Fortinet最新威胁态势报告：勒索软件变体数量翻番！

全球网络安全领导者Fortinet®（Nasdaq：FTNT），近日发布《2022年上半年全球威胁态势研究报告》。调查数据显示，网络犯罪分子正不断升级Playbook以绕过组织愈加森严的防护机制，并持续突破地理界线，扩大网络犯罪规模。Fortinet威胁情报研究表明，网络犯罪分子正为其得心应手的漏洞利用手段搜罗新的攻击载体，导致此类漏洞利用攻击数量呈显著攀升之势。

五大安全趋势解读

以下是本次报告发现的五大趋势以及相应的威胁缓解对策：

一、勒索软件变体激增印证了网络犯罪生态系统的蓬勃发展

勒索软件仍为企业组织当前的头号威胁。与此同时，网络攻击者正持续投入大量资源研发新型攻击技术。过去半年间，FortiGuard Labs（Fortinet全球威胁情报响应与研究团队）共捕获10,666种勒索软件变体，而去年下半年仅为5,400种。仅半年时间，勒索软件变体数量激增近100%。随着RaaS模式在暗网被大肆追捧，不仅促使低成本网络攻击泛滥，更迫使组织急切部署勒索软件防御解决方案。

缓解对策

为有效防范勒索软件威胁，无论何种行业或规模的企业组织均应寻求一种积极主动的应对之策。部署零信任网络访问（ZTNA）和高级端点检测和响应（EDR）解决方案迫在眉睫，帮助组织获得实时可见性、全方位保护及快速修复能力。

Fortinet的ZTNA解决方案是目前为数不多的能够快速落地并获得大量用户应用的零信任网络访问产品。其核心组件包含FortiGate、FortiClient和FortiClient EMS等产品，通过固件升级即可获得ZTNA场景的功能集，能够实现动态安全管控。

而FortiEDR 可为轻量级代理工具提供端点预防、检测和响应，在感染前和感染后为端点提供高级、实时威胁防护，并能通过定制playbook脚本自动响应和修复程序。

Fortinet ZTNA方案结合FortiEDR等产品能够有效阻断勒索软件攻击在企业网络的横向传播。

二、漏洞利用趋势表明，OT和端点仍为热门攻击目标

随时随地办公（WFA）常态化及IT和OT的加速融合，不断催生持续扩大的攻击面，为网络犯罪分子带来更多可乘之机。

大部分针对端点的漏洞利用攻击，通常利用未经授权的用户访问入侵目标网络，并通过横向移动进一步渗透企业内网。如，针对欺骗漏洞（CVE 2022-26925）和远程执行代码（RCE）漏洞（CVE 2022-26937）的攻击活动依然居高不下。

此外，通过对端点漏洞检测及其漏洞数量的分析表明，网络攻击者正处心积虑地试图最大化利用新旧漏洞以获取初始访问权限。对OT漏洞趋势的专门研究也充分显示，该领域同样未能幸免于难。大量设备和平台漏洞均遭遇在野利用，揭示IT和OT融合加速推进的复杂环境下，攻击者为达目的而实施的极具破坏性手段。

缓解对策

鉴于此，企业组织亟需部署高级端点防护解决方案，有助于在攻击早期阶段有效缓解和修复受感染设备。此外，还可部署数字风险保护服务（DRPS）等高级服务，获取外部攻击面威胁评估，及时发现并修复安全问题，针对当前及紧迫的威胁提供具有丰富上下文的可操作威胁洞察，保护企业组织的关键数字资产和数据免受威胁侵扰。

FortiRecon就是一种先进的数字风险保护服务(DRPS)，它使用机器学习、自动化和人类智能来提供对组织外部攻击面的可见性。其有三重功效，包括外部攻击面管理(EASM)、品牌保护(BP)和以对手为中心的情报(ACI)，用于在侦察阶段检测和反击攻击，以帮助安全人员节省大量时间和降低风险。

三、雨刷恶意软件（Wiper）的肆意滥用使破坏性威胁趋势日益严峻

雨刷恶意软件的肆意滥用凸显恶意软件攻击技术更具破坏性且更加复杂的演进趋势，这些恶意软件通过擦除数据达到破坏数据的目的。局部争端推动了以关键基础设施为主要攻击目标的威胁攻击者，大肆利用数据擦除恶意软件制造破坏性攻击。2022年上半年，FortiGuard Labs已发现至少七种新型雨刷恶意软件变体。这些变体主要被用于针对政府、军事和私人组织等各类攻击活动。这一数字值得深思，因其几乎等同于2012年以来公开检测到的雨刷恶意软件变体数量的总和。此外，雨刷恶意软件活动分布更为广泛，在20多个国家均有发现。

