2023年勒索軟件、供應(yīng)鏈攻擊、地緣政治沖突與黑客活動(dòng)主義、國(guó)家黑客間諜與APT組織活動(dòng)成為網(wǎng)絡(luò)安全的熱點(diǎn)話題，生成式人工智能技術(shù)的武器化更是給動(dòng)蕩的全球網(wǎng)絡(luò)安全威脅態(tài)勢(shì)增加了不確定性、不對(duì)稱性和復(fù)雜性。

即將到來(lái)的2024年，隨著網(wǎng)絡(luò)犯罪的規(guī)?；托屡d網(wǎng)絡(luò)威脅的快速增長(zhǎng)，防御者將面臨前所未有的艱巨挑戰(zhàn)。根據(jù)Cybersecurity Ventures的預(yù)測(cè)，到2024年底，網(wǎng)絡(luò)攻擊給全球經(jīng)濟(jì)造成的損失預(yù)計(jì)將高達(dá)10.5萬(wàn)億美元。這意味著，2024年全球網(wǎng)絡(luò)犯罪造成的損失有望首次突破10萬(wàn)億美元大關(guān)，網(wǎng)絡(luò)犯罪已經(jīng)成為“GDP”增速驚人的全球第三大“經(jīng)濟(jì)體”。

面對(duì)復(fù)雜動(dòng)態(tài)且不斷惡化種的威脅態(tài)勢(shì)，如何進(jìn)行威脅預(yù)測(cè)和優(yōu)先級(jí)排序成為企業(yè)風(fēng)險(xiǎn)管理的頭號(hào)難題，以下，GoUpSec為讀者梳理分析2024年的十大新興安全威脅和風(fēng)險(xiǎn)趨勢(shì)：

一.云集中風(fēng)險(xiǎn)

2023年11月阿里云發(fā)生全球性停機(jī)事故，此次故障的嚴(yán)重程度、影響規(guī)模和范圍在公有云歷史上都極為罕見(jiàn)，嚴(yán)重打擊了各行業(yè)用戶對(duì)公有云可靠性和安全性的信心，進(jìn)一步凸顯了Gartner三季度風(fēng)險(xiǎn)報(bào)告中強(qiáng)調(diào)的“云集中”風(fēng)險(xiǎn)。

導(dǎo)致“云集中風(fēng)險(xiǎn)”的原因有很多，許多企業(yè)為了降低IT復(fù)雜性、成本和技能要求，選擇將IT服務(wù)集中在少數(shù)幾個(gè)戰(zhàn)略云供應(yīng)商手中；而加劇這一風(fēng)險(xiǎn)的是，少數(shù)幾個(gè)云計(jì)算巨頭憑借其技術(shù)能力優(yōu)勢(shì)、業(yè)務(wù)覆蓋范圍和合作伙伴生態(tài)系統(tǒng)，在全球和區(qū)域市場(chǎng)占據(jù)主導(dǎo)地位。

在全球科技巨頭和云服務(wù)商爭(zhēng)先恐后“大煉數(shù)據(jù)”的生成式人工智能時(shí)代，企業(yè)和個(gè)人對(duì)存放于云端數(shù)據(jù)的安全焦慮與日俱增，密碼學(xué)專家布魯斯施奈爾認(rèn)為，單純?cè)黾釉品?wù)商數(shù)量并不能從根本上降低“云風(fēng)險(xiǎn)”，一個(gè)可行的策略是將身份、數(shù)據(jù)和行為解耦合。

“企業(yè)不應(yīng)再對(duì)云服務(wù)商的數(shù)據(jù)安全能力和意愿抱有幻想，企業(yè)唯一的出路是將數(shù)據(jù)安全重新掌握在自己手中?！笔┠螤栒f(shuō)道。

二.針對(duì)中小企業(yè)的“無(wú)惡意軟件攻擊”暴增

根據(jù)Huntress發(fā)布的中小企業(yè)威脅報(bào)告，2023年針對(duì)中小企業(yè)的“無(wú)惡意軟件攻擊”呈上升趨勢(shì)，2023年針對(duì)中小企業(yè)的網(wǎng)絡(luò)攻擊中，只有44%部署了惡意軟件，其余56%的安全事件屬于“無(wú)惡意軟件攻擊“——攻擊技術(shù)和工具包括使用“離地生存”二進(jìn)制文件（LOLBins）、腳本框架（如PowerShell）和遠(yuǎn)程監(jiān)控和管理（RMM）軟件。

