网络战场

VIEWPOINT CYBERBATTLEField 在前线之间可以期待什么网络攻击者和网络防御者 网络攻击者越来越多地主导 对抗网络防御者的网络战场。小说多勒索技术，勒索软件即服务 （RaaS）和前所未有的供应链攻击几乎消除了黑客进入的障碍 扩大了网络的“馅饼”。网络捍卫者努力跟上对手的前进步伐。 网络安全已列入议程，但经常出现 作为IT预算的一部分的“卫生”措施。就像对全球物理防御的挑战 能力，网络维护者必须采取重大建立可持续和敏捷适应的步骤-目的网络安全能力来击败他们的网络对手。 AUTHORS 马克西米利安·谢尔VincenzoBasileMatteoSironi 汤姆·特谢拉 PhilippMudersbachDmytroZaika 在前线： 囊性囊性囊性囊性囊性囊性囊性正囊性在囊获性得囊地性面囊性囊性囊性囊性囊性囊性囊性囊性囊性囊性囊性 网络犯罪和赎金攻击已经 囊性囊性囊性囊性囊性囊性囊性 在上升，似乎是不可阻挡的。 囊性囊性囊性囊性囊性囊性囊性 过去16年中网络攻击的增加 囊性囊性囊性囊性囊性囊性囊性 是压倒性的。根据中心 囊性囊性囊性囊性 战略与国际研究(CSIS) 超过100万美元的事件数量 在过去的15年里，损失从刚刚 2007年发生13起事件，令人震惊的140起事件 2022年。与此同时，Statista估计了全球 2022年网络犯罪的年度成本为8.4万亿美元，随着勒索软件攻击变得越来越多 在网络犯罪分子中很受欢迎。并且根据各种报告，平均71%的企业 全世界都是勒索软件的受害者， 这种攻击的平均成本是 2022年450万美元，不包括付款(见图1)。 仅查看从 2020年至2021年，PaloAltoNetworks的报告发现平均赎金需求增加了 144%至220万美元，平均赎金 网络攻击受害者支付的费用增加了78%，达到541,000美元。 该报告强调了85%的增长 同一时期的受害者，有2,566名受害者公开发布在泄密网站上。这个号码是 假设甚至更高，因为受害者只是 如果他们不支付赎金，则张贴在泄漏地点威胁行为者的要求。同样的报告 说，2021年最有针对性的地区，基于 绝对数字是美洲(60%)；其次是欧洲、中东和非洲 （31%）；亚太地区（9%）。 图1.2022年主要网络安全数据 制造业、金融业 服务，专业/商业服务，教育、医疗保健和政府 列为目标最严重的行业之一 由2021年和2022年的网络攻击报告网络安全公司。制造业 特别是行业正在经历一个快速的物联网（IoT）的采用由于增加数字化，提供更大的攻击面 威胁行为者。最重要的是，业务成本制造业公司的中断是 提升是因为他们的生意很低 对停机时间和连续性的容忍度很高依赖于IT和运营技术 (OT)系统。根据IBM安全 报告，这使得这些行业极具吸引力勒索软件演员，因为他们期望更少抵抗和更快的赎金支付 被攻击的公司。然而，即使领先科技公司，这可能是预期的 有极其先进的网络安全措施到位，不能免于网络攻击， 正如对Nvidia的攻击所证明的那样 2022年Twitter 一般来说，前所未有的增长网络攻击事件可以归因于三个关键发展，概述如下。 1.技术拓展 随着世界变得越来越 联系在一起，公司已经看到了一种固有的增加攻击面。 技术，主要由工业4.0、物联网、 数字化转型、智能制造和工业自动化，导致了集成以及系统之间联系的深化。 即使这样的连接提供了更好的使用数据、效率节约和生产率提高，它也为威胁提供了有利的机会 由于以下原因，行为者攻击公司的系统它创造了新的接入点。 8.4万亿美元 71% $450万 全球年度 网络犯罪成本 受害企业 通过勒索软件 A的平均成本 勒索软件攻击 来源：ArthurD.Little，Statista，IBM 用数字说明：RiskIQ估计， 每分钟，117,298台主机(设备，如计算机或移动电话，链接到其他 网络上的设备)和613个域(唯一网站地址)正在创建和添加 到全球攻击面。