2021年，世界各地的威胁行为者加重了安全团队的压力，甚至可以毫不夸张地说，这可能是有史以来最具挑战性的一年，为了帮助安全团队更好地迎接挑战，安全厂商ZeroFox情报团队日前发布《2022年威胁态势预测》报告，对网络领域持续增长的威胁进行了预测性分析。

报告关键发现

▶  勒索软件将在2022年继续加速发展。金融、制造、零售和医疗保健行业的组织将继续面临更高的风险。勒索软件开发人员可能会专注于实施持久性和可持续发展的勒索活动，包括将威胁引向知名人士；

▶  2022年“数据绑架”（data kidnapping）攻击（无需加密受害者数据的敲诈勒索）将激增。所谓“数据绑架”是指在大数据时代背景下，人们主动或被动享受大数据带来的种种好处和便利的同时，又不得不忍受大数据时代万事万物的数据化及其为人们社会生活带来的一些负面影响；

▶  第三方供应链攻击在频率、规模和复杂性方面将继续呈上升趋势；2022年，威胁参与者的目标可能会集中在大型供应链中的小型第三方供应商和关键事件上；

▶  预计信息窃取软件（infostealer）开发者间的竞争将在2022年加剧，这必然会激励开发者之间的创新，以构建“更好”、更复杂的产品，以及更易于使用的服务；

▶  对初始访问代理（IAB）服务的需求将在2022年继续蓬勃发展。鉴于获取初始访问权限的低风险而且高需求的现状，越来越多的威胁团伙或个人参与者正试图出售访问权限；

▶  预计威胁行为者将寻找并使用新的基于Java的漏洞来重现Log4j漏洞“战绩”；

▶  预计网络犯罪分子将继续使用自动化来推动复杂的“网络钓鱼即服务”套件的销售和许可的增长；

▶  预计未来一年会有更多的网络犯罪分子从比特币转向门罗币，并将其作为他们的加密货币首选。

热门领域威胁预测及建议

1、勒索软件

勒索软件非常有可能在2022年继续加速发展。如果不对安全措施进行重大改变以防止入侵，或改变国际法以防止威胁行为者在司法“豁免区”开展活动，勒索软件行业非常有可能继续蓬勃发展，其目标将锁定所有行业中各种规模的组织。其中，金融、制造、零售和医疗保健行业面临的勒索软件威胁将更为严重。

虽然2022年初的几个月，威胁行为者可能会继续关注中小型企业目标，但预计“大型游戏狩猎”活动将在随后几个月重新出现。这可能体现在以MSSP和其他第三方服务为目标的攻击活动，因为他们提供对多个客户系统的特权访问，允许威胁参与者通过一次入侵感染众多下游组织。

另一方面，执法机构的取缔活动不太可能对勒索软件攻击活动产生持续影响。因为此类取缔活动所针对的团体可能会暂停运营或改头换面重新运营，如此循环往复。2021年最流行的勒索软件家族——Conti、REvil、LockBit和BlackMatter背后的威胁行为者可能会在2022年以新的身份重新回归。

鉴于2021年下半年的新兴趋势，ZeroFox预计威胁参与者将越来越关注入侵后的信息搜索、加密和泄露活动。这将涉及执行搜索字符串以识别和泄露业务关键信息，组织无法通过简单的安全措施（例如建立离线备份）来减轻此类威胁带来的影响。目标信息可能包括法律或保险文件、商业财务信息、知识产权或市场敏感信息（例如收购或合并的详细信息）。威胁行为者可以利用这些信息要求受害者支付更高额的赎金，并对受害者施加更大的支付压力。勒索软件开发人员也可能更加关注持久性攻击活动，即便在安全团队认为已经消除了最初的威胁，威胁行为者也能够再次攻击受害者。