缓解对策

为了最大限度减少雨刷恶意软件的攻击影响，部署搭载自我学习功能的人工智能（AI）技术驱动的网络威胁检测和响应（NDR）解决方案，有助于组织更有效地检测威胁入侵行为。此外还应注意，数据备份应采用异地存储和离线存储等多种存储方式。

FortiNDR就可以为用户提供基于AI的网络威胁检测和响应，其具备专门构建的机器学习、深度学习、实用分析和高级 AI 功能，以检测可能表明正在发生安全事件的异常网络活动。

四、防御规避仍居全球攻击战术之首

基于对抗策略的深入挖掘分析揭示了攻击技术和战术演进的几大要点。FortiGuard Labs重点分析检测到的恶意软件功能，以追踪其近六个月最常用的攻击手段。在端点攻击的前八项战术和技术中，防御规避是恶意软件开发人员最常用的攻击战术。他们通常使用系统二进制代理执行以达成此目的。而隐藏恶意意图是攻击者最重要的手段。他们试图通过欺骗等手段干扰对方识别其意图从而绕过防御技术，并使用合法证书以隐藏恶意命令，从而成功执行受信进程并达成恶意意图。此外，第二种最流行的技术是进程注入，即犯罪分子将恶意代码写入目标进程的虚拟地址空间，以绕过防御并提升隐藏能力。

缓解对策

借助可操作威胁情报，企业组织能够有效防御攻击者惯用的广泛攻击技术，先发制敌从而处于更有利地位。搭载人工智能（AI）和机器学习（ML）两大技术共同驱动的网络安全平台，依托可操作威胁情报强势赋能，为用户提供高级检测和响应功能，全方位保护跨混合网络环境的所有边缘。

Fortinet Security Fabric安全架构自动化的能力实现更快速防护和更高效操作，其具有情境感知和自我修复能力的网络和安全状态利用覆盖整个云端的先进人工智能，在整个Fabric自动提供近乎实时的用户到应用程序协调保护。

五、跨扩展攻击面的AI驱动型安全防护

企业组织通过可操作威胁情报更深入地了解攻击者使用的战术和攻击目标，从而更有效地调整防御措施，主动适应并快速应对瞬息变化的攻击技术。为了更高效保护网络环境，可操作威胁洞察对于助力组织制定更为有效的修复策略优先级至关重要。随着威胁态势的不断演进，帮助安全团队始终掌握前沿安全知识和技能，加强全体员工的网络安全意识和培训同样不容忽视。

组织亟需构建以机器速度运行的安全运营架构，紧跟当前网络威胁在数量、复杂性及速度方面迅猛发展的演进趋势。部署搭载人工智能（AI）和机器学习（ML）技术驱动的网络安全网格架构，实现自动化预防、检测和响应，助力企业构建更紧密集成、更高自动化，跨不断扩展网络支持更快速、更协同及更有效响应威胁的网络安全体系。

综述

回顾来看，2022上半年注定不平静，与此同时，狡诈的攻击者一如既往地大肆利用勒索软件和进程注入等攻击技术和战术兴风作浪。虽然安全社区已对攻击者使用的诸多攻击战术和技术了然于心，但令人担忧的是，与以往相比，这些攻击的频率有增无减，并且针对常见攻击载体的新型勒索软件变体数量也呈翻倍式增长。

“为有效躲避防御系统并扩大网络犯罪联盟，网络攻击者正潜心研究前期侦察战术，不断升级 Playbook，进而利用敲诈勒索、擦除数据等更加激进的执行策略，以期获得高昂的威胁投资回报。为有效应对此类层出不穷的高级复杂型攻击行为，组织亟需部署全面集成的安全解决方案，以获取实时威胁情报，检测攻击模式，关联海量数据，从而跨混合网络环境全面检测异常活动、自动启用协同响应，全方位防御威胁入侵。”

——Derek Manky

FortiGuard Labs首席安全战略官

全球威胁情报副总裁

要了解更多信息，请关注武汉恒景科技有限公司微信公众号，或留言联系我们。

Fortinet最新威胁态势报告：勒索软件变体数量翻番！

关注恒景