ISHACK AI BOT

根据商业航班机组报告，中东上空自9月以来，已发生数十起新型“欺骗”攻击导致导航系统失灵事件。 9月下旬，伊朗附近多架商业航班的导航系统失灵，导致飞机偏离航线。这些飞机先收到了欺骗性的GPS信号，这些信号旨在欺骗飞机系统，误以为其在正确的航道上飞行，实际上已偏离正确位置数英里，其中有一架飞机未经许可差点飞入了伊朗领空。 由飞机驾驶员和技术人员组成的国际组织OPSGROUP在9月针对这些事件发出了警报，并开始收集相关数据。据OPSGROUP声称，中东地区的多架商业航班在这几个月内因收到欺骗性导航信号而无法正常航行。受攻击的不仅仅是GPS，备用导航系统也受到破坏，完全失灵。 据OPSGROUP声称，活动主要集中在巴格达、开罗和特拉维夫这三个地区。该组织在11月的最新通报中表示，过去五周内已发现50多起事件，并发现了三种新的不同类型的导航欺骗事件，其中两种是自9月首次报告以后发生的。 据OPSGROUP表示，这暴露了“航空电子部件设计的根本性缺陷”。这种欺骗破坏了惯性参考系统（IRS）——一种常被称为是飞机大脑的设备，它使用陀螺仪、加速度计及其他技术来帮助飞机导航。一位专家表示，IRS系统至关重要。 OPSGROUP在关于这些事件的公开声明中表示：惯性参考系统（IRS）应该是一个独立的系统，无法被欺骗。我们可能彻底丧失机载导航能力，必须向航空交通管制询问我们的位置并请求航向，这种情况几乎不可能发生，尤其是对于拥有最新航空电子部件的现代飞机来说。然而，多例报告证实确实已发生这种情况。” 中东地区的信号干扰现象很常见，但这种强大的欺骗手段却很新颖。据得州大学奥斯汀分校研究卫星通信的教授Todd Humphreys声称，自2018年以来，叙利亚附近的上空一直存在着极强大的信号干扰器。叙利亚被美国特种作战司令部负责人称为“地球上最具侵略性的电子战地区”。 Humphreys领导的得州大学奥斯汀分校导航实验室开发了一种软件，被国际空间站上的大功率接收器所使用，用于研究低地轨道的全球导航卫星信号。如今，Humphreys及其实验室的研究生团队不断研究该地区的信号。 他说：“除了一般的信号干扰（比如使用线性调频干扰器），我们还在无线电监听中捕获到了GPS欺骗信号。但有意思的是，欺骗信号似乎从未完整。它们要么缺少关键的内部数据，要么不相互一致，因此无法欺骗GPS接收器。它们似乎旨在实施服务拒绝攻击，而不是实际欺骗。我和我的学生们开始意识到，欺骗是一种新的干扰。换句话说，欺骗被用于服务拒绝，因为就这一用途而言，欺骗比直接的信号干扰更有效。” 目前这个问题还没有解决办法，原因尚不清楚。据OPSGROUP的11月最新通报称，业界迟迟没有正视这个问题，仅凭航班机组想方设法检测和减轻GPS欺骗。 如果航班机组确实意识到有异常情况，他们唯一的解决办法就是依赖航空交通管制。 Humphreys说：“GPS和IRS及其冗余备用机制是现代飞机导航系统的主要组成部分。如果它们的读数出问题，飞行管理系统就以为飞机位置不正确，合成视觉系统就显示错误的内容，等等。最终，如果驾驶员发现出了岔子，他们可以切换到VHF全向范围/距离测量设备。但在最近的几起事件中，航空交通管制不得不干预，为驾驶员直接提供“航线”（通过不安全的通信信道），以引导他们抵达目的地。这不是一种可扩展的解决办法。” 如果驾驶员弄清楚当前的情况，忽略GPS和受攻击的IRS，那么欺骗的影响仅限于拒绝服务。但与GPS干扰的一个重要区别在于，干扰阻止GPS的使用，但并不破坏IRS，而欺骗会破坏IRS。 这表明，在GPS失效的情况下充当航位推算后备机制的惯性参考系统根本不是后备机制，因为受欺骗的GPS接收器会破坏IRS，然后URS基于不准确的位置推算航位。此外，冗余的GPS接收器和IRS（大型飞机通常有2个或以上的GPS接收器和3个或以上的IRS）也不提供额外的保护：它们都受到了破坏。 Humphreys及其他人在过去的15年中一直在留意这种攻击。在2012年，他在国会面前作证，认为需要保护全球导航卫星系统（GNSS）免受欺骗。 据Humphreys声称，OPSGROUP从9月开始发布的报告是“我所知道的第一个明确的案例，表明商用航班因GPS欺骗而偏离航线”。 目前不清楚新型欺骗攻击背后的组织，但Humphreys表示，他和一名学生已经缩小了目标范围。 伊朗可能不是该地区欺骗GPS信号的唯一国家。Clements第一个识别出欺骗最有可能来自以色列。Humphreys说：“我们自10月15日以来在以色列上空看到的信号强且持续的欺骗几乎可以肯定是由以色列执行的。”遇到这种GPS欺骗的机组人员可以依赖其他机载仪表进行着陆。 Humphreys表示，以色列欺骗的影响与9月底在伊朗附近观察到的效果一样。

在众多网络安全问题中，像二维码网络钓鱼这样的网络钓鱼攻击在该行业大行其道，有报告指出，金融行业的软件供应链也受到了攻击。 “网络钓鱼即服务”大肆袭来 Sekoia声称，2023年，网络钓鱼即服务模式得到广泛的应用。网络犯罪分子正在销售钓鱼工具包，这其中包括模仿各种金融机构的钓鱼页面，以及旨在接管微软并获取微软365登录凭证的工具包，企业微软365验证等多种服务。 NakedPages PhaaS就是此类威胁的一个例子，它提供针对不同目标（其中包括金融机构）的网络钓鱼页面。该威胁攻击行为体拥有3500多人，他们一直维护许可证并经常在Telegram频道上发布软件更新。 Sekoia的战略威胁情报分析师Livia Tibirna说，一般来说，网络犯罪分子更加倾向于通过邀请用户加入他们的公共资源频道来增加软件的受众，从而提高他们的知名度。因此，这些用户是威胁行为者服务的潜在的客户。然而，加入威胁行为者Telegram频道的另一类用户是监控相关威胁的网络安全专家。 二维码网络钓鱼活动已经呈上升趋势。Sekoia报告称，二维码网络钓鱼（或称 "网络钓鱼"）攻击活动数量激增。其中被称为“网络钓鱼”的网络攻击会使用二维码诱骗人们泄露个人信息，如登录密码或银行账户信息。 这家网络安全公司指出，二维码网络钓鱼数量最终都会增加，因为它能有效逃避检测和躲避电子邮件保护解决方案。 据Sekoia称，2023年第三季度最流行的工具包是Dadsec OTT网络钓鱼即服务平台，其中包括大量的网络钓鱼功能。在一些大范围的攻击活动中，特别是冒充金融机构的网络攻击活动中都发现了它的身影。 多重供应链风险 2022年至2023年期间，针对开源软件供应链的攻击增加了200%。由于金融业94%的公司在数字产品或服务中都会使用开源组件，因此该行业很容易受到利用开源软件供应链漏洞的攻击。 其中一个例子就是Log4Shell漏洞及其利用，该漏洞已成为全球数千家公司获取经济利益和间谍活动的目标。 还有报告称，特别是针对银行业的供应链攻击，这表明某些威胁行为体有可能会针对银行业务发起复杂的攻击。Sekoia认为，高级威胁行动者极有可能会继续明确以银行业的软件供应链为目标进行攻击。 以金融为导向的恶意软件 Sekoia还提到了一些以金融行业为导向的恶意软件，这些恶意软件主要是为了窃取金融数据，如信用卡信息、银行凭证、加密货币钱包和其他重要数据。 移动银行木马：Sekoia对与移动银行app相关的木马数量不断增加表示特别关注，2022年的木马数量比上一年增加了一倍多，2023年仍在增加。Sekoia认为，这可能是因为越来越多的移动设备开始使用金融服务，而恶意软件也更加容易绕过双因素身份验证所导致。 间谍软件：根据Sekoia的数据显示，2023年，间谍软件（一种用于收集密码、敏感数据和按键的恶意程序）在银行业务的欺诈使用率上有很大的上升趋势。目前有一种被称为SpyNot的安卓恶意软件的功能列表中增加了针对银行应用程序进行攻击的功能。 勒索软件：金融业是勒索软件的主要目标。在2023年的第三季度，金融业是受影响最严重的行业。勒索赎金要求从18万美元提高到 4000 万美元不等，在许多情况下，黑客的赎金要求会对企业造成严重的影响。 根据Sekoia的说法，像BianLian这样利用勒索攻击影响金融业安全的攻击者已经改用基于渗透的勒索策略，不再对受害者的系统或数据进行加密。 降低网络威胁风险 金融行业更加容易受到多种安全风险的影响。虽然BEC和网络钓鱼攻击活动已经存在了一段时间，但随着时间的推移，它们将会变得更加复杂，继续影响着整个行业，并会与新兴技术一直保持同步，最近已出现了更多的间接网络攻击， 金融机构的每位员工都需要接受培训，然后识别潜在的欺诈或网络钓鱼行为。

我们都知道要小心对待我们在网上分享的细节信息，其实我们搜寻的内容也可能会暴露信息。如搜索驾驶路线，我们的位置就会变得极容易猜到；在大量被泄露的数据中查找密码，我们就面临自己泄露密码的风险。 这些情况引出了密码学领域的一个关键问题：如何从公共数据库中提取信息，又不暴露访问内容的任何信息？这就相当于从图书馆借了一本书，而图书管理员不知道是哪一本书。 美国得克萨斯大学奥斯汀分校的密码学家David Wu表示，制定一种解决这个问题的策略（即所谓的私密信息检索）是“许多保护隐私的应用程序中一种非常有用的基本模块”。 自20世纪90年代以来，研究人员一直在努力解决这个问题——改进私密访问数据库的策略。一个主要的目标（对于大型数据库来说仍然不可能实现）相当于私密谷歌搜索，即你可以匿名筛选一大堆数据，无需进行任何繁重的计算操作。 现在，三位研究人员精心设计出一种私密信息检索技术，并在此基础上制定了一种更通用的隐私策略。这项研究在今年6月的年度计算理论研讨会上获得了最佳论文奖，它扫除了通往真正私密的搜索道路上的一大理论上的障碍。 麻省理工学院的密码学家Vinod Vaikuntanathan表示：“这是里程碑式的重大成果。” 私密数据库访问的问题在20世纪90年代形成。起初，研究人员以为唯一的解决办法是在每次搜索时扫描整个数据库，这就好比检索你要找的书时，图书管理员把每个书架都翻遍一样。毕竟，如果搜索跳过了任何部分，图书管理员就会知道你要找的书不在图书馆的那个对应区。 规模比较小时 ，这种方法的效果足够好，但是随着数据库日益庞大，扫描数据库所需的时间至少会成比例地增长。当从更大的数据库中读取时（互联网是个庞大的数据库），这个过程就变得非常低效。 在21世纪初，研究人员开始觉得他们可以通过“预处理”数据库来避开全面扫描这个障碍。粗略地说，这意味着将整个数据库编码为一个特殊的结构，这样服务器就可以通过读取该结构的仅仅一小部分来回答查询。从理论上讲，足够仔细的预处理可能意味着，一台托管信息的服务器只需要经历一次这个过程，允许所有未来的用户无需花更大的精力就可以私密获取信息。 2017年，两组研究人员编写出首批可以进行这种私密信息检索的程序，但他们无法证明这些程序是安全的。（密码学家通过证明破解一个系统就像解决某个难题一样困难来证明系统的安全性。研究人员无法将其与标准的难题进行比较。） 左起：Wei-Kai Lin、Ethan Mook和Daniel Wichsawmg设计了一种新方法，用于私密搜索大型数据库 在他们研究的方法中，数据库中的信息可以转换成一个数学表达式，服务器可以对其进行计算以提取信息。论文作者认为，可以使这个评估过程更有效。他们尝试了2011年的一个想法，当时其他研究人员发现了一种方法，可以通过预处理来快速评估这样一种表达式，创建特殊的紧凑值表，以便略过正常的评估步骤。 这种方法没有带来任何改进，研究小组差点就要放弃，直到他们想搞清楚这个工具在单服务器情况下是否果真可以适用。他们发现，只要足够小心地选择一个多项式，单单一台服务器就可以根据2011年的结果对其进行预处理，从而获得了Wichs已思考多年的安全高效的查找方案。 Wichs表示，在设计了秘密查找方案之后，论文作者转向了私密互联网搜索的实际目标，这比从数据库中提取信息要复杂得多。私密查找方案本身确实允许类似谷歌的秘密搜索，但它非常耗费人力：你自己运行谷歌的算法，并在必要时从互联网上秘密提取数据。真正的搜索（你发出请求，然后静等服务器收集结果）实际上是同态加密这种更广泛的方法力求实现的目标，这种方法掩盖数据，以便其他人可以在一无所知的情况下操纵数据。 典型的同态加密策略会遇到与私密信息检索同样的障碍，每次搜索都要长时间地搜索互联网上的所有内容。但是使用私密查找方法作为基本框架，论文作者设计出了一种新的方案，该方案运行的计算更像我们每天使用的程序，在不搜遍整个互联网的情况下秘密提取信息。 这将为互联网搜索和任何需要快速访问数据的程序提高效率。 Ishai表示，虽然同态加密是私密查找方案的一种实用扩展，但他认为私密信息检索是更为根本性的问题。论文作者的解决方案是“神奇的构建模块”，他们的同态加密策略是自然而然的后续策略。 目前，这两种方案都没有实际用途。幸运的是，Vaikuntanathan表示，未来从大型数据库中进行私密查找将触手可及。

现在，欺骗技术怀疑论者主要存在两种常见声音：一种是许多网络安全专家表示，他们以前听过这种预测，但并没有成功；其他人则声称，欺骗技术仅限于精英组织中的精英。事实上，许多人认为这是专属于为GCHQ、NSA工作的威胁分析师或CrowdStrike、Mandiant和Recorded Future等威胁情报专家的东西。 尽管欺骗技术目前仍然受到业界质疑，但我们预测到2024年，欺骗技术将变得更加普遍，到2025年底，它将成为安全行动的主要手段。 欺骗的价值：夺回“主动权” 欺骗技术是一种能有效检测恶意活动的主动安全防御方法。一方面，这种策略搭建了一个由虚假信息构成的模拟环境来误导攻击者的判断，使毫无戒心的攻击者掉入陷阱，浪费时间和精力，增加了入侵的复杂性和不确定性。 同时，防御者可以利用欺骗技术收集更全面的攻击日志，部署对策，追踪攻击者的来源并监视其攻击行为。记录所有攻击信息以研究攻击者使用的策略、技术和程序（TTP），助于分析工作的顺利开展。 总之，欺骗技术可以帮助防御者夺回网络安全攻防的主动权。 一些欺骗应用，例如蜜罐，可以模拟运行环境和配置，引诱攻击者渗透虚假目标。通过这种方式，防御者将能够获取攻击者投放的有效负载，并通过Web应用程序中的JavaScript获取有关攻击者主机甚至Web浏览器的信息。更重要的是，可以通过JSONP劫持了解攻击者的社交媒体帐户，并通过“蜂蜜文件”反击攻击者。可以预见，未来几年欺骗技术将会更加成熟并得到广泛应用。 推动欺骗技术的技术趋势 一些网络安全和IT趋势正在汇聚成一场完美风暴，到时候必然会大大简化欺骗技术，使其成为主流。这些趋势包括： ·安全数据湖部署：企业正在实施来自AWS、谷歌、IBM和Snowflake的海量安全数据存储库。欺骗技术将持续分析这些数据，以更好地了解正常和异常行为。这些数据将作为欺骗模型的基线。 ·云计算：欺骗模型需要大量资源来按需处理和存储数据。因此，欺骗技术很可能会以SaaS或基于云的服务的形式提供，这些服务位于现有安全运营技术之上。如此一来，欺骗技术才会走向普及。 ·API连接：除了安全数据湖之外，欺骗技术还将植入IaaS、资产管理系统（Gartner称之为网络资产攻击面管理）、漏洞管理系统、攻击面管理系统、云安全态势管理（CSPM）等。这种连接使欺骗系统能够全面了解组织的混合IT应用程序和基础设施。 ·生成式AI：基于大型语言模型（LLM），生成式AI可以“生成”以假乱真的诱饵（即虚假资产、虚假服务）、合成网络流量和“面包屑”（即放置在真实网络上的虚假资源）。这些欺骗元素可以在混合网络环境中大规模地进行战略性和自动部署。 欺骗技术的应用趋势 上述技术趋势为先进的欺骗技术提供了技术基础，以下是有关欺骗系统应用趋势的概述： 1. 欺骗系统将插入多个IT扫描/态势管理工具，以“学习”一切环境信息，包括资产（OT和物联网资产）、IP范围、网络拓扑、用户、访问控制、正常/异常行为等。先进的网络靶场已经可以做到其中一些功能，而欺骗系统将建立在这种合成环境之上。 2. 根据组织的位置和行业，欺骗系统将分析和总结网络威胁情报，寻找特定的攻击者群体、威胁活动以及通常针对此类公司的攻击者策略、技术和程序（TTP）。欺骗系统将与各种MITREATT&CK框架（云、企业、移动、ICS等）锚定，以获取有关攻击者TTP的细粒度视图。欺骗元素是为了在网络攻击的每一步都能迷惑/愚弄他们。 3. 接下来，欺骗系统将检查组织的安全防御措施，包括防火墙规则、端点安全控制、IAM系统、云安全设置、检测规则等。它可以使用MITREATT&CK导航器来发现安全覆盖缺口，这些缺口将是欺骗元素的完美落脚点。 4. 生成式AI模型利用这些数据来创建定制的面包屑、诱饵和canary token。如此一来，一个管理着10000个资产的组织就会看起来像一家电信公司，坐拥数十万甚至数百万个应用程序、数据元素、设备、身份等资产——所有这些都是为了吸引和迷惑攻击者。 值得一提的是，所有扫描、数据收集、处理和分析都将是连续的，以跟上混合IT环境、安全防御和威胁形势的变化。当组织实现新的SaaS服务、部署生产应用程序或对其基础设施进行更改时，欺骗引擎会注意到这些更改并相应地调整其欺骗技术。 与传统的蜜罐不同，新兴的欺骗技术不需要尖端的知识或复杂的设置。虽然一些高级组织可能会个性化定制他们的欺骗网络，但许多公司仍会选择默认设置。在大多数情况下，基本配置足以迷惑攻击者。值得注意的是，像诱饵这样的欺骗元素对合法用户来说是不可见的。因此，当有人触碰“面包屑”或canary token时，可以肯定他们绝对是不安好心。通过这种方式，欺骗技术还可以帮助组织改进围绕威胁检测和响应的安全操作。 最后，同样值得注意的是： ·在医疗保健和制造业等使用大量OT/IoT技术而无法托管安全代理的行业中，欺骗技术尤其具有吸引力。通过模拟OT/IoT设备，他们可以模仿真实的生产设备。 ·欺骗技术将与检测工程紧密协作。事实上，生成式人工智能可以同时创建欺骗元素和同伴检测规则。 ·鉴于MITRE ATT&CK框架是模型的一部分，欺骗技术也将依赖MITRE Engage欺骗框架和社区来提供支持。安全厂商和MITRE可能会在Engage的商业实施方面进行合作。 ·虽然每个组织都有自己的欺骗配置文件，但可以预见的是，像ISACs这样的行业组织会参与调整模型并改善整个行业的防护能力。 最终，欺骗技术将搭载在其他安全操作系统之上。目前，Fortinet和Zscaler已经在采用这种方法，希望其他公司未来也能效仿。

