?Fortinet近日發(fā)布《2022 下半年度全球威脅態(tài)勢研究報告》。報告指出，相對于組織攻擊面的不斷擴大以及全球威脅態(tài)勢的持續(xù)演進，網(wǎng)絡(luò)犯罪分子設(shè)計、優(yōu)化技術(shù)與戰(zhàn)術(shù)的能力也隨之與日俱增，全球各行業(yè)及各類規(guī)模企業(yè)將持續(xù)面臨重大風(fēng)險。

2022 下半年度全球威脅態(tài)勢研究報告七大發(fā)現(xiàn)?

·2022 年破壞性雨刷惡意軟件等類似APT攻擊數(shù)量激增

雨刷惡意軟件分析數(shù)據(jù)揭示，網(wǎng)絡(luò)攻擊者已慣于利用破壞性攻擊技術(shù)，持續(xù)攻擊潛在特定目標。此外，由于互聯(lián)網(wǎng)邊界的不斷擴展，網(wǎng)絡(luò)攻擊者可肆意利用網(wǎng)絡(luò)犯罪即服務(wù)（CaaS）模式輕松擴展此類攻擊。

2022 上半年，F(xiàn)ortiGuard Labs（Fortinet全球威脅研究與響應(yīng)實驗室）已在局部地區(qū)發(fā)現(xiàn)數(shù)個全新雨刷惡意軟件變體。截至年底，雨刷惡意軟件已開始在多個國家肆意橫行，僅三、四季度，雨刷惡意軟件活動量激增達 53%。值得關(guān)注的是，惡意軟件正迅速淪為網(wǎng)絡(luò)犯罪集團的有力破壞工具，并逐漸蔓延至全球各個地區(qū)。據(jù)攻擊活動跟蹤數(shù)據(jù)顯示，破壞性雨刷惡意軟件在第四季度依然活躍，也未有放緩跡象。這一趨勢表明任何組織都可能淪為不法分子的潛在攻擊目標，而非僅限于局部地區(qū)及周邊國家企業(yè)組織。

?

·CVE映射表明，漏洞紅區(qū)助力CISO精準判定威脅優(yōu)先級

分析漏洞利用趨勢，有助于深入剖析網(wǎng)絡(luò)犯罪分子感興趣的攻擊目標、未來使用的攻擊手段以及正積極瞄準的攻擊目標。FortiGuard Labs 掌握大量已知漏洞信息，經(jīng)數(shù)據(jù)富集分析，即可快速實時識別已被主動利用的安全漏洞，并跨整個攻擊面繪制攻擊活躍區(qū)域風(fēng)險圖。

2022 下半年，在規(guī)?；髽I(yè)中已檢測的漏洞總數(shù)中，位于端點并頻繁受到威脅攻擊的漏洞數(shù)不足 1%。然而，這種攻擊活躍度反而有助于首席信息安全官，通過活躍攻擊面威脅情報信息精準定位“紅區(qū)”所在，從而精準判定優(yōu)先緩解威脅及重點修復(fù)對象。

·謀取非法暴利的網(wǎng)絡(luò)犯罪和勒索軟件威脅活動仍高居不下

據(jù)FortiGuard Labs 事件響應(yīng)（IR）調(diào)查發(fā)現(xiàn)，謀取非法經(jīng)濟利益的網(wǎng)絡(luò)犯罪威脅事件數(shù)量占比最高（73.9%），其次是間諜活動（13%）。2022 年全年，82% 的非法牟利網(wǎng)絡(luò)犯罪均涉及勒索軟件或惡意腳本。這一現(xiàn)象表明，隨著勒索軟件即服務(wù)（RaaS）模式在暗網(wǎng)被日益追捧，全球勒索軟件威脅攻擊仍處于活躍狀態(tài)，未出現(xiàn)放緩跡象。

分析顯示，相比 2022 上半年，勒索軟件數(shù)量增加16%。在所有已知 99 個勒索軟件家族中，前五大家族的攻擊活動約占 2022 下半年所有勒索軟件活動的 37%。其中位居榜首的是2018年問世的RaaS惡意軟件GandCrab。盡管操控GandCrab的犯罪團伙宣稱，其在豪賺超20億美元的巨額非法利益后即金盆洗手，但GandCrab在活躍期間衍生出多種變體。因此，該犯罪集團利益版圖的擴張可能從未停止并活躍至今，或其原有代碼被簡單更改并重新發(fā)布。由此可見，攜手各行各業(yè)組織建立全球聯(lián)盟伙伴關(guān)系，對于永久打擊網(wǎng)絡(luò)犯罪活動而言極為重要。全球公私組織和行業(yè)的網(wǎng)絡(luò)安全利益相關(guān)者之間，亟需構(gòu)建強大穩(wěn)固、互相信賴的協(xié)作關(guān)系，共同努力有效挫敗和破壞網(wǎng)絡(luò)犯罪供應(yīng)鏈。

