【導語】隨著網絡犯罪分子改變策略，利用當前事件和易受攻擊的目標，通過新渠道推進其活動，某些類型的攻擊已經升級。近期，微軟發布了第二份年度數字防御報告，指出俄羅斯黑客在2020年7月到2021年6月間不僅攻擊頻率提高，成功入侵比例也從前一年的2成增加到3成，并且滲透政府組織搜集情報的行為也更加頻繁，報告同時還將矛頭指向朝鮮、伊朗和中國等。此外，報告還重點關注最新穎和與社區相關的威脅。

　　通過縱觀威脅現狀，以及來自跨公司團隊的數據和信息，五個關鍵領域成為最關注的焦點：網絡犯罪現狀；國家威脅；供應商生態系統、物聯網（IoT）和運營技術（OT）安全；混合的勞動力；和虛假信息的趨勢。

　　一、民族國家黑客活動

　　根據該報告所揭露的國家級黑客列表，源自俄羅斯的黑客集團只有3組，朝鮮為4組，伊朗為3組，中國有6組；而遭到國家級黑客選定的目標則主要是美國（46%），其次是烏克蘭的19%，以及英國的9%。

　　在民族國家黑客的攻擊中有21%以消費者為目標，79%以企業為目標，其中所攻擊的對象以政府機構為主，占了48%、居次則是非政府組織與智庫組織，占了31%、教育占了3%、之后依次是政府間組織3%、IT 2%、能源1%和媒體1%。

　　圖1 國家級黑客分布

　　每個國家級黑客的攻擊目的都不同，最常見的是間諜活動，但也有不少例外，例如伊朗鎖定以色列的攻擊行動多是毀滅性的，這也使得雙方的關系更為緊張；至于朝鮮則通常是為了經濟利益，其國家級黑客鎖定了許多加密貨幣平臺展開攻擊。

　　微軟表示，俄羅斯黑客在這一年來不僅活動頻繁，且其成功入侵比例從前一年的21%，成長到這一年的32%。同時俄羅斯也對搜集情報愈來愈感興趣，之前鎖定政府組織的攻擊行動只占3%，這一年卻占了53%，且絕大多數的攻擊對象牽涉到外交政策、國家安全與國防領域，涵蓋美國、烏克蘭與英國組織。

　　另一個被微軟點名的國家級黑客還有中國。微軟表示，中國黑客經常利用零日漏洞展開攻擊，且搜集情報的目的非常多元，例如其中一個黑客組織Chromium鎖定的是印度、馬來西亞、蒙古、巴基斯坦與泰國等鄰國，以及香港及臺灣的社會、經濟與政治議題。微軟稱，Chromium最積極的攻擊目標為香港及臺灣的大學，之后才是其它鄰國的政府組織與電信企業。

　　中國黑客組織Nickel則是針對中美、南美與歐洲國家的外交部展開攻擊，中國的影響力隨著“一帶一路”倡議而產生了變化，預期其國家級黑客將會持續透過網路攻擊，來取得有關投資、談判或產生影響力的情報。

　　二、網絡犯罪

　　今年的微軟數字防御報告顯示，網絡犯罪尤其是勒索軟件，仍然是一種嚴重且不斷增長的瘟疫。但是，雖然民族國家黑客主要采取有用的信息來鎖定受害者，網絡罪犯卻用金錢鎖定受害者。

　　在過去一年中，針對勒索軟件攻擊的前五大行業是消費品零售占13%、金融服務占12%、制造業占12%、政府機構占11%和醫療保健占9%。到目前為止，美國是最受攻擊的國家，受到的勒索軟件攻擊數量是第二大目標國家的三倍多，其次是中國、日本、德國和阿聯酋。

