日前，趨勢科技研究發布了《2022年網絡安全威脅態勢報告（年中版）》，對目前影響網絡安全發展格局的重要趨勢和事件進行了盤點和分析。報告研究發現，目前企業組織所面臨的網絡安全威脅態勢，呈現出以下特點：

　　勒索攻擊已經轉向更有利可圖和更流行的貨幣化方式，勒索軟件即服務（RaaS）成為廣泛應用的攻擊模式；

　　高級持續性威脅（APT）組織開始利用更加復雜的工具包和廣泛的信息基礎設施；

　　安全漏洞數量仍在快速增長中，其中嚴重和高危性漏洞的數量占比進一步提升；

　　云計算平臺及其中的應用系統已經成為惡意攻擊者最關注的攻擊目標。

　　以上特點表明，企業數字攻擊面持續增長將成為常態化趨勢，組織應該為此做好充分準備，不僅要更全面地發現威脅隱患，同時還要認真思考，如何才能部署正確的安全措施和策略，以保護其環境和系統能夠應對不斷增長的網絡攻擊面。

　　01 數字攻擊面威脅態勢分析

　　報告發現，在過去幾年中，許多公司通過采用數字技術來改變其現有的業務模式、流程和公司文化，以此應對數字化轉型的挑戰。這種轉變創造了更廣泛的數字攻擊面，涵蓋更廣泛的領域，包括電子郵件收件箱、物聯網（IoT）設備、移動應用程序、網站、公共云服務，甚至供應鏈基礎設施。

　　報告對來自29個國家（地區）的6,297名信息化安全管理者進行了訪談調研，其中73%的受訪者對目前數字攻擊面的增長規模表示擔心，其所在的組織尚未做好應對準備；37%的受訪者將目前的攻擊面描述為“正在不斷擴展和復雜化”，而另外43%的受訪者擔心“未來的攻擊面管理可能會失控”。

　　報告還發現，許多企業組織并不確定如何應對他們面臨的風險。38%的受訪者認為量化網絡風險是他們面臨的主要挑戰，而33%的受訪者表示他們缺乏了解和管理網絡安全風險的資源。另有32%的受訪者表示，他們對面臨風險的領域了解有限。

　　反觀網絡攻擊者，已經開始具備利用更多樣技術工具和基礎設施的能力。報告發現，目前高級持續性威脅（APT）組織的針對性攻擊活動仍在繼續，并且這些組織已經能夠使用更加大型的基礎設施，并在攻擊中集成不同種類的惡意軟件工具來實現長期潛伏。

　　此外，盡管新的惡意軟件通常會引起安全行業和公眾的關注，但那些已被證明有效的傳統惡意軟件仍然會對組織構成嚴重威脅。事實證明，惡意行為者正越來越多地轉向商品化惡意軟件和其他工具，以提高他們的攻擊效率。例如，Emotet僵尸網絡正發展成為惡意軟件即服務（MaaS）方案。

　　Emotet于2014年首次亮相，后在不同國家執法機構的共同努力下，其基礎設施被拆除。然而，這并不意味著Emotet的終結。報告研究發現，與2021年上半年相比，Emotet在2022年上半年的檢測量大幅上升，這證明該僵尸網絡開始死灰復燃，因為黑客組織選擇將其整合到他們的操作中。研究人員甚至將Conti運營商確認為推動Emotet復蘇的原因之一。

　　相較2021年上半年，2022年上半年的Emotet檢測增加了10倍以上

　　02 勒索軟件威脅態勢分析

　　勒索軟件即服務（RaaS）的出現導致網絡犯罪分子可以使用更多的工具和基礎設施。調查數據顯示，今年上半年，出現了超過50個活躍的RaaS和勒索組織，而且超過1,200個組織受到勒索軟件的攻擊。

　　活躍的RaaS和勒索組織數量（57個） VS. 受害組織數量（1205個）

　　報告指出，LockBit、Conti和BlackCat是2022年上半年RaaS領域的主要參與者。其中，BlackCat是一種相對較新的勒索軟件，在2021年幾乎檢測不到，但在2022年開始呈現迅速增長趨勢。即使是較老的勒索軟件，如LockBit和Conti，同樣出現了大幅增長趨勢。與去年上半年相比LockBit的檢測數量在2022年上半年增加了5倍以上，而Conti的檢測數量幾乎增加了兩倍。