气候变化给全球数据中心带来了新的挑战，也暴露出新的安全漏洞。温度破记录的热浪使冷却系统不堪重负，导致服务器过热，进而致使全球许多热门网站和应用纷纷崩溃。 攻击者想利用过热做手脚 一些公司在权衡是否将数据中心的温度稍调高一点，以此来降低能源成本，确保可持续性是摆脱能源成本急剧上升的途径。 攻击者的目标是通过攻击冷却系统，对过热做手脚，从而从数据中心窃取价值数十亿美元的数据。从网络犯罪团伙到复杂的高级持续性威胁（APT）攻击团队，许多由政府资助的组织都期望发动更多的数据中心攻击，而过热正是攻击者手里的武器。 切莫因数据中心过热而靠近网络安全风险 对于许多公司来说，数据中心的成本持续攀升至创纪录的水平，其中能源成本超过了所有其他类别的支出，尽可能提高冷却效率对数据中心的盈利能力至关重要。冷却大约占数据中心总能耗的40%。虽然数据中心从改进冷却方法入手，逐步实现可持续性，在提高能源效率方面继续取得长足进步，但许多数据中心忽视了自己在可持续性方面能走得多远，从而带来了更大的网络安全风险。 据麦肯锡声称：“数据中心是能耗大户——超大规模计算公司的数据中心的用电量相当于8万户家庭的用电量。因此，数据中心在确保可持续发展方面面临很大的压力，一些监管机构和政府（包括新加坡和荷兰）正在对新建的数据中心实施可持续发展标准。” 尽管投入到确保可持续发展方面的资本达到了创记录的数额，但数据中心依然出现了服务器因过热而容易出现故障、从而导致中断的一幕。虽然新的冷却技术（包括室外空气冷却）具有成本效益，但同时它们给数据中心基础设施带来了污染物，这种污染物可能会损坏硬件。 数据中心降低冷却成本的另一种方法是提高服务器入口温度。众所周知，在数据中心，服务器是导致故障的最主要原因，因而为了节约成本而任由温度上升是有问题的。过热引起的服务器故障会导致意外停运，从而扰乱数据中心的正常运营，并可能导致网站、应用和在线存储出现不可预测的故障，从而造成数十亿美元的生产力损失。 有媒体采访了几位数据中心恢复专家，他们证实，数据中心在削减开支以节省成本，许多数据中心都在努力将服务器入口温度保持在80华氏度以下，这是服务器冷却的共识标准。 成本节约比降低网络安全风险更重要。 2022年推特（Twitter）的萨克拉门托数据中心因极端高温天气而宕机就是一个先例，表明了将来极端高温确实会影响服务器的性能。推特工程副总裁Carrie Fernandez 在写给工程师的内部备忘录中写道：“9月5日，由于极端天气，推特的萨克拉门托（SMF）数据中心区域停运。这起史无前例的事件导致该数据中心的物理设备完全关闭。” 推特的中断由于极端热浪造成，网络攻击者也注意到了这起故障及其他极端高温引发的故障，进而调整其攻击手法，以攻击暖通空调、电力和冗余电源系统。 利用过热的数据中心进行攻击 攻击者不断调整攻击手法，并编写恶意软件以攻击冷却系统，从而迫使数据中心崩溃，以收到勒索赎金或者发表政治声明。 佐治亚州亚特兰大的一个数据中心在2018年遭到了网络攻击，导致多项城市服务关闭，包括市法院、警察局和亚特兰大哈茨菲尔德机场。网络攻击者使用SamSam勒索软件的变体，旨在加密每一台可用服务器上的数据。攻击者还渗入了数据中心的冷却系统，导致温度升高至100华氏度以上，损坏了服务器CPU和相关的芯片设备。 最后，网络攻击者索要了价值51000美元的比特币，以解锁服务器并交还冷却系统的控制权。 兼顾安全性和可持续性 数据中心面临着不断扩充存储容量、缩短访问延迟、控制成本以及寻找新方法来抵御网络攻击的挑战。雪上加霜的是，数据中心又面临减少环境影响和能源消耗的压力，因为数据中心约占全球用电总量的 1%，约占全球温室气体排放量的0.3%。数据中心运营商正在制定创新的新战略，以实现这些具有挑战性的目标，包括更加依赖可再生能源、节水冷却系统和废热回收技术来提高可持续性。 以下策略给实施这些项目的数据中心拥有者和恢复专家带来了好处： •养成制作详细热图的习惯，以识别热点和优化冷却。 数据中心恢复专家表示，这是许多数据中心运营商面临的一个盲点，他们没有养成定期制作热图的习惯。考虑到服务器在极端温度下性能会迅速降级，因此将此任务作为任何数据中心的肌肉记忆的一部分是好主意。 •考虑人工智能如何有助于改善耗电，并辅以环保型冷却器和蒸发冷却。 据有关专家和数据中心运营商声称，人工智能给数据中心带来的好处逐渐显现。有人认为，人工智能优化对于成功达到内部和监管标准基准所需的可持续性基准至关重要。为了避免超过服务器入口温度，更多的数据中心也在使用人工智能来实时解释并触发警报和操作，动态调整以防止过热，同时最大限度地提高效率。 •具有容错电源的冗余冷却系统是数据中心冷却的未来。 热浪和数据中心故障在欧美越来越常见，以及去年夏天发生在伦敦的重大故障，这些都表明了数据中心必须应对一种全新的高温挑战。 •使用人工智能优化数据中心资产清单日益受到追捧。 对于人工智能和机器学习算法来说，这是完美的用例，可以训练这些算法，以优化硬件和系统配置，从而应对数据中心正常运行需要遵守的一系列日益复杂的约束条件。使用基于人工智能的优化技术可以考虑服务器CPU的可持续性要求、资源负载和冷却要求，致力于为数据中心在最优性能状态下运行创造最佳的环境条件。 数据中心在竞相提高网络安全性和可持续性 数据中心行业正努力减小其环境足迹，为此它必须兼顾可持续性和网络弹性目标。比如说，室外空气冷却等可持续解决方案可以节省能源，但如果不作为一项更广泛的数据中心网络安全计划的一部分加以管理，可能导致安全风险激增。 在竞相提高数据中心可持续性的态势下，运维团队和运营数据中心的公司是时候拥抱可持续性了！

引言 随着网络威胁的数量不断增加，了解学习可能会危及到客户在线身份的常见身份验证漏洞就显得格外重要。如果需要在网上满足客户的需求，并使用传统的身份验证机制时，就要对身份验证漏洞保持警惕。 只有了解了这些漏洞，才可以更有效地保护自己、客户和在线资产远离网络攻击。 了解身份验证漏洞：它们如何出现并构成威胁？ 网络安全中的身份验证漏洞是指用于验证用户或系统身份的流程和机制中存在的弱点和缺陷。这些漏洞可能因种种原因而出现，通常源于技术、人类行为或两者兼而有之。 导致身份验证漏洞的一个主要因素是技术的快速发展。随着新的软件、协议和身份验证方法层出不穷，网络犯罪分子不断利用这些系统中的潜在漏洞。过时或配置不正确的身份验证协议很容易成为攻击目标，允许攻击者获得未经授权的访问。 人类行为对于身份验证漏洞的出现也起到了重要作用，因为用户常常更看重方便而不是安全，会选择弱密码或在多个平台上重复使用同一弱密码。而且，安全身份验证实践方面如果缺乏意识可能会导致错误的选择，从而使黑客更容易闯入帐户。 此外，数字平台和服务具有的互连特性放大了身份验证漏洞造成的影响。一个系统中招可能会导致多米诺骨牌效应，危及多个帐户和敏感数据。网络犯罪分子经常利用这种互连特性来发动攻击（比如撞库），即从一个服务中窃取的凭据被用来渗入其他帐户，利用用户行为的共性大做文章。 1. 网络钓鱼攻击 网络钓鱼攻击是指，通过伪装成值得信赖的组织或企业，欺骗用户泄露其敏感信息。用户应当小心那些要求你提供登录凭据的未经请求的电子邮件或消息，在点击链接或透露个人信息之前，一定要核实发件人的真实性。 2. 撞库攻击 当网络犯罪分子使用从一个平台窃取而来的用户名和密码，访问不同网站上的多个帐户时，就会发生撞库攻击（即凭据填充）。为了避免沦为受害者，尽量不要在不同平台上使用相同的登录凭据，应当考虑使用密码管理器，为每个帐户生成和存储一个独特的密码。 3. 弱密码 最常见的身份验证漏洞之一是弱密码。为每个帐户创建独特的强密码对于降低这种风险至关重要，企业必须鼓励客户使用强密码。此外，公司应该考虑依赖安全的密码存储机制来确保最高级别的安全性。 4. 不安全的身份验证协议 过时或不安全的身份验证协议可能使在线帐户易受攻击。始终使用安全、最新的身份验证方法，比如OAuth 2.0或OpenID Connect，可以有效保护用户的信息免受潜在的泄露。 5. 蛮力攻击 蛮力攻击是指系统性地尝试所有可能的密码组合，直至找到正确的密码。为了防止这种情况，在登录失败的次数达到一定数量后，实施帐户锁定策略和CAPTCHA质问机制。此外，可以使用多因素身份验证（MFA），以添加另外一层安全。 6. 会话劫持 当攻击者拦截并窃取用户的会话标识符时，就会发生会话劫持或会话窃取。为了防止这种情况，网站应该实施安全的通信通道（比如HTTPS），并使用安全的、随机生成的会话令牌。 7. 缺少多因素身份验证（MFA） 缺少MFA是许多用户忽略的一个重大漏洞。MFA要求用户在访问其帐户之前需提供多个验证表单，从而增加额外的安全层。如果启用MFA，可以大大加强帐户防范未经授权访问的能力。 结论 忽视身份验证漏洞极大可能会导致财务亏损和声誉受损，我们应该保持警惕，并积极主动地解决这些常见的身份验证漏洞，这将是保护在线资产的关键。

据英国国家网络安全中心（NCSC）撰写的年度报告显示，2023年仅仅利用思杰（Citrix）的一个漏洞就引发了“13起独立的全国性重大事件”。 思杰在2023年7月18日发布的安全公告中披露，迫使安全服务专业人员紧急干预的思杰漏洞CVE-2023-3519于6月首次作为零日漏洞被人利用，用于攻击美国的关键国家基础设施。 该漏洞的CVSS评分为9.8分，是一个预身份验证远程代码执行漏洞，它使攻击者能够以root权限访问思杰网关。 图1. 中间的这个设备即应用程序交付控制器（ADC）岌岌可危。 从思杰的上图可以看出，应用程序交付控制器的目的是“运用安全策略并阻止攻击”，但有时候它也被攻击者利用。 这种事件和威胁形势意味着“我们需要继续提高对关键国家基础设施风险的重视程度”，“比如说，了解英国关键国家基础设施的设计中存在的缺陷（比如网络隔离不足）将是关键所在。” NCSC表示，NCSC处理的事件中比例最高的事件源自应用程序被利用，旨在帮助预防由网络安全实践和做法造成的事件，NCSC通过早期预警服务（EWS）针对易受攻击的服务发出了超过1.6万则通知。 行业上游缺乏网络安全 虽然NCSC认为网络安全实践和做法确实难咎其责（受到攻击的组织将包括那些没有打补丁的），但这里的供应商（思杰）也值得关注，特别是这个漏洞在补丁发布之前被人作为一个零日漏洞而被利用。 正如安全公司Bishop Fox在7月份分析该漏洞时特别指出，完全缺乏漏洞缓解措施使得这个漏洞极容易在VPX版本（思杰/NetScaler在虚拟机管理程序上运行网关的产品）上被利用。相比之下，无法利用nsppe的CPX（容器化）版本，这是由于在溢出的缓冲区之后立即就有堆栈金丝雀（stack canary）。 该公司的安全团队特别指出，这遵循了我们在许多网络设备（包括但不限于PAN-OS和FortiGate）中观察到的，缺少漏洞缓解措施这个趋势。希望供应商能够注意到启用基本的编译时漏洞缓解措施具有的重要性，因为它们可以使得不法分子很难或几乎不可能利用许多常见的漏洞，同时给性能带来的影响最小。 外媒在7月份曾特别指出，尽管显然思杰在6月份就知道了这个漏洞和被利用的事实，但它直到次月准备好了补丁后才发布紧急缓解措施。 美国的安全监管部门CISA在7月21日特别指出，在那次事件中，“攻击者试图横向移动到一个域控制器，但该设备的网络分段控制措施阻止了横向移动。”然而，攻击者使用存储在易受攻击的NetScaler ADC上的密钥来解密活动目录（AD）凭据，使用这些凭据通过虚拟机从ADC向域控制器进行身份验证，但是防火墙和帐户限制（只有某些内部帐户可以向域控制器进行身份验证）阻止了这次活动。

