FaRTInET經(jīng)典攻擊手段的持續(xù)演進 3高級持續(xù)性網(wǎng)絡犯罪數(shù)量加速增長 3 3 4 6擦除惡意軟件助攻擊者進一步拓寬攻擊范圍 7 7 8攻擊鏈專業(yè)化趨勢顯現(xiàn) 8 8添加至購物車：暗網(wǎng)上兜售的自動化黑客工具 9 9攜手組建自動化反攻擊者框架，共同打擊網(wǎng)絡犯罪 9 增強集體彈性，共同應對瞬息萬變的威脅態(tài)勢 2盡管威脅行為者依然沿用許多已經(jīng)存在了數(shù)十年的“經(jīng)典”戰(zhàn)術，但我們的年度威脅預測主要集中在那些網(wǎng)絡犯罪具破壞性，并且他們認為更有效的攻擊上。本年度網(wǎng)絡威脅趨勢預測報告，針對長期網(wǎng)絡攻擊的演進趨勢展開了深經(jīng)典攻擊手段的持續(xù)演進多年來，我們已就眾多攻擊趨勢進行了持續(xù)深入探討與分析，并在往期威脅發(fā)展趨勢預測報告中予者追捧的網(wǎng)絡犯罪手段，并預測其未來數(shù)月和數(shù)年內的演進趨勢。過程序（TTP）的種種攻擊實例，以及攻擊者利用人工智能技術大幅提升攻擊數(shù)量與速度，更大規(guī)模、更具破壞性的勒索軟件部署層出不窮APT組織正不斷推陳出新，積極挖掘并利用各類新發(fā)現(xiàn)漏洞，即便在安全防護措去年，我們預測了一些APT組織將采用更加隱蔽和創(chuàng)新的方法來發(fā)起攻擊的趨勢，而這一預測如今已成為現(xiàn)實。隨著與網(wǎng)絡犯罪分子的勾結日益加深，APT組織正以創(chuàng)紀錄的速度采納新的戰(zhàn)術、技術和程序（TTP）。例如，2024年夏天，我們觀察到GrimResource攻擊技術與遠程AppDomain注入相結合的攻擊實例，這種新穎的技術組合，支持攻擊者將惡意代碼輕松注入隔離環(huán)境中的應用程序域，顯著增加了傳統(tǒng)終端安全工具的檢測難度。APT29和APT41等組織，更是企圖通過為每個攻擊活動量身定制獨特的有效載荷，不斷挑戰(zhàn)安全防御的極限。例如，APT29一直在秘密部署高級內存駐留惡意軟件，以避免在磁盤上留下任何蛛絲馬跡。與此同時，以活躍于間諜活動和經(jīng)濟利益驅動的入侵而臭名昭著的APT41，則不斷調整其有效載荷，企圖成功繞過每個目標組織的特定檢測方法。這些自適應技術的頻繁運用，充分揭露了APT組織如何不斷保持攻擊敏捷性和創(chuàng)新性。這一發(fā)現(xiàn)無疑給全球網(wǎng)絡安全防御者帶來持續(xù)且嚴峻多年來，攻擊者持續(xù)依賴少數(shù)久經(jīng)實戰(zhàn)的戰(zhàn)術、技術和程序（TTP）工具集成功執(zhí)行便已預見攻擊者將進一步拓展TTP工具集范圍，特別是借助AI和其他新興技術的力量增強目標攻擊能力。正如我們3我們還觀察到攻擊者正迅速部署新方法，以對抗許多組織為特定技術實施的保護措施。鑒于攻擊者用以繞過標準防御者不應坐以待斃等待告警，而應主動開展威脅狩獵，利用高級數(shù)據(jù)分析、行為分實施深度防御策略，意味著安全團隊需靈活運用網(wǎng)絡監(jiān)控、終端安全和異常檢測等多重安系。如此一來，即便某個防御環(huán)節(jié)被威脅所突破，其他防御層也能如一張張緊密編織的安全網(wǎng)，繼續(xù)發(fā)揮掌握并善用最前沿威脅情報，時刻保持對新興TTP的敏銳洞察，定期開展紅隊和藍隊模擬演練，可精準識別組織防御體系中的漏洞或薄弱環(huán)節(jié)，并為攻擊者可能使用的這種高適應性的多層防御策略，猶如一把銳利的“矛”，以持續(xù)學習為鋒，不斷磨礪；同時，又像一面堅固的“盾示例：攻擊者正利用大型語言模型（LLM）精心打影響：這種戰(zhàn)術能夠顯著提高魚叉式網(wǎng)絡釣魚攻擊的成功概率，令以往用來提醒用戶4各類在線內容，進而精心構建出詳盡的社交工程檔案。通過對這些數(shù)據(jù)進行綜合匯總和深度挖掘效率。在包含泄露憑據(jù)的大型數(shù)據(jù)集上訓練的大型語n示例：攻擊者利用深度學習模型創(chuàng)建合成語音，以模仿特定目標的結構，成功逃避基于簽名的威脅檢測。