　　圖2 勒索軟件網絡犯罪目標

　　在過去的一年中，網絡犯罪即服務（cybercrime-as-a-service）經濟從一個新興但快速增長的行業轉變為成熟的犯罪企業。今天，無論技術知識如何，任何人都可以訪問強大的在線市場，購買用于任何目的執行攻擊所需的一系列服務。市場有三個組成部分，首先，隨著需求的增加，犯罪分子越來越專注于專門生產差異化的現成感染手段工具，并增加了對自動化的使用，從而降低了成本，擴大了規模。目前在網上觀察看到的套件售價低至66美元。其次，獨立的供應商提供訪問用戶系統和部署套件所需的安全證書。目前觀察到每個證書的售價從1美元到50美元不等，這取決于目標的感知價值。第三，加密貨幣托管服務充當買家和賣家之間的中間人，以確保工具包和憑證按照提供的方式運行。這些工具包不僅向購買和部署工具包的罪犯提供受害者數據，而且還秘密地向創建工具包的實體提供數據。

　　勒索軟件仍然是最大的網絡犯罪威脅之一，在過去的一年中，它不斷演變，變得更具破壞性。人工操作的勒索軟件使用從在線來源收集的情報，竊取和研究受害者的金融和保險文件，調查受損網絡，選擇目標并設定更高的贖金要求，而不是專注于依靠數量和容易支付的低需求來產生利潤的自動攻擊。

　　三、供應鏈、物聯網和OT安全

　　在過去的一年中，大量事件導致許多組織的運營受到物理和數字干擾。這些事件有時會破壞物理領域，如生產線和能源變電站的中斷，在其他情況下，它們完全是在數字領域進行的，如通過勒索活動。

　　物聯網（IoT）、運營技術（OT）和供應生態系統已被孤立對待，但為了應對攻擊，安全需要采取整體方法。多因素身份驗證等多層防御可以幫助維護安全性。

　　隨著應用程序、基礎設施、設備和人力資本外包的擴大，采用工具監控多層次供應商的質量、安全性、完整性和彈性風險也在增加，如今，各組織正在利用的框架和方法的數量不斷增加。當一個組織內部和供應商之間的框架應用不一致時，或者如果有多個框架在起作用時，就會出現額外的復雜性。

　　對于供應商風險管理來說，擁有定制的解決方案并更清楚地了解誰最終能夠跨域訪問組織的數據是最重要的。從供應商生態系統和風險管理的角度來看，建立多因素認證（MFA）應該是一個優先事項。

　　如今，成功的解決方案通常取決于許多組件的融合，包括硬件、軟件和云服務，這些組件通常在物聯網解決方案中結合在一起。物聯網不僅僅是連接的設備，還涉及這些設備收集的信息以及從這些信息中可以獲得的強大、即時的見解。因此，物聯網和其他嵌入式和OTs已成為關鍵的業務、運營和安全主題。物聯網和OT安全比以往任何時候都更成為一個高度優先的問題，部分原因是過去一年襲擊事件的頻率和嚴重性不斷增加。攻擊的擴散也促使人們越來越意識到數字領域的網絡攻擊對物理領域的影響。

　　圖3 攻擊者如何通過物聯網進入企業

　　所有這些發展都強調了組織需要確保其物聯網和OT足跡的安全。組織比以往任何時候都更加相互關聯，導致遺留OT設備和環境的暴露增加，包括那些相對隔離的設備和環境。另一方面，最新的物聯網設備，如智能電視和智能傳感器，同時存在于OT和IT環境中。將所有這些結合在一起，再加上隱私問題和法規遵從性，強調需要一種整體方法，實現所有OT和IoT設備的無縫安全和治理。

　　圖4 各國物聯網命令與控制服務分布情況

　　（2020年7月至2021年6月）

　　企業不得不應對不斷演變的網絡威脅和新型惡意軟件。這些問題包括供應鏈攻擊（如HAVEX和SolarWinds）、零日工業控制系統（ICS）惡意軟件（如Triton和Industroyer）、無文件惡意軟件、以及使用標準管理工具的野外生存策略，這很難發現，因為它們與合法的日?；顒尤跒橐惑w。在過去的一年里，這些攻擊的頻率和嚴重性也有所增加。