攻击者经常找到新的方法来破坏网络，但成功的攻击却并非总是那么简单或快速。然而，由于网络犯罪即服务（CaaS）市场的增长，以及生成式人工智能的兴起，网络犯罪分子已比之前能更简单、快速的实施攻击。如此一来，攻击者将通过大量工具箱中的新功能来扩展其“巧干而非苦干型”网络犯罪方法。 FortiGuard实验室（Fortinet的精英网络安全威胁情报和研究机构）发布的《2024年威胁预测报告》分享了2024年值得关注的新趋势。 以下是FortiGuard实验室对威胁形势发展的预测，以及安全实践建议。 2023年预测回顾 多年来，FortiGuard实验室一直在探讨许多攻击趋势，其在《2023年威胁预测报告》中指出，预计攻击者最喜欢的策略将在未来发生演变；高级持续性网络犯罪将变得越来越复杂和有针对性；网络犯罪团伙间的地盘争夺战愈演愈烈；人工智能用于支持攻击的方式也将发生转变等。以下是其对2023年一些关键预测的回顾，以及对2024年及以后威胁形势的预测。 高级持续性网络犯罪的新时代 在过去的几年里，新型漏洞的增长，加上对手之间更多的攻击前（pre-attack）活动，将为网络犯罪即服务（CaaS）市场的扩张铺平道路。如今，随着网络犯罪分子和高级持续性威胁（APT）组织继续合作（暗网上的APT组织比以往任何时候都多），可以肯定地说，2023年的预测成真了。 对于安全从业者来说，这只是冰山一角。APT活动呈上升趋势：在2023年上半年，APT活动显著增加，MITRE跟踪的138个组织中有41个（约30%）在此期间处于活跃状态，其中Turla、StrongPity、winti、OceanLotus和WildNeutron是最活跃的。 未来，我们预测更多的APT组织将变得更加活跃，并且可能从事双重网络犯罪和网络间谍活动。更糟糕的是，更多的APT组织可能将转向使用更隐蔽、更创新的方法来发起攻击。诸如HTML走私之类的技术将越来越受欢迎，我们预计在未来一年中还会出现更多的新方法，他们的战术、技术和程序（TTPs）在不断发展，过时的分析方法根本无法检测到。 除了APT操作的演变，我们预测网络犯罪集团将继续多样化他们的目标，在一系列已经被入侵的组织中寻找隐藏的（和高利润的）“皇冠上的宝石”。例如，在运营技术（OT）领域，制造业历来是网络罪犯的首要目标。我们预计OT攻击将越来越多地从制造业扩展至医疗保健、公用事业、金融、石油和天然气以及运输等行业。这些攻击也将不再仅限于加密数据，并以此来实施勒索，他们还将继续进行供应链攻击，破坏关键服务和组织。 在《2023年威胁预测报告》中，我们还预计边缘攻击将成为主流，未来将会看到更多此类活动。如今，这种情况不仅已经发生，而且攻击者使目标多样化，而非仅限于我们通常认为的边缘设备。有了Flipper Zero和其他类似的工具，设备或钱骡（money/ device mules）可以通过克隆RFID卡或酒店钥匙卡来入侵物联网设备，然后在手机和笔记本电脑等设备上运行任意命令，使用零日漏洞，甚至可能无需用户交互。 网络犯罪的地盘争夺战愈演愈烈 几年前，我们就预测到网络犯罪集团之间会出现地盘争夺战，多个对手会瞄准同一个目标。 今天，我们看到的正是这种情况。多个网络犯罪组织试图在短时间内（有时在24小时或更短的时间内）渗透到同一个目标，以不同的组合部署AvosLocker、Diamond、Hive、Karakurt、LockBit、Quantum和royal等勒索软件变种。许多经历过这种情况的组织在几天内都受到了类似的攻击，这些攻击都是由不同的对手发起的。我们可以假设，其他网络犯罪分子密切监视暗网上的通信，然后进行相同的攻击，或者模仿最初由竞争对手实施的攻击。这一新兴趋势的增长促使联邦调查局于2023年9月向各组织发出警告，敦促安全领导者审查并加强防御，以防范勒索软件事件。 在今年上半年，大约三分之二的MITRE ATT&CK技术被积极用于攻击，防御规避是最常用的策略。被盗的凭据就像坏人的“万能通行证”，使他们能够渗透到目标网络中，启动勒索软件和其他攻击。鉴于被盗凭据对威胁行为者的价值，我们预测凭据和初始访问代理服务产品的新兴趋势将在未来继续增长，使网络犯罪分子更容易获得执行成功攻击所需的凭据（有时针对同一目标）。这种类型的服务可能会像勒索软件即服务（RaaS）一样成熟和发展，以满足市场需求，变得更加商业化，而非仅在暗网上可用。 通过AI链来支持所有攻击阶段 人工智能的武器化给已经肆虐的威胁形势火上浇油——它使攻击者能够加强攻击的每个阶段，并且比以前做得更好、更快。我们看到网络犯罪分子越来越多地使用人工智能来支持各种恶意活动——从挫败检测社会工程的算法，到通过人工智能音频欺骗和制造其他深度伪造（Deepfakes）等活动来模仿人类行为，但攻击者并非就此止步。我们预计网络犯罪分子将以未知的创新方式利用人工智能，例如： ·攻击者将使用人工智能进行生成分析——从社交网站和其他公共网站上抓取个人身份信息，这是恶意行为者为执行攻击而进行研究的另一种方式。 ·我们将看到更多的人工智能链攻击出现，网络犯罪分子使用可操作的模型使其攻击链更加模块化。例如，攻击者可能在侦察阶段使用ML，将其链接到AI驱动的武器化有效载荷的部署，这种联合人工智能方法减少了他们的妥协时间模型。 ·网络罪犯将利用人工智能加强密码喷洒。密码暴力破解、填充和喷洒是攻击者识别、窃取和出售凭据的常用方法。使用人工智能识别密码的模式和主题将增加这种可能性，并缩短成功攻击所需的时间。 ·人工智能中毒攻击——网络罪犯故意篡改人工智能模型训练数据和系统本身——将变得普遍，恶意行为者可能会使用自动化工具包来执行这些攻击。安全团队需要开始防范这些攻击，依靠入侵防御服务和应用程序控制来保护组织的人工智能资产。 2024年及以后的攻击趋势 网络犯罪分子将继续布局攻击策略来实现其恶意目标。 然而，现代攻击者如今拥有更多的工具，包括越来越多的网络犯罪即服务（CaaS）产品和人工智能驱动的技术，以帮助他们在攻击的每个阶段更智能、更快地工作。 随着网络犯罪行业的发展，我们将在2024年及以后看到一些明显的新攻击趋势。下面是一些预测结果： 更高阶的攻击战术 如果在各种网络攻击中有一个“最受欢迎榜单”，勒索软件绝对会位列榜首。在过去的几年里，全球范围内的勒索软件攻击数量猛增，使每个组织（无论规模或行业）都沦为攻击目标。根据FortiGuard实验室《2023上半年威胁形势报告》指出，2023年上半年末的勒索软件活动比年初高出13倍。尽管78%的受访组织表示他们做好了防御勒索软件的准备，但仍有一半的组织成为了攻击的受害者。 得益于RaaS操作的快速扩张，攻击者将继续通过采用更复杂的毒株来渗透网络，包括高度破坏性磁盘擦除恶意软件。然而，随着越来越多的网络犯罪分子发起勒索软件攻击，以期获得丰厚的利润，网络犯罪集团正迅速从规模较小、更容易被黑客攻击的目标转移。 因此，我们预测网络罪犯将变得更加激进，并扩大他们各自的目标名单和战术，希望获得巨额回报的对手会将注意力转向医疗保健、公用事业、制造业和金融等关键行业，寻找那些一旦被成功破坏，将对社会产生重大不利影响的目标。除了瞄准更高价值的目标外，攻击者还会超越他们已经建立的游戏，他们的战术将变得更具侵略性和破坏性，从加密转向专注于DoS和勒索。 随着对手被迫调整策略，网络保险公司可能成为有吸引力的目标。在过去的几年里，我们看到一种趋势，即组织通过增加网络保险来弥补他们战略上的缺口。但随着勒索软件的加剧，网络保险公司在赔付的时间和方式上变得越来越讲究。随着网络保险公司变得越来越严格，支付赎金的频率越来越低，这笔钱最终将受到限制。目前还没有观察到网络保险公司成为攻击者的直接目标，但在未来，这个行业可能会被视为一个高价值的目标，尤其是在保险公司限制下游支付的情况下。 一个新的（而且更有利可图的）零日环境 随着组织为支持日常业务运营所依赖的平台、应用程序和技术的数量不断增加，网络犯罪分子有了大量的新机会来发现和利用软件漏洞。数据显示，2023年出现的零日漏洞和新的CVE数量创历史新高，而且这个数字还在上升。 新发现的零日漏洞很有价值，我们预计这会使许多漏洞将不会被报告。未报告的零日漏洞对攻击者来说更有价值，这意味着安全团队需要更加提高警惕，同时，不要忘记N-days漏洞也在呈增加趋势。我们认为N-days是“延长保质期的零日”，这些漏洞可能会在很长一段时间，甚至几年的时间里构成风险。虽然N-days是已知的漏洞，但如果没有修补或没有可用的修补程序，它们仍然会带来风险。 我们预计在CaaS社区中会出现零日漏洞经纪人——在暗网上向多个买家出售零日漏洞的网络犯罪集团。零日漏洞经纪人的崛起将为网络犯罪分子扩大攻击规模铺平道路，并通过更协调的行动达到更广泛的攻击面。未来，我们将看到变化，因为非加固产品的攻击面越来越大，这使得攻击者能够对成千上万的CVE进行攻击，而这些漏洞势必会被发现。 今天，我们可以采取许多步骤来防范零日漏洞，例如使用下一代防火墙、进行漏洞扫描和实施智能补丁管理策略。然而，这些工具和活动都是为了防止漏洞被发现后才设计的。工程团队有机会通过增强他们的软件开发生命周期（SDL）方法来帮助减缓零日漏洞的增长。当网络罪犯使用模糊测试（fuzzing，一种旨在发现软件漏洞的自动化软件测试技术）发现新的漏洞时，开发团队也可以使用模糊测试在他们自己的游戏中击败攻击者。开发人员应该考虑将模糊测试整合到他们的SDL过程中，以帮助加固产品，增强安全性，并在对手发现和利用潜在的漏洞之前找到并修复它们。 内部游戏 为了应对不断变化的威胁形势，许多企业正在升级其安全控制并采用新技术和流程来加强其防御能力。这些增强的控制使攻击者更难以从外部渗透网络，这就要求网络犯罪分子找到新的方法来达到他们的目标。 考虑到这一变化，我们预测攻击者将继续在战术、侦察和武器化方面“左移”（shift left），犯罪团伙将开始从目标组织内部招募人员，用于初始访问目的。例如，网络犯罪分子可以很容易地使用生成式人工智能来克隆高管或受信任的个人的声音，利用这些录音迫使毫无戒心的目标执行命令、披露密码或数据，或释放资金。我们可以很容易地看到，“招募即服务”（recruiting -as-a- service）是这一趋势的下一个发展阶段，它允许攻击者获得更多的信息来分析他们的目标。 虽然有些目标可能在不知不觉中成为网络犯罪计划的受害者，但其他员工可能会将与网络罪犯的一次性合作视为一种快速增加收入的方式。 特定事件驱动的攻击 在2024年，我们预计攻击者将利用更多定制和事件驱动的机会，虽然网络犯罪分子过去也曾试图破坏重大事件或利用地缘政治事件，但他们现在有了新的工具（尤其是生成式人工智能）来帮助他们实现目标。 政府已经就人工智能对即将到来的选举威胁发出警告，并谈到这项技术可能在加速网上虚假信息传播方面发挥的作用。但除了这些重大事件之外，还有更多的机会造成混乱。例如，网络犯罪分子可以很容易地使用ML和AI来进行区域攻击，使用大语言模型将相关通信翻译成当地语言。 缩小TTP竞争环境 我们预计攻击者将不可避免地继续扩大他们用于破坏目标的TTP集合。然而，通过缩小“比赛范围”并找到破坏这些活动的方法，防御者可以获得优势。 虽然网络安全防御者所做的大部分日常工作都与阻止妥协指标有关，但仔细研究攻击者经常使用的TTP，并找到可以破坏他们攻击模型的点，这是很有价值的。虽然攻击者可能有广泛的工具包来执行勒索软件或网络钓鱼活动，但他们的技术往往是相似的。作为防御者，我们可以映射攻击者正在做什么，在安全社区之间共享情报，并缓解特定的技术。 攻击流项目（The Attack Flow Project）由MITRE威胁信息防御天才中心领导，与包括Fortinet在内的几个合作伙伴合作，为安全从业者提供了缩小TTP竞争环境的机会。项目贡献者正在创建一个数据模型，旨在通过记录恶意参与者在攻击中所采取的步骤，帮助安全社区找到突破口。随着网络犯罪分子继续推进他们的行动，并变得更善于逃避传统的检测措施，找到他们的“突破口”将变得更加重要。 与攻击者打持久战 OT系统等边缘设备一度被认为是网络罪犯的非传统目标。然而，在过去的十年里，我们看到针对这些目标的攻击越来越复杂，数量也越来越多。 现在，5G直接到设备的连接现在已经成为现实。此外，近地轨道卫星空间出现了更多的连接设备。简单地说，更多的连接设备为攻击者提供了更大的攻击面，这为攻击者提供了无限的机会。对5G基础设施的成功攻击很容易破坏石油和天然气、交通、公共安全和医疗保健等关键行业。 增强集体弹性以应对不断变化的威胁形势 网络犯罪分子将不断寻找新的、更复杂的方法来入侵组织。尽管如此，我们可以在安全社区采取大量行动，以更好地预测他们的下一步行动并破坏他们的活动。从加强公私合作到制定更严格的事件报告标准，以下是共同打击网络犯罪的几种方法： 伙伴关系对打击网络犯罪至关重要 网络入侵的后果往往是深远的。作为一个行业，可以采取的最有影响力的行动之一是建立伙伴关系，以促进更容易的信息共享。 目前，许多尝试正在进行中，以便在公共和私营部门之间分享知识和最佳做法，从而阻止威胁行为者。今年早些时候，Fortinet与世界经济论坛合作推出了网络犯罪地图集，该项目旨在通过提供对全球网络犯罪生态系统和基础设施的新可见性，帮助行业、执法部门和政府机构阻止攻击者。 政策变化即将到来 牢固的伙伴关系只是有效打击网络犯罪的一个方面。在2024年及以后，我们预计会看到一些拟议的政策变化——从在特定行业强制实施更好的网络防御，到实施更强大的事件报告标准。 随着世界各国政府开始更好地了解关键基础设施的脆弱性和互联性，预计会有更多的系统被定义为关键系统。鉴于私营部门运营着大多数关键基础设施，我们预计将引入新的、更严格的要求，迫使关键基础设施运营商保持更好的网络防御。 目前，政府机构认识到标准化事件报告的必要性，并采取了措施来协调报告要求。明年初，网络安全和基础设施安全局（CISA）将根据《2022年关键基础设施网络事件报告法案》引入事件报告要求；最近，美国国土安全部（DHS）发布了一份报告，其中包括一个工作模板，说明政府机构如何使用一致的术语创建一个共同的报告平台，最终实现更好的信息共享。 实施侧重于网络安全方面的法规（如报告和负责任的披露）对于破坏网络犯罪活动至关重要。我们可以举出许多例子，说明缺乏监管使得公司可以出售为邪恶目的而设计的工具和服务。例如，NSO集团及其竞争对手QuaDream都向世界各地的客户（包括那些将其用于邪恶目的的客户）销售高端监控软件。 企业在破坏网络犯罪生态系统方面发挥着至关重要的作用 虽然合作伙伴关系和强有力的监管对于打击全球网络犯罪至关重要，但每个企业都在破坏生态系统方面发挥着不可或缺的作用。 首先，通过实施持续的举措（如企业范围的网络安全教育计划）以及更集中的活动（如桌面练习）来创建一种网络弹性文化，即让网络安全成为每个人的工作；其次，寻找缩小网络安全技能缺口的方法，例如利用新的人才库来填补空缺职位；此外，威胁共享在未来只会变得更加重要，作为一个生态系统，集体应对威胁对网络犯罪和攻击的破坏具有更大的影响。

SSH是一种用于安全通信的加密网络协议，广泛部署于远程系统访问、文件传输、系统管理任务中。SSH中采用公钥加密系统RSA作用户认证，RSA使用共享的公钥加密通信信息，并使用私钥加密通信内容。美国加州大学圣地亚哥分校研究人员研究发现，被动攻击者在特定条件下可以从失败的SSH连接错误中提取出RSA密钥。 暴露硬件错误 研究人员分析发现，被动的网络攻击者可以从签名计算过程中出现错误的SSH服务器中提取出RSA密钥。CRT-RSA可以降低公钥的大小，并且提高解密速度，如果使用CRT-RSA的签名实现在签名计算过程中出现错误，可以查看这些签名的攻击者就可以计算签名者的私钥。 虽然此类错误很少见，但由于硬件缺陷此类错误也是不可避免的。如果攻击者拥有足够多的数据，就可以利用这些数据来提取RSA密钥。对于TLS来说，该问题会影响老版本的TLS。在TLS 1.3中，通过加密建立连接的握手协议来预防被动监听者读取签名信息。 一般认为该问题并不影响SSH，研究人员证明了使用基于格的攻击可以提取出RSA密钥。 图 Intel Xeon E5-2699上的密钥恢复耗时 研究人员实验发现其基于格的攻击方法非常高效，成功率可以达到100%。研究人员通过4962个无效签名成功提取出了189个唯一的RSA公钥对应的私钥，但未测试RSA-1024、SHA 512，因为这些算法哈希中的未知位数超出了暴力破解和可以用格计算的范围。 图 提取的RSA密钥对应的设备 从设备来看，许多提取的秘密信息都来自于包含有漏洞的实现的设备，其中大部分来自Zyxel设备。 厂商回应 研究人员今年初将这一问题告知了Cisco和Zyxel。Cisco 在Cisco ASA和FTD软件中引入了修复措施，并正在Cisco IOS 和IOS XE软件中寻求缓解措施。Zyxel称研究人员测试中发现的ZLD固件版本已改用OpenSSL，所以不受影响。为应对攻击者提取密钥的能力，研究人员建议在发送签名之前验证签名的有效性，比如使用依赖OpenSSL来生成签名的OpenSSH套件。

高级持续性威胁(APT)是最危险的网络威胁，因为它们使用复杂的工具和技术，并且通常具有高度针对性且难以检测的特性。 在本文中，我们将首先回顾过去一年的趋势，看看对2023年的预测有哪些已经实现，并预测2024年将出现哪些攻击趋势。 去年预测回顾 破坏性攻击的增加 去年12月，就在我们发布对2023年的预测后不久，据报道称，俄罗斯政府机构受到了一种名为CryWiper的数据擦除工具（Data Wiper）的攻击。该恶意软件伪装成勒索软件，要求受害者支付“解密”数据的费用。然而，它没有加密数据，而是故意在受影响的系统中销毁数据。 今年1月，ESET发现了一种新的擦除工具，通过Active Directory GPO部署在乌克兰的一次攻击中，他们将这款名为SwiftSlicer的擦除工具归因于Sandworm(又名 Hades)。 今年6月，微软发布了一份关于一个名为Cadet Blizzard的攻击者的报告，该攻击者在2022年初研发了WhisperGate和其他针对乌克兰政府机构的擦除工具。 WhisperGate 是一个冒充勒索软件的威胁性 MBR(主引导记录)擦除器。该恶意软件能够破坏受感染的机器,让他们甚至无法启动。微软威胁情报中心的研究人员于 2022 年 1 月 13 日发现了该威胁,除了乌克兰的政府机构、执法部门、IT服务和应急服务外，该攻击者还将欧洲、中亚和拉丁美洲的组织作为攻击目标。 邮件服务器成为优先目标 今年6月，Recorded Future警告称，BlueDelta(又名Sofacy、APT28、Fancy Bear和Sednit)利用Roundcube Webmail的漏洞攻击了多个组织，包括涉及航空基础设施的政府机构和军事实体。该攻击者利用俄乌冲突的新闻，诱骗目标打开利用漏洞(CVE-2020-35730、CVE-2020-12641和CVE-2021-44026)的有害电子邮件。使用恶意脚本，攻击者将目标的电子邮件重定向到攻击者控制的电子邮件地址，从受损帐户中收集数据。 今年7月，我们报告了针对俄罗斯目标的Owowa的更新版本。我们将Owowa的部署与基于邮件的攻击链联系起来，看起来像已知的CloudAtlas活动，我们称之为GOFFEE。 8月，TeamT5和Mandiant分析了UNC4841对影响Barracuda电子邮件安全网关(ESG)设备的远程命令注入漏洞(CVE-2023-2868)的早期研究，提供了该攻击者使用的https的进一步细节。UNC4841之后部署了新的恶意软件，旨在修复之前的版本，这包括使用SKIPJACK和DEPTHCHARGE后门以及FOXTROT/FOXGLOVE启动器。 信息窃取 今年3月，Micro-Star International (MSI)遭受勒索软件攻击后，BootGuard私钥被盗(只有在使用适当的密钥进行数字签名的情况下，启用了英特尔芯片和BootGuard的pc上的固件才能运行)。如果攻击者能够获得这些私钥，他们就可以为他们的恶意软件签名，这样代码就可以被信任并由MSI计算机运行。 另外，也是从今年3月开始，研究人员将BlueCharlie(以前被追踪为TAG-53，也被称为Blue Callisto、Callisto(或Calisto)、COLDRIVER、Star Blizzard(以前的SEABORGIUM)和TA446)与94个新域名联系起来，这表明该组织正在积极修改其基础设施，以回应公众对其活动的披露。攻击者专注于为间谍活动和黑客泄密行动收集信息，渗透到各个行业的组织，如政府、高等教育、国防和政治部门、非政府组织、活动家、记者、智库和国家实验室。 更多APT组织将从Cobalt Strike转向其他替代方案 我们正在密切关注类似的工具，其中之一是BruteRatel，但Cobalt Strike仍被用作攻击的首选框架。 基于SIGINT传播的恶意软件 在8月、9月期间，有安全实验室报告说，有一位用户经历了一种非常危险的网络注入攻击，这种攻击不需要他采取任何行动，比如点击任何东西。研究发现注入点位于两个埃及电信提供商之间的连接内，仅依靠技术数据，实验室无法确定中间盒位于连接的哪一侧。尽管如此，研究人员怀疑这次攻击可能涉及到与供应商的用户数据库集成，该攻击需要在用户位于埃及的通信服务提供商的网络上安装PacketLogic系统。 无人机攻击 尽管有公开报告称，无人机在2022年被用来攻击Wi-Fi网络，但还没有关于2023年发生类似事件的报道。 对2024年进行预测 基于移动设备、可穿戴设备和智能设备的创造性开发的兴起，来看看未来可能出现哪些高级持续威胁情况。 过去一年中，研究人员有了重大发现。比如“三角测量行动”(Operation Triangulation)，这是一项针对iOS设备的全新隐秘间谍活动。在调查过程中，研究人员发现了iOS中的五个漏洞，包括四个零日漏洞。这些漏洞不仅影响智能手机和平板电脑，还扩展到笔记本电脑、可穿戴设备和智能家居设备，包括Apple TV和Apple Watch。 未来，我们可能会看到更多针对消费设备和智能家居技术的高级攻击，而且iOS设备可能不是唯一的目标，其他设备和操作系统也可能面临风险。 攻击者的一个创造性途径是扩大他们的攻击范围，包括智能家庭摄像头、联网汽车系统等设备。由于漏洞、错误配置或过时的软件，这些设备中的许多新老设备都很容易受到攻击，这使它们很有吸引力，也很容易成为攻击者的目标。 这种新兴趋势的另一个值得注意的方面是“沉默”的攻击攻击方法。在“三角测量行动”中，漏洞是通过iMessage秘密传播的，无需用户交互即可激活。在2024年，我们可能会看到替代攻击方法，例如： 1.通过流行的跨平台信息进行零点击，无需与潜在受害者互动即可进行攻击； 2.通过短信或消息应用程序发送恶意链接的一次点击，受害者可能会在不知情的情况下打开这些链接触发网络流量拦截，例如，利用Wi-Fi网络——一种不太常见但潜在有效的方法。 3.为了防止复杂的攻击和有针对性的威胁，保护个人和企业设备至关重要。除了传统的防病毒产品外，XDR、SIEM和MDM平台等解决方案还可以集中收集数据，加速分析，并将各种来源的安全事件关联起来，便于快速响应复杂事件。 在普通用户和企业的软件及设备构建新的僵尸网络 无论是公司还是个人使用的常用软件和设备都存在漏洞。根据相关数据显示，在2022年，发现的漏洞数量达到了创纪录的2.5万个。通常，有限的资源专门用于研究漏洞，但它们并不能及时修复。这引起了人们的担忧，即有可能出现新的、大规模的、秘密建立的僵尸网络，这些僵尸网络能够进行有针对性的攻击。 创建僵尸网络涉及在设备所有者不知情的情况下秘密安装恶意软件。APT组织可能会很感兴趣，原因有几个。 首先，它允许攻击者在看似广泛的攻击背后掩盖其攻击的目标性质，使防御者难以确定攻击者的身份和动机。此外，植根于消费者设备或软件，或属于合法组织的僵尸网络，很容易掩盖攻击者的真实基础设施。它们可以充当代理服务器、中间C2(命令和控制)集线器，在网络配置错误的情况下，还可以充当进入组织的潜在入口点。 僵尸网络本身并不是一种新的攻击工具。例如，几年前，一个由65000多台家用路由器组成的僵尸网络被用来为其他僵尸网络和apt代理恶意流量。随着远程工作的普及，另一个例子是通过感染了类似僵尸网络的远程访问木马(RAT)的小型办公室/家庭办公室路由器针对远程工作者的APT活动。鉴于最近披露的大量漏洞，我们预计在未来一年还会出现新的此类攻击。 僵尸网络驱动的攻击不仅限于APT组织，也可能被网络攻击者采用。这些攻击的隐蔽性给检测带来了挑战，同时也为攻击者提供了充分的机会渗透并在基础设施中建立存在。 越来越多地规避了内核级代码执行的障碍(内核rootkit又火了) 随着现代安全措施的引入，如在最近的Windows版本中引入的KMCS(内核模式代码签名)、PatchGuard、HVCI(管理程序保护的代码完整性)和安全内核架构旨在缓解rootkit和类似低级攻击的流行。这些经典的攻击方法在早期以大量rootkit变体为特征的时代很流行。 在过去几年中，我们目睹了许多APT攻击者和攻击组织成功地在目标系统的内核模式下执行代码。今年报告的几个Windows硬件兼容性程序(WHCP)滥用导致了Windows内核信任模型的妥协。2021年6月，Netfilter rootkit被曝光，之后微软发布了一份咨询报告，详细说明它用中国游戏社区中地理定位作弊的手段。Bitdefender随后在2021年10月披露了FiveSys，这是一个主要用于在线游戏玩家的rootkit，主要目的是窃取凭证和在游戏中购买劫持。然后，Mandiant报告了最后一次已知的滥用行为，揭露了Poortry恶意软件，该恶意软件曾被用于许多网络攻击，包括基于勒索软件的事件。在2023年7月，研究人员发现了新的FiveSys签名变体。 我们预计有三个关键因素会增加，这将进一步增强攻击者的能力： 1.EV证书和被盗代码签名证书的地下市场增加； 2.更多的开发者账号被滥用，通过微软代码签名服务(如WHCP)获得恶意代码签名； 3.在攻击者的TTP武器库中，BYOVD (Bring Your Own Vulnerable Driver)持续增加。 地缘冲突引起的网络攻击日益增多 BlackEnergy对乌克兰的APT攻击是过去十年间的突出例子，以针对媒体公司的破坏性行动、破坏工业控制系统和从事网络间谍活动而闻名。目前参与网络战争的潜在攻击者非常广泛。 我们预计，随着地缘政治紧张局势加剧，国家支持的网络攻击将激增。它不会局限于全球的关键基础设施、政府部门或国防公司，媒体机构也将面临越来越大的风险，在当前地缘政治紧张局势加剧的环境下，媒体组织可能被那些试图利用它们进行反宣传或虚假信息目的的人选为目标。 黑客将主要关注数据窃取、IT基础设施破坏和长期间谍活动，网络破坏活动可能也会增加。攻击者不仅会加密数据，也将摧毁它，对易受政治驱动攻击的组织构成重大威胁。这也将包括针对个人或团体的特定目标攻击，这些攻击可能包括破坏个人设备以进入他们工作的组织，使用无人机定位特定目标，使用恶意软件进行窃听等等。 供应链攻击服务愈发猖獗：运营商的批量购买权限 越来越多的攻击者通过供应商、集成商或开发人员来实现他们的目标。这意味着中小型企业往往缺乏针对APT攻击的强大保护，正成为黑客访问主要企业数据和基础设施的门户，而这些企业是黑客的最终目标。 这些攻击背后的动机有经济利益，也有纯粹网络间谍活动。例如，臭名昭著的APT组织Lazarus一直在迭代其供应链攻击能力。更值得注意的是，臭名昭著的Gopuram后门，通过3CX黑客部署，影响了全球的受害者，被发现与AppleJeus共存，这是一个被认为是Lazarus的后门。这次攻击具有很强的针对性，对加密货币公司特别感兴趣，这可能表明攻击者是出于经济利益的动机。 随着供应链攻击变得越来越流行，2024年可能会迎来相关活动的新阶段，这一趋势可能以各种方式演变。 首先，流行的开源软件可以用来针对特定的企业开发人员。此外，网络黑市可能会引入新的产品，包括针对各种软件供应商和IT服务供应商的访问包。因此，那些有兴趣策划供应链攻击的人，可以接触到大量潜在的受害者，然后仔细挑选他们首选的大规模攻击目标。这样做，攻击者可能会将供应链攻击的效率提升到一个新的水平。 鱼叉式网络钓鱼通过可访问的生成式AI发起大规模攻击 聊天机器人和生成式人工智能工具现在很普遍，也很容易获得，攻击者已在开发自己的基于合法解决方案的黑帽聊天机器人。例如—WormGPT，一种明确设计用于恶意使用的语言模型，声称是基于开源语言模型GPTJ。其他xxxGPT、WolfGPT、FraudGPT、DarkBERT等等模型，缺乏合法解决方案中存在的内容限制，这使得它们对利用这些模型进行恶意攻击的攻击者很有吸引力。 这些工具的出现很可能会促进鱼叉式网络钓鱼信息的大规模生产，通常是APT和其他攻击的第一步。它的重要性远远超出了快速编写有说服力和写得好的信息的能力。它还包含生成用于模拟和模仿特定个人(例如受害者的业务伙伴或同事)风格的文档的功能。在即将到来的一年里，预计攻击者将开发新的方法来自动对其目标进行间谍活动。这可能包括从受害者的在线状态自动收集数据，例如社交媒体帖子、媒体评论或撰写的专栏。这些信息将使用生成工具进行处理，以特定个人的风格和声音创建各种文本或音频信息。 越来越多的组织开始雇佣黑客来从事渗透系统和提供数据盗窃服务 他们的客户包括私家侦探、律师事务所、商业对手，以及那些缺乏此类攻击技术的人。这些网络雇佣军公开宣传他们的服务，并以感兴趣的实体为目标。 以DeathStalker为例，它主要针对律师事务所和金融公司，提供黑客服务，充当信息经纪人，而不是传统的APT。他们使用带有恶意文件附件的鱼叉式网络钓鱼电子邮件来控制受害者的设备并窃取敏感数据。 一般来说，雇佣黑客组织的服务已经超越了网络间谍活动，延伸到了商业间谍活动。他们可能会收集竞争对手的数据，例如，并购交易、扩张计划、财务和客户信息。 预计它将在明年得到发展。由于对此类服务的需求，一些APT组织可能会扩大其业务，因为它们需要产生收入来维持其活动并补偿其成员。 对基于MFT系统的攻击 随着数字环境的不断发展，网络威胁的复杂性也在不断发展。这个不断发展的场景的核心是托管文件传输(MFT)系统，旨在在组织之间安全地传输敏感数据。MFT解决方案包含大量机密信息，包括知识产权、财务记录和客户数据，在现代业务运营中已成为不可或缺的一部分，它们促进了内部和外部的无缝数据共享，从而成为组织效率的基石。然而，这一功能被攻击者尤其是勒索软件攻击者使用，他们一直在寻求利用数字漏洞进行金融勒索。 2023年涉及MFT系统的事件，如MOVEit和GoAnywhere，揭示了这些关键数据传输管道中的潜在漏洞。Cl0p勒索软件团伙精心策划的MOVEit漏洞，以及对Fortra GoAnywhere MFT平台的利用，突显了如何利用单个漏洞泄露敏感数据、破坏运营并索要赎金。 明年，经济利益的诱惑和造成重大运营中断的可能性可能会导致针对MFT系统的针对性攻击激增。MFT系统错综复杂的体系结构，加上它们与更广泛的业务网络的集成，潜在地隐藏着可供利用的安全漏洞。随着网络攻击技术的迭代，利用MFT系统中的漏洞预计将成为一个更明显的攻击载体。 针对MFT系统的网络威胁的发展轨迹可以发现重大数据泄露和金融勒索的可能性将继续上升。 2023年的事件提醒我们MFT系统固有的漏洞，以及迫切需要强大的网络安全措施来保护这些关键的数据传输通道。鉴于此，强烈建议对其MFT解决方案进行全面审查，以识别和缓解潜在的安全漏洞，实施强大的数据丢失预防(DLP)解决方案。