攻擊者還可利用這些模型，編寫新的代碼片段或優(yōu)化現(xiàn)道，還可在社交媒體上發(fā)布誤導性的帖子和評論。特別是在選舉和健康危機等關乎社會穩(wěn)n影響：錯誤信息活動不僅損害聲譽，削弱公眾對權威機構的正如Fortinet預測，過去一年間，侵略性攻網(wǎng)絡犯罪分子繼續(xù)以醫(yī)療保健提供商為目標，以往發(fā)起的幾項重大攻擊事件患者生命安全。此類攻擊的頻頻得手，充分顯露出該行業(yè)在勒索軟件攻擊面前的脆弱性，更令人擔憂導致面向醫(yī)生和醫(yī)療機構的付款中斷，以及處方計費故障和配藥一直以來，能源行業(yè)及其他關鍵領域公用事業(yè)提供商，一直是勒索軟件團伙競相瞄準的主要攻企圖通過制造大規(guī)模破壞，索取高額贖金。勒索軟件的魔爪甚至還伸向了供水管理設施，嚴重干擾了送服務的正常運行。近期，一起惡性事件震驚社會，地方當局不得不向受影響社區(qū)緊急發(fā)布“煮沸水措深刻暴露了公用事業(yè)部門面臨此類攻擊時的脆弱與無奈。更為嚴重的是，攻擊者不僅對數(shù)據(jù)進行了篡改水質參數(shù)，這一舉動無疑在公眾心中埋下了安全隱患，同時也揭示了威脅團伙正逐步采取更為激客針對一家汽車軟件供應商發(fā)起B(yǎng)lackSuit勒索軟件攻擊，導致了北美多家汽題。4隨著攻擊者越來越多地利用加密技術以外的新型攻擊戰(zhàn)術，金了面向金融部門的攻擊出現(xiàn)以勒索為重點的方法演變，例如威脅受害組織暴露知名銀行客戶的財勒索軟件服務模式（RaaS）雖早已被熟知，但卻一如既往地支持更廣泛的網(wǎng)絡犯罪分子，在毫無專業(yè)技猖獗，頻繁借助勒索軟件服務模式（RaaS），跨多個行業(yè)或領域策劃并實施了多起影響深遠的勒索軟件攻一起尤為引人注目的案例是，某國防工業(yè)政府承包商不幸淪為攻擊目標，導致敏感合同信息外泄。BlackBasta正如預測，在過去的一年間，與采用傳統(tǒng)加密技術的勒索軟件相比，采用破壞性技術，特別是數(shù)據(jù)擦除法其中一種趨勢是將“擦除”惡意軟件集成至勒索軟件有效載荷，我們在以往報告中已討論過這一趨勢。這種Labs（Fortinet全球威脅情報響應與研究實驗室）報告顯示，這些另一則示例涉及醫(yī)療保健業(yè)和制造業(yè)等依賴數(shù)據(jù)連續(xù)性行業(yè)。不法分子的攻擊目標是此類行業(yè)中的運營技術（OT）和關鍵系統(tǒng)，他們企圖通過集成磁盤擦除功能，威脅永久性破壞系統(tǒng)，脅迫受害組織支付高昂贖金。因此，對于防御者而言，強大的事件響應能力和完善的數(shù)據(jù)備份策略不容忽視。這些轉變反映了勒索軟件攻擊劇本呈現(xiàn)日益復雜且更激進的趨勢，攻擊者正超越傳統(tǒng)加密手段，轉而利用包括擦除器功能在內的更多高級技術，擴大攻擊影響力。若組織缺乏任何數(shù)據(jù)備份措施，一旦遭受攻擊，數(shù)據(jù)恢復的可能性近乎可能引發(fā)嚴重的社會與財務后果的行業(yè)。這面對全球各界對巴黎奧運會的濃厚興趣，攻擊者自然不會放過利用這場盛宴攫取不法利益的絕佳機會。FortiGuardLabs（Fortinet全球威脅情報響應與研究實驗室）團隊觀察到，暗網(wǎng)中圍繞巴黎奧運會的資源收集活動呈現(xiàn)顯著增長趨勢。特別是針對法語用戶群體、法國政府機構、法國企業(yè)以及法國基礎設施提供商的資源收集活動尤為突出。自2023下半年起，針對法國的暗網(wǎng)攻擊活動數(shù)量同樣，我們還目睹了與美國大選相關的各類威脅活動。通過對暗網(wǎng)進行深入細致的分析，我隊，以誘人的低價向目標選民和捐助者大肆兜售網(wǎng)絡釣魚工具包。與此同時，惡意域名的注冊數(shù)量也呈現(xiàn)明顯上升者精心構建的網(wǎng)站，充斥著與選舉緊密相關的內容，企圖以此作為誘餌，誘使受害者上當受騙。6這一系列近年來，網(wǎng)絡犯罪分子在網(wǎng)絡攻擊鏈的初期偵察階段和武器化階段投入了更多時間和精力。因此，攻擊者得以更快速性攻擊。