　　圖5 在野外檢測到的物聯網惡意軟件

　?。?020年7月至2021年6月）

　　圖6 物聯網惡意軟件CPU架構的分布

　?。?020年7月至2011年6月）

　　四、混合勞動力安全

　　雖然由于疫情，大多數行業都轉向了遠程辦公，但它為網絡罪犯創造了新的攻擊平臺，例如用于商業目的的家庭設備。在2021年上半年，發生了三起重大攻擊：NOBELIUM（太陽風供應鏈攻擊）、HAFNIUM（本地Exchange服務器攻擊）和Colonial Pipeline（勒索軟件攻擊）。

　　組織可以從中吸取很多教訓。首先，一個持續的威脅向量是電子郵件泄露。事實上，網絡釣魚造成了近70%的數據泄露。其次，網絡犯罪分子正在使用惡意軟件作為合法的軟件更新來攻擊毫無戒心的員工。第三，勒索軟件攻擊者提高了賭注，不僅將重點放在支付方面的雙重或三重勒索策略上，而且還提供勒索軟件即服務（RaaS），即使用合作伙伴網絡進行攻擊，這使得很難確定誰是真正的壞行為者。最后，對手的目標是內部部署系統，這加強了企業將基礎設施移動到安全更難滲透的云端的需求。

　　圖7 全球每周唯一標識掃描

　?。?021年1月－8月）

　　隨著網絡威脅的數量、復雜性和影響的增加，組織必須采取措施加強第一道防線。部署基本的網絡安全衛生措施，是組織必須采取的基本步驟。

　　趨勢是明確的：民族國家越來越多地使用并將繼續使用網絡攻擊，無論其政治目的是什么，無論是間諜、破壞還是破壞。預計，更多國家將加入攻擊性網絡行動的名單，這些行動將變得更加肆無忌憚、持續和具有破壞性，除非有更嚴重的后果。網絡犯罪市場將繼續變得更加復雜和專業化，除非組織都在努力阻止它們。

　　五、虛假信息

　　虛假信息是指故意使用虛假信息以影響公眾輿論。為操縱群眾而編造虛假信息的行為由來已久。然而，在過去的十年中，新形式的虛假信息已經嶄露頭角，計算方法和基礎設施的進步改變了虛假信息活動的力量、范圍和效率。

　　廣泛使用的消費平臺和服務，如社交媒體、創建者平臺、搜索引擎和消息服務，現在為國家和非國家行為者提供了傳播虛假信息的強大渠道。除此之外，這些服務還為惡意參與者提供現成的工具，用于試驗、監控、迭代和優化虛假信息活動的影響。

　　這些攻擊者利用商業在線平臺作為虛假信息的引擎，為旨在施加政治影響、分化和混亂的信息傳遞項目提供動力。虛假信息策略越來越復雜，包括協同使用多種服務來跨平臺強化信息。

　　在第二個方面，機器學習（ML）和圖形技術的進步導致了制作高保真視聽內容（被稱為合成媒體和深度造假）的工具的廣泛使用。然而，制造假貨的技術正在為惡意攻擊者提供強大的、通用的調色板，用于捏造行為和事件。這些方法正在為虛假信息運動注入新的說服力。

　　第三個值得關注的領域是，國家和非國家黑客可以利用人工智能（AI）方法制定和推動強大的心理操作，利用人類認知的洞察力和數據。ML和推理可用于分析個人和群體，并生成旨在影響信念、觀點和行動的個性化虛假信息程序。

　　組織需要嚴格關注不斷增加的虛假信息的復雜性和范圍，并在多個方面開展工作。首先也是最重要的是，需要深入投資于現代媒體素養，教育人們如何理解、期待和識別虛假信息和錯誤信息。在媒體素養方面的工作不僅限于教育，還包括努力提供新的工具，幫助人們批評新聞和信息的來源和真實性。其次，需要支持高質量的新聞，包括值得信賴的新聞機構。派遣有義務的記者在現場清楚地看到、聽到和報道事件是至關重要的。此外，還需要確保本地新聞業的健康和活力。