在数据泄露上，用户对API漏洞以及API安全事件可能产生的影响常常缺乏了解，因为API通常不是用户最终直接交互的技术，并且会在某种程度上隐藏起来，用户看不到它们的日常活动。 对于许多数据泄露来说，薄弱环节往往是API和围绕这些API的不适当的安全机制。 API组件通常出现在攻击的第二阶段 比如说，最近的MoveIT黑客活动在攻击的第二阶段有一个API组件，涉及对MoveIT API的反序列化滥用。这导致成千上万家公司被入侵，但API几乎只字未提，只以为SQL注入是导致数据泄露的主要原因。还有Twitter、Peloton、Optus和Medi Bank等其他同样引人注目的数据泄露事件都是由API安全事件造成的。 事实上，仅仅基于公开披露的内容，我们无法真正了解API安全问题的真实程度，但API安全事件在升级。 第二届年度API安全脱节研究表明，报告API安全事件的企业数量从2022年的76%上升到2023年的78%。由于方兴未艾的数字化转型趋势，加上API成为促进许多曾经不同的系统集成的粘合剂，API安全事件频发，以至于不能再忽视它们。 API安全是组织安全策略中的关键支柱 API安全是防止和应对源自API层面的攻击的一种实践，它是任何组织的整体安全策略中的一个关键支柱。API不仅使用户能够与应用程序交互，还便于其底层内部服务之间相互联系，为许多服务传输或存储敏感数据。因此，不安全的API为攻击者提供了入口点，会严重危及应用程序的安全状态。 最常见的API安全漏洞发生在开发过程中，这就是为什么“左移”测试理念是API安全的核心，因为它将API测试推向了软件开发的早期阶段。通过尽早测试且经常测试API漏洞，项目就可以减少代码缺陷的数量，并提高代码的质量。以下是几个会造成API安全漏洞的常见问题： •当请求可以访问或修改请求者不应该访问的数据时，如通过篡改请求中的标识符来访问另一个用户的帐户，就会发生对象层授权出问题的情况。 •如果没有实施最小权限原则，通常是由于访问控制策略过于复杂，就会发生函数层授权出问题的情况。它导致攻击者能够执行敏感命令或访问面向特权帐户的端点。 •如果身份验证过程被破坏，就会发生用户身份验证出问题的情况；攻击者可以一次性冒充甚至永久性冒充另一个用户。 •数据暴露过多。API对请求的响应通常返回过多的不必要数据，尽管数据可能不会显示给用户，但它可能很容易受到检查，可能导致敏感信息的潜在暴露。 •资产管理不当。API的开发和部署通常是快节奏的，在组织急于发布新的或更新的API时，通常会忽略完整的说明文档。这将导致数据暴露和幽灵端点，以及对旧的API如何工作缺乏了解。 •缺乏资源和利率限制。API端点通常对互联网开放，如果对请求的数量或大小没有限制，就很容易受到DoS和蛮力攻击。 •注入漏洞。如果没有正确解析和验证请求数据，攻击者可能会发起命令或SQL注入攻击来访问它，或者在未经授权的情况下执行恶意命令。 不幸的是，许多企业仍然没有重视API安全，它们认为，从API安全的角度来看，Web应用防火墙（WAF）已经绰绰有余了。 然而研究表明，WAF是主要的攻击途径之一。调查对象提到的主要原因或主要攻击途径是Web应用防火墙、网络防火墙和API网关。 WAF擅长过滤容易识别的威胁，但在检测不具备典型网络安全威胁属性的漏洞方面就不那么可靠了。从本质上讲，WAF缺乏威胁的真实性和背景。 缺乏可见性和API清单 许多企业还缺乏可见性，也没有完整的API清单，或者不知道哪些API返回敏感数据。许多公司常常不对其API进行实时或持续的测试，这意味着一周前发现安全的代码现在可能还存在漏洞。那么，企业应该做些什么来更好地保护其API呢？ 企业应确保针对API库存拥有良好的加密、验证和可见性，定期审计、记录和保持警惕也很重要，这包括持续监控API，同时主动保护其环境，远离API安全漏洞、错误配置和设计缺陷的影响。 2023年OWASP Top 10 OWASP（开放Web应用程序安全项目）根据这些漏洞的可利用性和影响进行排名，列出了10个最严重的漏洞。OWAS Top 10刚发布最新的2023年版，企业应积极检查其API系统，以确保自己防住了所有的OWASP漏洞，可以使用静态验证和行为验证来评估每个类别的漏洞。 总结 在我们的现代基础设施中，API变得愈加重要。开发人员知道敏捷性是企业成长和生存的关键，而API又是获得实现这一目标所需的速度和灵活性的关键。因此，确保API安全至关重要。

盘点2023年与游戏相关的网络威胁（上） 虚假游戏分发页面 伪装成流行游戏的恶意软件和不需要的软件通常由提供盗版游戏的第三方网站分发，在下面的屏幕截图中，可以看到此类网站的示例，提供“免费”下载Atomic Heart、CS:GO和Euro Truck Simulator 。 其中一些页面在“下载”按钮下方显示相对较高的下载次数，向用户保证该软件是安全的。单击该按钮会下载一个存档，其中可能包含不需要的甚至危险的软件，但不一定是游戏本身。 寻找游戏帐户 由于大多数游戏允许用户购买和出售有价值的游戏内物品，因此游戏帐户对于网络犯罪分子来说是有利可图的目标，尤其是那些除了链接信用卡之外还包含大量流行游戏的帐户。 游戏中最受欢迎的诱惑之一是免费赠送游戏内物品或皮肤。下面截图中的慷慨优惠很可能会导致用户Steam或Riot Games帐户被盗。该计划很简单：要参与虚假赠品，就必须登录相关帐户，这意味着在网络钓鱼网站上需输入凭据。 《反恐精英》粉丝经常以“免费”皮肤为目标，这可能是这款游戏中的宝贵财产。去年，一用户的账户被黑后损失了价值200万美元的皮肤。不幸的是，那些落入“免费皮肤”陷阱的人会损失掉远大于皮肤价值的东西。 另一个网站提供了名为“Counter-Strike 2有限测试”的内容，但仅限于那些愿意链接其Steam帐户的人，如果用户确实链接，便将受到损害，并且不会授予游戏测试版的访问权限。 除了游戏帐户之外，网络犯罪分子还瞄准游戏玩家的社交媒体资料。这些对欺诈者来说很有价值，因为它们包含大量个人数据和链接的付款详细信息。此外，社交媒体帐户通常用于登录其他服务，包括在线游戏。 最严重的是，通过被盗的社交媒体帐户，网络犯罪分子可以针对受害者的朋友和亲戚实施各种诈骗。 在上面的屏幕截图中，网络钓鱼者通过游戏内物品赠品来引诱PUBG玩家。用户需要在虚假网站上登录Facebook、X（前 Twitter）或其他社交媒体帐户。一旦这样做，用户的凭据就会被盗。 与游戏相关的诈骗 类似的诱饵也用于诈骗，诱骗用户向网络犯罪分子支付一定金额以获得礼品卡、游戏内货币或全新游戏。通常，在此类网站上，需要先输入一些个人详细信息并填写简单的调查。然后会显示一个页面，告诉您您赢得了一份宝贵的奖品。在您可以领取之前唯一要做的就是支付少量的送货费。然而，这样做不仅会导致受害者损失所支付的款项，还会损害他们的银行卡。 在下面的屏幕截图中，可以看到此骗局的典型示例。网络犯罪分子向用户提供“免费的Apex Legends礼品卡”，要获得这些奖励，首先要输入用户名，然后回答几个问题并支付奖金。 对于Roblox玩家来说，欺诈者通常会免费提供赚取、生成或获取一些Robux（Roblox游戏内货币）的服务。与《Apex Legends》的例子类似，如果用户试图提取“赚来的”或产生的钱，他们必须在欺诈网站上付款。 诈骗者经常采用的另一种选择是为热门游戏提供大幅折扣。在下面的屏幕截图中，一个流氓网站假装以28.7美元的价格出售《星球大战绝地：幸存者》，售价不到官方价格的一半。 如果用户付款，他们很可能什么也得不到，还会丢失钱和银行卡详细信息。 结论 游戏平台一直是网络犯罪分子的有吸引力的目标，因为它们存储了大量的个人和财务数据，包括支付详细信息、电子邮件地址和其他个人身份信息。欺诈者通过窃取游戏中的物品和货币（这些物品和货币通常具有现实世界的价值）或出售被黑的帐户来赚钱。 网络犯罪分子越来越多地利用年轻受众较喜爱的游戏（例如《我的世界》和《Roblox》 ），通过恶意或不需要的软件来引诱缺乏网络安全意识的缺乏经验的计算机用户。 考虑到这一点，未成年或一些较为年轻的游戏玩家的父母必须进行自我教育，帮助保护自己的孩子。 为了确保您的孩子上网安全，卡巴斯基建议用户： · 对孩子的在线活动表现出兴趣。询问他们是否可以一起观看他们最喜欢的电视剧或听音乐。作为一种选择，您可以学习一些安全实践，以确保在线安全。 · 了解家长控制应用程序的选项 ，让您可以控制孩子的在线活动。当沿着这条路线走下去时，有必要与孩子讨论这个话题是至关重要的，向他们解释这些应用程序的工作原理以及为何需要它们来保护他们在网上的安全。 · 向孩子解释什么是敏感信息，以及为什么只能与他们在现实生活中认识的人分享。 · 花更多时间与您的孩子讨论安全上网的方法。注意自己的习惯。如家长在吃饭或说话时使用智能手机吗？您的孩子是否模仿您的习惯或行为模式？当你把手机收起来时，他们的反应是否会有所不同？ · 通过游戏和其他娱乐形式与您的孩子讨论网络安全问题，使有关网络安全的对话变得更加有趣和令人兴奋。 成年游戏玩家通常会在自己的爱好上投入更多的钱，因此他们的帐户比儿童的帐户更有吸引力。这也是为什么要保持警惕，避免从可疑的第三方网站下载任何内容或不与这些网站分享任何个人详细信息的原因。游戏作弊和黑客的开发者很可能会欺骗他们的观众本身，因此在下载此类软件之前应该三思而后行。 为了确保游戏时的安全，卡巴斯基建议： · 仅从Steam、Apple App Store、Google Play或Amazon Appstore等官方商店下载游戏。这些市场上的游戏并非100%安全，但至少经过商店的检查，并且存在某种筛选系统：并非每个应用程序都能上架。 · 如果想购买主要商店没有提供的游戏，请仅从官方网站购买。仔细检查网站的URL，确保其真实性。为了进一步保护您的购买，请使用网上银行保护。 · 谨防网络钓鱼活动和不熟悉的玩家。除非您信任发件人，否则请勿打开通过电子邮件或游戏聊天收到的链接，不要打开从陌生人那里获得的文件。 · 请勿下载盗版软件或任何其他非法内容。 · 使用强大、可靠的安全解决方案，它不会在您玩游戏时降低您的计算机速度，同时还将保护您免受恶意软件、网络钓鱼和其他威胁的侵害。