這種在攻擊前對目標環(huán)境活動的深入探究，加之新漏洞的不斷涌現(xiàn)，為網(wǎng)絡犯罪即服務（CaaS）市場的崛起創(chuàng)過去，我們觀察到許多CaaS提供商充當了“萬事通”，為買獨立的初始訪問經(jīng)紀人和基礎設施提供商不斷涌現(xiàn)，每個團伙都提供執(zhí)行某一攻擊階段所需的特定情報，然后將買家介我們預計，這些攻擊服務提供商的供應鏈將呈現(xiàn)不斷擴大的態(tài)勢。例如，隨著惡意組織日益精進其在各個領域的專日漸增強，為攻擊者提供了更廣泛的攻擊面，新的入侵機會層出不窮。雖然這些終端設備仍是攻擊者的關注目標，但須同樣重視云環(huán)境這一攻擊面的新焦點。云環(huán)境已非新生事物，卻日益激發(fā)起網(wǎng)絡犯罪分子的濃厚興趣。我們觀察到據(jù)Fortinet2024年云安全報告顯示，78%的企多特定于云的漏洞，引發(fā)多起備受矚目的網(wǎng)絡事件。雖然部署多因素身份驗證等基本保護措施，有助于防范針對云應用程序除了部署安全措施來保護云環(huán)境之外，云部署率的持續(xù)增長，還為網(wǎng)絡安全守護者提供了更廣泛的防量身定制的最佳實踐和控制措施，幫助組織借助共享知識和安全標準有效應對特定威脅。增強云可見性、授予最低訪問控解決方案，對于構建彈性網(wǎng)絡至關重要。網(wǎng)絡安全社區(qū)還可專注于構建和采用更全面的云事件響應劇本，增加特定于不出所料，攻擊者也將云視作潛力巨大的牟利領域。云環(huán)境為網(wǎng)絡犯罪團伙提供了全新的細分攻擊領域。我們注意交媒體偵察手段，將收集到的情報融入精心設計的網(wǎng)絡釣魚工具包，以此提升攻擊效果與效率。借助自動化優(yōu)勢無疑我們觀察到，近幾年網(wǎng)絡犯罪分子持續(xù)加大攻擊力度和籌碼。攻擊者已不再滿足于傳統(tǒng)“廣撒網(wǎng)和祈禱”式攻擊策的初期偵察，并轉而利用精心策劃的攻擊手段，力求成功滲透高價值目標，以牟取可觀的回報。與此同時，攻擊劇本擊手段愈發(fā)具有侵略性和破壞性。從勒索軟件攻擊中擦除器使用量的不斷攀升便可窺見一二，揭示了網(wǎng)絡犯罪集團已這些攻擊策略的變化引發(fā)對未來目標領域的思考，攻擊者接下來會將目光瞄準誰或哪一領域。從當前趨勢來看，攻攻擊劇本，將網(wǎng)絡攻擊與真實世界物理威脅相結合，以此造成更大的破壞和影響。例如，網(wǎng)絡犯罪分子可能以關鍵基縱電網(wǎng)工業(yè)控制系統(tǒng)，破壞或中斷公共服務運營，導致數(shù)據(jù)完整性受損，還可能嚴重影響實際運營。此外，我們預測門攻擊目標，攻擊者可能將網(wǎng)絡攻擊與針對供應鏈的威脅相結合，通過破壞企業(yè)的物流統(tǒng)，以達到擾亂或中斷現(xiàn)實世界實際運營的目的。面對這這意味著組織亟需擴展威脅響應劇本，積極有效地應對來自網(wǎng)絡空間和真實世界兩大層面的各類威脅。同時，還應攻擊者正不斷升級攻擊策略，相應地，整個網(wǎng)絡安全社區(qū)同樣能夠采取積極的對應舉措，以先發(fā)制人的姿態(tài)迎擊威脅。建堅實的公私合作伙伴關系，以及精心制定威脅應對框架，對于提升整體網(wǎng)絡彈性而言至關重要。以往，跨整個行業(yè)罪似乎不切實際，但如今社會各界正攜手推進更多富有成n世界經(jīng)濟論壇網(wǎng)絡安全中心和打擊網(wǎng)絡犯罪合作聯(lián)盟（PAC），及其發(fā)起的網(wǎng)絡犯罪地圖集（CybercrimeAtlas）倡議，均匯聚了來自公共與私營部門的眾多組織。這些組織懷揣著共同的愿景，即攜手并肩，堅決打擊網(wǎng)絡犯罪，共同維護網(wǎng)絡空間的安全與秩序。9網(wǎng)絡犯罪地圖集（CybercrimeAtlas）是法部門大規(guī)模瓦解和挫敗網(wǎng)絡犯罪活動。該倡議以論壇打擊網(wǎng)絡犯罪合作聯(lián)細介紹各類犯罪行動、共享基礎設施和網(wǎng)絡，幫助執(zhí)法部門和政府機構在全球范圍內共同打擊網(wǎng)絡犯罪分子，徹底瓦述了該計劃的重要見解，這些見解同樣適用于其他類似合作實例。