·代碼復(fù)用成網(wǎng)絡(luò)攻擊者的“錦囊妙計”

網(wǎng)絡(luò)威脅參與者通常精于創(chuàng)新并善于充分利用現(xiàn)有資產(chǎn)和知識技能，使攻擊活動更有效、更有利可圖。作為一種高效掘金手段，網(wǎng)絡(luò)犯罪分子借助代碼復(fù)用屢屢偷襲成功的同時，不斷進行迭代更新，以微調(diào)攻擊戰(zhàn)術(shù)并成功繞過不斷升級的防御機制。

FortiGuard Labs 2022 下半年最流行惡意軟件分析顯示，一年多前廣為流行的惡意軟件依然位居前列。FortiGuard Labs進一步檢測了一組不同的Emotet變體，以分析其代碼借用和復(fù)用情況。研究表明，Emotet迭代數(shù)量驚人，大致衍生出六種不同的惡意軟件“變體”。不法分子不僅善于利用自動化威脅技術(shù)，還積極更新代碼，使攻擊技術(shù)更高效且更具破壞性。

·傳統(tǒng)僵尸網(wǎng)絡(luò)復(fù)活增加攻擊供應(yīng)鏈彈性

除代碼復(fù)用外，攻擊者還善于利用現(xiàn)有基礎(chǔ)設(shè)施和傳統(tǒng)威脅技術(shù)，最大程度挖掘攻擊機會。按流行程度對僵尸網(wǎng)絡(luò)威脅進行深入剖析時，F(xiàn)ortiGuard Labs 發(fā)現(xiàn)，許多穩(wěn)居榜首的僵尸網(wǎng)絡(luò)并不鮮見。例如，2011 年首次檢測到的 Morto 僵尸網(wǎng)絡(luò)，其數(shù)量在 2022 年底出現(xiàn)激增。諸如Mirai和Gh0st.Rat等其他惡意軟件，則持續(xù)在全球范圍內(nèi)大肆流行。值得關(guān)注的是，目前檢測到的前五大僵尸網(wǎng)絡(luò)中，近十年問世的僅有RotaJakiro，其他皆為“長老級”成員。

既往威脅看似沉寂，但不排除再次爆發(fā)的可能，任何行業(yè)的企業(yè)組織仍需保持高度警惕。這些“長老級”僵尸網(wǎng)絡(luò)依然能夠攪動風(fēng)云的原因在于，犯罪分子至今還可以此為手段獲取高額收益。誘于高額投資回報，狡詐多謀的不法分子將持續(xù)利用現(xiàn)有僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施，借助高度專業(yè)化技術(shù)，將其升級為具備持久攻擊能力的流行工具。例如，2022 下半年，Mirai 的主要攻擊目標包括托管安全服務(wù)提供商（MSSP）、電信/運營商以及高度依賴運營技術(shù)（OT）的制造業(yè)。由此可見，網(wǎng)絡(luò)犯罪分子正齊心協(xié)力，以行之有效的方法瞄準這些“待宰羔羊”。

·Log4j 漏洞肆虐，已成眾矢之的

2021 至 2022 年初，Log4j漏洞一度甚囂塵上，頻頻受到業(yè)內(nèi)關(guān)注，但仍有大量企業(yè)組織尚未修復(fù)該漏洞或仍未部署適當安全控制措施，以保護自身免受該知名漏洞侵害。

2022 下半年，Log4j 在所有地區(qū)仍異?；钴S，位居第二。FortiGuard Labs研究發(fā)現(xiàn)，41% 的組織已檢測到Log4j漏洞利用活動，足以判斷該威脅的流行程度。鑒于Apache Log4j作為開源軟件廣受歡迎，Log4j IPS攻擊活動在技術(shù)領(lǐng)域、政府部門和教育機構(gòu)最為頻發(fā)不足為奇。

