近日 Fortinet发布 FortiGuard Labs(Fortinet全球威胁情报响应与研究团队)《2023 下半年全球威胁态势研究报告》。本次新发布的半年度研究报告,持续跟踪并剖析当前活跃威胁态势,重点聚焦 2023 年 7 月至 12 月间的威胁发展趋势,并就网安行业攻击者对新披露漏洞的利用速度,以及面向工业和 OT 行业的勒索软件和雨刷攻击活动的增长情况进行了深入剖析。
本次报告的关键发现
新漏洞经公开披露后,平均攻击发起时间为 4.76 天:FortiGuard Labs 在本次报告和《2023 上半年全球威胁态势研究报告》中均致力于明确漏洞自首次披露到被利用时所需时间,无论是在漏洞利用预测评分系统(EPSS)获得高评分可能被更快速利用的漏洞,还是可基于 EPSS 数据预测平均利用时间的漏洞。经分析发现,攻击者针对最新公开披露的漏洞利用速度呈加快趋势(与 2023 上半年相比,攻击速度提升 43%)。这一发现警示我们,安全厂商应肩负起在漏洞利用发生前自内部发现漏洞并积极开发针对性修复补丁的责任。报告再次强调,安全厂商还应更主动、透明地向用户披露漏洞,确保用户及时获取必要信息,在网络攻击者成功利用 N 日漏洞前,高效保护其资产安全。
一些 N 日漏洞长达 15 年仍未被修复:首席信息安全官(CISO)和安全团队不应仅关注新披露漏洞。据 Fortinet 数据显示,41% 的受访组织基于漏洞签名成功检测出潜藏 1 个月以内的漏洞,而几乎所有受访组织(98%)均挖掘出潜藏至少 5 年之久的 N 日漏洞。与此同时,FortiGuard Labs 观察到,攻击者正持续利用已公开披露超 15 年的漏洞。这一趋势再次敲响警钟,警示组织应时刻注重网络安全卫生,积极主动安装补丁并升级程序以快速采取防御措施,始终践行网络弹性联盟(NRC)等组织建议的最佳实践和指南,提升自身网络整体安全水平,有效防范网络威胁。
所有已知终端漏洞中,攻击者利用比例低于 9%:FortiGuard Labs 在《2022 年威胁态势研究报告》中引入了“红区”概念,以帮助读者更好地理解攻击者将如何利用特定漏洞。为了更清晰地阐述这一点,Fortinet 近期发布的三期《全球威胁态势研究报告》均关注了针对终端的漏洞利用总数。2023 下半年研究报告发现,所有在终端发现的通用漏洞披露(CVE)中,实际被利用的漏洞仅占 0.7%(红区)。这一发现表明,安全团队在该领域需关注并优先开展修复工作的活跃攻击面要小得多。
在所有勒索软件和雨刷软件中,以工业领域为攻击目标的软件数量占比为 44%:Fortinet 通过数据分析发现,与上半年相比,2023年下半年检测到的勒索软件数量下降了 70%。这一趋势的出现,主要源于攻击者纷纷抛弃传统“广撒网”式攻击策略,转而采取更具有针对性的攻击策略,并重点瞄准能源业、医疗保健业、制造业、运输和物流业及汽车工业领域。
僵尸网络强势卷土重来!首次检出后,受感染主机平均需 85 天才能中断与攻击者的命令与控制(C2)服务器通信:与 2023 上半年相比,僵尸网络流量虽保持稳定,但 FortiGuard Labs 仍持续观察到,近几年多款臭名昭著的僵尸网络恶意软件均处于活跃状态,如 Gh0st、Mirai 和 ZeroAccess。此外,2023 下半年新涌现出 3 款僵尸网络恶意软件:AndroxGh0st、Prometei 和 DarkGate。
MITRE 追踪的 143 个高级持续性威胁(APT)组织中,38 个处于活跃状态:Fortinet 数字风险防护服务 FortiRecon 汇集的威胁情报显示,2023 下半年,MITRE 追踪的 143 个组织中,38 个处于活跃状态。与网络犯罪攻击活动具有周期长且持久的特性相比,APT 等攻击活动针对性强且周期相对较短,鉴于此,FortiGuard Labs 将持续追踪该领域攻击活动的演进趋势和数量变化。
暗网信息披露
《2023 下半年全球威胁态势研究报告》中还涵盖 FortiRecon 服务的关键发现,揭示了各大暗网论坛、主流交易平台、Telegram 频道及其他来源中威胁攻击者之间的交流信息。FortiRecon 服务关键发现如下:
- 威胁攻击者讨论最频繁的攻击对象主要分布于金融业,其次是商务服务业和教育行业。
- 超 3,000 项数据泄露事件在各大知名暗网论坛间被肆意分享。
- 221 个漏洞在暗网受到广泛讨论,237 个漏洞在各 Telegram 频道广受关注。
- 超 850,000 个支付卡被肆意兜售。
力挽狂澜,共同打击网络犯罪
面对日益扩大的网络攻击范围和整个行业网络安全人才的匮乏,企业在管理一个由多个独立解决方案构建成的错综复杂的基础设施网络时,正遭遇空前的挑战。同时,单一产品所产生的大量警报,以及攻击者不断翻新的战术、技术和程序,都使企业疲于应对。
为了共同抵御网络犯罪的猛烈冲击,我们需要各行各业的紧密合作、信息公开与共享,以及共同承担责任,而非仅仅依赖个别组织的孤军奋战。每家企业都应成为对抗网络威胁的重要一环。Fortinet积极与多个权威组织和机构联手,始终以提升全球网络的抵御能力为己任。
FortiGuard Labs 首席安全策略师兼全球威胁情报副总裁 Derek Manky 表示:“Fortinet FortiGuard 全球威胁研究与响应实验室(FortiGuard Labs)《2023 下半年全球威胁态势研究报告》,持续关注威胁攻击者如何快速利用公开披露的各类新漏洞。鉴于当前的威胁发展趋势,安全厂商和用户均应加强警惕并采取相应措施积极主动应对。此外,安全厂商应在产品开发生命周期的每一阶段开展严密的安全审查,肩负起自身的安全责任,共同践行高度透明的漏洞披露最佳实践。