2021年，我們一方面在繼續應對從2020年就已經開始的全球新冠疫情，另一方面，我們也遇到了一系列新的網絡安全挑戰。

在這一年里，供應鏈攻擊影響著醫療、汽車、旅游、零售和食品供應等方方面面，對供應鏈的威脅及其潛在的災難性級聯效應讓供應鏈攻擊成為各類重大威脅中的第一大威脅。在此期間，隨著數字經濟發展的不斷深入，數據對提高生產效率的乘數作用不斷凸顯，成為最具時代特征的生產要素。數據作為新生產要素，在創造越來越多價值的同時，也面臨著更多的安全威脅。隨著企業上云步伐加速，針對云環境的威脅也不斷增加。與此同時，勒索軟件和挖礦攻擊也急劇上升，遠遠超過了我們的預期水平。

本著合作與分享的精神，我們基于各種開源信息和網絡威脅情報制定了《2022網絡威脅形勢研究報告》，希望與行業同仁共享我們觀察到的網絡威脅形勢，與他們一道為守護企業業務發展、抗擊網絡犯罪攜手奮戰!

1. 供應鏈攻擊

多年來，供應鏈攻擊始終是一個重大安全問題，但自 2020 年初以來，整個社會似乎面臨著更多更有組織的攻擊。這可能是由于組織實施了更強大的安全保護，攻擊者只好退而求其次轉向供應商。他們設法通過讓企業系統下線、經濟損失和聲譽受損等方式來產生重大影響。供應鏈之所以重要是因為一旦攻擊成功就可能會影響大量使用受影響供應商的客戶。因此，單一攻擊的級聯效應可能會產生廣泛傳播的影響。根據歐盟網絡安全局(ENISA)的調查研究，供應鏈攻擊呈現出以下趨勢：

攻擊者目標更加明確：66%攻擊事件的攻擊目標是供應商代碼，20%攻擊事件的攻擊目標是數據，14%攻擊事件的攻擊目標是內部流程。

供應商并不清楚攻擊者是如何發生的：在 66% 的供應鏈攻擊中，供應商并不太清楚他們是如何受到攻擊的。考慮到供應商大多屬于技術部門，不了解供應鏈攻擊的發生方式可能表明供應商基礎設施的網絡防御成熟度不高或不愿分享相關信息。還有其他因素可能導致對供應商不了解自己是如何被入侵的，比如攻擊的復雜性以及發現攻擊的速度，這都會對事件調查造成阻礙。

復雜的供應鏈攻擊一般是APT組織所為：據研究調查，超過50%的供應鏈攻擊歸因于知名網絡犯罪組織，包括 APT29、Thallium APT、UNC2546和Lazarus APT等等。但由于這類復雜攻擊一般需要更長的時間來調查，2021年發生的很多攻擊還沒有辦法歸因于特定攻擊組織。

2. 數據安全威脅

隨著數據在數字化經濟發展中發揮著更加重要的作用，針對數據的威脅也一直位居前列，并且預計這一趨勢在2022年將繼續存在。攻擊者探索了一系列新技術，并利用了越來越多、影響力越來越大的在線服務。此外，鑒于數據的重要性，尤其是私人和敏感數據的重要性，攻擊者正在針對目標數據采用更復雜的安全威脅，例如勒索軟件或供應鏈攻擊。根據Verizon的調查數據顯示，數據安全威脅呈現出以下趨勢：

人為錯誤是數據泄露的主要原因：據 Verizon 稱，85%的數據泄露都與人為因素有關。考慮到社會工程和其他人為錯誤都是主要攻擊模式，這就很容易理解了。總體來說，泄露最多的數據是憑證 (60%) 和個人數據 (50%)，而由人為錯誤引起的數據泄露中，泄露最多的是個人數據 (80%)。

醫療保健行業數據泄露激增：由于疫情原因，醫療保健部門成為人們關注的焦點，攻擊者利用這場危機打擊了這個本已遭受重創的領域;同時由于疫情原因，在線醫療保健服務、遠程醫療保健和遠程醫療方法增加，因此攻擊者竊取醫療數據的機會大大增加。此外，醫療記錄中包含患者的醫療和行為健康數據和人口統計數據，以及他們的健康保險和聯系信息，攻擊者竊取醫療數據的動機遠高于其他類型的數據。

