網(wǎng)絡(luò)犯罪出現(xiàn)了空前增長(zhǎng)。Fortinet研究表明，在2020年7月至2021年6月之間的12個(gè)月內(nèi)，勒索軟件數(shù)量增加了近11倍。然而，未來(lái)面臨的挑戰(zhàn)遠(yuǎn)不止這些。

FortiGuard Labs研究發(fā)現(xiàn)，2022年將成為網(wǎng)絡(luò)犯罪分子的標(biāo)志性年份，勒索軟件呈上升趨勢(shì)，并且數(shù)量空前的攻擊者排隊(duì)尋找受害者。攻擊將繼續(xù)跨越整個(gè)攻擊面，讓IT團(tuán)隊(duì)爭(zhēng)先恐后地覆蓋所有可能的攻擊途徑。這將非常具有挑戰(zhàn)性，因?yàn)殡S著組織過(guò)渡到更多混合環(huán)境和工作空間、采用更多基于AI和機(jī)器學(xué)習(xí)技術(shù)、開(kāi)發(fā)新的連接選項(xiàng)、以及將更多關(guān)鍵業(yè)務(wù)應(yīng)用程序和設(shè)備部署到云中，攻擊面將同時(shí)擴(kuò)大。通過(guò)了解與網(wǎng)絡(luò)威脅相關(guān)的未來(lái)可能會(huì)發(fā)生的事情，為企業(yè)提供了擊敗網(wǎng)絡(luò)威脅的最佳機(jī)會(huì)。

一、攻擊框架

在MITRE的ATT&CK框架下,網(wǎng)絡(luò)犯罪通常分為攻擊鏈的“左側(cè)”或“右側(cè)”。右側(cè)是更常見(jiàn)的攻擊，例如構(gòu)建和啟動(dòng)惡意軟件以破壞系統(tǒng)、竊取數(shù)據(jù)或劫持網(wǎng)絡(luò)。這些攻擊是大多數(shù)網(wǎng)絡(luò)犯罪分子的傳統(tǒng)領(lǐng)域。左側(cè)是獲得初始訪問(wèn)權(quán)限、執(zhí)行偵察和漏洞武器化等內(nèi)容。高級(jí)持續(xù)威脅(APT)位于左側(cè)，因?yàn)槠浯蟛糠止ぷ鞫及l(fā)生在攻擊之前，包括規(guī)劃、開(kāi)發(fā)和武器化戰(zhàn)略，例如識(shí)別易受攻擊的網(wǎng)絡(luò)、獲得未經(jīng)授權(quán)的訪問(wèn)、以及長(zhǎng)時(shí)間未被發(fā)現(xiàn)。APT通常與擁有大量資源的惡意組織有關(guān)，例如民族國(guó)家或國(guó)家資助的參與者。

隨著網(wǎng)絡(luò)犯罪事件的增加，越來(lái)越多的犯罪組織爭(zhēng)奪利潤(rùn)，研究人員預(yù)計(jì)網(wǎng)絡(luò)犯罪分子將進(jìn)行更多的“左側(cè)”投資。與國(guó)家資助的APT組織一樣，網(wǎng)絡(luò)犯罪分子將在偵察和發(fā)現(xiàn)零日漏洞上花費(fèi)更多的時(shí)間和精力，以利用新技術(shù)和擴(kuò)展網(wǎng)絡(luò)環(huán)境，這將刺激未來(lái)CVE的增加。

除了發(fā)現(xiàn)更多漏洞之外，利用這些漏洞進(jìn)行攻擊將更容易被其他攻擊者利用，并整合到其他攻擊工具包中。新漏洞的增加自然會(huì)與惡意軟件即服務(wù)的增長(zhǎng)相融合。因此，網(wǎng)絡(luò)犯罪分子不僅會(huì)發(fā)現(xiàn)更多的零日漏洞并將其武器化，而且由于眾多威脅行為者附屬機(jī)構(gòu)同時(shí)發(fā)起攻擊的倍增因素，這些漏洞攻擊也會(huì)以指數(shù)級(jí)的速度啟動(dòng)。