2021年，针对勒索软件组织的积极执法行动促使一些人放弃了勒索软件攻击，转而支持数据绑架计划，这些组织认为这种计划风险较小。在数据绑架行动中，攻击者/团体通过网络钓鱼、转储配置错误的服务器或其他方式获取数据，然后威胁受害公司如果不付款就会泄露数据。这与勒索软件攻击不同，因为受害者的文件没有加密，受害者可以完全控制其服务器和操作，但可能希望避免与已知数据泄露相关的名誉损失或罚款。

图1 数据绑架组织“Bonaci”提供的数据示例

随着威胁行为者寻求更有效的手段来强迫受害者支付赎金，其勒索策略也可能会随之演变。除了泄露和利用敏感的商业信息外，威胁行为者还可能转向以知名人士为目标来引诱其付款。对C级高管及其家人的威胁，或让高管卷入非法活动，这些都是可行方案。

缓解建议

1）从纵深防御策略转为零信任安全策略

•  隔离重要资产和行政账户；

•  对远程访问和管理帐户实施多因素身份验证（MFA）；

•  监控威胁参与者通信渠道以获取泄露的凭据。

2）使用威胁情报将漏洞管理集中在被利用的漏洞上

3）减少攻击面

•  为不需要它们的用户禁用管理和脚本工具（例如PowerShell），以阻止威胁行为者滥用LOLBins（living off the land binaries）；

•  禁用不必要或过时的Windows和Linux组件（例如SMB、来自Internet的宏）；

•  停用不再需要的远程访问解决方案。

4）为违规行为做好准备

•  与执法部门建立关系；

•  与执法、法律、公关等部门进行事件响应计划桌面演练。

2、第三方妥协（TPC）

ZeroFox预测，2022年TPC攻击在频率、规模和复杂程度方面有可能继续呈上升趋势。

使用TPC作为勒索软件分发手段可能会呈上升趋势，部分原因在于RaaS产品降低了威胁参与者的准入门槛，同时将有效的恶意软件交到了更多运营商手中。不过，勒索软件相关的攻击可能会引起大量媒体报道，这可能会成为一个缓解因素，因为威胁行为者不希望受到当局的关注。

软件供应链的持续扩张也可能导致TPC攻击的增加。ZeroFox预计，大型供应链中的小型第三方供应商将被视为薄弱环节，威胁行为者可以通过这些薄弱环节瞄准高价值、具有安全意识的组织。因此，组织不能只专注于加强自身的防御能力，还必须确保其供应链的安全。针对远程办公和云基础设施中漏洞的攻击也可能会增加。

此外，寻求进行TPC攻击的非国家行为体黑客也可能会增加。这些攻击者可能会针对2022年的关键赛事，例如2022年中国冬季奥运会，从而对赛事赞助商造成干扰和声誉损害。此外，与2020年美国总统大选一样，2022年中期选举可能会进一步凸显与第三方供应商相关的风险。

缓解建议

1）从纵深防御策略转为零信任安全策略

•  除网络和安全工具运行所需的连接外，禁止其他网络连接；

•  监控网络威胁通信渠道，了解有关的第三方违规行为对话；

•  通过攻击面管理和网络流来检测第三方可能存在的勒索软件漏洞。

2）在关键第三方建立和维护安全联系人，以制定事件响应计划

3）应向客户提供准确及时的信息，披露供应链事件

3、恶意软件即服务

ZeroFox预计，到2022年，地下犯罪市场将继续为各类网络犯罪分子提供一个有利可图的渠道，以兜售从组织网络窃取的凭据。ZeroFox断言，对Redline、Raccoon和Vidar等信息窃取程序的使用量激增，将继续推动其开发人员和社区的发展。

此外，鉴于其攻击效果和普及率，这些信息窃取软件已经具备的多维能力可能会在2022年进一步扩大和增长。ZeroFox预测，信息窃取软件开发者间的竞争将会加剧，这必然会激励开发者之间的创新，以构建“更好”、更复杂的产品，以及更易于使用的服务，因为他们都试图将自己与竞争对手区分开来。

