卡巴斯基预测2022年高级威胁演化趋势

在过去的⼀年⾥， APT攻击的⻛格和⽅法不断发展变化。卡巴斯基安全专家团队通过汇集、整理和分析，对2022年APT攻击⽅向进⾏了关键性预测，以此帮助各行各业保持警惕，防患于未然。

2021年的预测结果回顾：

APT攻击者将从⽹络犯罪分⼦⼿中购买初始访问权限

越来越多的国家将法律诉讼作为其⽹络战的⼀部分

更多硅⾕公司将对零⽇经纪人采取⾏动

针对网络设备的攻击将会增加

5G漏洞开始显现

"恐吓式"勒索将持续出现

出现更具破坏性的攻击!

攻击者将继续利用流行病主题发起攻击

将涌现⼤量私营公司⽀持的APT组织

如上所述，今年，私⼈供应商开发的监控软件的使⽤已成为⼈们关注的焦点。鉴于这项业务的 潜在盈利能⼒，以及此类软件对⽬标的破坏能⼒。我们认为，在政府开始设法监管之前，软件 供应商将投⼊更多资源抢占市场。已经有迹象表明政府正在加强监管。2021年10⽉，美国商 务部⼯业局和安全局（BIS）推出了⼀项临时规则，该规则定义了商业监视软件何时需要出⼝ 许可证：⽬的是防⽌向受武器管制的国家分发监视⼯具，同时允许合法的安全研究和交易继续进⾏。

移动设备仍将受到⼴泛的攻击

在过去的⼗⼏年间，媒体经常会报道针对移动设备的恶意软件攻击事件。这与主流操作系统的 普及密切相关。迄今为⽌，移动设备上最流⾏的两个操作系统是iOS和Android（以及其他基 于Android/Linux的定制开发版本）。从⼀开始，他们就有⾮常不同的理念 - IOS依赖于⼀个封 闭的App Store，只允许经过审查的应⽤程序，但Android更加开放，允许⽤户直接在设备上安 装第三⽅应⽤程序。这导致针对这两个平台的恶意软件存在很⼤差异;基于Android的终端受到 许多普通恶意软件的困扰，同时还遭受APT攻击，⽽IOS主要⾯临国家级背景的APT攻击活 动。2021年“⻜⻢计划”带来了⼀个全新的维度，开发了“零点击”这种异常复杂的0 day攻击。 针对IOS的0 Day在野利⽤的报道⽐以往都多。从攻击者的⻆度来看，移动设备是理想的⽬标 - 它们⼏乎与所有者时刻在⼀起，⾥⾯包含其私⼈⽣活的详细信息，⽽病毒感染很难预防或检 测。与⽤户可以在PC或Mac上选择安装安全套件不同，移动设备上的安全类产品要么不太管 ⽤，要么不存在（⽐如在IOS上）。这为APT创造了⼀个绝佳的机会，⼀个没有任何国家级 APT愿意错过的机会。到2022年，我们将看到针对移动设备的更复杂的攻击被曝光。

更多的供应链攻击

今年，我们看到了⼀些值得注意的供应链攻击。我们在前⾯讨论了APT威胁者采⽤这种⽅法。 我们同时也看到⽹络犯罪分⼦利⽤供应商的安全漏洞⼊侵，然后攻击其客户。引⼈注⽬的例⼦ 包括5⽉份对美国⽯油管道系统的攻击，6⽉份对全球⾁类⽣产商的攻击以及7⽉份针对MSP （托管服务提供商）及其客户的攻击。此类攻击说明了供应链出现了不可信的中间环节;它们 对攻击者来说特别有价值，因为它们⼀举提供了进⼊许多其他⽬标的垫脚⽯。因此，到2022 年及以后，供应链攻击将成为⼀种⽇益增⻓的趋势。

针对居家办公的渗透将持续

尽管世界各地放宽了疫情⼤流⾏时期的封锁规定，但许多员⼯将继续在家⼯作;并且在可预⻅ 的将来可能会持续居家办⼯。这将继续为攻击者提供破坏企业⽹络的机会。这包括使⽤社⼯来 获取凭据和对企业服务的暴⼒攻击，以期找到保护薄弱的服务器。此外，由于许多⼈继续使⽤ ⾃⼰的设备，这些设备⽆法被企业IT团队防护，攻击者还将寻找新的机会来利⽤未受保护或未 能及时打补丁的家⽤计算机，作为侵⼊企业⽹络的突破⼝。

针对云安全和外包服务的攻击将爆炸式增⻓

越来越多的公司正在将云计算纳⼊其业务模型，因为它们提供了便利性和可扩展性，DevOps 运动导致许多公司采⽤基于微服务并在第三⽅基础设施上运⾏的软件架构 - 通常只⽤⼀个密码 或API密钥即可被接管的基础架构。 这种模式潜藏着开发⼈员⽆法了解的安全隐患，防御者视野过于狭窄，⽬前为⽌还没有真正进 ⾏过相应的APT研究。我们认为，应当加强针对云服务的APT研究和应对策略。 从更⼴泛的意义上讲，我们是在担忧外包服务，如在线⽂档编辑，⽂件存储，电⼦邮件托管 等。第三⽅云提供商现在集中了⾜够的数据来吸引国家级APT的注意，并将成为复杂攻击的主要⽬标。

低层攻击回归：bootkit 将再次热⻔

攻击者⼀般会避开系统底层植⼊，因为这种攻击有导致系统故障的⻛险且开发的复杂性过⾼。 卡巴斯基在整个2021年发布的报告显示，利⽤bootkits的攻击活动仍在持续且有效：我们推 测，要么是隐形收益⼤于⻛险，要么是有渠道使得低层开发更容易。我们预计在2022年将发 现更多这种先进的植⼊攻击。此外，随着安全启动变得越来越普及，攻击者将需要在安全机制 中发现漏洞利⽤，先绕过它再继续部署其它⼯具。

各国将对⽹络攻击划定底线

在过去⼗年中，整个⾏业都观察到⽹络空间越来越有政治化的趋势，特别是在⽹络战⽅⾯。去 年，我们预测，法律起诉将成为⻄⽅国家武器库的⼀个组成部分，以增加对⼿的⾏动成本。 然⽽问题是，⼀些国家在公开谴责那些针对他们的⽹络攻击时，⾃⼰的⽹络攻击⾏动也会被曝 光。为了让抗议显得更有分量，他们需要区分可接受的⽹络攻击和不可接受的⽹络攻击。到 2022年，我们认为⼀些国家将公布他们对⽹络犯罪的分类⽅法，精确且详细的说明哪些类型 的攻击⼿段（例如，供应链）和⾏为（例如，破坏性的，影响⺠⽤基础设施等）是禁⽌的。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。