　　調查同時發現，目前針對基于Linux設備的勒索軟件攻擊同比增加了75%，預計未來惡意攻擊者還會將更多精力集中在Linux上。

　　2022年上半年針對Linux設備的勒索攻擊數量

　　03 漏洞安全態勢分析

　　01 嚴重和高危漏洞數量增加

　　2022年上半年，CVE發布的漏洞數量大幅增加：12,380個CVE記錄，與2021年上半年發布的9,420個CVE記錄相比大幅增加。同樣的趨勢也呈現在趨勢科技ZDI計劃披露的漏洞數量上，該計劃發布了關于944個漏洞的公告，比2021年上半年的770個漏洞增加了約23%。其中，高危等級的漏洞占已發布漏洞的最大部分（68%）。與2021年同期相比，嚴重和高危性漏洞均大幅增加。

　　2022年上半年安全漏洞態勢

　　02 重要業務工具和軟件存在漏洞隱患

　　涉及關鍵軟件、工具和組件的漏洞由于其影響的性質，通常是最危險的缺陷類型之一。2022年上半年出現了更多影響企業應用軟件安全的漏洞，其中最引人注目的是Spring4Shell漏洞。Spring4Shell漏洞通常發生在特殊對象或類暴露于特定條件時，想要直接訪問對象的攻擊者可以通過在其請求中指定類變量來實現。除此之外，Samba（適用于Linux和Unix的標準Windows互操作性程序套件）中的漏洞CVE-2021-44142允許未經身份驗證的攻擊者在root級別執行代碼。這些漏洞進一步證實，影響無處不在的基礎軟件漏洞仍將是惡意行為者利用的主要選擇。

　　03 新發現的漏洞威脅DDS標準

　　數據分發服務（DDS）標準是中間件技術的一個示例，它作為連接標準，可實現安全的實時信息交換、模塊化應用程序開發以及工業物聯網（IIoT）的快速集成。DDS用于在交通、機器人、電信、醫療保健和國防等領域的傳感器、控制器和執行器之間實現可靠的通信層。

　　除了DDS在軟件供應鏈中的重要性之外，還值得注意的是，它位于供應鏈的起點，很容易被人遺忘。因此，惡意行為者將DDS視為一個有吸引力的目標。由于它是系統的安全關鍵構建塊，因此利用單個漏洞可能會對軟件堆棧的其余部分產生影響。

　　DDS漏洞可以分為影響網絡級別的漏洞和影響配置級別的漏洞。前者可用于實施各種惡意技術，例如拒絕服務（DoS）攻擊、欺騙和自動收集，而后者可用于針對DDS系統開發人員和集成商。

　　04 影響非Windows操作系統的重大漏洞

　　2022年上半年，出現了一些值得注意的影響Windows以外平臺的漏洞。例如suhelperd中的漏洞CVE-2022-22639，它是包含SUHelper類（通過進程間通信機制負責關鍵系統服務）的macOS軟件更新的輔助守護進程。成功利用該漏洞可導致攻擊者獲得可用于惡意攻擊的root權限。

　　還有一些突出的漏洞影響基于Linux和Unix的操作系統。例如，CVE-2022-0847（也稱為Dirty Pipe）是一個影響Linux內核5.8及更高版本的漏洞，允許攻擊者提升主機上的root權限。

　　此外，CVE-2022-2946472作為一個嚴重的RCE漏洞，影響了WSO2的多個產品。WSO2是一家技術提供商，提供用于集成應用程序編程接口（API）、應用程序和Web服務的開源平臺。利用這個無需用戶交互或管理權限的漏洞，攻擊者可以滲透到受影響系統的網絡中。

　　04 云計算安全態勢分析

　　01 云上加密貨幣挖掘攻擊呈上升趨勢

　　盡管加密貨幣價格在2022年上半年大幅下跌，但圍繞它構建的計劃不需要高昂的投資成本，因為典型的基于加密貨幣的攻擊依賴受害者的基礎設施和資源來挖掘加密貨幣。基于云的加密貨幣挖掘組織主要包括：