信息窃取软件显著降低了低级威胁参与者的准入门槛，其提供的僵尸网络日志有助于攻击者通过凭据收集，获取敏感信息或协助部署其他有效负载，以获得对其他服务的额外访问权限。信息窃取软件的多功能性及其窃取海量敏感数据的能力，使其对所有行业的所有组织都构成了威胁。

缓解建议

1）为业务活动提供公司设备，而非个人便携设备（BYOD）；

2）不建议在个人帐户和企业帐户之间重复使用密码，建议仅将企业电子邮件用于商业目的；

3）对公司资产的所有远程访问实施多因素身份认证（MFA）；

4）通过跨用户及其关联设备的持续、上下文和基于风险的验证，创建访问策略。

4、初始访问代理（IAB）

ZeroFox认为， IAB的高投资回报率，以及访问代理和勒索软件运营商间 “共生关系”的不断发展，使得市场对IAB服务的需求会在2022年继续蓬勃发展。这将继续加剧跨多个行业的实体攻击，并简化网络入侵过程，使威胁参与者能够更快速、更有效地采取行动。

ZeroFox预计，鉴于获取初始访问权限的低风险而且高需求的现状，更多的团体或威胁行为者将参与并试图向各种组织出售访问权限。

缓解建议

1）持续审核远程访问帐户并禁用不再需要的帐户；

2）开发一个攻击面管理程序，持续监控互联网上暴露的可利用资产；

3）对远程访问帐户实施多因素身份验证（MFA）；

4）利用受信任的供应商来监控威胁参与者通信渠道（论坛、市场、消息传递平台）是否存在泄露的凭据。

5、漏洞和利用

根据2021年观察到的趋势，ZeroFox判断Log4j漏洞事件展示了当今软件生态系统中的一个关键问题，该问题可能会延续到2022年。也就是说，捆绑和导入到各种应用程序的软件包中所存在的漏洞，可能会继续吸引那些希望实现最大化攻击效果的威胁行为者。他们可能会花时间从各种应用程序中找到一致的输入，这些输入最终会导致流行库中存在相同的易受攻击的功能。这可能允许攻击者为各种应用程序开发有效的漏洞利用工具，增加潜在目标的数量，同时降低工作量。

ZeroFox预测，不法分子将研究更多基于Java的漏洞利用途径，组织应重点关注暴露给攻击者的公共库。

ZeroFox还预测，从Log4j漏洞事件中获得访问权限的威胁参与者将进一步破坏系统、提取个人身份信息（PII）并实施数据勒索计划。截至2022年1月上旬，威胁参与者已经开始兜售对数十万台易受Log4j漏洞攻击的未修补服务器的访问权限。

缓解建议

1）开发一个攻击面管理程序，持续监控公司资产并将该数据集成到漏洞管理工具中；

2）使用漏洞情报将修复工作集中在已知被利用的漏洞上，而非关键和高CVSS分数漏洞；

3）使用软件物料清单（SBOM）发现和清点软件组件/库。

6、网络钓鱼即服务（PhaaS）

ZeroFox预计，网络犯罪分子将在2022年继续使用复杂和自动化的网络钓鱼工具包，将网络犯罪提升到一个新的水平，从而推动PhaaS的增长。这些类型的工具包可能在复杂性和繁复度上有所不同，可以通过地下犯罪网络、秘密渠道，有时甚至是透明的网络平台购买。