8該組織還發(fā)布了一項協(xié)作框架，旨在成為“定期在網(wǎng)絡安全社區(qū)之間共享威脅情報，有利于防御者汲取更為豐富的防御知識，助其有效識別并挫敗類似攻擊活業(yè)人員的踴躍參與，此類合作得以不斷深化和自動化，使我們能夠更加迅速地采取行動，攜手共筑安全防線，有效預傳統(tǒng)戰(zhàn)爭中，防御者往往處于劣勢。然而，從歷史的脈絡中審視網(wǎng)絡安全領域，我們或許能發(fā)現(xiàn)一些相似的道理，但如今情我們預測，更多組織將把AI技術集成至其更多安全團隊將采用支持預測功能的AI驅動型網(wǎng)絡犯罪分子總是不斷探尋各種新奇手段，企圖滲透至組織網(wǎng)絡。但幸運的是，網(wǎng)絡安全社區(qū)全行業(yè)的積極協(xié)作以及公私合作伙伴關系的持續(xù)深化，對于共同打擊網(wǎng)絡犯罪具有不容置疑的深遠意義。我們有充分的幾年內，參與協(xié)作的組織數(shù)量將持續(xù)增加?！叭硕嗔α看蟆钡牡览硗瑯舆m用于網(wǎng)絡安全領域。然而，建立聯(lián)盟是最有效但行動之一。各行各業(yè)的組織可以通過建立聯(lián)盟，共同應對網(wǎng)絡犯罪帶來的諸多挑戰(zhàn)。而發(fā)展合作伙伴關系和交換信息則可當公共和私營機構彼此更加信任時，更多情些常見攻擊類型直接瞄準個人用戶，凸顯了員工具備基本安全意識的重要性。持續(xù)開展信息安全意識和培訓計劃除組織之外，從政府機構到提供安全產(chǎn)品的安全廠商等其他實體，均有責任促進并遵守強大的網(wǎng)絡優(yōu)先選購由網(wǎng)絡安全和基礎設施安全局（CISA）以及美國和國際合作伙伴定義的具開發(fā)的基石，可確保安全性始終貫徹設計與開發(fā)流程的每一個環(huán)節(jié)，更將堅實的安全控制措施根植于每款產(chǎn)品及服務中割的原生優(yōu)勢。Fortinet榮幸成為CISA安全設計承諾倡議的早期合作者和簽署者，該倡議要求參與者基其“安全設計”承諾，并展示可衡量的進展，確保在設計階段即納入安全措施以增強產(chǎn)品的安全性。13隨著攻擊者不斷升級攻社會各界已達成共識：任何組織或安全團隊的力量都是有限的，單憑一己之力難以對抗網(wǎng)絡犯罪的持續(xù)猖獗。推動跨行作與伙伴關系至關重要，我們必須尋求新的合作方式，攜手并進，憑借多方力量有效管理風險，超越對手并主動反擊，大用戶提供及時且一致的頂級防護和可操作威脅情報，保護用戶免遭各類網(wǎng)絡攻擊。憑借遍布全球的數(shù)百萬個DouglasJosePereiradosSantos,KeyFindingsFromthe2H2023FortiGuardLabsThreatReport,Fortinet,May6,2024.RaphaelSatter,HackerForumPostClaimsUnitedHealthPaid$22MillionRansominBidtoRecoverData,Reuters,March5,2024.SamSabin,BlackSuitRansomwareLinkedtoAutoDealers’Outages,Axios,June24,2024.FS-ISACReleasesGuideforFinancialInstitutionsonRansomwareDefense,BankingJournal,October28,2024.DarkWebShowsCyberCriminalsareReadyforOlympics.AreYou?,Fortinet,July17,2024.FortinetFortiGuardLabsObservesDarknetActivityTargetingthe2024UnitedStatesPresidentialElection,Fortinet,October15,2024.FrederickHarris,KeyFindingsfromthe2024CloudSecurityReport,Fortinet,April23,2024.C