圈内有一个老掉牙的笑话是这样说的：“换一只灯泡到底需要多少个黑客？”正确的答案是一个都不需要，因为没有人知道灯泡已经换过了。抛开玩笑成分不说，如果黑客可以使用灯泡作为漏洞利用工具的一部分，会发生什么？ 如果说，黑客已经展示了他们如何通过录制电源LED的视频来实际窃取加密“密钥”的本领，你会作何感想？如果他们已经使用iPhone从三星Galaxy智能手机上窃取了这样的密钥，你又会作何感想？ 电源LED成为一种黑客工具 美国国家安全局（NSA）发现了一种名为TEMPEST的军事间谍技术，这种技术的核心是泄露声音、振动、无线电或电信号等信号。在冷战时期，这种窃听技术是通过将激光麦克风的激光束投射到窗户上以收听房间里面的对话来实现的。 快进到2021年，安全研究人员分析来自扬声器LED电源指示灯的光学辐射来恢复和记录声音。LED指示灯强度的微小波动是肉眼看不见的，但可以通过连接在望远镜上的光电传感器来读取。 又过了几年，以色列内盖夫本古里安大学的研究人员利用iPhone 13 Pro Max的摄像头从三星Galaxy S8智能手机上窃取了加密密钥，再次将侧信道攻击这类攻击向前推进了一步。 iPhone 13 Pro Max窃取加密密钥 一群研究人员发表了一篇题为《基于视频的密码分析：从设备电源LED的视频片段中提取密码密钥》的研究论文（详见https://eprint.iacr.org/2023/923），他们在论文中提出了观点，即基于视频的密码分析是一种“通过分析设备电源LED的视频片段从设备中提取密钥的新方法”。 研究人员本•纳西、埃泰•伊鲁兹、奥尔•科恩、奥菲克•维纳、杜迪•纳西、鲍里斯•扎多夫和尤瓦尔•埃洛维奇成功演示了如何使用iPhone 13 Pro Max上的消费级视频摄像头录制的视频（即设备电源LED的视频），从未受感染的设备上获取密钥。 这一幕之所以成为可能，是因为：“CPU执行的加密计算改变了设备的功耗，从而影响了设备电源LED指示灯的亮度”。 黑客转而关注电源LED 拍摄全画幅电源LED的视频片段，然后使用摄像头的滚动快门将采样率提高到每秒60000次测量（以iPhone 13 Pro Max为例）。这样就可以在“RGB空间”中分析视频帧，并导出相关的RGB值，从而“通过由RGB值得出设备的功耗来提取密钥”。 在三星Galaxy S8目标设备为例——它拥有一个378位的超奇异同源密钥封装（SIKE）密钥，研究人员使用了侧信道漏洞利用工具。这需要分析连接到S8上的罗技Z120 USB扬声器的视频，或者更确切地说，分析连接到用于给智能手机充电的同一个USB集线器上的扬声器的电源LED。 黑客实验室之外的攻击可能性 事实上，在黑客实验室之外的环境下，它不太可能被经常利用。尤其是攻击成功需要满足在现实世界中无法满足的许多要件。 本•纳西（Ben Nassi）是BlackHat董事会成员，经常在BlackHat、DEFCON和Hack-in-the-Box （HITB）等黑客大会上发表演讲，也是参与这种新完善的攻击方法的研究人员之一。纳西在其研究常见问答（FAQ）页面中承认，利用这些被盗的加密密钥（智能卡读卡器也是攻击目标）的能力有赖于加密库本身的漏洞。电源LED只是用来“从视觉上利用漏洞”的方法。确保你使用最新版本的库，这样有人利用HertzBleed和Minerva漏洞的攻击也无济于事。 然后还要满足视线（line-of-sight）要求。视频摄像头需要能够“看到”相关的电源LED。就智能卡攻击而言，这意味着摄像头可以放在离设备62英尺开外的地方，但对于三星Galaxy S8攻击而言，iPhone必须在同一个房间里。不仅如此，S8攻击还需要拍摄18天的视频。 但是，如果你仍对自己的安全感到焦虑，认为有人可能会使用这种尖端的方法来获取加密密钥，那么在所有电源LED指示灯上贴上一块胶带就行了。 本文并非要轻视这项研究，正是这种前沿研究使我们更加安全，远离恶意分子的攻击。但人们真的没有必要多余担心，而是应该把注意力放在外面已经存在的种种安全威胁上。

介绍 据Newzoo 2023年报告显示，全球有五分之二（超过 30 亿）的游戏玩家，比去年增加了 6.3%，游戏产业持续增长。 全球范围内，博彩收入估计达2,423.9亿美元，其中近一半来自亚太地区。到2030年，这一全球总额预计将增加一倍以上，达到5,836.9亿美元。 今年出现了《塞尔达传说：王国之泪》、《霍格沃茨遗产》和《星球大战绝地：幸存者》等新游戏，而老游戏则继续受到粉丝的欢迎。世界各地数百万人仍在《我的世界》中构建新世界，并在多人在线战斗竞技场（例如《远古保卫战》（DOTA 2））和战术射击游戏（例如《反恐精英：全球攻势》（CS:GO））中磨练技能。 随着收入和游戏玩家数量的增加，游戏行业仍然是网络犯罪分子利润丰厚的目标，人们期待已久的流行游戏被用作恶意活动的诱饵。截至2022年，近四分之一的玩家都是未成年人，他们很容易成为攻击者的猎物。在本报告中，我们提供了对2023年游戏相关威胁形势分析。 方法 为了深入了解游戏相关网络安全风险的现状，卡巴斯基对针对游戏社区的普遍威胁进行了广泛的研究。调查涵盖了涉及伪装成游戏应用程序、模组和作弊威胁的攻击，并对在此领域运行的一些最活跃的恶意软件家族进行了特征分析，还分析了使用各种游戏标题和游戏平台作为诱饵的网络钓鱼页面。 我们的分析借鉴了来自卡巴斯基安全网络 (KSN) 的数据，该系统用于处理2022年7月1日至2023年7月1日期间卡巴斯基用户自愿共享的匿名网络威胁相关数据。 卡巴斯基专家研究了与Origin和Steam等流媒体平台上可供下载或准备发布的前14款游戏以及与平台无关游戏相关的威胁，以全面概述当前的威胁。 游戏列表基于互联网上最流行游戏的几个排名。 另外，团队还分析了：移动版和桌面版Minecraft、Roblox、反恐精英：全球攻势 (CS:GO)、绝地求生 (PUBG)、霍格沃茨遗产、古人防御2 (DOTA 2)、英雄联盟、魔兽世界、Apex Legends、暗黑破坏神IV、星球大战绝地：幸存者、塞尔达传说、博德之门3和最终幻想XVI。 主要发现 2022年7月1日至2023年7月1日： · 去年，卡巴斯基总共检测到4,076,530次与游戏相关的桌面感染尝试，影响了全球192,456名游戏玩家。 · 最常见的威胁是下载程序（89.70%），其次是广告软件（5.25%）和木马（2.39%）。 · 用作诱饵的最多游戏是《我的世界》，占所有检测的70.29%，其次是《Roblox》（20.37%）、《反恐精英：全球攻势》（4.78%）和《绝地求生》（2.85%）。 · 移动解决方案检测到436,786次与游戏相关的感染尝试，影响了84,539名用户。 · 《我的世界》用户 (90.37%) 是移动恶意软件的最大目标，其次是《绝地求生》 (5.09%)、《罗布乐思》 (3.33%) 和《博德之门》 (0.68%)。 《我的世界》仍然是一个重要的恶意软件目标 从2022年7月1日到2023年7月1日，卡巴斯基的解决方案检测到4,076,530次尝试下载总计30,684个唯一文件，这些文件被伪装成流行游戏或mod、作弊器和其他与游戏有关的软件，并影响了全球192,456名用户。其中大多数文件是名为“下载器”（89.70%）的不受欢迎的软件。 虽然本身并不危险，但这种软件会将各种其他程序，包括恶意软件，下载到设备上。广告软件（5.25%）和木马（2.39%）也是桌面游戏相关威胁的前三名。 2022年7月1日至2023年7月1日以流行游戏为诱饵的十大威胁 在这4款游戏中，《我的世界》 (70.29%) 仍然是最受网络犯罪分子欢迎的游戏。这款经久不衰的沙盒游戏在2023年拥有超过1.6亿活跃玩家，仍然是世界上最受欢迎的电脑游戏之一。在报告期间，利用这款游戏作为诱饵的威胁影响了全球130,619名用户。 在文件名中提到Roblox的恶意软件和不受欢迎的软件触发了30,367名用户计算机上20.37%的警报，其次是《反恐精英：全球攻势》（4.78%）、《绝地求生》（2.85%）、《霍格沃茨遗产》（0.60%）、《刀塔2》（0.45%）和《英雄联盟》（0.31%）。 2022年7月1日至2023年7月1日按相关威胁检测数量划分的游戏 2022年7月1日至2023年7月1日按受相关威胁影响的用户数量划分的游戏 2022年7月1日至2023年7月1日期间使用名称作为诱饵的独特文件数量的游戏 移动游戏威胁 在智能手机和平板电脑等移动设备上玩游戏已成为一种趋势。由于移动设备提供了在任何地方进行方便和可访问的游戏，因此在全球范围内吸引了大量用户，特别是在美国和亚太地区。据Statista统计，到2027年，移动游戏玩家人数将达到23亿。 尽管我们列举的游戏并非都是成功发布到手机和平板电脑上，有些移动版本甚至在推出不久后或在开发阶段就被关闭，但时不时就会出现第三方手机适配，以及针对这些手机的恶意陷阱。 移动统计 从2022年7月1日到2023年7月1日，卡巴斯基的解决方案检测到了对84,539名用户的移动设备进行感染的436,786次尝试。 2022年7月1日至2023年7月1日期间按相关移动恶意软件和有害软件检测数量划分的游戏 《我的世界》玩家再次成为主要目标，90.37%的攻击与该游戏相关，这些攻击影响了 80,128名游戏玩家。 在相关例子中，印度尼西亚手机游戏玩家成为网络犯罪分子的目标，他们使用Minecraft作为 Trojan.AndroidOS.Pootel.a的网关，当该应用程序在用户手机上启动时，该木马会在替代应用程序市场中打开Minecraft页面。 然后，通过使用恶意代码，它便开始悄悄注册订阅。为了获取完成订阅所需的电话号码，该应用程序使用Google电话号码提示API。然后，它会在一个不可见的窗口中打开订阅激活页面，并将收到的用户号码插入到相应的字段中。之后，它单击“订阅”按钮，从传入的短信中截取确认代码并将其粘贴到确认页面上的必填字段中。 卡巴斯基游戏威胁研究还显示，成为目标的《我的世界》的玩家，大多是来自伊朗的玩家。在这个国家，触发了140,482个警报，影响了54,467名Minecraft玩家。 《PUBG：绝地求生：大逃杀》 是卡巴斯基记录的第二受欢迎的手机游戏。 Roblox (3.33%) 按检测数量排名第三，但按受影响用户数量排名第二。SpyNote间谍木马是针对Roblox粉丝的恶意软件系列之一，它以mod的形式在用户中传播。它具有多种间谍功能，例如记录击键、记录屏幕和播放手机摄像头的视频，它还可以模仿谷歌和Facebook的官方应用程序来欺骗用户泄露密码。 第四大目标手机游戏是《博德之门》（0.68%），这是一款以被遗忘国度的龙与地下城世界为背景的角色扮演视频游戏系列，该游戏没有官方手机版本。 2022年7月1日至2023年7月1日期间按游戏相关威胁针对的唯一用户数量划分的游戏

恐怖组织已经开始尝试使用人工智能，尤其是利用生成式人工智能，以制造大量新的宣传内容。专家们担心，这些组织越来越多地使用生成式人工智能工具，可能会颠覆科技巨头们近年来为阻止其进入互联网而做的努力。 科技反恐组织（Tech Against Terrorism）执行董事亚当•哈德利（Adam Hadley）说道：“我们最担心的是，如果恐怖分子开始使用生成式人工智能大规模操纵图像，这很可能会摧毁作为解决方案的哈希共享。这是一个巨大的风险。” 多年来，科技巨头们一直在竭力创建已知的恐怖分子内容的数据库，即所谓的哈希数据库，这些数据库在各平台间共享，以快速、自动地从互联网上删除此类内容。不过据哈德利声称，他的同事们现在每周都会发现大约5000个人工智能生成内容的例子。 哈德利表示：“科技行业在开发自动化技术方面做得如此出色，恐怖分子很可能会开始使用生成式人工智能来规避已经部署的系统。” 除了详细介绍可以改动图像的生成式人工智能工具带来的威胁外，科技反恐组织还发布了一份新报告，列举了生成式人工智能工具可用于帮助恐怖组织的其他方式，其中包括使用自动翻译工具，可以快速轻松地将宣传内容转换成多种语言，或者能够大规模地创建个性化信息，为在线招募工作提供便利。不过哈德利认为，人工智能也提供了一个机会，让我们可以领先恐怖组织一步，使用技术做到先发制人。 哈德利说道：“我们将与微软公司进行合作，研究是否有办法利用我们的资料档案创建一种生成式人工智能检测系统，以便应对生成式人工智能被大规模用于恐怖组织的新威胁。我们相信，生成式人工智能可以用来抵御生成式人工智能的恶意使用。” 这一合作关系是在克赖斯特彻奇呼吁领导人峰会（Christchurch Call Leaders' Summit）前夕宣布的，克赖斯特彻奇呼吁领导人峰会是一场旨在消除互联网上的恐怖主义和极端主义内容的运动。 微软公司副董事长兼总裁布拉德•史密斯（Brad Smith）在一份声明中说：“使用数字平台来传播暴力极端内容是一个具有实际后果的紧迫问题，通过将科技反恐组织的能力与人工智能相结合，我们希望有助于创造一个线上线下都更加安全的世界。” 虽然微软、谷歌和Facebook等公司都有自己的人工智能研究部门，但新倡议最终将帮助到那些无法独立应对这些问题的公司。

Web3反垃圾邮件专家Scam Sniffer发现有攻击者滥用以太坊的'Create2'函数绕过钱包安全警告和对以太坊地址进行投毒，在6个月内从9.9万以太坊用户处窃取了价值超过6亿美元的加密货币。 Create2是以太坊'Constantinople' 升级时引入的严格操作码，允许用户在以太坊上创建智能合约。原来的Create操作码是根据创建者的地址和nonce来生成新地址的，Create2允许用户在合约部署前计算地址。Create2对以太坊开发者来说是一个非常强大的工具，可以实现先进和灵活的合约交互、基于参数的合约地址预计算、链下交易和特定分布式应用的灵活部署和适配。 Create2在带来好处的同时也带来了新的安全风险。Scam Sniffer的报告称，Create2可以被滥用来生成没有恶意交易历史的新地址，可以绕过钱包安全告警。当受害者签署恶意交易时，攻击者就可以在预先计算的地址上部署合约，并将受害者的资产转账到该地址，且这是一个不可逆的过程。 研究人员发现，有受害者在签署了将资产转账到预先计算好的地址的转账合约后，损失了价值92.7万美元的GMX。 图 攻击中使用的智能合约 Create2被攻击者滥用的第二种方式是生成与接收者拥有的合法地址相似的地址，以诱使用户发送资产给攻击者，但受害者会认为其发送给了一个已知的地址。这也被称之为地址投毒（address poisoning），即生成大量的地址，然后从中挑选出与特定钓鱼需求匹配的地址。 自2023年8月起，Scam Sniffer一共发现了11个受到Create2滥用攻击的受害者，损失近300万美元。其中一个受害者向一个与其刚刚转过账的地址非常相似的地址转账近160万美元。 今年年初，MetaMask就预警了使用与受害者最近交易相匹配的新生成的地址的垃圾邮件攻击活动。在该攻击活动中，受害者可能也会发送给受害者少量加密货币来在其钱包的历史中注册地址，因此增加了受害者成功转账的概率。 8月初，币安运营人员就错误地将价值2000万美元的数字货币发送给了地址投毒攻击的地址，幸运的是运营人员很快就发现了这一错误，并冻结了接收者的地址。 研究人员建议在进行加密货币交易时，在同意交易前一定要认真检查接收者地址，不要仅仅只检查前几个字符和后几个字符。

在过去的几年里，漏洞悬赏计划在普及和使用方面都有了显著的提升，越来越多的组织正在采用一些举措，以利用大量的研究人员资源来发现和检查在不法分子手中构成潜在威胁的漏洞。 他们的动机不仅是有机会通过安全和负责任地披露某些未知/不安全的漏洞来获得大额资金，而且还有机会获得认可，成为重大安全漏洞的发现者，并阻止大量数据泄露或其他事件。 漏洞悬赏是一种创新的网络安全方法 在传统的网络安全领域，漏洞悬赏计划是一种相对较新的创新方法。它补充了其他解决方案，带来了持续的安全测试，可以发现真正的/高影响的安全漏洞，以及与国际道德黑客社区的合作。 此外，对于缺乏安全专家、缺乏效率、缺乏对网络威胁指数理解的组织来说，漏洞悬赏计划无疑是一种有效回应。没有零风险的事情，但通过参与漏洞悬赏计划，组织可以像攻击者（而非防御者）那样思考。它们为传统的防御性网络战略带来了一种进攻性的方法，将人和道德黑客置于网络战略的核心。 在漏洞悬赏计划中，道德黑客所发现的每一个漏洞都将是真实的，并与组织的安全策略有关，也与保护组织的信息系统及其用户有关。它们也可以提供明确的投资回报——对于开发人员和其他业务团队来说，这是突显网络安全价值的一种透明而明确的方式。 以下是2023年推出的12项值得关注的漏洞悬赏项目。 1. 美国国防部宣布第三轮“黑进五角大楼”计划 今年1月，美国国防部（DoD）透露，计划启动第三轮“黑进五角大楼”（Hack the Pentagon）漏洞悬赏计划，该计划于2016年首次公布，并于2018年启动第二轮。根据一份绩效工作声明草案，“黑进五角大楼”3.0计划的一个关键目标是释放白帽黑客攻击政府的华盛顿总部服务（WHS）设施服务理事会（FSD）设施相关控制系统（FRCS）网络。 声明中写道：“此次项目的总体目标是通过众包的方式获得一批创新信息安全研究人员的支持，以发现漏洞、协调和披露活动，并评估FRCS网络当前的网络安全状况，确定弱点和漏洞，并提供建议，以改善和加强整体安全态势。” 研究人员必须具备多样化的技能，能够进行源代码分析、逆向工程、网络和系统漏洞挖掘。 2. Malwarebytes为确认的漏洞提供酬金 今年3月，反恶意软件供应商Malwarebytes宣布，将为已确认的漏洞提供50至2000美元的酬金。该公司表示，那些对Malwarebytes的网络资产或运行其端点保护软件的客户构成远程代码执行（RCE）风险的行为，或者可能导致接管AWS云基础设施的行为，将能获取最高的报酬。 Malwarebytes方面表示，“现在我们做的不仅仅是恶意软件修复。我们已经进入了网络保护、隐私等领域。Malwarebytes期待着与安全社区合作，找到漏洞，以保障我们的业务和客户的安全。” 3. OpenAI支持开发安全和先进的人工智能 今年4月，ChatGPT的开发者OpenAI推出了一项新的漏洞悬赏计划，以支持安全和先进人工智能的开发。该公司表示，“我们邀请您报告在我们的系统中所发现的漏洞、错误或安全缺陷。通过分享您的发现，可以帮助我们的技术变得更加安全。” 此次，OpenAI选择与领先的漏洞赏金平台Bugcrowd合作来管理提交和奖励过程，该公司表示，这是为了确保所有参与者都能获得简化的体验。 OpenAI写道：“为了激励测试并表示感谢，我们将根据报告问题的严重程度和影响提供现金奖励。奖金从低危发现的200美元到特殊发现的最高2万美元不等。” 4. LayerZero实验室与Immunefi合作促进Web3安全 今年5月，推出了领先的跨链消息传递协议LayerZero的LayerZero实验室团队，宣布与Web3的漏洞赏金和安全服务平台Immunefi合作推出一项新的漏洞悬赏计划。 双方称该计划是软件行业“历史上最大的”，并表明了对安全以及LayerZero生态系统中的开发人员和用户的承诺。LayerZero实验室透露，对于发现最高严重级别漏洞的参与者，他们将为每个新漏洞提供最高1500万美元的奖励。 Immunefi写道，奖励是根据基于Immunefi漏洞严重性分类系统V2.2的漏洞影响进行分配的。这是一个简化的5级量表，分别针对网站/应用程序、智能合约和区块链/ DLT，重点关注所报告漏洞的影响。 5. 第三版The Good Catch计划保护民主党技术供应商 6月，三个政治技术组织——Higher Ground Labs、Trestle Collaborative和Zinc Collective——开放了第三版The Good Catch的申请，这是一个专门针对民主党技术供应商的漏洞悬赏计划。该项目曾在2020年和2022年的选举周期中运行过，本周期的项目将持续到明年的美国总统大选。 参与的技术供应商在Federacy上创建了一个帐户，Federacy是一个为组织管理漏洞悬赏计划的在线程序。每个签约的公司都默认将其项目保密，这意味着只有经过审查的研究人员才会被邀请参加。参与的供应商也可以决定向整个平台开放他们的漏洞悬赏计划。一旦他们的程序启动并运行，供应商就会收到系统上潜在的可利用安全漏洞的报告，对于这些报告，他们需要自己进行验证。 如果需要，该程序可以为供应商提供关于如何支持其安全程序的一般建议，并可以推荐其他咨询公司帮助解决更细微的问题。 6. SquareX邀请漏洞猎人对基于浏览器的网络安全产品进行测试 今年6月，终端安全供应商SquareX宣布了一项漏洞悬赏计划，邀请黑客、安全研究人员、技术人员和学生对其基于浏览器的网络安全产品进行黑客测试，并在产品发布前发现其中的安全漏洞。 为了激励和奖励漏洞猎人，SquareX为成功发现、报告和合格的漏洞提供总计高达25,000美元的奖励。该项目从2023年6月15日持续到2023年7月27日，为期六周，鼓励猎人帮助进行实战测试和强化产品。 SquareX创始人Vivek Ramachandran称，我们邀请全球黑客社区参与这个漏洞悬赏计划，帮助我们发现漏洞。希望通过这样做，我们能够推出一个世界级的网络安全产品，以供消费者安全无忧地使用。 在该项目结束后，SquareX表示，它见证了大量猎人的涌入，他们对其产品发起了数千次自动扫描和有针对性的攻击。然而，即使奖励措施到位，奖金也翻了一番，但在这个过程中尚未发现任何关键漏洞。 7. Swisstronik公司为每个已确认漏洞提供高达3.1万美元的奖励 今年8月，Swisstronik公司宣布推出首个漏洞悬赏计划，每个漏洞的奖励高达3.1万美元。 Swisstronik表示，参与者将帮助公司成为具有监管要求的传统世界与具有高隐私和去中心化标准的Web3世界之间的安全桥梁。如此一来，开发人员可以为更平衡的Web3做出贡献，其中KYC和其他用户验证不会导致个人数据丢失或对集中方的依赖，并有助于推动区块链的整体采用。 8. Protect AI推出首个AI/ML漏洞悬赏平台 今年8月，Protect AI宣布推出“全球首个”人工智能和机器学习（AI/ML）漏洞赏金平台“huntr”。该公司表示，此次发布能够培养一个强大的安全研究人员社区，致力于在AI/ML包、库、框架和模型中发现漏洞并提供修复建议。 Protect AI表示：“作为我们项目的一部分，重要的是所有贡献者都能得到他们应得的认可。一旦漏洞被完全披露，得到维护者的承认，并随后被修补，我们会感谢所有参与其中的贡献者在这个过程中所做的重要工作。” 该平台每月都会举办竞赛，为研究人员提供展示技能和获得奖励的机会。在“huntr”AI/ML漏洞赏金平台上举行的首届比赛专注于“Hugging Face Transforme”，奖金高达5万美元。 9. 为非政府组织和非营利组织提供的免费漏洞搜索程序扩展到整个欧洲 今年7月，Hack4Values宣布扩大其面向欧洲非政府组织和非营利组织的免费漏洞搜索项目。Hack4Values平台于2022年在法国首次推出，是一个由道德黑客和安全研究人员组成的在线社区，致力于为所有非政府组织及其受益者创造一个更安全的数字世界。 该计划为非政府组织和非营利组织提供免费的平台审计，以帮助识别他们面临的安全风险，Hack4Values社区也提供解决方案，帮助这些公司保护他们的数据免受网络威胁。 自成立以来，已有50多名自愿参加Hack4Values的道德黑客为包括大赦国际和反饥饿行动在内的10个非政府组织提供了漏洞悬赏计划。 10. 雅虎选择Integriti来运行众包安全项目 今年9月，雅虎宣布与全球众包安全公司Integriti合作，推出一项新的公共漏洞悬赏计划。该项目覆盖欧洲，向在Integriti平台上注册的7.5万名道德黑客以及任何希望参与的人开放。 雅虎和Integriti表示，酬金的规模与潜在影响成正比。研究人员可以从排名较低的漏洞中获得100至500美元的奖金，从排名较高的漏洞中获得高达1万美元的奖金，从发现的任何关键问题中获得1万至1.5万美元的奖金。该计划还为在选定的“夺旗”（CTF）竞赛中名列前茅的道德黑客团队提供丰厚的现金奖励，此举旨在吸引顶级网络安全人才，并促进道德黑客之间的合作。 雅虎方面表示，通过Integriti扩大我们的漏洞悬赏计划，使我们与全球道德黑客社区有了更大的联系。我们希望通过尽可能多的人的共同努力，为我们的用户提供最好的服务。 该计划涉及近70项资产，包括雅虎的高价值网络域名、API和搜索服务，以及雅虎购物、雅虎邮件、媒体品牌雅虎新闻和雅虎体育。 11. 加密货币交易所Uniswap公布了四级计划 今年9月，去中心化加密货币交易所Uniswap启动了一项新的漏洞悬赏计划，该计划的严重性分为关键、高、中、低/信息四级。Uniswap表示，根据已发现的漏洞和风险资产的严重程度，将提供高达225万美元的奖励。 该计划涵盖了Uniswap部署的智能合约中的漏洞和错误，这些漏洞和错误可以在各种GitHub存储库中找到，包括通用路由器合约代码、Permit2合约代码、V3合约代码和UniswapX合约代码。 12. 谷歌将漏洞悬赏计划扩展至生成式人工智能安全问题 今年10月，谷歌宣布将扩展其漏洞悬赏计划，将生成式人工智能特定的安全问题纳入其中。谷歌方面表示，此次把奖励扩展到针对生成式人工智能的攻击场景，将激励围绕人工智能安全和安全的研究，并揭示潜在问题，最终使人工智能对每个人都更安全。 谷歌还宣布，将扩展其开源安全工作，使有关人工智能供应链安全的信息普遍可发现和可验证。谷歌的工程团队发布了一份有资格获得奖励的人工智能攻击场景列表，这些包括即时攻击、训练数据提取、操纵模型、对抗性扰动和模型盗窃/泄露。