在65%的“無(wú)惡意軟件攻擊”事件中，攻擊者在初次訪問(wèn)受害者環(huán)境后使用RMM軟件作為持久性或遠(yuǎn)程訪問(wèn)機(jī)制的方法。

三.二維碼網(wǎng)絡(luò)釣魚(yú)攻擊肆虐全球

2023年，基于二維碼的網(wǎng)絡(luò)釣魚(yú)活動(dòng)開(kāi)始流行。2024年，以二維碼為中心的網(wǎng)絡(luò)釣魚(yú)活動(dòng)預(yù)計(jì)會(huì)加速增長(zhǎng)，主要原因是人們對(duì)二維碼的固有信任仍未打破，人們習(xí)慣毫無(wú)戒備，不假思索地掃描二維碼。網(wǎng)絡(luò)犯罪分子利用用戶對(duì)二維碼的這種信任在二維碼中嵌入惡意鏈接（指向惡意網(wǎng)站或者惡意軟件下載地址）。

為了進(jìn)一步提高攻擊成功率，攻擊者還會(huì)利用企業(yè)內(nèi)部被盜郵件賬戶來(lái)發(fā)送釣魚(yú)郵件。

網(wǎng)絡(luò)犯罪分子熱衷使用惡意二維碼的另外一個(gè)原因是傳統(tǒng)電子郵件安全產(chǎn)品往往無(wú)法檢測(cè)到二維碼網(wǎng)絡(luò)釣魚(yú)攻擊，因?yàn)槎S碼釣魚(yú)郵件郵件往往不包含任何文本，只有一個(gè)圖片文件附件，能夠繞過(guò)基于文本分析的電子郵件安全方案。

四.“小語(yǔ)種”惡意軟件激增

近年來(lái)，使用Golang、Nim和Rust等“小語(yǔ)種”編程語(yǔ)言開(kāi)發(fā)的惡意軟件越來(lái)越多，2024年“小語(yǔ)種”惡意軟件將激增。

Go的簡(jiǎn)單性和并發(fā)能力使其成為快速制作輕量級(jí)惡意軟件的首選。Nim對(duì)性能和表現(xiàn)力的關(guān)注使其對(duì)于開(kāi)發(fā)復(fù)雜的惡意軟件非常有用。同時(shí)，Rust的內(nèi)存管理功能對(duì)于勒索軟件組織和其他注重惡意軟件樣本加密效率的攻擊者來(lái)說(shuō)很有吸引力。

Nim和Rust語(yǔ)言相對(duì)較新，與C或Python等流行語(yǔ)言相比，安全業(yè)界缺乏針對(duì)這類語(yǔ)言的全面分析工具，給分析和對(duì)抗用“小語(yǔ)種”惡意軟件的網(wǎng)絡(luò)安全專家?guī)?lái)了重大挑戰(zhàn)，這進(jìn)一步增加了“小語(yǔ)種”惡意軟件的風(fēng)險(xiǎn)。

五.工業(yè)物聯(lián)網(wǎng)邊緣設(shè)備成為APT重點(diǎn)目標(biāo)

隨著IT與OT進(jìn)一步融合，企業(yè)物聯(lián)網(wǎng)資產(chǎn)與漏洞管理、威脅檢測(cè)與事件響應(yīng)難度不斷加大。勒索軟件、供應(yīng)鏈攻擊、地緣政治沖突、國(guó)家黑客與APT組織對(duì)工業(yè)物聯(lián)網(wǎng)和關(guān)鍵基礎(chǔ)設(shè)施的威脅不斷增長(zhǎng)。