除了關(guān)注于攻擊鏈“左側(cè)”，由于犯罪即服務(wù)市場(chǎng)的擴(kuò)大，研究人員預(yù)計(jì)“右側(cè)”發(fā)起新攻擊的速度顯著增加。除了勒索軟件和其他惡意軟件即服務(wù)產(chǎn)品的銷售之外，也可能還會(huì)看到新的犯罪解決方案，包括網(wǎng)絡(luò)釣魚和僵尸網(wǎng)絡(luò)即服務(wù)，以及對(duì)預(yù)先泄露目標(biāo)的訪問(wèn)。

二、攻擊目標(biāo)

Fortinet研究人員預(yù)計(jì)，明年將看到針對(duì)衛(wèi)星網(wǎng)絡(luò)的新漏洞利用。目前已經(jīng)有六個(gè)主要的衛(wèi)星互聯(lián)網(wǎng)提供商。衛(wèi)星基站作為衛(wèi)星網(wǎng)絡(luò)的入口點(diǎn)，基本上將每個(gè)地方的每個(gè)人（包括網(wǎng)絡(luò)犯罪分子）連接到他們的目標(biāo)，因此這里將潛伏著許多威脅。但是也會(huì)有數(shù)百萬(wàn)個(gè)終端可以發(fā)起攻擊。研究人員已經(jīng)開(kāi)始看到針對(duì)基于衛(wèi)星的網(wǎng)絡(luò)的新威脅，例如ICARUS，這是一種概念驗(yàn)證DDoS攻擊，利用全球衛(wèi)星直接訪問(wèn)從多個(gè)位置發(fā)起攻擊。

最大的攻擊目標(biāo)將是依靠基于衛(wèi)星的連接來(lái)經(jīng)營(yíng)業(yè)務(wù)的組織、向偏遠(yuǎn)地區(qū)提供關(guān)鍵服務(wù)的組織、以及向移動(dòng)中的客戶提供服務(wù)的組織，例如游輪、貨船和商業(yè)航空公司。其他攻擊，如勒索軟件攻擊，肯定會(huì)隨之而來(lái)。

研究人員還預(yù)計(jì)，攻擊者針對(duì)加密錢包的數(shù)字盜竊會(huì)增加。雖然銀行在很大程度上能夠使用加密和多因素身份驗(yàn)證來(lái)抵御針對(duì)電匯的攻擊，但許多數(shù)字錢包在筆記本電腦和智能手機(jī)上沒(méi)有受到保護(hù)。研究人員已經(jīng)看到針對(duì)數(shù)字錢包的新攻擊層出不窮。一款新的假冒亞馬遜禮品卡生成器專門針對(duì)數(shù)字錢包，將受害者的錢包替換為攻擊者的錢包。ElectroRAT通過(guò)將社交工程與自定義加密貨幣應(yīng)用程序以及新的遠(yuǎn)程訪問(wèn)特洛伊木馬（RAT）相結(jié)合，將Windows、Linux和macOS等多種操作系統(tǒng)為作為攻擊目標(biāo)。研究人員預(yù)計(jì)將看到更多旨在針對(duì)存儲(chǔ)的加密憑證和耗盡數(shù)字錢包的惡意軟件，尤其是隨著越來(lái)越多的企業(yè)采用數(shù)字錢包進(jìn)行購(gòu)買。

三、威脅演變趨勢(shì)

傳統(tǒng)的攻擊目標(biāo)仍然占據(jù)著重要位置。剛剛推出的Windows 11操作系統(tǒng)自然會(huì)有與此相關(guān)的新漏洞，威脅行為者會(huì)利用這些漏洞進(jìn)行攻擊。但這只是開(kāi)始，在來(lái)年，還將看到正在發(fā)展的新趨勢(shì)。

