近年來，卡巴斯基研究人員觀察到，工業企業面臨不斷變化的威脅形勢，其中大多趨勢數已經演變了一段時間。對此，卡巴斯基研究人員預測了2022年工業企業面臨的網絡威脅及發展趨勢、威脅行為者使用的策略及技術、以及今年攻擊者取得的進展。

一、網絡威脅趨勢演變

公司網絡安全改善以及越來越多的工具和保護措施引入正在導致網絡威脅的演變。以下是一些值得關注的發展領域：

1、攻擊目標數量逐漸減少

作為網絡犯罪活動一部分，攻擊者的攻擊目標已經越來越少。例如，基于間諜軟件的身份驗證數據盜竊犯罪生態系統中出現了一種新趨勢，每次攻擊都針對極少數目標，從幾個到幾十個。這種趨勢正在迅速發展，在某些地區，卡巴斯基阻止間諜軟件的所有ICS計算機中，有多達20%都使用這種策略進行攻擊。2022年，此類攻擊可能會占威脅形勢的更大部分，而且這種策略也可能傳播到其他類型的威脅。

2、惡意軟件生命周期縮短

為避免被發現，越來越多的網絡犯罪分子采用頻繁升級惡意軟件的策略。威脅行為者使用最有效的惡意軟件來突破安全解決方案的防御，然后在當前版本變得易于檢測時立即升級到新版本。有些類型的威脅，如間諜軟件，每次構建的生命周期都在縮短，并且在許多情況下不會超過三至四周，通常甚至更少?，F代MaaS平臺的發展使全球惡意軟件運營商更容易使用此策略。2022年肯定會在各種威脅場景中更頻繁地遇到這一趨勢，再加上每次攻擊的受害者人數呈下降趨勢，這種策略的廣泛使用將導致惡意軟件的種類更多，從而對安全解決方案開發人員構成重大挑戰。

3、APT更先進且更持久

在某種程度上，APT組織的策略也有類似的趨勢。APT中P（Persistent，持續性）的質量已經不那么依賴于A（Advanced，高級）。研究人員早就發現，運營者通過頑強和勤奮，可以維持在受害者基礎設施中持續存在，并且擴展和定期升級工具包，正在尋找新的技術解決方案和開發成本高昂的復雜框架的替代方案，這些框架旨在盡可能長時間不被發現。在APT活動中，這種策略很可能會越來越頻繁地被發現。

4、減少惡意基礎設施使用

在與保護工具的斗爭中，攻擊者自然會尋求減少其行為的可檢測惡意足跡，這尤其體現在盡量減少惡意基礎設施的使用上。例如，一些APT中的C&C服務器的生命周期非常短，在預期的攻擊階段運行不超過幾個小時。

有時，攻擊者不僅會設法避免使用任何惡意基礎設施，而且還會避免使用可疑和不受信任的基礎設施。例如，間諜軟件攻擊使用了一種流行的策略，從目標受害者的合作伙伴組織的受感染公司郵件賬戶發送網絡釣魚電子郵件。在這種情況下，精心設計的消息實際上與合法消息無法區分，并且幾乎無法用自動化工具檢測到。

在對工業企業的АPT相關事件的調查中，研究人員發現在攻擊的同時，試圖從受感染的工業設施的基礎設施訪問母公司的其他組織或資源、政府機構等；很可能是希望這種嘗試不會被注意到。毫無疑問2022年各類攻擊者將更頻繁地使用此類策略。

二、攻擊者類型及活動

對于工業企業來說，構成最大威脅的是APT和網絡犯罪。對于不同的威脅行為者類型，改善信息安全和引入新的保護工具和措施的計劃也不同。對某些類別的攻擊者的利益、能力和攻擊手法的認知可能已經過時，因此需要不斷更新。2022年可能會繼續或加劇的相關趨勢包括：

1、APT和網絡犯罪策略相似

許多APT和網絡犯罪活動有時很難區分，即使是專家也是如此。技術上有缺陷的APT和“復雜的”網絡犯罪攻擊并不讓人感到驚訝。特別是，在與知名APT相關的活動中，有很多制作拙劣的網絡釣魚電子郵件，其中充滿了明顯可見的錯誤。很多時候，在有針對性的網絡犯罪活動中遇到過幾乎完美無缺的電子郵件。

同樣，偽裝成網絡犯罪的APT以及偽裝成APT的網絡犯罪分子的攻擊，也不會令人驚嘆。毫無疑問，將在APT武器庫中看到，不僅繼續使用商業工具，還繼續使用MaaS基礎設施和交付方法作為初步滲透的手段。

2、APT和網絡犯罪攻擊目標相同

在眾多工業公司中，APT組織可能重點關注：軍工綜合體和航空航天工業，最有可能用于軍事和技術間諜目的；能源、交通和公用事業，試圖在關鍵基礎設施中站穩腳跟，并利用它進行其他攻擊；基于知識的行業，主要用于工業間諜目的。