·惡意軟件傳送方式改變，用戶安全意識亟待提高

對攻擊策略進行全面剖析，便于深入了解攻擊技術(shù)和戰(zhàn)術(shù)的演進歷程，更好地防范未來攻擊場景。FortiGuard Labs 基于沙箱數(shù)據(jù)，深入研究已捕獲惡意軟件功能，跟蹤最常見的威脅傳送方式。應(yīng)注意，僅以已觸發(fā)攻擊樣本為研究對象。

對沙箱捕獲的前八種戰(zhàn)術(shù)和技術(shù)進行研究發(fā)現(xiàn)，“Drive-by-compromise（水坑攻擊）”是網(wǎng)絡(luò)犯罪分子非法訪問全球所有地區(qū)組織系統(tǒng)的最流行戰(zhàn)術(shù)。當毫無防備的用戶瀏覽互聯(lián)網(wǎng)并通過訪問受感染網(wǎng)站、打開惡意電子郵件附件，甚至單擊鏈接或欺騙性彈出窗口而無意中下載惡意負載時，攻擊者便可乘機訪問受害者系統(tǒng)。水坑戰(zhàn)術(shù)的挑戰(zhàn)在于，一旦惡意負載被訪問和下載，除非用戶系統(tǒng)已部署完善的安全解決方案，否則通常難以逃脫威脅入侵的厄運。

·積極轉(zhuǎn)變防御策略，從容應(yīng)對威脅態(tài)勢演進趨勢?

作為企業(yè)級網(wǎng)絡(luò)安全和網(wǎng)絡(luò)創(chuàng)新產(chǎn)品的領(lǐng)導(dǎo)者，F(xiàn)ortinet助力首席信息安全官和安全團隊快速瓦解攻擊殺傷鏈，最大限度降低網(wǎng)絡(luò)安全事件引發(fā)的負面影響，全面高效應(yīng)對潛在網(wǎng)絡(luò)威脅。?

Fortinet 安全解決方案套件涵蓋一系列強大工具，如下一代防火墻（NGFW），網(wǎng)絡(luò)遙測和分析，端點檢測和響應(yīng)（EDR），擴展檢測和響應(yīng)（XDR），數(shù)字風(fēng)險防護（DRP），安全信息和事件管理（SIEM），內(nèi)聯(lián)沙箱，欺騙技術(shù)，安全編排、自動化和響應(yīng)（SOAR）等解決方案和服務(wù)。這些先進的解決方案可提供高級威脅檢測和防御功能，助力企業(yè)跨所有攻擊面快速檢測和響應(yīng)各類安全事件。?

為強化旗下解決方案的安全功能，并支持因網(wǎng)絡(luò)安全人才短缺而負擔過重的安全團隊，F(xiàn)ortinet 為用戶提供基于機器學(xué)習(xí)的威脅情報和響應(yīng)服務(wù)，及時提供最新網(wǎng)絡(luò)威脅前沿情報信息，助力企業(yè)快速響應(yīng)安全事件，最大限度減少威脅引發(fā)的負面影響。Fortinet 還推出以人為本的 SOC 增強服務(wù)和威脅情報服務(wù)，支持實時威脅監(jiān)測和事件響應(yīng)功能，賦能安全團隊全方位高效防御潛在網(wǎng)絡(luò)威脅。?

Fortinet功能全面的網(wǎng)絡(luò)安全解決方案和服務(wù)，助力首席信息安全官和安全團隊，專注業(yè)務(wù)高效開展，全程守護高優(yōu)先級項目。?

Fortinet 全球威脅情報副總裁、FortiGuard Labs 首席安全策略師Derek Manky表示：“隨著當今網(wǎng)絡(luò)防御策略的不斷升級，企業(yè)網(wǎng)絡(luò)安全防線更加牢不可破。網(wǎng)絡(luò)攻擊者為持續(xù)獲得非法訪問并成功繞過安全檢測，必然需借助更多偵察技術(shù)，部署更為復(fù)雜的替代攻擊方案，以有效利用雨刷惡意軟件或其他高級攻擊載荷等類似高級持續(xù)性威脅（APT）攻擊方法，對特定目標發(fā)起更具持續(xù)性和破壞性攻擊。為有效防范此類高級持續(xù)性網(wǎng)絡(luò)犯罪戰(zhàn)術(shù)，企業(yè)組織亟需利用機器學(xué)習(xí)等先進智能技術(shù)，實時獲取所有安全設(shè)備的協(xié)同可操作威脅情報，全方位檢測可疑行為，跨越不斷擴展的攻擊面，執(zhí)行協(xié)調(diào)一致的威脅緩解措施。”