目標(biāo)較少的系統(tǒng)：Linux在大多數(shù)網(wǎng)絡(luò)中運(yùn)行許多后端系統(tǒng)，但直到最近才在很大程度上被黑客社區(qū)所忽視。Vermilion Strike是臭名昭著的Cobalt Strike工具中關(guān)鍵功能Beacon的惡意實(shí)現(xiàn)。Cobalt Strike是紅隊(duì)和威脅行為者用來(lái)證明網(wǎng)絡(luò)破壞風(fēng)險(xiǎn)的“威脅模擬”軟件程序，Beacon旨在提供惡意負(fù)載，并在Windows環(huán)境中建立命令和控制(C2)連接。Vermilion Strike以具有遠(yuǎn)程訪問(wèn)功能的Linux系統(tǒng)為目標(biāo)，因?yàn)樗贚inux環(huán)境中運(yùn)行時(shí)完全不被檢測(cè)到。

Linux僵尸網(wǎng)絡(luò)：威脅行為者正在為L(zhǎng)inux平臺(tái)編寫新的僵尸網(wǎng)絡(luò)惡意軟件，這些惡意軟件既可以將設(shè)備武器化，又可以降低性能。這進(jìn)一步將威脅面擴(kuò)展到網(wǎng)絡(luò)邊緣，并增加了需要防御的威脅。研究人員預(yù)計(jì)會(huì)有更多此類活動(dòng)，針對(duì)網(wǎng)絡(luò)犯罪分子傳統(tǒng)上忽視的邊緣設(shè)備，例如邊緣計(jì)算設(shè)備和服務(wù)器。

Windows上的新惡意Linux二進(jìn)制文件：研究人員已檢測(cè)到針對(duì)Microsoft的Windows下的Linux子系統(tǒng)(WSL)的新惡意二進(jìn)制文件，WSL是在Windows 10、Windows 11和Windows Server 2019上本地運(yùn)行Linux二進(jìn)制可執(zhí)行文件的兼容層。2021年該領(lǐng)域已經(jīng)發(fā)生了一些變化，檢測(cè)到的惡意測(cè)試文件充當(dāng)加載程序，其中許多包含惡意負(fù)載。隨著微軟積極將WSL 2與Windows 11集成，2022年還會(huì)有更多，使Linux成為針對(duì)Windows設(shè)備的潛在新攻擊向量。

運(yùn)營(yíng)技術(shù)（OT）網(wǎng)絡(luò)和其他非傳統(tǒng)目標(biāo)：2022年將看到針對(duì)非傳統(tǒng)目標(biāo)的攻擊增加，例如運(yùn)營(yíng)技術(shù)（OT）系統(tǒng)。根據(jù)美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)最近的一份報(bào)告，勒索軟件攻擊越來(lái)越多地針對(duì)關(guān)鍵基礎(chǔ)設(shè)施，并且“已經(jīng)證明勒索軟件對(duì)運(yùn)營(yíng)技術(shù)(OT)資產(chǎn)和控制系統(tǒng)的威脅越來(lái)越大”。美國(guó)國(guó)家安全局(NSA)一份類似的網(wǎng)絡(luò)安全公告表示，“隨著OT組件繼續(xù)與信息技術(shù)(IT)連接，IT開(kāi)發(fā)越來(lái)越多地成為OT破壞性影響的支點(diǎn)�！痹摍C(jī)構(gòu)還建議防御網(wǎng)絡(luò)的所有者對(duì)其OT進(jìn)行詳細(xì)的風(fēng)險(xiǎn)分析。傳統(tǒng)上，對(duì)OT系統(tǒng)的攻擊是高度專業(yè)化的威脅行為者的領(lǐng)域，但此類功能越來(lái)越多地包含在可在暗網(wǎng)上購(gòu)買的攻擊工具包中，從而使其可供更多的攻擊者使用。