網絡犯罪分子將繼續攻擊他們能接觸到的每個人，并且在絕大多數情況下，將使用相同的久經考驗的方法通過攻擊獲利：通過替換銀行詳細信息直接盜竊資金，通過BEC策略或訪問組織的財務系統；勒索有能力并愿意支付的人；將被盜信息轉售給其他網絡犯罪分子、受害者的競爭對手和其他相關方。

3、網絡犯罪經濟損失更大

從過去一年發生的事件來看，就直接經濟損失而言，網絡犯罪分子的行為對工業組織而言似乎比APT重要得多。例如在2021年，許多行業陷入停頓，向勒索軟件支付了數千萬美元。與此同時，一整年中只有一個已知的APT造成重大經濟損失的案例，而這是在攻擊者偽裝成勒索者時發生的。

也就是說，APT攻擊可能會產生非常難以提前評估的延遲負面影響，例如幾年后，競爭對手公司可能會根據被盜數據創建新產品。

4、網絡流氓和黑客行動主義者

2021年，網絡流氓和黑客行動主義者至少在三個場合成為全球頭條新聞，表明重要的工業基礎設施往往保護不力，而且時機成熟。2022年應千方百計盡一切可能杜絕此類事件發生。

5、敲詐勒索

在即將過去的一年里，勒索成為了主要趨勢，無法輕易阻止。明年攻擊將繼續，包括針對工業企業。網絡犯罪分子將更好地保護自己，并規避風險。受害者自然會以更高的贖金形式支付額外的費用。

三、攻擊向量

以下網絡犯罪策略和技術將在2022年被積極使用：

1、網絡釣魚

網絡釣魚是有針對性及非針對性攻擊的首要初始滲透工具。在過去一年里，即使是糟糕的網絡釣魚，也能很有效工作。培訓員工以批判的眼光閱讀所有收到的郵件。拼寫和語法錯誤、措辭不當、公司和官員的名稱不正確、奇怪的話題和不尋常的請求都是網絡釣魚執行不力的跡象。任何員工，即使沒有IT安全專業知識，也能認出他們。

遺憾的是，高質量的魚叉式網絡釣魚幾乎可以保證有效。在每家公司中，都會有人盲目打開附件、點擊鏈接、點擊按鈕、甚至與攻擊者聯系，并在不知不覺中幫助他們在系統中啟動惡意負載。

各種類型的網絡犯罪分子已經掌握了不使用惡意基礎設施的魚叉式網絡釣魚和僅使用受信任的基礎設施的網絡釣魚技術。而且，后者是最危險、最難檢測的方法。不幸的是，它無疑會造成許多受害者。

2、已知漏洞

面向互聯網的硬件中的已知漏洞也肯定會繼續成為流行的滲透媒介。及時更新防火墻和SSL VPN網關。

3、零日漏洞

操作系統組件和流行IT產品中的零日漏洞將仍然是高級APT中相對罕見的工具，而不太常見的產品中的未知安全漏洞將被網絡犯罪分子積極利用。

4、供應鏈攻擊

域名注冊商和認證機構的入侵，對供應商的攻擊。關于這些“高級”策略，研究人員看到針對域名注冊商和認證機構的攻擊（最低限度訪問受害者的Web控制面板），以及針對供應商的新攻擊場景。此類威脅有可能在很長一段時間內未被發現，從而使攻擊者能夠進行持續的操作。那些買得起這種載體的人肯定不會放棄它們。

因此，在規劃來年的保護手段和措施時，不僅要注意自己的基礎設施的安全，還要注意使用的第三方服務的安全性。在為IT/OT系統選擇產品供應商時，請在產品和供應商本身上標記網絡安全要求。與業務合作伙伴合作時，請注意他們的安全弱點可能構成威脅。

四、2021年的成功基石

網絡犯罪分子在2021年無疑取得了重大進展，今年針對工業企業的備受矚目的勒索軟件攻擊清單可能比以往所有年份的總和還要長。針對工業組織的APT活動也讓研究人員非常忙碌。今年網絡犯罪分子的許多成就將被用作進入下一年的墊腳石。

• 數據被盜和IT系統受損。根據卡巴斯基對暗網上信息的遙測和分析，2021年網絡犯罪分子至少危害了全球數千家工業組織，研究人員認為總數遠遠超過了被勒索軟件攻擊或被APT攻擊的組織數量。
• 對OT的威脅。令人不安的是，研究人員還在許多組織中發現了與ICS直接相關的計算機上的入侵跡象。因此在某些情況下，損害可能不僅限于IT系統的加密和辦公網絡中的數據盜竊。
• 堅持不懈。APT中的P不僅應理解為Persistent（持續），還應理解為Persevering（堅持不懈）。因此，已經受到攻擊的組織應該提高警惕，一些APT組織很可能會再次攻擊目標，可能不止一次。

參考資源：

【1】https://securelist.com/threats-to-ics-and-industrial-enterprises-in-2022/104957/