FortiGuard Labs:高級長期威脅將與網絡罪行結合

  •  
  •  
  •  

全方位自動化網絡保安服務方案供應商Fortinet近日發佈由FortiGuard Labs全球威脅情報及研究團隊對未來12個月及後的網絡威脅局勢預測。從發展迅速的網路犯罪即服務(CaaS)攻擊,到針對邊緣設備或網絡世界等非傳統目標的新攻擊,網絡威脅的數量、種類和規模將明顯增加,安全團隊在2023年及之後必須保持高度警惕。

借鑑RaaS的成功 預示CaaS的未來格局

鑑於勒索軟件即服務 (RaaS) 成功造就網絡罪行,越來越多額外攻擊媒介將透過暗網(dark web)以服務形式出現,促使網絡犯罪即服務 (CaaS) 顯著擴張。除勒索軟件和其他惡意軟件即服務可供銷售外,其他另類的獨立新服務也將冒起,CaaS成為一種對威脅發動者別具吸引力的商機。他們輕鬆利用一站式產品配合不同的技術水平,即可發動攻擊,而毋須事先投入時間和資源來制訂自己獨有的攻擊計劃。對經驗老到的網路犯罪分子而言,建立及出售攻擊組合即服務更是一條簡單、快速且可重複的「財路」。在未來,以訂閱形式提供的CaaS產品可能成為額外的收入來源。此外,威脅發動者亦會開始利用深度偽造技術(deepfake)等新興攻擊媒介,更廣泛地提供這類偽造影片、錄音和相關演算法,以供購買。

要抵禦這些威脅發展,其中一個最重要方法是網絡安全意識教育和培訓。很多機構也為員工提供基本的安全培訓計劃,惟亦應該考慮增添新單元,針對AI威脅等不斷演變的威脅方法提供教育培訓。

「偵察即服務」模型或令威脅效能更強

另一方面,有組織性的網絡罪行如何令攻擊策略更具效率,這點涉及偵察行為的未來形勢。隨着攻擊變得更具針對性,威脅發動者在發動攻擊前,可能會在暗網聘用「偵探」來收集特定目標的情報。就如聘用私家偵探獲取情報一樣,「偵察即服務」可能會提供攻擊藍圖,包括機構的安全模式、關鍵網絡安全人員、對方擁有的伺服器數量、已知的外部漏洞,甚至供予出售的外洩認證資料等,幫助網絡犯罪分子進行極具針對性且有效的攻擊。要應對以CaaS模型策動的攻擊,則必須及早在偵察期間採取行動阻止對手。

採用欺敵誘捕技術餌誘網絡犯罪分子是有用的應對方法,不但可在偵察階段對付偵察即服務,亦能同時對付CaaS。網絡安全欺敵誘捕結合數碼風險防護(DRP)服務,能協助機構了解敵人並取得優勢。

自動建立LaaS 助長洗錢活動

為發展網絡犯罪組織,這些組織的領袖和聯盟計劃會利用錢騾來洗錢,而錢騾會明知或不自知地被利用來協助洗錢。洗錢通常透過匿名電匯服務或加密貨幣交易所進行,以逃過被偵查發現。設置錢騾招攬活動過程一向耗時,網絡犯罪領袖願意費時耗勁,建立虛假組織網站及隨後的職位招聘,令他們的業務像真合法。網絡犯罪分子很快將開始利用機器學習技術來進行招聘定位,助他們更有效識別潛在錢騾,同時減少尋找新兵所需的時間。人手處理的錢騾招攬活動將會被自動化服務取代,透過加密貨幣交易所轉移資金,使洗錢流程更快、更難追蹤。作為持續擴展的CaaS當中的一部份,「洗錢即服務 (LaaS)」可能很快成為主流。對於這類網絡罪行的受害機構或個人而言,洗錢活動因轉趨自動化而變得更難追蹤,要追回被盜資金的機會將會越低。

從機構外部尋找有關未來攻擊方法的線索變得空前重要,有助機構在攻擊發生前作好準備。DRP服務對於評估外部威脅面尤為重要,以揭露安全問題並作出補救,並且能在攻擊發生前提供目前及緊急威脅的相關背景情報。