量子目標(biāo)：明年將開(kāi)始看到量子計(jì)算機(jī)的武器化，尤其是量子加密。與任何新技術(shù)一樣，會(huì)有很多研究人員在尋找bug、漏洞和繞過(guò)。雖然這項(xiàng)技術(shù)仍然主要掌握在大公司、大學(xué)和政府手中，但這并不意味著它不能被利用。民族國(guó)家已經(jīng)從其他感興趣的國(guó)家和行業(yè)收集了大量數(shù)據(jù)，其中大部分是加密的。很快，量子系統(tǒng)的力量將被用來(lái)打破保護(hù)數(shù)據(jù)的傳統(tǒng)加密，揭示將用于執(zhí)行未來(lái)/額外攻擊的關(guān)鍵信息。

機(jī)器學(xué)習(xí)(ML)目標(biāo)：明年也可能會(huì)看到第一次嘗試篡改或逃避基于機(jī)器學(xué)習(xí)(ML)的系統(tǒng)，尤其是在面向互聯(lián)網(wǎng)的外部系統(tǒng)上。犯罪分子將瞄準(zhǔn)位于網(wǎng)絡(luò)邊緣的面向互聯(lián)網(wǎng)的ML學(xué)習(xí)節(jié)點(diǎn)。一個(gè)基于機(jī)器學(xué)習(xí)的漏洞利用的例子是暗中訓(xùn)練安全系統(tǒng)忽略某些類型的攻擊。這一類威脅非常嚴(yán)重，以至于MITRE宣布了一個(gè)名為ATLAS（人工智能系統(tǒng)的對(duì)抗性威脅格局）的新威脅矩陣，旨在幫助組織識(shí)別和分類針對(duì)ML系統(tǒng)的攻擊。

犯罪即服務(wù)(CaaS)的增長(zhǎng)：勒索軟件即服務(wù)為開(kāi)發(fā)人員和附屬機(jī)構(gòu)賺取了數(shù)十億美元。利用這種商業(yè)模式的新產(chǎn)品包括一系列勒索軟件服務(wù)，包括向預(yù)先受損的組織出售訪問(wèn)權(quán)限、幫助設(shè)置和協(xié)商贖金費(fèi)用、以及洗錢（包括加密貨幣）。預(yù)計(jì)這種模型在其他地方應(yīng)用，擴(kuò)展CaaS產(chǎn)品組合以包括網(wǎng)絡(luò)釣魚即服務(wù)和僵尸網(wǎng)絡(luò)/短信即服務(wù)。

2022年將繼續(xù)看到這種犯罪軟件的擴(kuò)張，尤其是使用破壞性勒索軟件。網(wǎng)絡(luò)犯罪分子已經(jīng)認(rèn)識(shí)到，他們可以通過(guò)在線轉(zhuǎn)售惡意軟件（尤其是作為一項(xiàng)服務(wù)）來(lái)賺很多錢。但是，與其直接與提供類似工具的其他公司競(jìng)爭(zhēng)，還將看到犯罪組織將其產(chǎn)品組合擴(kuò)展到包括Linux、OT和其他非傳統(tǒng)目標(biāo)，以及針對(duì)非常規(guī)（通常安全性較低）系統(tǒng)的產(chǎn)品。持有此類系統(tǒng)以獲取贖金是有利可圖的，但當(dāng)OT和關(guān)鍵基礎(chǔ)設(shè)施成為目標(biāo)時(shí)，也會(huì)產(chǎn)生可怕的后果，包括影響個(gè)人的生命和安全。這些也將成為一個(gè)新的攻擊網(wǎng)關(guān)，因?yàn)殡S著網(wǎng)絡(luò)日益互聯(lián)，幾乎任何接入點(diǎn)都可以被利用來(lái)進(jìn)入IT網(wǎng)絡(luò)。