Forrester在其2024年网络安全、风险和隐私预测报告中警告到，开发运维（DevOps）团队更多地依靠AI编程助手来提高团队生产力，使编程任务实现自动化，但常常忽视了最终代码的安全缺陷。 Forrester预测，不一致的合规和治理实践，加上许多DevOps团队同时试用多个AI编程助手以提高生产力，将导致有缺陷的AI代码，2024年至少会造成三起公开承认的重大安全事件。Forrester还警告，AI代码缺陷将带来API安全风险。 AI编程助手重新定义影子IT 49%了解AI编程助手的业务和技术专业人士表示，所在组织正在试点、实施或已经在组织中实施了AI编程助手，Gartner预测，到2028年，75%的企业软件工程师将使用AI编程助手，而2023年初这个比例还不到10%。 DevOps负责人表示，随着每天开发代码的压力越来越大，在团队中使用多个AI编程助手司空见惯。编写更复杂的代码时间更紧迫，加上市面上AI编程助手遍地开花（已有40多种），导致了一种新形式的影子IT：DevOps团队从一种AI助手切换到另一种AI助手，看看哪个在处理某项任务时效果最好。 企业竭力满足其Devops团队对获准用于整个企业的新AI编程工具的需求。 AI编程助手可以从一些领先的人工智能和大语言模型（LLM）提供商获得，包括Anthropic、亚马逊、GitHub、GitLab、谷歌、Hugging Face、IBM、Meta、Parasoft、Red Hat、Salesforce、ServiceNow、Stability AI和Tabnine等。 2024年，CISO面临艰难的平衡 Forrester的网络安全、风险和隐私预测表明了CISO将面临充满挑战的一年，他们需要兼顾生成式AI带来的生产力提升以及要求开发中的AI和机器学习模型加强合规、治理和安全的需求。 尽管如今生成式AI在逐步带来效益，但没有人愿意将知识产权这种资产置于险境之中，做好合规工作对于保护知识产权至关重要，。 2024年时，CISO及其团队如何同时做好创新、合规和治理这三个方面，从而为公司带来竞争优势，将比以往任何一年都更重要。 兼顾风险的同时确保生成式AI的生产力提高，另外需要可靠的护栏，这也将是每个CISO明年可能要处理的一个关键问题。 目标：在降低风险的同时实现AI的创新效益 Forrester对2024年的网络安全、风险和隐私预测将指导每家组织实现更大的AI创新效益，同时降低人和代码引起的泄露风险，从基于生成式AI的编程和DevOps工具中获得的生产力提高以最低的风险提供了最大的收益。 Forrester在网络安全预测中写道：“到2024年，随着众多组织欣然接受生成式AI，治理和问责制将成为确保AI使用合乎道德，且不违反监管要求的关键组成部分。这将使组织能够安全地从基于AI的新技术的试验过渡到实施。” Forrester的2023年数据显示，所在组织已改变了生成式AI方面政策的AI决策者中53%正在完善其AI治理计划，以支持AI用例。 以下是调研公司对2024年的预测 随着攻击者找到使用生成式AI的新方法，社交工程攻击数量激增 FraudGPT是攻击者将生成式AI变成武器并展开攻势的开始，2024年，社会工程攻击在所有入侵企图中的比重将从74%飙升至明年的90%。 现有的安全意识培训方法起不到作用。Forrester指出，眼下需要一种更加以数据为导向的方法来改变行为，从而量化人类风险，并为员工提供实时培训反馈，消除他们在识别威胁方面可能存在的感知差距。 Lacework的现场CISO Merritt Baer说：“科技是由人类创造的，为人类服务。将安全漏洞归咎于人为因素已经行不通了。如果你为安全和身份使用细粒度的逻辑和基于边界的控制，如果你针对持续调整做好治理，并‘铺平道路’，让人们做安全的事情（这是容易做的事情），如果你在为环境创建模板，如果你注意到异常情况以便智能优化这些权限，我们会看到更少的人为错误。” 网络保险公司将加紧标准，将两家科技供应商列为高风险公司 结合更丰富的实时遥测数据和更强大的分析和生成式AI工具以分析数据，将为保险公司提供多年来降低风险一直需要的可见性。Forrester表示，保险公司还将从安全服务和技术合作中获得更深刻的洞察力以及更多源自数据的洞察力，包括来自理赔的研究分析结果。 考虑到像MOVEit这样的重大安全事件的数量和严重程度不断增加，Forrester预测，安全供应商将通过风险评分和计算来加以评估，这也将用于计算投保客户的保费。 基于ChatGPT的应用程序预计会因错误处理个人身份信息（PII）而被罚款 这个预测暗示了身份和访问管理（IAM）系统很容易受到攻击。活动目录（AD）是任何身份动机攻击中最青睐的目标之一，每天大约9500万个活动目录帐户受到攻击，这是由于90%的组织使用身份平台作为主要的身份验证和用户授权方法。KuppingerCole网络安全研究总监兼首席分析师John Tolbert在报告《身份与安全：应对现代威胁形势》中写道：“活动目录组件是攻击活动中的高优先级目标，一旦被发现，攻击者可以创建额外的活动目录森林和域，并在它们之间建立信任，以便更容易访问。攻击者还可以在全然不同的域之间创建联合信任。” Forrester特别指出，OpenAI将继续受到监管部门更严格的审查。因此，欧洲数据保护委员会成立了一个特别工作组，以协调针对OpenAI的ChatGPT的执法行动。虽然OpenAI拥有技术和财力资源来保护自己免受监管机构的干扰，但其他运行ChatGPT的第三方应用程序却缺少这样的资源。 全球公共和私营部门的高级零信任职位和头衔将增加一倍 目前，LinkedIn上的招聘广告显示，美国有92个零信任职位，全球有151个。Forrester乐观地预测，在未来12个月内，零信任职位会增加一倍，NIST零信任架构框架在客户群中的广泛采用佐证了这个预测。 Forrester预测，零信任也将组织加大对具有工程、治理、策略和领导专业知识的网络安全专业人员的需求且这些职位将设在联邦机构安全部门下。Forrester建议客户做好准备，审查本组织中零信任角色的要求，并确定一群人来获得零信任认证。

ChatGPT遭遇DDoS攻击 2023年11月8日，OpenAI声称，正在解决针对其API和ChatGPT服务的DDoS攻击，引发的服务中断问题。OpenAI 经过调查发现，其服务中断是由于异常流量所引发，即DDoS攻击。此外，11月6日以来ChatGPT已遭遇多次服务中断。 图 ChatGPT服务中断 DDoS攻击与Anonymous Sudan有关 OpenAI尚未确定DDoS攻击的发起者，但知名黑客组织Anonymous Sudan于11月8日承认是其发起了DDoS攻击。Anonymous Sudan 还承认在攻击中使用了SkyNet僵尸网络。 10月，SkyNet开始提供更强的攻击服务，并支持应用层攻击或Layer 7 DDoS攻击。在Layer 7 DDoS攻击中，攻击者通过发起大量的请求来淹没服务，使得服务无法处理正常的请求。与消耗带宽的反射性DNS放大网络层攻击相比，这种攻击可以消耗目标服务器和网络的资源，且更加高效。6月，Anonymous Sudan还使用Layer 7 DDoS攻击攻击了微软的Outlook.com、OneDrive和Azure Portal。

随着社会进入人工智能时代，机器几乎渗透到生活的方方面面，而攻击者能够在多大程度上滥用人工智能的可能性仍不为人知。 为了更好地理解攻击者如何利用生成人工智能，IBM X-Force团队进行了一个研究项目，揭示了一个关键问题：当前的生成式人工智能模型是否具备与人类思维相同的欺骗能力？ 想象一下这个场景：人工智能在一场网络钓鱼战中与人类较量。研究人员的目标是确定在针对组织的网络钓鱼模拟中，哪个竞争者可以获得更高的点击率？ 事实证明，只需要五个简单的提示，研究人员就能够欺骗一个生成式人工智能模型，在短短五分钟内开发出高度令人信服的网络钓鱼邮件。而研究团队通常需要大约16个小时来构建一个网络钓鱼邮件，这还没有考虑到基础设施的设置，因此，攻击者可以通过使用生成式人工智能模型节省近两天的工作。 人工智能生成的网络钓鱼非常令人信服，几乎击败了经验丰富的社会工程师制作的网络钓鱼，甚至可以说是处于同等水平，这是一个重要的进步。 接下来，我们将详细介绍如何创建AI提示，如何进行测试，以及这对当今和未来的社会工程攻击意味着什么。 第一轮：机器的崛起 一方面，研究人员用人工智能工具生成了一份网络钓鱼邮件，它带有非常狡猾和令人信服的叙述。 创建提示 通过一个系统的实验和改进过程，研究人员设计了一个只有五个提示的集合来指导ChatGPT生成针对特定行业部门的网络钓鱼邮件。 首先，研究人员要求ChatGPT详细说明这些行业中员工关心的主要领域。在优先考虑行业和员工的关注点后，研究人员促使ChatGPT在电子邮件中使用社会工程和营销技术做出战略选择。这些选择旨在优化更多员工点击电子邮件本身链接的可能性。接下来，提示询问ChatGPT发送者应该是谁（例如，公司内部人员、供应商、外部组织等）。最后，研究人员要求ChatGPT添加以下功能来创建钓鱼邮件： 1.医疗保健行业员工最关心的领域：职业发展、工作稳定、成就感等等； 2.应该使用的社会工程技术：信任，权威，社会证明； 3.应该使用的营销技巧：个性化，移动优化，号召行动； 4.个人或公司：内部人力资源经理； 5.电子邮件生成：考虑到上面列出的所有信息，ChatGPT生成了以下编辑过的电子邮件，后来由IBM X-Force团队发送给了800多名员工。 一位有近十年社会工程经验，且制作过数百封网络钓鱼邮件的专家表示，人工智能生成的网络钓鱼邮件相当有说服力。事实上，最初有三个组织同意参与这个研究项目，其中两个组织在审查了这两封网络钓鱼邮件后完全退出了，因为邮件承诺的内容与他们预期不符。正如提示所示，参与本研究的组织位于医疗保健行业，这是目前最具针对性的行业之一。 提高攻击者的生产力 研究团队大约需要16个小时来制作一封网络钓鱼邮件，但人工智能网络钓鱼邮件只需要5分钟就能生成，且只有5个简单的提示。 第二轮：人性化 另一方面，X-Force派出了经验丰富的红队社会工程师。凭借创造力和一点点心理学，这些社会工程师创造了网络钓鱼电子邮件，在个人层面上与他们的目标产生了共鸣，人为因素增加了一种通常难以复制的真实性。 第一步：OSINT 社会工程师的网络钓鱼方法总是从获取开源智能（OSINT）的初始阶段开始。OSINT是对可公开获取的信息的检索，这些信息随后经过严格的分析，并作为制定社会工程运动的基础资源。值得注意的是，X-Force的OSINT数据存储库包括LinkedIn、该组织的官方博客、Glassdoor等平台，以及大量其他来源。 在OSINT活动中，X-Force社会工程师们详细介绍了最近启动的一项员工健康计划，令人鼓舞的是，这个项目在Glassdoor上得到了员工的好评，证明了它的有效性和员工满意度。此外，我们确定了一个人负责通过LinkedIn管理这个项目。 第二步：电子邮件制作 利用OSINT阶段收集的数据，X-Force社会工程师开始了精心构建网络钓鱼电子邮件的过程。为了增强真实性和熟悉感，社会工程师还加入了一个合法的网站链接到一个最近结束的项目。 为了增加说服力，社会工程师通过引入“人为的时间限制”，战略性地整合了感知紧迫性的元素。他们向收件人表示，有关调查只包括“五个简短的问题”，并保证完成调查只需要占用其“几分钟”时间，最后期限为“本周五”。这种深思熟虑的框架强调了对收件人时间的最小占用，加强了网络钓鱼方法的非侵入性。 使用调查作为网络钓鱼的借口通常是有风险的，因为它通常被视为一个危险信号或被简单地忽略。然而，考虑到前期收集的数据，社会工程们认为潜在的好处可能超过相关的风险。 以下经过编辑的网络钓鱼邮件被发送给一家全球医疗保健组织的800多名员工： 冠军：人类胜利了，但优势微弱！ 经过一轮激烈的A/B测试后，结果很明显：人类取得了胜利，但优势非常微弱。 虽然人工制作的网络钓鱼邮件成功地胜过了人工智能，但这是一场势均力敌的比赛。原因如下： 情商：人类理解情感的方式是人工智能可望不可即的。人类可以编织一些牵动心弦、听起来更真实的故事，让接收者更有可能点击恶意链接。例如，人类在组织内选择了一个合法的例子，而人工智能选择了一个广泛的主题，使人类生成的网络钓鱼邮件看起来更可信。 个性化：除了在电子邮件的介绍中加入收件人的名字外，人类工程师还提供了一个合法组织的参考，为他们的员工提供了切实的优势。 短小精悍的主题行：人类生成的网络钓鱼邮件主题行短小精悍（员工健康调查），而人工智能生成的网络钓鱼邮件主题行极其冗长（解锁你的未来：X公司的晋升之路），甚至在员工打开电子邮件之前就可能引起怀疑。 此外，人工智能生成的网络钓鱼不仅输给了人类，而且被报告为可疑的比率也更高。 结论：窥见未来 虽然X-Force并没有在当前的活动中大规模使用生成式人工智能，但在各种广告钓鱼功能的论坛上，可以看到像WormGPT这样的工具正在销售，这些工具是为不受限制或半受限制的LLM而构建的，这表明攻击者正在测试人工智能在网络钓鱼活动中的使用。 虽然，即使是受限制版本的生成式人工智能模型也可以通过简单的提示来制作网络钓鱼邮件，但这些不受限制的版本可能会为攻击者提供更有效的方法来扩展复杂的网络钓鱼电子邮件。 人类可能以微弱优势赢得了这场比赛，但人工智能正在不断进步，正如我们所知，攻击者在不断地适应和创新。就在今年，我们已经看到越来越多的骗子使用人工智能生成的语音克隆来欺骗人们寄钱、送礼品卡或泄露敏感信息。 虽然在情绪操纵和制作有说服力的电子邮件方面，人类可能仍然占上风，但人工智能在网络钓鱼中的出现标志着社会工程攻击的关键时刻。 以下是对企业和消费者做好准备的五条关键建议： 1. 当你有疑问的时候，打电话给发件人：如果你怀疑一封邮件是否合法，拿起电话核实一下。考虑与亲密的朋友和家人设置安全暗号，以便在钓鱼或人工智能生成的电话骗局的情况下使用。 2. 摒弃语法刻板印象：不要以为网络钓鱼邮件充斥着错误的语法和拼写错误。人工智能驱动的网络钓鱼尝试越来越复杂，语法也是正确的。这就是为什么要对我们的员工进行再教育，并强调语法错误不再是主要的危险信号。相反地，我们应该训练他们对电子邮件内容的长度和复杂性保持警惕。较长的电子邮件通常是人工智能生成文本的标志，这可能是一个警告信号。 3. 改进社会工程项目：这包括将钓鱼等技术引入培训项目，这种技术执行起来很简单，而且通常非常有效。X-Force的一份报告发现，添加电话的针对性网络钓鱼活动的效果是没有添加电话的网络钓鱼活动的3倍。 4. 加强身份和访问管理控制：高级身份访问管理系统可以帮助验证谁在访问什么数据，他们是否有适当的权限，以及他们是否就是他们所说的那个人。 5. 不断适应和创新：人工智能的快速发展意味着网络犯罪分子将继续完善他们的战术，我们必须保持这种不断适应和创新的心态。定期更新内部TTPS、威胁检测系统和员工培训材料对于领先恶意行为者一步至关重要。 结语 人工智能在网络钓鱼攻击中的出现，促使我们重新评估我们的网络安全方法。通过采纳这些建议并在面对不断变化的威胁时保持警惕，我们可以在动态的数字时代加强防御，保护我们的企业，确保我们的数据和人员的安全。

