移动设备和智能家居易成切入口
三角测量行动揭露了一场非常复杂的网络间谍活动,该活动主要针对iOS设备,利用五个漏洞进行攻击,其中包括四个零日漏洞。这些攻击的一个显著特点是,它们不仅针对苹果智能手机,还针对平板电脑、笔记本电脑、可穿戴设备、苹果电视和苹果手表设备,并可用于窃听。
根据卡巴斯基的观察,APT攻击者可能会扩大他们的监视范围,以囊括更多智能家居设备,像智能摄像头和联网汽车系统。攻击者对此感兴趣是因为这些设备通常不受控制,没有更新或补丁,且容易受到错误配置的影响。这是一个令人担忧的问题,因为现在越来越多企业采取混合办公模式,员工的家庭设备容易成为APT攻击的入口或跳板。
新的僵尸网络将会出现
僵尸网络在网络犯罪活动中比APT攻击更为普遍,卡巴斯基预测其未来的使用会更加频繁,原因有二。
首先,僵尸网络会造成防御混乱。僵尸网络攻击可能通过大范围攻击掩盖其背后的实质目标。在这种情况下,防御者可能简单认为此类攻击的挑战性源于发起者,误将其当作是一种普遍的广泛攻击。
其次,僵尸网络能掩盖攻击者的网络基础设施。僵尸网络可以充当代理网络,也可以充当中间命令和控制服务器。
卡巴斯基提到在ZuoRAT案中,该公司利用小型办公室/家庭办公室路由器让设备感染恶意软件,预计2024年将出现新的此类攻击。
内核级代码部署增多
微软增加了对rootkit(在内核级运行的恶意代码片段)的防护,如内核模式代码签名或安全内核架构等。尽管采取了安全措施,从攻击者的角度来看,在内核级运行代码变得更加困难,但依然可行。卡巴斯基观察到仍有许多APT攻击者和网络罪犯在目标系统的内核模式下执行代码。最近的攻击包括Netfilter rootkit,FiveSys rootkit和 POORTRY恶意软件。
卡巴斯基认为,以下三个因素将赋予攻击者在Windows操作系统中运行内核级代码的能力:
·扩展验证证书和盗窃的代码签名证书将越来越多地在地下市场传播/出售。
·越来越多的人滥用开发者账户,通过微软的代码签名服务(如Windows硬件兼容程序)获得恶意代码签名。
·网络攻击更多地指向BYOVD(自身存在问题的驱动程序)。
APT活动成为地缘政治冲突的新常态
卡巴斯基表示,“很难想象没有黑客参与的未来冲突。”网络战可以通过多种方式实现,运行分布式拒绝服务攻击(DDoS)已经变得越来越普遍,虚晃的黑客声明也会导致网络安全研究人员和事件处理人员不得不进行不必要的调查,深度伪造(Deepfakes)和虚假信息工具也被频频搬上政治博弈的角逐场。
供应链攻击即服务愈加流行
中小型企业通常缺乏抵御APT攻击的强大安全防御,并被黑客用作访问其真正目标的数据和基础设施的通道。
具有代表性的例子是身份管理公司Okta遭遇的数据泄露事件,其漏洞在2022年和2023让全球超过18,000名客户面临威胁。
卡巴斯基认为,供应链攻击趋势可能会以多种方式演变。首先,开源软件可能会被用来针对特定的企业开发人员。此外,地下市场会引入新的产品,如提供对各种软件供应商或IT服务供应商的完全访问包,以服务的形式提供真正的供应链攻击。
更多组织将提供雇佣黑客的业务
卡巴斯基推测未来将会看到更多的组织像DeathStalker一样运作。这个黑客团伙主要攻击律师事务所和金融机构,提供黑客服务并充当信息经纪人,而不是像传统的APT团伙那样运作。一些APT组织可能会提供“雇佣黑客”服务,扩大其活动范围来售出此类服务。他们可以借此赚取收入以维持其网络间谍活动。
卡巴斯基表示已经观察到APT攻击者针对开发者的进攻,例如,在游戏领域因精确攻击全球私人公司而臭名昭著的Winnti组织,他们的主要目标是窃取在线游戏项目的源代码和合法软件供应商的数字证书。虽然在这是推测,但如果有市场需求,此类攻击者应该会毫不犹豫地拓展服务。
人工智能在鱼叉式网络钓鱼中的应用增加
网络犯罪分子和APT攻击者已开始在其活动中使用生成式人工智能,其中包括专门为恶意目的而设计的大语言模型。与真正的人工智能相比,它们缺乏固有的道德约束和内容规范。