在2023年，思科预测连接到IP的设备数量 网络将是全球的三倍以上 人口，从2.4网络设备增加2018年人均网络估计为3.6人均设备。同样，思科估计机器到机器(M2M)连接到包括一半的全球连接设备和 这一时期的连接，从33%跃升到 2018年至2023年的50%（见图2）。 2.先进的技术提供商集成后门 2020年的SolarWinds攻击，其中一个基础IT基础架构性能监控系统 由约30,000个公共和私人实施组织-包括美国财政部，美国国土安全部，可能还有北约，在 其他-表明供应链监控， 即使有值得信赖的供应商，也需要确保全面的网络风险图片。事件，如 这表明公司现在也可以当 与IT外包提供商合作。 3.混合工作的出现 COVID-19大流行及随之而来的全球转向在家工作(WFH)进一步推动 网络攻击的增加。员工搬到了外面他们组织的安全内部部署网络 到他们自己的家，或者最坏的情况是，公共网络并因此提高了数据水平和 在受保护的外部流动的关键事务公司局域网。此外， 对远程服务的攻击有所增加如远程桌面协议和虚拟 专用网络(VPN)，以及商业 和企业远程会议服务到期已经出现的固有安全漏洞 根据组织适应WFH的需要。 基于云的服务也存在类似的情况，这确实提供了更多的灵活性和 性能优于传统VPN连接 但由于以下原因，通常会增加攻击面糟糕而仓促的安全实现。这些 事态发展增加了责任 在网络捍卫者上增加他们的公司网络防御。 分析的动机、工具和趋势 网络攻击者和网络防御者提供更好地了解战场。 +59% 29.3 26.9 24.5 7.7 22.3 8.3 20.2 8.2 18.4 8.0 7.0 7.7 6.5 7.4 6.1 5.7 5.3 5.0 14.7 12.2 (50%) 10.2 6.1 (33%) 8.6 7.2 2018 2019 2020 2021 2022 2023 M2M 智能手机 其他（非智能手机，电视，PC，平板电脑，杂项） 图2.2018-2023年全球联网设备数量 来源：亚瑟·D·利特尔，思科 THEREALMOF即使这些威胁行为者是罪犯， 囊性囊性囊性囊性囊性囊性 囊性囊性囊性囊性囊性囊性 虽然出现了新的网络犯罪集团 囊每年性，囊网络性攻囊击的性最囊大份性额是囊性囊性 已囊知性和重囊新性出现囊的性演员囊。在性囊性囊性 发囊生性在囊性囊性囊性囊性囊性 2021/2022，最突出的群体是孔蒂， 囊性囊性囊性囊性囊性囊性 REvil/Sodinokibi（在 囊202性2年囊12性月囊，许性多囊成员性被囊捕性囊性囊几个性月前囊的性五月囊)，性B囊lac性kBasta(由Conti和REvil的前成员)，ALPHV/ BlackCat，Hive和LockBit（也重新出现了group)。这些组织中有很大一部分定期 成为主流媒体的头条新闻因为他们通常负责一些最破坏性攻击。 根据PaloAltoNetworks的2022年报告，许多威胁行为者从 相对较低的赎金要求，主要是 低于100万美元，并迅速上升到更多超过500万美元。如前所述，平均赎金需求增长了144%，平均 从2020年到2021年，支付增加了78%。 然而，受害者平均只支付了43% 最初的赎金金额，还有支付金额更多的事件 比要求的赎金低70%。 勒索软件组越来越多通过RaaS和 黑客作为一种服务，形成组织 具有复杂附属系统的结构。威胁演员也变得越来越无情，利用双重和多重勒索技术 （请参阅下面的“趋势1-双重和多重勒索”）。 图3.双重和多重勒索技术 一直有一定的“荣誉准则” 例如不针对医院、紧急情况 服务，或执法。然而，不断增长的许多团体一直无视这一点 代码。一个主要的例子是Conti，它具有 有针对性的医院和紧急服务。此外，他们无视他们的承诺和当受害者付款时发布敏感数据他们不会。问题加剧了 最近地缘政治风险的增加。 