2024年，網(wǎng)絡(luò)安全威脅焦點(diǎn)將向邊緣轉(zhuǎn)移，經(jīng)常被忽視的邊緣設(shè)備（包括防火墻、路由器、VPN、交換機(jī)、多路復(fù)用器和網(wǎng)關(guān)等）正在成為勒索軟件和APT組織的熱門(mén)目標(biāo)。（物聯(lián)網(wǎng)）邊緣設(shè)備面臨獨(dú)特的網(wǎng)絡(luò)安全挑戰(zhàn)，因?yàn)楹诳蛯⒏嗟乩昧闳章┒磥?lái)實(shí)現(xiàn)長(zhǎng)期駐留和訪問(wèn)，而且這些邊緣設(shè)備與傳統(tǒng)網(wǎng)絡(luò)組件不同，難以通過(guò)部署IDS/IPS進(jìn)行入侵檢測(cè)。

六.影子AI

根據(jù)Gartner的報(bào)告，2022年82%的數(shù)據(jù)泄露是“員工不安全或疏忽行為造成的”，三分之一的成功網(wǎng)絡(luò)攻擊來(lái)自影子IT，給企業(yè)造成數(shù)百萬(wàn)美元的損失。而影子AI正在加速放大這種“人為因素”產(chǎn)生的威脅。

根據(jù)The Conference Board的一項(xiàng)調(diào)查，56%的北美企業(yè)員工在工作中使用生成式AI，但只有26%的企業(yè)制定了明確的生成式AI使用政策。在沒(méi)有制訂AI政策的企業(yè)中，使用影子AI的員工中只有40%向主管如實(shí)匯報(bào)。

很多公司都在嘗試限制或規(guī)范員工在工作中使用生成式AI的行為。但是，在提高生產(chǎn)力的“第一性”需求刺激下，多達(dá)30%的員工在沒(méi)有IT部門(mén)的許可，不計(jì)后果地使用生成式AI，也就是所謂的影子AI。

七.惡意大語(yǔ)言模型成為主流黑客工具

大型語(yǔ)言模型是一柄雙刃劍，激發(fā)生產(chǎn)力的同時(shí)也容易被網(wǎng)絡(luò)犯罪分子濫用進(jìn)行大規(guī)模攻擊。

GPT-4、Claude和PaLM2等領(lǐng)先的大語(yǔ)言模型在生成連貫文本、回答復(fù)雜查詢、解決問(wèn)題、編碼和許多其他自然語(yǔ)言任務(wù)方面取得了突破性的進(jìn)展，同時(shí)也為黑客提供了一種經(jīng)濟(jì)高效的工具，無(wú)需大量專業(yè)知識(shí)、時(shí)間和資源就可發(fā)動(dòng)大規(guī)模針對(duì)性攻擊。

2023年，F(xiàn)raudGPT和WormGPT等武器化的惡意大語(yǔ)言模型工具已經(jīng)在網(wǎng)絡(luò)犯罪網(wǎng)絡(luò)中占據(jù)主導(dǎo)地位，用于自動(dòng)化創(chuàng)建網(wǎng)絡(luò)釣魚(yú)電子郵件、假冒網(wǎng)頁(yè)以及能夠逃避檢測(cè)的惡意軟件，使得大規(guī)模網(wǎng)絡(luò)釣魚(yú)活動(dòng)變得更便宜且更容易實(shí)施。根據(jù)CrowdStrike的報(bào)道，惡意大語(yǔ)言模型已經(jīng)成為暗網(wǎng)最暢銷的黑客工具，吸引了數(shù)以千計(jì)的不法分子。

惡意大語(yǔ)言模型應(yīng)用極大地降低了網(wǎng)絡(luò)犯罪的門(mén)檻并極大提高攻擊效率和成功率，預(yù)計(jì)2024年惡意大語(yǔ)言模型工具的開(kāi)發(fā)和濫用將加速。

八.“腳本小子”復(fù)活

免費(fèi)和開(kāi)源軟件導(dǎo)致了“腳本小子”的崛起，這些人幾乎沒(méi)有任何專業(yè)技術(shù)知識(shí)，使用自動(dòng)化工具或腳本來(lái)發(fā)起攻擊。隨著企業(yè)網(wǎng)絡(luò)安全工具和措施的不斷健全，腳本小子逐漸淡出視野。但是，過(guò)去一年隨著勒索軟件即服務(wù)（RaaS）和人工智能技術(shù)的爆炸式增長(zhǎng)，以及惡意大語(yǔ)言模型工具的泛濫，低技能攻擊者比以往任何時(shí)候都更容易發(fā)起大規(guī)模的復(fù)雜攻擊。腳本小子將再次復(fù)活，并對(duì)企業(yè)構(gòu)成重大安全威脅。