四、漏送利用

雖然大多數(shù)攻擊繼續(xù)利用已知漏洞，但網(wǎng)絡(luò)犯罪分子也在加倍努力瞄準(zhǔn)新漏洞。例如一月份，黑客組織Hafnium開(kāi)始利用微軟Exchange Server中的七個(gè)新漏洞，比補(bǔ)丁發(fā)布時(shí)間早了兩個(gè)多月。雖然微軟之前已經(jīng)發(fā)現(xiàn)了其中三個(gè)漏洞，但有四個(gè)是未知的零日漏洞。Hafnium的自動(dòng)化攻擊主要針對(duì)未打補(bǔ)丁的Exchange服務(wù)器，然后使用設(shè)計(jì)好的Webshell遠(yuǎn)程控制惡意軟件、竊取數(shù)據(jù)、并未經(jīng)授權(quán)訪問(wèn)關(guān)鍵系統(tǒng)。全球數(shù)以萬(wàn)計(jì)的組織受到影響，包括總部位于美國(guó)的組織，如律師事務(wù)所、國(guó)防承包商、進(jìn)行傳染病研究實(shí)驗(yàn)室和非政府組織。

到2022年，F(xiàn)ortinet研究人員預(yù)期，對(duì)新漏洞的狂熱將繼續(xù)超越Hafnium。為應(yīng)對(duì)過(guò)去備受矚目的攻擊，許多組織終于將時(shí)間用于基本的網(wǎng)絡(luò)衛(wèi)生。隨著漏洞補(bǔ)丁的陸續(xù)發(fā)布，大多數(shù)網(wǎng)絡(luò)犯罪分子試圖利用一到三年的CVE，2022年很可能成為CVE報(bào)告數(shù)量最多的一年，可能首次突破20000個(gè)，攻擊者將開(kāi)始利用這些新的或零日漏洞來(lái)攻擊沒(méi)有做好準(zhǔn)備的組織。

五、勒索軟件

勒索軟件一直依靠其加密、破壞和泄露數(shù)據(jù)的能力來(lái)迫使組織付款。早期跡象表明，除非滿足贖金要求，否則他們開(kāi)始加大賭注，將Wiper擦除惡意軟件添加到武器庫(kù)中，以刪除數(shù)據(jù)并破壞關(guān)鍵系統(tǒng)，例如OT或制造設(shè)備和服務(wù)器。諷刺的是，Wiper惡意軟件已有近十年的歷史，例如DarkSeoul和Shamoon是2012年臭名昭著的擦除器變種，因此作為當(dāng)今更復(fù)雜威脅的一部分卷土重來(lái)。

網(wǎng)絡(luò)犯罪分子已經(jīng)在勒索軟件活動(dòng)中增加了敲詐勒索。他們竊取關(guān)鍵數(shù)據(jù)并威脅將其發(fā)布到公共服務(wù)器上。一些威脅行為者甚至開(kāi)始聯(lián)系受害者的客戶，向受害者施壓，以迫使其付款。勒索非常有效，以至于一些犯罪分子，例如SnapMC，已經(jīng)開(kāi)始完全繞過(guò)加密元素。他們只是竊取數(shù)據(jù)，然后要求公司付款，否則他們將公開(kāi)內(nèi)部數(shù)據(jù)。

勒索軟件攻擊者還通過(guò)將勒索軟件與分布式拒絕服務(wù)(DDoS)相結(jié)合來(lái)增加噪音，希望壓倒IT團(tuán)隊(duì)，使他們無(wú)法做出決定來(lái)減輕初始攻擊的損害。加上擦除惡意軟件，不僅會(huì)破壞數(shù)據(jù)，還會(huì)破壞系統(tǒng)和硬件，為公司快速付款而不是拖延事件創(chuàng)造了額外的緊迫感，這有時(shí)可能是受害者用來(lái)為執(zhí)法部門提供發(fā)現(xiàn)攻擊者的更大窗口的一種策略。

今年夏天，擦除惡意軟件已經(jīng)明顯卷土重來(lái)，攻擊目標(biāo)是東京奧運(yùn)會(huì)，并中斷伊朗的火車服務(wù)。鑒于攻擊方法和APT之間的融合程度，研究人員認(rèn)為，將Wiper惡意軟件等破壞性功能添加到大多數(shù)勒索軟件中只是時(shí)間問(wèn)題。