勒索软件活动：越来越多复杂和商业 趋势1-双重和多重勒索事件的数量不仅增加了 在过去的一年里，袭击事件也 变得更加多层次。从历史上看，赎金攻击被视为可用性问题； 攻击者仅加密并锁定受害者 他们的数据。网络攻击已经取得了进展，然而，现在经常是保密的 问题。除了加密 受害者的数据，自2020年以来，威胁行为者日益增加的双重和多重勒索 技术到他们的曲目(见图3)。对手现在正在积极地渗透他们的 受害者的数据，威胁要公开命名和 羞辱他们，并将他们的数据发布在所谓的泄漏现场应该受害者不同意支付 赎金。他们甚至威胁受害者额外的后续攻击，如分布式拒绝服务(DDoS)攻击等等， 导致多次勒索攻击。 为了应对这一趋势，每家公司都必须强迫自己以不同的方式思考 网络安全，假设它已经 黑客入侵，现在需要响应高级对其系统的持续威胁和 只等待在最佳时刻被激活多勒索攻击的基础。 + + 加密 渗滤 后续攻击 双重勒索 多重勒索 来源：ArthurD.Little 趋势2-商用RaaS链进程和供应商信任。网络攻击者 图4.勒索软件即服务 攻击的增加也是由 商业RaaS产品的开发 （见图4）。威胁行为者一直在构建可以通过有抱负的人购买的赎金软件攻击者可能不知道 建立自己的工具。这个市场发展已经使勒索软件更容易访问 网络罪犯谁想要得到一块成长派。RaaS通常基于 每月费用，就像通常的Spotify或Netflix一样 订阅，或按一定百分比的赎金受害者支付。 考虑到进入门槛低，攻击数量可能会增加，但不一定复杂。基本卫生 网络安全意识培训，定期安全策略更新,威胁防护 关于电子邮件基础设施，以及严格的 漏洞管理将有效地帮助解决这些威胁。 趋势3-软件供应链攻击 最近的发展表明它是多么重要 就是仔细研究一家公司自己的软件供应链（见图5）。软件供应链攻击大幅增加-几乎增加了三倍 根据AquaSecurity的数据，从2020年到2021年。 最近的主要攻击包括SolarWinds和Kaseya。此类攻击的主要焦点是公开的源漏洞和中毒，代码完整性 问题，以及软件供应的开发 特别是针对托管服务提供商，如这类技术管理解决方案 可以有高浓度的风险，因为他们大量收集企业帐目 提升的权限，不受限制的防火墙规则需要他们运作，和文化信任 来往他们的交通是合法的应该被允许。 发布供应链安全策略，确保通过网络安全部门批准 在授予新供应商之前，以及定期监控供应链 像BitSight这样的网络安全评级平台， SecurityScorecard，或其他是必不可少的工具防止供应链上下的网络风险。 THEREALMOF 网络防御 网络战争中存在着强烈的不对称性。对手正在更快地适应和发展 比网络捍卫者。捍卫者面临三个中心挑战(见亚瑟·D·小[ADL]观点，“被关注是不够的”）： 1.船上的可见性和理解性 水平。内部存在固有的复杂性难以翻译的网络安全 变成可理解的、面向行动的对最高管理层的建议。 为了解决这个问题，公司转向 IT和IT中普遍应用的标准 OT网络安全，如ISO27001和IEC62443，对网络安全进行最佳基准测试实践。然而，关键挑战是 在保持 所需的技术细节水平，而 Fee 赎金 工具包 勒索软件 程控仪关联公司受害人 来源：ArthurD.Little 实现总体全面性，特别是高层决策者和预算持有人。 2./ 图5.软件供应链攻击 资源分配筹资。有 恶意软件 违反 软件 之间的明显不匹配 网络攻击及其经济损失 网络安全投资。2021年，全球 攻击者软件供应商受害者 来源：ArthurD.Little 网络犯罪的成本-全球网络安全- 投资比例仅为10:1。 这意味着，例如，对于每一个 1美元用于解决违反 公司的网络，只投资了0.10美元防止未来潜在的妥协。 我们的观点是，向前推进这一比率倒置：预防和预防支出 修复高级持久性威胁 将需要大幅增加，摆姿势充足资金的额外挑战 在组织内部。 3.测量。ROI指标的计