这种类型的网络犯罪商业模式为工具包创建者带来了一些主要好处：

√  套件部署必须经过验证，未经授权的用户（或未付费用户）将无法完全部署网络钓鱼套件；

√  技术水平较低的攻击者可以轻松部署网络钓鱼工具包；

√  套件创建者收取许可证费用，并且可以按月定期付款，这与SaaS应用程序的合法商业模式不同；

√  在这些工具包中使用模糊代码或数字版权管理（DRM），可降低工具包被带走并转售给其他威胁参与者的风险。

从这些平台购买套件的运营商通常由套件创建者提供大部分（如果不是全部的话）必要资源。这包括快速部署登录页面的工具、检测规避工具，甚至是生成混淆HTML模板的界面，这些模板能够绕过反垃圾邮件或网络钓鱼电子邮件检查机制，并成功到达收件人的信箱。

ZeroFox发现，参与网络钓鱼工具包分发的威胁行为者可以通过地下犯罪网络和秘密渠道来宣传他们的工具包，甚至通过使用机器人出售泄露数据来实现交易自动化。鉴于旨在检测网络钓鱼工具包和网站的安全技术不断改进和发展，威胁参与者也在不断更改其战术、技术和程序（TTP）以逃避检测并维持其运营。ZeroFox预测，PhaaS将在2022年继续使用演进的策略和复杂的技术来进行凭据网络钓鱼攻击。

缓解建议

1）将战略性威胁情报集成到电子邮件安全网关、安全运营中心（SOC）和网络钓鱼报告流程中；

2）对远程访问帐户实施多因素身份验证（MFA）；

3）在威胁情报平台中保留网络钓鱼样本，以便衡量、分析和丰富新的网络钓鱼警报；

4）使用外部威胁情报服务不断识别冒充品牌的域和网站，并自动破坏该犯罪基础设施。

7、加密货币

ZeroFox预计，“汇款密集型”经济体将在2022年以更快的速度转向数字货币，尤其是在中东和中欧。加密货币对美元和欧元等“长期存在型”货币的威胁，可能会加剧对该行业的监管力度。

鉴于加密货币以被独裁者用来逃避制裁、洗钱和破坏以美元为基础的经济体系而闻名，因此，针对该行业的进一步监管可能来自传统经济大国，例如，美国去年推出了新的税务报告要求，该要求将持续到2022年；欧盟也在探索数字欧元，以在未来几年与加密货币竞争。

ZeroFox预测，2022年针对加密货币交易所的攻击将继续增加。除了给受害者造成经济损失外，威胁行为者还可能会寻求机会利用区块链公司，以窃取客户PII，使用户数据遭泄露，因为这些公司出于安全原因会从客户那里收集大量数据。

ZeroFox建议，在访问任何加密帐户时都应采取基本的安全措施，包括启用双因素身份验证或使用硬件密钥。

随着网络犯罪分子找到窃取投资者金融资产的新方法，以及加密货币攻击变得更具针对性，利用数字货币的机会不仅会吸引网络犯罪分子，国家行为体黑客也可能在2022年继续以更高的速度攻击加密货币行业，以此为政府筹集资金以规避各种经济制裁。

此外，网络犯罪分子可能会加快“从比特币过渡到以门罗币为首选加密货币”的进程，以促进交易，应对更积极的执法行动和政府审查。ZeroFox估计，正如在暗网市场White House Market和AlphaBay上所观察到的那样，到2022年，威胁行为者社区中门罗币的使用可能会大幅增加。

图2 犯罪市场White House Market显示门罗币是该网站上唯一接受的加密货币

缓解建议

1）尽快向执法部门报告非法的加密货币钱包，以增加阻止加密货币洗钱的可能性；

2）利用外部威胁情报服务来监控加密货币的犯罪使用情况。

结  语

可以肯定地说，2022年，网络威胁并不会减弱。安全团队必须为其组织提供资源并采用策略来应对新出现的威胁战术、技术和程序（TTP）。安全领导者应监测地缘政治波动和宏观经济趋势，以提供有关国家关系和犯罪威胁行为者下一个目标的迹象和警告。威胁情报的重要性在于，它可以通过将注意力集中在相关威胁上，帮助负担过重的安全团队努力跟上违规、漏洞披露和攻击周期的步伐。