九.驅(qū)動(dòng)程序攻擊將構(gòu)成重大威脅

最近的許多安全事件表明，易受攻擊的驅(qū)動(dòng)程序構(gòu)成了重大威脅。簽名的易受攻擊驅(qū)動(dòng)程序在黑客論壇“炙手可熱”，因?yàn)樗鼈兛捎糜陔[秘駐留并能在攻擊的早期階段禁用安全解決方案。在此類攻擊中，攻擊者會(huì)刪除使用有效證書(shū)簽名并能夠在受害者設(shè)備上以內(nèi)核權(quán)限運(yùn)行的合法驅(qū)動(dòng)程序。成功利用該漏洞使攻擊者能夠?qū)崿F(xiàn)內(nèi)核級(jí)權(quán)限升級(jí)，從而授予他們對(duì)目標(biāo)系統(tǒng)資源的最高級(jí)別訪問(wèn)和控制權(quán)。

ZeroMemoryEx Blackout項(xiàng)目、Spyboy的Terminator工具和AuKill工具都成功利用易受攻擊的驅(qū)動(dòng)程序繞過(guò)安全控制并成功實(shí)施了震驚業(yè)界的攻擊。雖然業(yè)界發(fā)布了一些緩解措施，例如微軟的Vulnerable Driver Blocklist和LOL Drivers項(xiàng)目。然而，這并沒(méi)有改變這樣一個(gè)事實(shí)：驅(qū)動(dòng)程序攻擊執(zhí)行起來(lái)既簡(jiǎn)單成功率又高，并且易受攻擊的驅(qū)動(dòng)程序更容易訪問(wèn)。預(yù)計(jì)2024年基于驅(qū)動(dòng)程序的漏洞利用將產(chǎn)生廣泛影響。

十.基于合法工具的攻擊

隨著企業(yè)網(wǎng)絡(luò)安全工具和措施的不斷升級(jí)，越來(lái)越多的攻擊者開(kāi)始利用合法工具來(lái)繞過(guò)安全工具檢測(cè)實(shí)施破壞，包括禁用安全措施、橫向移動(dòng)和傳輸文件等，因?yàn)榛诤戏ㄉ虡I(yè)工具的攻擊更容易逃避檢測(cè)。

利用合法工具的攻擊可以偽裝成日常操作，從而繞過(guò)檢測(cè)橫向移動(dòng)或者長(zhǎng)期駐留，因?yàn)槎它c(diǎn)安全產(chǎn)品通?？梢詸z測(cè)到自定義攻擊工具或惡意軟件，但往往會(huì)為合法商用工具放行。

例如GMER，PC Hunter，Process Hacker和Defender Control等第三方和內(nèi)置的Windows工具都不是惡意軟件，但卻常被攻擊者用來(lái)禁用或卸載安全產(chǎn)品。上述工具的濫用已經(jīng)多次出現(xiàn)在真實(shí)的網(wǎng)絡(luò)攻擊中，尤其是勒索軟件攻擊。

攻擊者還熱衷使用遠(yuǎn)程監(jiān)控和管理（RMM）軟件來(lái)訪問(wèn)或長(zhǎng)期駐留系統(tǒng)。經(jīng)常被利用的RMM軟件包括ConnectWise Control（以前稱為ScreenConnect），AnyDesk，Atera和Syncro等。

還有一些用于審核、AD枚舉和密碼恢復(fù)的合法工具，攻擊者可以方便地使用這些工具來(lái)實(shí)施偵測(cè)或憑據(jù)轉(zhuǎn)儲(chǔ)。

被濫用的不僅僅是第三方工具。攻擊者還嘗試使用操作系統(tǒng)自身的合法二進(jìn)制文件執(zhí)行惡意活動(dòng)，或利用內(nèi)置Windows進(jìn)程（如taskkill或net stop命令）殺死或停止進(jìn)程，以停止與備份相關(guān)的進(jìn)程。