FortiGuard Labs預計高級長期威脅方式將與網絡罪行結合。

虛擬城市和網上世界成網絡罪行的新攻擊面

元宇宙為網絡世界打造全新、全面的浸沉式體驗,而虛擬城市更率先涉足這一個由擴增實境技術建構、面目全新的互聯網,零售商甚至推出可在這類虛擬世界中購買的數碼商品。這些新的網絡地點開創無窮的可能性,卻同時打開犯罪大門,網絡罪行在這個未知領域中大大增加,程度前所未見。舉例,個人頭像基本上是個人身份識別資料 (PII) 的連接口,故料成為攻擊者的主要目標。由於個別人士可在虛擬城市購買商品和服務,並利用數碼錢包、加密貨幣交易所、NFT或任何貨幣交易,成為威脅發動者另一個新攻擊面。 由於虛擬城市當中亦包括擴增實境和虛擬實境元素,生物識別黑客攻擊也可能成為真實的威脅,網絡犯罪分子更容易竊取指紋圖、面部識別數據或視網膜掃描資料,並且用作惡意用途。此外,這些環境中的應用程式、協議和交易也可能成為對手的目標。

無論是隨處工作、隨處學習抑或隨處沉浸式體驗,實時的安全能見度、防護和緩解措施對於高級端點偵測及應對(EDR)皆不可或缺,以達至實時分析威脅、防護及補救。

Wiper惡意軟件商品化 使攻擊破壞力更強

Wiper資料抹除惡意軟件在2022年捲土重來,這種攻擊方法已存在十年之久,攻擊者近年引入新變奏的攻擊方式。根據《FortiGuard Labs 2022年上半年全球威脅型態》報告,資料抹除惡意軟件隨烏克蘭戰事爆發而有所增加,在其他24個國家也偵測到,而且涉及歐洲以外地區。這種惡意軟件越趨流行,情況叫人堪憂,因為這可能只代表更具破壞力的威脅浪頭才剛剛開始。威脅發動者結合電腦蠕蟲和資料抹除惡意軟件,甚至勒索軟件,以策動影響力最大的攻擊,這是我們現已面對的現實威脅;而未來所需顧慮的,是網絡犯罪分子會把資料抹除惡意軟件商品化。犯罪組織可能會取得和重新使用由國家發動者開發及部署的惡意軟件,套用於整個CaaS模型中。鑑於資料抹除惡意軟件變得更廣泛易得,只要配合適當方法加以利用,加上現時網絡罪行均帶有組織性,資料抹除惡意軟件可能會在短時間內造成大規模破壞。有鑑於此,偵測所需時間及網絡安全團隊採取補救措施的速度變得至關重要。

利用由AI推動的內聯沙盒是個不錯的入手方法,藉以防禦複雜的勒索軟件和資料抹除惡意軟件威脅。這類沙盒針對不斷演變的攻擊提供實時防護,若與網絡安全平台整合,可以確保只有無害檔案才會傳送到端點。

上述攻擊趨勢對網絡安全專業人員的意義

整體而言,網絡犯罪世界和對手的攻擊方法繼續急速擴展。好消息是,他們策動這些攻擊的策略多已為人熟悉,令網絡安全團隊能更有效抵禦攻擊。安全解決方案應引入機器學習和人工智能技術,藉以增強實力,實時偵測攻擊模式並阻止威脅。然而,同時採納多個單點安全解決方案,並不足以應付現今局勢的威脅。擁有廣泛、綜合且自動化的網絡安全網格平台尤為關鍵,不但能減低實際操作的複雜程度,同時提高安全韌性,令整合更緊密、能見度更高,並且能更快速、協調和有效地應對跨網絡威脅。

FortiGuard Labs首席安全策略師及全球威脅情報副總裁Derek Manky表示「隨着網絡罪行與高級長期威脅方式結合,網絡犯罪分子正設法把新技術大規模武器化,企圖製造更多干擾和破壞。他們將超越傳統攻擊面,即傳統網絡環境外部和內部也將成為他們的目標。與此同時,他們將花更多時間在偵察功夫上,藉以試圖逃避偵測、情報和管制。這一切意味着網絡風險將繼續升級,資訊安全總監需要像對手一樣靈活、具備計策。機構可利用跨網絡、端點和雲端整合的網絡安全平台,獲享自動化和可採取行動的威脅情報,以及高級威脅行為偵測及應對功能,以提升實力抵禦這些攻擊。」


  •  
  •  
  •