商業環境中的數據泄露事件增多：據SANS Institute稱，在過去幾年中，大約 74,000 名員工、承包商和供應商因公司筆記本電腦被盜而受到數據泄露的影響。數據未加密則加劇了這種情況。

攻擊動機和攻擊向量保持不變：據 Verizon 報道，與攻擊者動機和主要攻擊向量相關的趨勢基本保持不變。網絡釣魚仍然是數據泄露的主要原因(36%)，其次是使用被盜憑證 (25%) 和勒索軟件 (10%)。經濟動機仍然是攻擊的主要動因，其次是間諜活動，通常涉及盜竊知識產權或其他機密信息。

3. 云環境威脅

基于云的服務現在構成了許多業務流程的關鍵要素，簡化了文件共享和協作。然而，這些基于云的服務在計算機網絡運營 (CNO) 過程中越來越多地被攻擊者利用，其發展呈現出以下趨勢：

云漏洞利用增多：攻擊者傾向于利用服務器軟件中已知的 RCE 漏洞，通常是掃描哪些服務器有漏洞，而不是關注特定領域或地區。在實現初始訪問之后，攻擊者就可以部署各種工具。

惡意軟件托管和命令與控制(C2)：電子犯罪和有針對性的入侵攻擊者大多是利用合法的云服務來傳播惡意軟件;針對性的入侵攻擊者也使用這些服務進行命令與控制。這種策略的優勢在于能夠規避基于簽名的檢測，因為云托管服務的頂級域名通常受到許多網絡掃描服務的信任。

利用配置錯誤的鏡像容器：攻擊者會定期利用配置不當的 Docker 容器。 Docker 鏡像是用于創建容器的模板，一個鏡像有問題將會影響N個節點和集群。此外，攻擊者還會訪問和修改 Kubernetes 集群。Kubernetes 框架是一個復雜的系統，由許多組成部分組成，很容易出現配置錯誤。

4. 勒索軟件攻擊

勒索軟件是一種惡意攻擊，攻擊者會加密企業的數據并要求付款才能恢復訪問權限。通過釣魚郵件和暴力破解遠程桌面協議 (RDP) 服務進行攻擊是兩種最常見的攻擊向量。在過去一年里，勒索軟件攻擊呈現出以下趨勢：

勒索軟件組織針對基礎設施發起攻擊：雖然針對基礎設施的勒索軟件攻擊并不是什么新鮮事，但這類攻擊在 2021 年顯著增加，幾乎日常生活的方方面面都受到勒索軟件的威脅，例如醫院、警局、自來水廠、燃料管道、食品生產商和學校等等。知名的勒索軟件攻擊事件包括Colonial Pipeline、JBS Foods、New Cooperative攻擊事件，更多詳細信息及完整報告，請關注公眾號“青藤云安全”免費下載索取。

RDP和釣魚依舊是最常見的攻擊向量：在過去幾年中，通過 RDP 進行初步攻擊一直是主要的攻擊向量。然而，自 2021 年以來，我們看到這種攻擊向量正在下降。相比之下，通過網絡釣魚電子郵件進行的攻擊有所增加。我們將這兩種攻擊向量視為獲得初始立足點的最常用方式，而且這兩個攻擊向量也是攻擊者最便宜且最有利可圖的方法。

從雙重勒索發展到多重勒索：攻擊者為了實現利潤最大化開始實施多重勒索計劃。首先，攻擊者會從組織竊取并加密敏感數據，威脅受害者付款，否則就要公開發布這些數據。現在，攻擊者現在還針對組織的客戶和/或合作伙伴索要贖金。一些研究將 DDoS 的使用作為第三重攻擊向量，然后將向受害者客戶索要贖金作為第四重勒索。

勒索軟件即服務(RaaS)商業模式發展壯大：在攻擊中使用勒索軟件即服務 (RaaS) 平臺已成為常態。這種類型的服務為其他攻擊者提供了一個平臺，并且實行的是聯屬營銷模式，讓RaaS平臺像企業一樣運轉盈利。有了RaaS平臺，即使攻擊者缺乏技術知識，也可以進行勒索軟件攻擊。

招募企業內鬼：更復雜的勒索軟件攻擊即將出現的趨勢是積極招募員工在勒索軟件活動期間提供協助。據悉，一名俄羅斯國民因鎖定和招募特斯拉員工協助勒索而被定罪。該員工需要在其公司的計算機系統上執行惡意軟件，從而從公司網絡中竊取數據。