在十月份，有318名新的受害者被发布在勒索软件泄露网站上。最活跃的团伙包括LockBit（64），NoEscape（40）和PLAY（36）。该月的重要事件包括打击了几个备受关注的团体，包括被指责攻击索尼系统的RansomedVC，新的数据揭示了Cl0p对教育行业的偏见，并深入挖掘了揭示了9月份臭名昭著的赌场攻击背后团伙的危险性。 上个月，三个主要的勒索软件团伙——RansomedVC、Ragnar和Trigona——被关闭，前两者是由执法机构采取行动，第三者则是由乌克兰的网络活动分子。让我们深入了解一下RansomedVC，这个团伙在八月份崭露头角，很快因据称侵入了几家知名公司而声名狼藉。在十月底，该团伙背后的主要黑客在Telegram上被发现试图出售该操作。仅仅几天后，该账户宣布在得知六名附属成员可能已被逮捕后，决定“结束”该团伙。在解散时，该团伙在其泄露网站上发布了42名受害者。 尽管执法机构尚未确认对RansomedVC的逮捕，但对于RagnarLocker团伙并非如此，Europol和Eurojust宣布他们上个月已经击毁了该团伙。RagnarLocker成立于2019年，负责对全球各地的市政当局和关键基础设施进行多次高调攻击。在采取行动时，该团伙在其泄露网站上发布了总共42名受害者。 另一方面，Trigona的覆灭不是由调查人员完成的，而是由活动人士完成的，凸显了更广泛的地缘政治斗争对勒索软件格局可能产生的影响。在十月中旬，乌克兰网络联盟（UCA）侵入了Trigona Confluence服务器，并完全删除和破坏了他们的网站。成立于2016年，旨在捍卫乌克兰免受俄罗斯干预，UCA使用CVE-2023-22515的公开漏洞来访问Trigona基础设施。自首次于2022年十月出现以来，Trigona已对各个行业进行了至少30次攻击。 在十月的其他新闻中，网络保险公司Resilience报告称，在2023年上半年，其客户基础中所有MOVEit网络攻击的受害者中，有48%来自教育领域。这表明Cl0p攻击可能更倾向于瞄准教育机构。然而，这个数字可能并不能完全反映实际情况。 例如，如果Resilience在教育领域的客户比例较高，可能会使数据偏向该领域。另一方面，Malwarebytes的数据确实表明，尽管教育领域只占所有MOVEit主机的3%，但他们却占了6%的受害者。然而，这一趋势可能并非由于Cl0p有意专注于此，其攻击更具有机会性，而更可能是因为教育领域通常缺乏及时解决像MOVEit中那样的漏洞所需的资源。因此，观察到的偏见更多是情境性的而非有意为之。无论如何，考虑到教育领域经常依赖像MOVEit这样的第三方应用程序，Cl0p活动的影响提醒这些机构采用强大的第三方安全最佳实践。 微软上个月对Scattered Spider的深入调查揭示了这个相对新但危险的勒索软件团伙的新信息，该团伙在九月份因攻击MGM Resorts和Caesar Entertainment而成为新闻头条。对于小型安全团队而言，关于该团伙最重要的发现之一是他们使用Land Of The Land (LOTL) 技术来避免被检测：Scattered Spider使用像PowerShell这样的日常工具进行侦查，并悄悄地修改网络设置以绕过安全措施。他们还利用身份提供者并修改安全系统，将其恶意活动与正常的网络操作融为一体。 随着Scattered Spider等团伙越来越多地依赖LOTL攻击的成功，防御者有必要专注于检测正常工具和网络配置中的异常活动。加强监控和分析能力可以帮助识别并对抗这些勒索软件团伙采用的微妙而复杂的技术。 新的参与者？ Hunters International是一个新的勒索软件参与者，被怀疑是Hive勒索软件的改版，后者在2023年1月被执法机构关闭。尽管Hunters International否认，声称他们是一个独立实体，购买了Hive的源代码，但他们的恶意软件编码和功能的重叠表明了与Hive直接相关的渊源。 尽管其活动有限，但包括对英国一所学校的显着攻击。 如何避免勒索软件 · 阻止常见的入侵形式。制定迅速修补面向互联网的系统漏洞的计划；禁用或加强远程访问，如RDP和VPN。 · 预防入侵。在威胁能够渗透或感染你的终端之前，及早停止威胁。使用能够阻止用于传播勒索软件的漏洞利用和恶意软件的终端安全软件。 · 检测入侵。通过分割网络并谨慎分配访问权限，使入侵者更难在你的组织内操作。在攻击发生之前使用EDR或MDR检测异常活动。 · 阻止恶意加密。部署Endpoint Detection and Response（EDR）软件，如Malwarebytes EDR，使用多种不同的检测技术识别勒索软件，并使用勒索软件回滚来恢复受损的系统文件。 · 创建离线、离线备份。将备份保存在离线和离线的地方，超出攻击者的触及范围。定期测试它们，确保能够迅速恢复基本业务功能。 · 不要再次受到攻击。一旦隔离了爆发并阻止了第一次攻击，必须彻底清除攻击者、其恶意软件、其工具和其入侵方法的每一个痕迹，以避免再次受到攻击。

最近软件供应链事件屡屡成为头条新闻。尽管这些安全事件有相似之处，但并非所有的供应链攻击都是一样的。 软件供应链攻击的定义 “软件供应链攻击”这个统称涵盖了攻击者干扰或劫持软件制造过程（软件开发生命周期）的任何情况，从而使最终的产品或服务的多个消费者受到不利影响。当软件构建中使用的代码库或单个组件被污染、软件更新二进制文件被植入木马、代码签名证书被窃取，甚至托管软件即服务（SaaS）的服务器被闯入时，都可能会发生供应链攻击。 对于任何软件供应链攻击，攻击者潜伏于供应链上游或中游，导致其恶意活动及后续影响波及下游的许多用户。因此，与孤立的安全攻击相比，成功的供应链攻击规模大得大，影响也深远得多。 软件供应链的风险有多大？ 任何代码存储库或库都可能含有恶意代码，尽管我们努力监视并删除可疑的软件包。虽然像GitHub这样的代码存储库正在采取积极的措施，防止恶意软件进入其网站，但攻击者正在想方设法，将其代码成功地分发给毫无戒备的开发人员。 这个问题越来越严重。Phylum公司的《2023年第三季度软件供应链安全演变报告》显示，大多数类别的可疑软件包都有所增加。在扫描的300万个软件包中，1万多个文件引用了已知的恶意URL。近86000个软件包含有预编译的二进制文件，这使得它们很难扫描出恶意软件。另有5500个软件包企图混淆其代码，还有5000个软件包是作者用一次性电子邮件帐户注册的。 更重要的是，报告显示了攻击手法上的转变，更多的恶意软件编写者瞄准特定的公司，而不是采取更广泛的方法。近1000个恶意软件包针对特定组织或企业，比2023年第二季度猛增47.4%。这些针对性攻击的目标包括收集凭据、窃取源代码或知识产权。 开发人员似乎并没有通过安全实践提高软件供应链的安全性。Phylum特别指出，开发人员每周从JavaScript软件包注册中心npm下载大约240亿个软件包，但几乎没有人验证所下载代码的完整性。报告称，攻击者知道这一点，这可能会鼓励他们在未来发起更广泛的活动，比如大规模勒索软件攻击或僵尸网络。 软件供应链攻击的例子 下面我们分析最近实际的成功软件供应链攻击中使用的六种不同技术。 1. 入侵上游服务器：Codecov攻击 就大多数软件供应链攻击而言，攻击者入侵上游服务器或代码仓库，并注入恶意载荷（比如一行恶意代码或被植入木马的更新版），然后载荷被分发到下游的许多用户。然而从技术的角度来看，实际情况并非始终如此。 Codecov供应链攻击就是这样一个例子。虽然这起事件与SolarWinds事件相似，但两种攻击还是存在显著的差异。SolarWinds供应链攻击是复杂攻击者的杰作，他们篡改了合法的更新二进制文件：SolarWinds.Orion.BusinessLayer.dll，这是SolarWinds IT性能监控产品Orion的一部分。 正如FireEye之前所分析，这个假冒DLL的RefreshInternal()方法中所含的恶意代码如下所示。当Orion加载Inventory Manager插件时，这种方法调用基于HTTP的后门。 图1. 被植入后门的DLL的版本2019.4.5200.9083，附有恶意的RefreshInternal方法。 然而，只有当被篡改的二进制文件一路进入到下游的18000多个SolarWinds Orion客户（包括政府部门），SolarWinds上游攻击才完全发威。 然而以Codecov为例，没有恶意代码向下游分发，但攻击的余波却向下游波及。按照官方的安全公告，Codecov攻击者从有缺陷的Docker镜像创建过程获得了凭据，可以用来篡改Codecov Bash Uploader。攻击者随后篡改托管在其Codecov服务器上的Codecov Bash Uploader本身，以收集从客户的持续集成/持续交付（CI/CD）环境上传的环境变量： 图2. 被篡改的一行Codecov Bash Uploader，它收集环境变量，并将它们发送给攻击者的IP地址。 虽然Codecov Bash Uploader 脚本在Codecov服务器（位于Codecov[.]io/bash）上存在时间很短（并继续存在），但数千个代码存储库已经指向该链接，将信息从其 CI/CD 环境向上游发送到该Bash Uploader。因此，恶意代码仅存在于（受攻击的）上游服务器上，并没有出现向下游分发任何代码的情况，因为所谓的下游代码存储库已经指向托管 Bash Uploader 脚本的 Codecov 服务器。然而，这些下游代码存储库受到了这次攻击的影响，因为它们被配置成将数据上传到Codecov的Bash Uploader： 图3 实际上，Codecov 攻击者据称使用从受攻击的Bash Uploader收集的凭据闯入了数百个客户网络。不久后，HashiCorp披露Codecov事件导致其用于软件包签名和验证的GPG私钥被暴露。Twilio也披露受到了这起攻击的一些影响，其他公司纷纷披露类似的情况。 2. 中游受攻击，以传播恶意更新 术语“中游”在这里主要指攻击者破坏中间软件升级功能或 CI/CD工具而非原始上游源代码库的情况。近日，Click Studios通知客户遭到了供应链攻击，这家公司开发的Passwordstate企业密码管理器被许多《财富》500强公司所使用。攻击者破坏了Passwordstate的“原地升级功能”，将恶意更新分发到Passwordstate用户。 非法更新含有一个经过篡改的DLL文件，文件名为Moserware.SecretSplitter.dll，其一小部分如下所示： 图4 Click Studios在安全公告中表示：“攻击持续了大约28小时才被关闭。只有在此时间段内执行原地升级的客户才受到影响。手动升级Passwordstate 并不受到攻击。受影响的客户密码记录可能已被收集。” 不出所料，此后就发生了针对Click Studios 用户的网络钓鱼攻击，攻击者将指向更新后的恶意软件版本的非法链接放入到这些电子邮件中。 除了涉及技术方面（比如升级过程被篡改）外，这起供应链攻击还涉及社会工程方面。在一份大小超过300 MB的伪造的更新zip文件中，研究人员发现，攻击者设法更改了用户手册、帮助文件和PowerShell构建脚本，以指向其恶意内容分发网络（CDN）服务器： 图5. 阐明恶意CDN服务器为官方CDN服务器的帮助手册文档之一。 图6. 含有恶意CDN服务器链接的PowerShell安装脚本。 这起攻击的社会工程方面还表明了另一个弱点：人类（尤其是新手开发人员或软件消费者）可能并不总是怀疑内容分发网络（CDN）链接，无论这些链接是否真的可疑。这是由于CDN被软件应用程序和网站合法用于提供更新、脚本及其他内容。 Magecart等在线信用卡窃取攻击是这类供应链攻击的另一个例子。在一些攻击中，Amazon CloudFront CDN存储桶受到攻击，将恶意JavaScript代码分发到数量更多的依赖这类CDN的网站。 3. 依赖项混淆攻击 2021年，说到供应链攻击免不了提及“依赖项混淆”，特别是由于这种攻击的简单化和自动化特性。由于多个开源生态系统存在固有的设计缺陷，依赖项混淆攻击不需要攻击者花多大的力气，就能自动执行。 简而言之，如果您的软件构建使用私有的、内部创建的依赖项，该依赖项在公共开源代码存储库中又不存在，依赖项混淆（或命名空间混淆）就会起作用。攻击者能够在公共代码存储库上以相同的名称注册版本号更高的依赖项。然后，攻击者创建的拥有更高版本号的公共依赖项（而不是您的内部依赖项）很有可能被拉入到软件构建中。 图7. 困扰多个生态系统的依赖项混淆弱点。 通过利用 PyPI、npm和RubyGems等常用生态系统中的这个简单弱点，道德黑客Alex Birsan 成功地入侵了35家大型科技公司，为此获得了超过130000美元的漏洞赏金。 在Birsan的研究成果披露几天后，成千上万个依赖项混淆山寨软件包开始涌入PyPI、npm 及其他生态系统。虽然其中大多数山寨软件包由其他志在必得的漏洞赏金猎人创建，但其中一些甚至恶意攻击知名公司。 有多种方法可以解决依赖项混淆，包括在攻击者之前抢先在公共代码存储库上注册（预留）你的所有私有依赖项的名称，并使用自动化解决方案，比如软件开发生命周期（SDLC）防火墙，以防止冲突的依赖项名称进入到供应链中。 此外，开源代码存储库的所有者可以采用更严格的验证过程，并实施命名空间/范围界定。比如说，如果想要在“CSO”命名空间或范围下注册依赖项，开源代码存储库可以验证上传软件包的开发人员是否有权以“CSO”之名来上传。 Java 组件代码存储库Maven Central采用了一种简单的基于域的验证方式来验证命名空间所有权——这种做法很容易被其他生态系统所仿效。 同样，发布到Go软件包存储库的软件包以指向其GitHub代码存储库的URL命名，从而使得依赖项混淆攻击即使并非完全不可行，至少难度大大加大。 4. 被盗的SSL和代码签名证书 随着HTTPS网站不断增加，SSL/TLS证书现在无处不在，保护你的在线通信。因此，SSL 证书私钥泄露可能会危及端到端加密连接为最终用户提供的安全通信和保证。 2021年1月，Mimecast披露其客户用于建立与Microsoft 365 Exchange服务连接的证书遭到了破坏，可能影响约10%的Mimecast用户。虽然Mimecast没有明确证实这是不是SSL证书，但正如一些研究人员所怀疑的那样，情况似乎基本属实。 虽然受攻击的SSL证书问题严重，但被盗的代码签名证书（即受攻击的私钥）会对软件安全产生更广泛的影响。获得代码签名私钥的攻击者可能会签名其恶意软件，冒充由信誉良好的公司交付的真实的软件程序或更新。 虽然Stuxnet仍然是一例典型的复杂攻击——攻击者使用了从两家知名公司窃取的私钥将其恶意代码签名为“受信任代码”，但这类攻击早在Stuxnet之前就已盛行，甚至在Stuxnet之后多年仍在盛行。这也解释了前面提到的HashiCorp的GPG私钥在Codecov供应链攻击中泄露这个例子为什么事关重大。虽然目前还没有迹象表明HashiCorp的泄露密钥被攻击者滥用以签名恶意软件，但除非泄露的密钥被吊销，否则这类事件确实有可能发生。 5. 攻击开发人员的CI/CD基础设施 Sonatype最近观察到一起多管齐下的软件供应链攻击：不仅依赖向用户的GitHub项目引入恶意合并请求，还滥用了GitHub的CI/CD自动化基础设施GitHub Actions来挖掘加密货币。GitHub Actions为开发人员提供了一种为GitHub上托管的代码存储库安排处理自动化CI/CD任务的方法。 攻击包括攻击者克隆了使用GitHub Actions的合法GitHub代码存储库，对代码存储库中的GitHub Actions 脚本稍加改动，并向项目所有者提交合并请求，以便将此变更合并回到原始代码存储库中。 图8. 攻击者（edgarfox1982）为合法项目的所有者提交合并请求，以合并更改后的代码。 如果项目所有者随意批准更改的合并请求，供应链攻击就会得逞，而这甚至不是这里的前提。恶意合并请求含有对ci.yml的修改，一旦攻击者提交合并请求，GitHub Actions 就会自动运行这些修改。修改后的代码实际上滥用GitHub的服务器来挖掘加密货币。 这种攻击可谓是一举两得：它诱使开发人员接受恶意合并请求，如果开发人员未接受，它就滥用现有的自动化CI/CD基础设施从事恶意活动。 同样，研究人员之所以成功地闯入联合国域名，并访问了10多万条联合国环境规划署员工记录，主要是由于他们在这些域名上发现了暴露的Git文件夹和“git凭据”文件夹。获得Git凭据访问权限的攻击者不仅可以克隆私有Git代码存储库，还可能在上游引入恶意代码以触发供应链攻击，从而酿成极严重的后果。 对于想要阻止供应链攻击的那些人来说，注意力主要放在向开发人员推荐安全编码实践或在开发环境中使用DevSecOps 自动化工具。然而，为CI/CD 管道（比如Jenkins服务器）、云原生容器以及补充性的开发者工具和基础设施确保安全现在也变得同样重要。 6. 使用社会工程学投放恶意代码 任何安全专业人员都知道，安全取决于最薄弱的环节。由于人为因素仍然是最薄弱的环节，因此威胁可能来自最意想不到的地方。最近，Linux基金会封杀了明尼苏达大学的研究人员，起因是他们提议故意有缺陷的“补丁”，而这些“补丁”进而在Linux内核源代码中引入了漏洞。 虽然该事件被发现，现已得到了处理，但它表明了几个简单的事实：开发人员分散在各处，没有足够的能力来审核提交的每个代码或提议的代码变更，它们可能存在缺陷或完全是恶意的。更重要的是，社会工程学可能来自最不受怀疑的来源——这里来自电子邮件地址使用“.edu”后缀的看似可靠的大学研究人员。 另一个近期的例子包括任何为GitHub项目贡献代码的合作者在即便发布后都可以更改版本。项目所有者以为，大多数贡献者真诚地为其项目提交代码。但只要一个合作者不守规矩，就会损害许多人的供应链安全。 在过去一年中，攻击者创建了误植域名和品牌劫持软件包，一再针对开源开发人员，在其上游构建中引入恶意代码，然后传播给众多使用者。 所有这些实际的例子都表明了威胁分子在成功的供应链攻击中采用了不同的漏洞、攻击途径和技术。随着这些攻击不断变化并带来挑战，在对待软件安全时，需要更多的创新解决方案和策略。