网络犯罪分子发现,此类生成式人工智能工具有助于鱼叉式网络钓鱼电子邮件内容的大规模生产,这恰恰是针对组织的初始感染媒介。与网络犯罪分子所写的信息相比,这些工具所写的信息更具说服力,文笔更好,并且能够模仿特定的写作风格。
卡巴斯基预计,攻击者未来会开发新的方法来实现网络间谍活动的自动化。一种方法是自动收集与受害者有关各种线上信息,包括社交媒体、网站等等。
对MFT的利用增加
托管文件传输系统(MFT)已成为许多组织安全传输数据(包括知识产权或财务记录)的必备工具。2023年,针对MOVEit和GoAnywhere的攻击表明,勒索软件攻击者对这些系统特别感兴趣,但其他威胁者对MFT同样感兴趣。
正如卡巴斯基提到的,“MFT系统的复杂架构,加上它们与更广泛的商业网络的集成,隐藏着潜在可供利用的安全漏洞。随着攻击能力的提高,MFT系统漏洞将成为更明显的威胁载体。”
如何防范APT威胁
在企业环境中,使用扩展检测和响应XDR、安全信息和事件管理SIEM以及移动设备管理系统等解决方案,可以极大地帮助检测威胁、集中数据、加速分析和关联来自不同来源的安全事件。与检测相对应,组织还应该建立最新的事件响应计划,该计划应包含要采取的步骤,以及在紧急情况下要联系的人员和服务列表。同时,应该通过攻击模拟来定期测试该计划的有效性。
安全419观察到,以上解决方案在功能上互有交织或延伸,正成为新一代安全运营的支撑。比如,随着SOC的逐渐发展和SOAR框架的普及,填补了传统SIEM系统留下的功能空白,也有诸多SIEM和SOAR赛道的厂商开始转向XDR拓展,覆盖混合IT架构构建更高的可见性和更全面的威胁管理。
专注于威胁检测与响应的安全厂商未来智安建立的XDR平台,具备面向终端和流量的全面攻击检测能力,通过智能化事件分析引擎(AiE)能够自动完成每日千万级零散警告的分析并生成几十条完整攻击事件,让攻击检测有效性提升百倍以上。SOAR技术的应用,可以实现事件响应处置的高效自动化,将威胁事件运营效率从小时级提高到分钟级,运营效率提升八倍以上。
同时,强烈建议实施严格的访问控制。最小特权原则应该始终用于任何资源,并尽可能部署多因素身份认证MFA。
授权与访问是一切攻击的源头,当非黑即白的、静态的身份控制、权限管理机制在数字时代频频失效后,零信任逐渐成为落地新一代安全架构的有效利器,成为企业办公安全的首选。作为一个广泛适用的安全理念,零信任的实践具有非常多的细分路径,针对防范APT威胁这一目标,安全419推荐关注持安科技的远望办公安全平台。
其诞生正是源自大型甲方集团防范APT攻击的诉求,是谷歌Beyondcorp架构在国内的落地实践,采用切面分层模型,从链路、网络、应用到数据均实现了不同颗粒度的零信任代理和控制能力。在身份管理和访问控制的场景中,平台通过对接用户身份和SSO、混合式MFA认证实现用户统一登录,基于角色、应用、IP等授权进行统一授权管理,并提供数据安全、动态防护策略、业务暴露面收敛、终端安全管理、快速应急分析等综合能力。
此外,网络分段可以限制攻击者对受损网络的查探并在内网中横移。特别要注意的是,关键系统应该与公司网络的其余部分完全隔离。
这就不得不提零信任思想的另一分支落地应用——微隔离,其核心是把网络在逻辑上分成足够细粒度的微小网段,以确保每一个网段上只有一个计算资源,而所有需要进出这个微网段的流量都需要经过访问控制设备。
国内微隔离领域的长期践行者当属蔷薇灵动,其近期推出的知心东西向网络数据分析平台(ZSIEM)是一款以业务视角对数据中心东西向网络访问进行安全分析、异常监测和事件处置的平台化产品,通过对时序连接关系、资产业务属性、合法访问规则、违规访问记录、主机开放服务的统合计算,从东西向业务访问、端口暴露面和安全事件等维度对业务系统、工作负载的安全上下文进行分析和可视化展现,解决用户对数据中心内部风险及威胁不可视、无感知的困扰。