卡巴斯基预测2022年高级威胁演化趋势

如上所述，今年，私⼈供应商开发的监控软件的使⽤已成为⼈们关注的焦点。

鉴于这项业务的潜在盈利能⼒，以及此类软件对⽬标的破坏能⼒，卡巴斯基专家认为，在政府开始设法监管之前，软件供应商将投⼊更多资源抢占市场。已经有迹象表明政府正在加强监管。

2021年10⽉，美国商务部⼯业局和安全局（BIS）推出了⼀项临时条例，定义了商业监视软件何时需要出⼝许可证，旨在防⽌向受武器管制的国家分发监视⼯具，同时允许合法的安全研究和交易继续进⾏。

在过去的⼗⼏年间，以移动设备为目标的恶意软件攻击事件屡见不鲜。这与主流操作系统的普及密切相关。迄今为⽌，移动设备上最流⾏的两个操作系统是iOS和Android（以及其他基于Android/Linux的定制开发版本）。

从⼀开始，他们就有⾮常不同的理念：iOS依赖于⼀个封闭的App Store，只允许用户使用经过审查的应⽤程序；而Android更加开放，允许⽤户直接在设备上安装第三⽅应⽤程序。

这导致针对这两个平台的恶意软件存在很⼤差异：基于Android的终端受到许多普通恶意软件的困扰，同时还遭受APT攻击；⽽iOS主要⾯临国家级背景的APT攻击活动。2021年 “飞马计划”带来了⼀个全新的维度，开发了“零点击”这种异常复杂的零日攻击。

针对iOS的零日在野利⽤的报道⽐以往都多。从攻击者的⻆度来看，移动设备是理想的⽬标——它们⼏乎与所有者时刻在⼀起，包含各类私人信息，⽽病毒感染很难预防或检测。

与⽤户可以在PC或Mac上选择安装安全套件不同，移动设备上的安全类产品要么收效甚微，要么别无他选（⽐如在IOS上）。

这为APT创造了⼀个绝佳的机会，⼀个没有任何国家级APT愿意错过的机会。2022年，我们将看到针对移动设备的更复杂的攻击被曝光。

2021年还发生了⼀些值得注意的供应链攻击。同时，卡巴斯基专家也发现⽹络犯罪分⼦利⽤供应商的安全漏洞实施⼊侵，然后攻击其客户。

如去年5⽉份对美国石油管道系统的攻击，6⽉份对全球肉类生产商的攻击，7⽉份针对MSP（托管服务提供商）及其客户的攻击。

此类攻击说明了供应链出现了不可信的中间环节；这些环节对攻击者来说特别有价值，因为它们⼀举提供了进⼊许多其他⽬标的垫脚⽯。

因此，到2022年及以后，供应链攻击将成为⼀种⽇益增⻓的趋势。

尽管世界各地放宽了疫情大流⾏时期的封锁规定，但许多员⼯将继续在家⼯作;并且在可预⻅的将来可能会持续居家办⼯。

这将继续为攻击者提供破坏企业⽹络的机会，包括使⽤社⼯来获取凭据和对企业服务的暴力攻击，以期找到保护薄弱的服务器。

此外，由于许多人继续使⽤自己的设备，这些设备⽆法被企业IT团队防护，攻击者还将寻找新的机会来利⽤未受保护或未能及时打补丁的家⽤计算机，作为侵⼊企业⽹络的突破⼝。

越来越多的公司正在将云计算纳⼊其业务模型，因为它们提供了便利性和可扩展性，DevOps运动导致许多公司采⽤基于微服务并在第三⽅基础设施上运⾏的软件架构 - 通常只⽤⼀个密码或API密钥即可被接管的基础架构。

这种模式潜藏着开发⼈员⽆法了解的安全隐患，防御者视野过于狭窄，⽬前为⽌还没有真正进⾏过相应的APT研究。我们认为，应当加强针对云服务的APT研究和应对策略。

从更⼴泛的意义上讲，我们是在担忧外包服务，如在线⽂档编辑，⽂件存储，电⼦邮件托管 等。第三⽅云提供商现在集中了足够的数据来吸引国家级APT的注意，并将成为复杂攻击的主要⽬标。

攻击者⼀般会避开系统底层植⼊，因为这种攻击有导致系统故障的⻛险且开发的复杂性过⾼。

卡巴斯基在整个2021年发布的报告显示，利⽤bootkits的攻击活动仍在持续且有效：我们推测，要么是隐形收益大于风险，要么是有渠道使得底层开发更容易。

我们预计在2022年将发现更多这种先进的植⼊攻击。此外，随着安全启动变得越来越普及，攻击者将需要在安全机制中发现漏洞利⽤，先绕过它再继续部署其它⼯具。

在过去⼗年中，整个⾏业都观察到⽹络空间越来越有政治化的趋势，特别是在⽹络战⽅⾯。去年，我们预测，法律起诉将成为⻄⽅国家武器库的⼀个组成部分，以增加对⼿的⾏动成本。

然⽽问题是，⼀些国家在公开谴责那些针对他们的⽹络攻击时，⾃⼰的⽹络攻击⾏动也会被曝光。为了让抗议显得更有分量，他们需要区分可接受的网络攻击和不可接受的网络攻击。

到2022年，我们认为⼀些国家将公布他们对⽹络犯罪的分类⽅法，精确且详细的说明哪些类型的攻击⼿段（例如，供应链）和行为（例如，破坏性的，影响⺠⽤基础设施等）是禁⽌的。