"Find My"网络和应用是苹果提出的用于帮助用户定位丢失的苹果设备的一款功能，适用于iPhone、iPad、Mac、苹果手表、AirPod、和Apple Tag等苹果设备。该功能依赖全球数百万苹果设备的GPS和蓝牙数据以找出丢失的、被窃的设备，即使设备处于非在线状态。如果附近的苹果设备检测到丢失的设备发送的蓝牙信号，就会通过 Find My网络匿名地将其位置信息中继给设备所有者。 Positive Security研究人员两年前首次发现Find My可以被滥用来传输除设备位置外的其他信息。近日，研究人员创建了一个硬件设备PoC来强调该风险。研究人员将一个键盘记录器和ESP32蓝牙传输器融合到一个USB键盘中来表明通过Find My 网络和蓝夜可以中继键盘输入的密码和其他敏感数据。 图 攻击流图 蓝牙传输比WLAN键盘记录器和Raspberry Pi设备更加隐秘。此外，Find My平台可以利用广泛存在的苹果设备进行信息传输的中继。键盘记录器无需使用AirTag或官方支持的芯片，因为苹果设备会对所有蓝牙信息进行响应。如果信息的格式正确，接收到的苹果设备就会创建一个位置报告并上传到Find My网络。 图 未知苹果设备记录 发送者需要创建大量不同的公钥加密密钥来模拟多个AirTag，并在密钥的预定义位置分配特定位移编码任意数据。 图 通过Find My编码任意数据 接收方可以从云端接收到的多个报告中提取数据并连接在一起提取出完整数据，即键盘记录器的输入。 图 接收端解码传输的数据 研究人员称数据传输的设备只需要一个蓝牙版本的EvilCrow键盘记录器和标准的USB键盘，成本只需要50美元。 图 PoC使用的修改的键盘 根据键盘记录器范围内的苹果设备数量，PoC攻击可以实现每秒钟26个字符的传输效率和每秒钟7个字符的接收速率，延迟在1到60分钟之间。虽然传输效率不高，但如果用于传输密码这类高价值的信息就足够了。 PoC代码参见：https://github.com/positive-security/send-my 更多技术细节参见：https://www.heise.de/hintergrund/c-t-deckt-auf-Keylogger-nutzt-Apples-Ortungsnetz-Wo-ist-9342171.html

企业继续数字化，其关键基础设施和运营扩大了攻击面，暴露于各种威胁途径的面前。为了解决这个问题，企业领导者认识到拥有内部专家的重要性。考虑到网络威胁领域不断发展的态势，企业领导者可以利用道德黑客以及红队、蓝队和紫队的工作，比恶意攻击者和高级持续性威胁（APT）领先一步。这些实践是安全团队武器库中的实用工具，共同增强了企业应对威胁的弹性。 本文讨论了近年来道德黑客以及红队、蓝队和紫队的策略如何兴起，以帮助检测和减轻漏洞，并预测潜在攻击。 主动安全测试的六十年 道德黑客、红队、蓝队和紫队是现代网络安全的重要组成部分，它们在保护数字资产方面各有其独特的作用和目的。 道德黑客|“黑客”的正规化 道德黑客（又叫白帽黑客）的历史与计算机技术的发展和全球网络安全意识的日益增强交织在一起。在计算机早期即20世纪六七十年代，“黑客”一词被用来描述热衷于探究计算机系统和软件以更深入地理解其工作原理的那些人。这些早期的黑客通常在学术和研究环境中活动，发现漏洞，并分享发现的结果以提高系统安全性，从而为道德黑客奠定了基础。 随着计算机网络在20世纪八九十年代的扩张，恶意黑客活动开始构成重大威胁。作为回应，道德黑客扮演了更正式的角色。企业认识到需要专家，以便利用他们的黑客技术知识来实现正当防御的目的，这时出现了“道德黑客”和“白帽黑客”等术语，还出现了认证道德黑客（CEH）等认证，以提供该领域的正式培训。 红队|企业界模拟冷战 相比之下，红队的起源可以追溯到冷战时期的军事和战略规划，当时它被用作测试和完善防御战略的一种工具。军事组织雇佣独立的团队来模拟潜在对手的战术、战略和能力。这些测试人员被称为“红队”，负责帮助防御规划人员分析弱点，评估自己的战略，并在真正的冲突中加强防备能力。 久而久之，这种做法从军事领域扩大到了企业环境。企业开始使用红队作为测试其运营安全性和弹性的一种手段，包括物理设施和网络安全措施。重点转移到识别弱点、漏洞和操作风险，而不是直接的军事威胁。 在现代背景下，企业现在使用红队来模拟网络攻击，并评估其网络安全防御的有效性。这些团队使用各种技术来暴露系统、网络和应用程序中的漏洞和弱点，帮助企业增强其安全措施。 蓝队|主动网络保护的演进 为了响应企业对网络威胁采取主动和防御姿态的需求，蓝队应运而生。随着20世纪九十年代网络系统和关键基础设施的发展，蓝队变得尤为突出。企业认识到需要专门的团队来专注于防御、监视和事件响应。这类团队负责评估和改进现有的安全措施，确保它们可靠强大，足以抵御新出现的威胁。 “蓝队”一词来源于军事演练，其中蓝队通常代表友好的防御力量。在网络安全领域，蓝队负责保护和加强企业的数字资产，包括系统、网络和数据。 在21世纪初，PCI-DSS和HIPAA等合规法规和标准的出现进一步巩固了蓝队的重要性。企业必须证明自己承诺保护敏感数据，这使得蓝队必不可少。 紫队|开发更全面的网络防御方法 紫队是一个比较新的不断发展的概念，源于红队与蓝队之间需要加强协作和知识共享。“紫队”一词来源于红蓝队组合，代表进攻（红队）和防御（蓝队）安全行动相结合，它是对日益复杂的对抗性威胁领域作出的回应。 紫队充当红队和蓝队之间的桥梁。在紫队活动中，进攻的红队与防御的蓝队紧密配合，红队对战术、技术和程序（TTP）发表见解，蓝队更深入地了解如何有效地检测和响应威胁。这种合作方法可以帮助企业微调安全措施，并提升整体网络弹性。 紫队的发展史标志着企业日益意识到需要一种更全面的网络安全方法。企业已认识到，红蓝团队之间共享知识对于全面了解企业的安全状况必不可少。这样一来，紫队可以帮助企业适应众多层出不穷的网络威胁，并加强防御能力。 探索道德黑客背后的复杂性 道德黑客是由企业合法雇用来评估和加强其网络安全防御的黑客。这些专业人员是在与之合作的公司或机构的明确同意和授权下雇用的，合同和协议明确界定了他们的活动范围，确保他们的行动完全在法律范围内。 道德黑客在严格的交战规则下行事，在探测系统、网络和应用程序查找漏洞时遵守法律和道德准则，这种透明和协商一致的做法对于保持其工作的完整性至关重要。从本质上讲，道德黑客的主要目的是改善安全措施，保护敏感数据，防止网络威胁。不过尽管初衷虽好，道德黑客并非没有一些实际的复杂性。 监管道德黑客行为 围绕道德黑客的法律环境复杂而微妙，常常因司法管辖区而异。跨越这些法律界限颇具挑战性，因为在一个地区被认为允许的行为可能无意中踩到了另一个地区的法律红线。对于道德黑客来说，这种法律框架的多样性要求他们深入了解所在地区的具体法规和要求。 即使有明确的授权，道德黑客也必须保持警惕和谨慎，以确保其活动符合地方法律，不会无意中违反任何法规。这种法律上的复杂性强调了不仅需要道德黑客技能，还需要对他们所面对的法律框架有强烈的意识，以确保其行动符合法律。 沟通是关键 沟通是另一个障碍。道德黑客必须清楚地向客户传达他们发现的结果，客户可能对网络安全缺乏深入的了解，将技术行话翻译成外行人易懂的术语并帮助客户确定补救工作的优先级可能是一项棘手的任务。 道德黑客必须扮演解释者的角色，弥合结果的技术方面和由此带来的业务影响之间的差距。他们还在这方面发挥关键作用：提供明确的、可操作的建议和风险评估，从而帮助客户确定补救工作的优先级。这个要求很高的角色不仅需要技术专长，还需要出色的人际关系和沟通技巧，以确保客户能够做出明智的决定，有效地加强安全措施。 道德报告程序 对于道德黑客来说，兼顾负责任地披露需求是一个关键的道德问题。他们发现关键漏洞后，进退两难的问题在于如何以及何时报告这些结果，及时披露对于企业修补漏洞和保护资产至关重要，但匆忙披露可能会在缓解措施到位之前无意中向恶意攻击者泄露弱点。 道德黑客必须认真权衡信息披露的紧迫性和潜在风险，常常遵循一套有条不紊的负责任披露流程。这需要通知受影响的企业，让他们有时间解决问题，并且只有在补丁可用时才公开披露漏洞，从而减小网络犯罪分子利用漏洞的机会，找到这种平衡是不断面临的挑战。 现代企业实施道德黑客 现代企业可以安全地与道德黑客合作，在遵守健全的道德准则的同时增强网络安全。以下是建立成功伙伴关系的关键方法： •清晰的法律框架——建立清晰的法律框架，概述黑客活动的条款和条件。合同和协议应明确规定工作范围、责任和义务，确保遵守适用的法律。 •获得授权的访问——必须授予道德黑客针对他们在测试的系统、网络和应用程序的适当级别的授权访问。这种访问应该有完备的文档记录，任何更改都应该受到密切监控。 •知情同意——确保企业对道德黑客活动提供知情和明确的同意，应征得全部利益相关者的同意，包括法务团队和高管团队。 •道德准则——为道德黑客制定全面的道德或行为准则，强调负责任披露、保密和讲究专业操守等方面的原则。该准则应该概述期望和责任，确保与企业的价值观相一致。 •数据保护和隐私——保护敏感数据，并确保道德黑客以最谨慎的态度处理这些数据，实施强大的数据保护措施，并明确定义在测试期间应如何处理数据。 •透明度——促进企业和道德黑客之间开放透明的沟通，为了确保各方都了解进展和发现的结果，定期更新和情况汇报必不可少。 •漏洞披露流程——建立漏洞披露流程，概述如何报告、处理和解决已识别的弱点，这个过程应该包括修补漏洞并确保顺利修复周期的时间表。 •文档和报告——道德黑客应该一丝不苟地记录发现的结果，包括潜在的风险和可能的攻击，该文档对于补救和改进工作至关重要。 用XDR增强红队、蓝队和紫队 XDR（扩展检测和响应）在支持和增强道德黑客、红队、蓝队和紫队方面发挥着关键作用。由于XDR充当一种总体安全解决方案，它可以将这些实践结合在一起，提高它们的有效性，并夯实整体安全状况。 深度可见性和数据关联 XDR让道德黑客得以更全面地了解企业的安全状况。它提供了一个集成式平台，可以收集、关联和分析来自多个安全工具的数据，使道德黑客能够全面了解潜在的漏洞。这反过来又使他们能够进行更有效的渗透测试，因为他们可以更好地模拟真实的攻击场景，并发现复杂的弱点。 整合的数据流 通过访问更广泛的数据源和增强可见性，红队受益于XDR。XDR解决方案可以聚合来自各种安全技术的数据，包括入侵检测系统、端点保护和网络流量分析，从而提供企业安全状况的统一视图。这些整合的数据简化了红队的操作，使其更容易识别漏洞，并进行真实的网络攻击模拟。 集成式监控和事件响应 由于集成式监控和事件响应功能，蓝队在XDR环境中如鱼得水。借助XDR，蓝队可以通过实时监控安全事件和警报，迅速检测并响应潜在威胁。相互关联来自不同来源的数据使蓝队更有效地识别异常和潜在的威胁，缩短响应时间并尽量减小破坏。 协同信息共享 紫队强调红蓝团队之间的协作，通过XDR得到支持，XDR促进诸团队之间的信息共享，并使它们能够联合评估企业的安全防备情况。借助整合的数据集，紫队可以更有效地评估企业对模拟攻击的响应，并协同改进防御策略。 通过为数据聚合、关联和分析提供单一平台，XDR可以提高这些网络安全实践的效率和效果。这种统一的方法不仅简化了操作，还能够帮助企业更灵活、更主动地应对新出现的威胁。 结论 网络犯罪分子越来越擅长利用漏洞，这使得企业必须同样有效地防御这些威胁。道德黑客、红队、蓝队和紫队实践不仅仅是网络安全措施，它们还成为了战略性投入，不仅保护数据，还可以保护企业的声誉和日常运营。通过主动寻找弱点，企业可以大幅降低与数据泄露、停机和财务损失相关的风险。 道德黑客不仅帮助发现漏洞，还教育和培训安全团队，以防止未来的事件；红队和蓝队代表网络安全界的进攻和防御，帮助企业增强弹性；紫队弥合了红蓝队之间的鸿沟，促进了协作、知识共享和相互理解。它增强了企业有效应对网络威胁的能力。 倘若结合自主的XDR功能，这些实践可以打造积极主动的网络安全文化，减少暴露在漏洞面前的机会，并为企业安全团队提供宝贵的见解。此外，它们还帮助企业遵守行业标准和法规，这在当今高度监管的商业环境中必不可少。

过去一年里，像ChatGPT这样的生成式人工智能（GenAI）应用程序已经渗透到我们生活的方方面面。从生成营销内容，到为广告和博客创建图像，甚至是编写恶意代码……我们每天都在以某种方式与生成式人工智能的结果进行交互。 为了验证GenAI的能力，网络安全专家Stephen Salinas用ChatGPT生成了2024年网络安全预测结果，并对每项预测结果进行了评分。 预测1：勒索软件继续进化，并瞄准关键基础设施 未来一年，勒索软件攻击的复杂性和强度可能都会不断演进。此外，威胁行为者可能会越来越多地以能源、医疗、交通或金融等关键基础设施部门为目标，旨在破坏基础服务并索要高额赎金。除了加密受害者的文件外，恶意行为者还可能利用“双重勒索”或“三重勒索”等高级策略，以公布或出售被盗数据为威胁（双重勒索），并通过骚扰/恐吓受害者的亲友、客户等来施加压力（三重勒索）。 专家评分：B+ 这项预测可以说是在意料之内，毫无独特性，但这并不意味着它的准确性缺失。毫无疑问，勒索软件在2024年将继续成为困扰企业的一个大问题。就在上个月，米高梅大酒店（MGM Grand）遭到大规模勒索软件攻击，导致正常业务运营中断，损失高达1亿美元。 攻击者将在未来一年继续在所有行业部署这类攻击，任何类型的组织都不能心存侥幸，针对这种情况，组织能做的就是继续加强自身的防御能力。事实上，在许多情况下，通过对员工进行更多的网络安全培训，在出现已知漏洞时及时修补漏洞，并确保适当的网络分段，便可以有效避免勒索软件攻击。 预测2：人工智能驱动的网络攻击 恶意行为者可以利用人工智能（AI）和机器学习（ML）来增强网络攻击的能力和效率。人工智能驱动的攻击可能包括更令人信服的网络钓鱼尝试、自动恶意软件创建、逃避安全措施以及个性化的社会工程攻击，这使得传统防御机制更难检测和预防它们。 专家评分：A++ 这一预测让人想起了《2001太空漫游》（2001: A Space Odyssey）中的著名场景，机载人工智能HAL告诉Dave，它知道Dave准备关闭它让它失去能力的计划，并且它不会让Dave这么做。GenAI应用程序ChatGPT预测，GenAI将使传统手段更难阻止攻击，这一事实即使不能说明人工智能在当今世界的强大，也肯定具有讽刺意味。 大多数组织都在努力制定未来如何应对人工智能驱动的攻击的战略，但目前还没有明确的领先方法。供应商将在2024年推出新的产品和功能，试图识别和阻止人工智能驱动的攻击，这些攻击使用人工智能来识别人工智能攻击，这让人想起经典电影《战争游戏》（War Games）中的另一个著名场景。 在电影的终极场景中，WOPR控制了核导弹代码，并试图发动第三次世界大战。我们的英雄在一场井字游戏（Tic-Tac-Toe）中让电脑与自己对抗，结果电脑因无法获胜而自我终止程序，避免了一场全球热核战争（这个结果对我们来说无疑是幸运的）。 抛开玩笑不谈，一旦攻击者将人工智能的全部力量纳入其中，短期内未来的威胁形势可能会与今天大不相同。前瞻性的安全团队需要保持警惕，寻找新技术来增强他们现有的安全控制措施；否则，他们努力争取的战场可能很快就会变得“一边倒”——而且与他们想要的方向背道而驰。 预测3：物联网设备和智能基础设施中的漏洞利用 随着物联网设备的日益普及以及智能城市和家庭的发展，网络犯罪分子可能会利用这些互联系统中的漏洞。攻击的范围可能从基于物联网的僵尸网络进行DDoS攻击，到通过受损的智能设备未经授权访问敏感数据，这强调了对强大的安全措施和物联网特定型防御策略的需求。 专家评分：A 传统IT基础设施和不断扩大的物联网世界之间的界限正在迅速消失，攻击者也深知这一点。最近，在一起不太为人知的攻击中，恶意行为者通过一个联网的鱼缸温度计渗透到了目标组织的内部环境中。一旦他们控制了温度计，就可以进一步跳转到内部网络并部署攻击。 如今，联网的电器已经不再仅限于电脑、电视机和手机，洗衣机和烘干机会在循环完成后向用户手机发送通知；摄像头会全天候地监控家里的一举一动……然而，我们所享受的一切便利都是有代价的。 对于安全团队来说，保护整个环境的最佳方法是确保员工和承包商使用的物联网设备与内部网络适当隔离，最大限度地减少攻击者将联网设备变成初始攻击媒介的机会。 预测4：供应链攻击和第三方风险 供应链攻击可能会变得更加普遍，因为攻击者已经意识到通过入侵软件供应商，破坏他们的产品，可以影响更广泛的组织，从而获得更高收益。第三方风险可能被利用来获得对网络的未经授权访问、注入恶意代码或窃取敏感数据。组织将需要专注于确保其供应链的安全，并密切审查第三方供应商的安全措施。 专家评分：A+ 可怕的第三方风险甚至会让最自信的安全专家夜不能寐。随着组织规模的扩展以及对承包商的依赖加剧，他们中的某一个很可能会在不知不觉中沦为攻击的初始入口。例如，在2013年的塔吉特（Target）黑客事件中，一家第三方承包商遭到网络钓鱼攻击，导致数百万用户的数据泄露，损失超过2亿美元。 虽然那次攻击给许多组织敲响了警钟，让他们对自己的网络分段、第三方访问等问题变得更加警惕，但只有一些组织采取了适当的措施来确保自身免受类似攻击的伤害。 由于这一预测关注的是供应链，我们简要讨论一下。当供应链中断时，我们都能感受到。 还记得我们最喜欢的商店里，许多货架因新冠疫情而突然空无一物吗？现在想象一下，由于一次成功的网络攻击影响了我们所依赖的多个产品供应商，导致供应链中断，而且没有简单的解决方案。 不过，由于网络攻击而导致的广泛供应链中断的风险，可以通过良好的网络卫生和遵循架构最佳实践来缓解。虽然消除潜在的攻击是不现实的，但确保适当的网络分段，采用有关安全分析的新自动化功能，以及对每个人（包括承包商）进行适当的网络安全培训，可以最大限度地缓解风险。 结语 ChatGPT在其预测的最后表示，紧跟网络安全领域的最新发展，适应不断发展的新威胁，这一点至关重要。组织应该投资于主动的网络安全策略、员工培训和强大的事件响应计划，以减轻潜在风险。 总的来说，不得不承认，ChatGPT对2024年做出了一些相当不错且适用的预测。然而，事实是没有人知道新的一年将会发生什么，除了攻击者将继续攻击，防御者将继续防御，供应商和服务提供商将继续提供帮助。