5. 漏洞利用

安全漏洞是指信息系統中的弱點，這個弱點或者脆弱性是由于缺乏防控措施或者防控措施不足造成的，比如組織沒有應用某一個組件的補丁而造成的脆弱性暴露。漏洞的暴露和利用不僅僅會給企業帶來巨大的經濟損失，還有可能損害客戶利益、企業聲譽。雖然漏洞之多已經讓很多人對其無感，但漏洞依然是攻擊者熱衷的對象。下面是關于漏洞利用的發展趨勢：

公開的CVE漏洞首次超過20000：根據 NIST 數據顯示，2021 年發布了 20,136 個常見漏洞和披露 (CVE)。這標志著連續五年發現了創紀錄的漏洞數量，也是歷史上第一次 CVE 的數量超過 20,000 個。

被利用的前 10 個漏洞中有 80% 是原有漏洞：在2021年7月，CISA發布了2020年網絡犯罪分子利用的主要漏洞列表。利用最多的前10個漏洞中都已經有補丁或已有更新版本，而且只有兩個是在2020年發現的，這再次凸顯了全面、及時打補丁的重要性和必要性。

史詩級漏洞Log4j席卷全球：雖然 Apache Log4j 漏洞是 2021 年發現的最后一個重大漏洞，但它很快成為被利用最多的一個漏洞。雖然針對Log4j漏洞及時打補丁會存在一些困難，但真正的困難將是識別有哪些前端、中間件、后端、桌面應用程序、現成的軟件和內部創建的軟件受到了影響。青藤萬相支持全面、細粒度的資產清點，支持精確識別10余類主機關鍵信息清點，800多項業務應用識別，其中包括Web框架、系統安裝包、Jar庫/類庫等，能夠有效識別已部署的業務系統使用的PHP、JAVA、Python框架情況。區別于常規的SCA工具，青藤萬相通過黑盒檢測方式，為用戶提供持續性、動態的業務系統成分分析，支撐應用環節的軟件供應鏈安全防護。

6. 挖礦攻擊

挖礦劫持是犯罪分子偷偷使用受害者的計算能力來獲取數字貨幣的一種網絡攻擊形式。挖礦劫持不僅僅是挖掘加密貨幣，而且是大規模盜竊資源，可以禁用受害者的防病毒軟件并打開安全端口，以便與其命令與控制基礎設施進行通信。挖礦劫持還可以為更復雜的攻擊提供強大的數據轉移能力。在過去一年里，挖礦攻擊主要呈現出以下發展趨勢：

2021 年加密劫持數量創歷史新高：自 2019 年以來，我們看到過去幾年占主導地位的挖礦程序呈穩步下降的趨勢，Coinhive 和JSECoin 的關閉加速了這種下降趨勢，但現在攻擊者已經轉移到其他類型的惡意活動。2021年思科報告稱，其 69% 的客戶 2020 年受到加密挖礦惡意軟件的影響，而且還表示加密挖礦在任何其他惡意活動中產生的 DNS 流量最多。我們可以總結得出，與加密劫持相關的經濟收益激勵了相關的攻擊者進行這些攻擊。基于加密貨幣的波動價值，預計挖礦將在2022年仍是一個重要的攻擊方式。

XMRig主導了挖礦市場：根據Check Point發布的一份報告稱，2020 年全球挖礦惡意軟件市場由 XMRig(35%)、JSECoin(27%)、Lucifer(7%)、WannaMine(6%)、RubyMiner(5%)和其他(20%)主導。2021 年上半年，其市場份額增至 51%，占所有加密惡意軟件的一半以上。

從瀏覽器轉向基于文件的加密劫持：Verizon的研究證實，自 Coinhive 關閉以來，基于瀏覽器的挖礦程序占比下降了。基于文件的挖礦程序填補這一空缺，它們首先入侵受害者的主機，然后在主機上投放挖礦軟件。

挖礦攻擊開始針對云和容器基礎設施：云基礎設施的使用，讓處理能力能夠根據需要隨時擴大。當云主機被加密劫持惡意軟件感染時，成本可能會變得巨大。容器基礎設施也是一個吸引攻擊者眼球的目標，因為這些環境將根據需要生成工作節點。過去在 Kubernetes 上已經看到過加密挖礦，但切入點要么是易受攻擊的 Web 應用程序，要么是已經包含挖掘惡意軟件的惡意容器。