六、人工智能武器化

一段時(shí)間以來(lái)，研究人員已經(jīng)預(yù)測(cè)，網(wǎng)絡(luò)犯罪分子將開(kāi)始利用人工智能來(lái)增強(qiáng)其惡意活動(dòng)。人工智能已經(jīng)用于防御性地檢測(cè)可能表明攻擊的異常物聯(lián)網(wǎng)行為，通常是僵尸網(wǎng)絡(luò)�，F(xiàn)在，網(wǎng)絡(luò)攻擊者正在利用人工智能來(lái)阻止用于檢測(cè)異�；顒�(dòng)的復(fù)雜算法。

Deepfakes越來(lái)越受到關(guān)注，因?yàn)槠淅肁I來(lái)模仿人類活動(dòng)，并可用于增強(qiáng)社會(huì)工程攻擊。GPT-3是一個(gè)基于人工智能的系統(tǒng)，使用深度語(yǔ)言學(xué)習(xí)來(lái)生成聽(tīng)起來(lái)令人信服的電子郵件。利用它，攻擊者可以通過(guò)破壞郵件服務(wù)器或運(yùn)行中間人攻擊來(lái)利用被劫持的電子郵件，來(lái)生成電子郵件和電子郵件回復(fù)，模仿經(jīng)理或高管的寫作風(fēng)格、用詞選擇和語(yǔ)氣，例甚至引用以前的通信。

這只是一個(gè)開(kāi)始，已經(jīng)有在線軟件工具可以克隆人類的聲音。只需幾秒鐘的音頻就可以創(chuàng)建一個(gè)人的聲音指紋，然后實(shí)時(shí)生成任意語(yǔ)音。8月份發(fā)布了一段Deepfake概念驗(yàn)證視頻，展示了一位扮演的NVIDIA首席執(zhí)行官的形象。盡管仍處于初始開(kāi)發(fā)階段，但隨著CPU/GPU的性能變得更強(qiáng)大且更便宜，這種類型的支持AI的Deepfake將成為問(wèn)題。通過(guò)高級(jí)應(yīng)用程序的商業(yè)化，也將降低創(chuàng)建Deepfake的門檻。這最終可能導(dǎo)致對(duì)可以通過(guò)生物特征分析的語(yǔ)音和視頻應(yīng)用程序進(jìn)行實(shí)時(shí)模擬。這種可能性是無(wú)限的，包括消除聲紋作為一種身份驗(yàn)證形式。

剛剛發(fā)布了一款名為Counterfit的開(kāi)源工具，用于對(duì)人臉識(shí)別、圖像識(shí)別和欺詐檢測(cè)等AI系統(tǒng)進(jìn)行滲透測(cè)試，以確保所使用的算法是可信的。組織還可以利用此工具進(jìn)行紅藍(lán)對(duì)抗模擬。預(yù)計(jì)攻擊者也會(huì)這樣做，使用此工具來(lái)識(shí)別人工智能系統(tǒng)中的漏洞。

七、防御措施

了解典型的網(wǎng)絡(luò)犯罪攻擊技術(shù)可以有效的改善組織的整體安全態(tài)勢(shì)。建立零信任訪問(wèn)及分段等有效的安全策略，可有助于防止勒索軟件攻擊并保護(hù)數(shù)據(jù)。此外，定期備份數(shù)據(jù)、離線和非網(wǎng)絡(luò)存儲(chǔ)可以在需要時(shí)提供快速恢復(fù)備份。同時(shí)，關(guān)注攻擊趨勢(shì)，并使用共享數(shù)據(jù)來(lái)識(shí)別行為模式。網(wǎng)絡(luò)犯罪分子有時(shí)會(huì)使用相同的技術(shù)，利用一些沒(méi)有打補(bǔ)丁或未被注意到的漏洞。