　　Outlaw組織的首選目標包括物聯網設備和Linux云服務器，通過利用已知漏洞或執行安全外殼（SSH）暴力攻擊實現破壞；

　　TeamTNT組織的首選作案手法是利用易受攻擊的軟件來破壞主機，然后再執行憑據盜竊作為在受害者系統內橫向移動和利用錯誤配置的前兆；

　　Kinsing組織以快速采用新的漏洞利用而聞名，它曾在Log4Shell漏洞首先公開幾天后就成功使用它；

　　Kek Security是一個相對較新的組織，且正在不斷開發其惡意軟件，其中一些最近添加的功能提供了更好的混淆功能，以逃避檢測和阻止研究人員分析；

　　所有組織都在搶奪有限資源的現實，推動了惡意行為者的不斷創新。這些創新使他們能夠攻擊更多的云計算系統。

　　02 濫用云隧道服務進行攻擊

　　報告研究顯示，攻擊者正在濫用云隧道服務進行攻擊活動。在企業環境中，云隧道作為一個方便的工具，允許用戶部署本地開發服務，而無需配置網絡防火墻和注冊域名，很多開發人員需要使用這些服務來測試和部署代碼。

　　使用云隧道服務的攻擊組織通常將它們用于臨時目的，這樣他們就無需維護永久性基礎設施，也無需通過掩蓋他們的真實位置來增加另一層保密。云隧道威脅可以分為兩種不同的類型：內部威脅和外部威脅。內部威脅是指使用服務（有意或無意地）暴露內部服務（如服務器消息塊SMB、FTP和HTTP）的攻擊；外部威脅涉及傳統的攻擊和套路，例如通過云隧道進行的網絡釣魚和C&C通信。

　　03 配置錯誤仍然是云安全的主要威脅

　　對于許多組織來說，錯誤配置的云計算應用軟件仍然是一個重大問題。根據Red Hat對300多名DevOps、工程和安全專業人員的調查顯示，53%的受訪者檢測到他們的容器或Kubernetes部署中存在錯誤配置。而趨勢科技數據顯示，來自AWS、Microsoft Azure和Google Cloud Platform的服務是錯誤配置率最高的工具和服務。

　　05 企業攻擊面管理分析與建議

　　隨著企業信息化工作環境的改變，以及越來越多的新技術應用，都要求組織分配更多的資源以覆蓋盡可能多的安全攻擊面。報告研究人員認為，發現攻擊面本身是開展有效攻擊面管理（ASM）工作的基礎，組織需要定期檢查其IT資產并確定資產的重要性、潛在漏洞、威脅活動級別以及威脅程度等要素。評估可用的安全控制能力以及風險防護策略也是規劃組織ASM的重要步驟。

　　ASM的一個重要組成部分是可見性，因為它提供了有關潛在威脅的具體信息。反過來，它也可以幫助企業確定他們的風險敞口，并允許他們采取必要的措施來減輕這些風險。適當的安全協議和最佳實踐對幫助企業保護其系統免受攻擊大有幫助。組織應優先考慮盡快更新其軟件，以最大程度地減少攻擊者成功利用其系統漏洞的機會。與此同時，云用戶應確保他們的云基礎設施配置正確，并采用適當的安全協議，以防止攻擊者利用錯誤配置。用戶教育也是成功安全態勢的關鍵部分，因為最終用戶通常是最薄弱的環節。

　　然而，保護基礎設施、系統和端點的復雜現實意味著，即使有了這些，如果沒有合適的安全工具，保護每個可能的攻擊點仍然是一個不可能的挑戰。雖然有些技術可以單獨處理系統不同部分的安全性，但這些技術也有其自身的缺點，例如無法關聯來自每個孤立源的不同數據點。可以覆蓋整個攻擊面的單一平臺無疑是組織的理想解決方案，尤其是那些資源有限的組織。

　　借助綜合的ASM平臺（服務），組織可以全面了解其攻擊面，同時具備關聯不同指標綜合分析的能力。統一的ASM管理平臺還可以提供多層次的保護，降低企業的整體預算投入。為了最大限度地減少潛在的安全漏洞，該平臺必須是可配置的，并且能夠提供對數字資產的持續保護，以最大限度地減少潛在的安全防護能力差距。

　　更多信息可以來這里獲取==>>電子技術應用-AET<<