與”戰(zhàn)略將在2021年開始展現(xiàn)成效，并引起其他國家的仿效，尤其是對美國指控的“針鋒相對”的報復(fù)。所謂“持續(xù)參與”，意味著有關(guān)部門會經(jīng)常公開對手的工具和活動的報告。美國網(wǎng)絡(luò)司令部認為，網(wǎng)絡(luò)空間的戰(zhàn)爭本質(zhì)有很大不同，需要與敵方始終保持接觸以破壞其作戰(zhàn)。方法之一是向威脅情報界提供威脅指標來引導(dǎo)調(diào)查，通過情報解密來發(fā)動和指引民間的安全機構(gòu)。

被政府情報機構(gòu)公開“焚燒”的工具對于攻擊者而言，將變得難以使用，并且有可能暴露之前的隱蔽攻擊。面對這種新威脅，攻擊者在規(guī)劃攻擊時必須要在其風(fēng)險/收益計算中考慮額外的費用(工具泄露或者暴露的可能性增加)。

公開APT組織的工具集并不是什么新鮮事，Shadow Brokers的武器庫連續(xù)泄漏就是一個典型的例子。但是，這是第一次通過國家機構(gòu)以官方身份進行。雖然還無法量化威懾的影響力，但2021年，更多的國家將采用這一戰(zhàn)略。首先，傳統(tǒng)上與美國結(jié)盟的國家可能會開始復(fù)制這一做法，然后被披露工具的APT組織采用類似的做法進行報復(fù)。

三、更多硅谷公司將對零日漏洞經(jīng)紀人采取行動

直到最近，零日漏洞經(jīng)紀人都在兜售價值不菲的知名科技公司的產(chǎn)品漏洞。微軟、Google、Facebook等大公司對此類交易似乎也沒有給與太多關(guān)注。但是，在過去一年左右的時間里，有一些高調(diào)的名人賬戶(包括Jeff Bezos和Jamal Khashoggi)被攻擊者使用WhatsApp漏洞入侵。2019年10月，WhatsApp提起訴訟，指控總部位于以色列的NSO Group利用了其軟件中的漏洞，NSO出售的技術(shù)被用來針對20個不同國家/地區(qū)的1,400多名客戶，其中包括人權(quán)活動家、記者和其他人。一名美國法官裁定訴訟可以立案，該案的結(jié)果可能會產(chǎn)生深遠的影響，可能導(dǎo)致其他公司對經(jīng)營零日漏洞的公司提起法律訴訟。我們認為，日益增加的公眾壓力以及聲譽受損的風(fēng)險，可能會導(dǎo)致其他公司效仿WhatsApp的做法，對零日漏洞經(jīng)紀人采取行動。

四、針對網(wǎng)絡(luò)設(shè)備的針對性攻擊增加

隨著企業(yè)網(wǎng)絡(luò)安全水平的日益提高，攻擊者開始更加關(guān)注利用虛擬專用網(wǎng)網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備中的漏洞。事實上隨著新冠疫情的肆虐這種趨勢已經(jīng)開始。遠程辦公意味著公司更加依賴虛擬專用網(wǎng)，這開辟了另一個潛在的攻擊媒介，通過現(xiàn)實世界中的社會工程方法(例如“虛假”)獲取用戶憑據(jù)獲得對企業(yè)虛擬專用網(wǎng)的訪問。在某些情況下，這可能使攻擊者甚至可以完成間諜活動目標，而無需在受害企業(yè)的內(nèi)網(wǎng)中部署惡意軟件。

五、5G漏洞浮出水面

5G今年吸引了很多關(guān)注，尤其是美國對盟友施加了很大的壓力，以阻止它們購買華為產(chǎn)品。在許多國家/地區(qū)，人們甚至散布5G的健康風(fēng)險傳言?？傊?，全球?qū)?G安全的關(guān)注意味著，無論是公共還是私人研究人員，都在研究華為和其他公司的產(chǎn)品，試圖發(fā)現(xiàn)實施問題或者加密漏洞甚至后門。任何此類缺陷肯定會引起媒體的廣泛關(guān)注。隨著5G使用率的提高，以及更多設(shè)備依賴于5G提供的連接性，攻擊者將更有動力尋找可以利用的漏洞。

六、勒索軟件進化

多年來，我們已經(jīng)看到勒索軟件團伙的策略持續(xù)在變化和完善。最為明顯的是，攻擊已從分發(fā)給大量潛在受害者的隨機、推測性攻擊演變?yōu)獒槍π愿鼜姷墓簦鶕?jù)受害者的支付能力，對加密數(shù)據(jù)的依賴以及攻擊的廣泛影響，精心選擇受害者，力求從單個受害者身上一次性斬獲高額贖金。

我們還看到，勒索軟件團伙為了提高威脅力度和成功率，還會以泄露數(shù)據(jù)作為要挾。隨著勒索軟件幫派尋求最大的投資回報率，這一趨勢可能會進一步發(fā)展。

勒索軟件問題已變得十分普遍，以至美國外國資產(chǎn)管理辦公室(OFAC)向遭受勒索軟件攻擊的企業(yè)發(fā)布了法令，指出支付勒索贖金可能違反國際制裁規(guī)定。

今年，Maze和Sodinokibi團伙率先提出了一種“聯(lián)盟”模式，涉及勒索軟件團體之間的合作。盡管如此，勒索軟件生態(tài)系統(tǒng)仍然非常多樣化。將來，我們可能會看到一些主要的勒索軟件團伙的活動將更加聚焦，并獲得類似APT的攻擊能力。但是，在不久的將來，較小的勒索軟件團伙仍將繼續(xù)采用既定的方法，依靠僵尸網(wǎng)絡(luò)“帶貨”和采購第三方勒索軟件。

七、更具破壞性的攻擊

數(shù)字化的觸角正在快速蔓延到我們生活的每個腳落，人們面臨的攻擊面也是與日俱增，同時攻擊的破壞性也將遠遠超出我們對傳統(tǒng)網(wǎng)絡(luò)攻擊的認知。針對關(guān)鍵基礎(chǔ)設(shè)施的定向，精心策劃的攻擊，也很有可能造成附帶傷害，例如針對教育機構(gòu)、超市、郵政、公共交通等領(lǐng)域的勒索軟件攻擊產(chǎn)生的副作用。

八、攻擊者將繼續(xù)利用COVID-19大流行

COVID-19徹底顛覆了世界，影響了我們生活的幾乎每個方面。各種各樣的攻擊者迅速抓住機會，充分利用了人們對這一話題的濃厚興趣，其中包括APT團伙。如前所述，這并不意味著攻擊者的TTP發(fā)生了變化。作為一個持久的關(guān)注話題，新冠疫情相關(guān)信息可以用作社會工程學(xué)的誘餌。2021年大流行將繼續(xù)影響我們的生活一段時間，攻擊者也將繼續(xù)利用這一點在目標系統(tǒng)中立足，同時新冠疫苗本身也是APT的熱門目標。在過去的六個月中，已經(jīng)有不少針對COVID-19研究中心的APT活動報告。英國國家網(wǎng)絡(luò)安全中心(NCSC)表示，APT29(又名公爵和舒適熊)針對COVID-19疫苗開發(fā)竊取信息。只要新冠疫情沒有結(jié)束，疫苗將始終是APT的戰(zhàn)略利益目標。

參考資料：

卡巴斯基2020年ATP預(yù)測報告：

??https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2019/11/20151759/KSB2019_APT-predictions-2020_web.pdf??

【本文是51CTO專欄作者“安全?！钡脑瓌?chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

??戳這里，看該作者更多好文??