　　在技術方面，應用人工智能模式識別技術來檢測顯示欺騙意圖的通信模式和內容是有希望的。這類工作包括努力確定視聽媒體和基于文本的媒體是偽造的。另一方面，網絡技術的努力可以旨在確定虛假信息的主要位置和組織來源。最后，在技術方面也有了很有前途的發展，這些技術采用了一系列方法，包括在生產工具和管道中使用加密、安全和數據庫技術，以證明在線媒體內容編輯的來源和歷史，即內容的來源。在媒體來源和真實性方面，強有力的跨組織合作促進了令人興奮的進展。

　　六、可行性建議

　　通過與世界各地的組織合作，認識到需要使人們能夠在各種非傳統場所和各種設備上安全高效地工作。通過這些互動，組織了解了網絡安全在幫助企業在適應混合工作環境時保持業務連續性方面所起的作用。因此，預計將有五種網絡安全范式的轉變，將會以一種以人和數據的包容性為中心的方式支持工作的發展。

　　從報告的所有要素中可采取行動的關鍵是，為了將攻擊的影響降到最低，組織必須真正實踐良好的網絡衛生，實施支持零信任原則的架構，并確保網絡風險管理整合到業務的各個方面。

　　以下部分總結了報告中發現和見解所加強的一些關鍵經驗。

　　1、網絡安全鐘形曲線

　　采取基本的安全防范措施可以幫助組織準備和減輕絕大多數現代網絡威脅，并有助于為隨著技術進步而發生的威脅演變做好準備。“網絡安全鐘形曲線”顯示了對減少威脅影響最大的活動。

　　圖8 網絡安全鐘形曲線：基本的安全衛生仍然可以抵御98%的攻擊

　　實現多因素身份驗證

　　通過啟用多因素身份驗證，使不良參與者更難利用竊取或假冒的憑證。始終基于所有可用數據點進行身份驗證和授權，包括用戶身份、位置、設備運行狀況、服務或工作負載、數據分類和異常情況。

　　應用最小權限訪問

　　通過應用最小權限訪問原則防止攻擊者在網絡上傳播，該原則通過及時和足夠的訪問（JIT/JEA）、基于風險的自適應策略和數據保護限制用戶訪問，以幫助保護數據和生產效率。

　　保持最新

　　通過確保組織的設備、基礎設施和應用程序保持最新并正確配置，降低軟件漏洞的風險。端點管理解決方案允許將策略推送到計算機以進行正確配置，并確保系統運行的是最新版本。

　　利用反惡意軟件

　　通過在端點和設備上安裝并啟用反惡意軟件解決方案，阻止惡意軟件攻擊的執行。利用云連接的反惡意軟件服務實現最新、最準確的檢測功能。

　　保護數據

　　知道敏感數據存儲在哪里以及誰有權訪問。實施信息保護最佳做法，例如應用敏感標簽和數據丟失預防策略。如果確實發生了漏洞，安全團隊必須知道最敏感的數據存儲和訪問的位置。

　　2、采用零信任原則

　　這份報告強調了許多攻擊的復雜性和復雜性，以及為什么準備應對這些攻擊變得越來越困難。零信任對于減少敏感數據的暴露非常重要，因為它限制了組織內攻擊者可能利用的固有信任，特別是當人們從任何地方連接不一定來自“受信任”的位置時。這就是為什么對大多數組織來說，采用零信任方法現在是頭等大事。在一個更難預測或阻止攻擊者的世界里，重要的是假設他們會進入并限制他們的暴露很重要。

　　3、隔離遺留系統

　　并不是每個系統都能夠運行這些工具來啟用零信任。例如，許多操作技術（OT）系統具有很長的技術生命周期，并且可能運行不能更新的操作系統和軟件。

　　應該使用網絡分段來限制對這些系統的訪問。這有助于確保運營技術不暴露于混合工作的風險，并確保物聯網設備和傳感器只能訪問和連接其支持的智能生態系統。

　　這意味著，組織可以將這些系統從現代連接基礎設施帶來的風險中隔離出來，避免遺留技術阻礙現代體系結構的發展。它還允許對承載操作技術和物聯網（IoT）設備的環境進行監控，高度集中于檢測和響應可能無法在系統上安裝軟件的環境中的異常活動。

　　4、將網絡安全納入商業決策，并將網絡視為商業風險

　　現在，技術是商業運營的一個基本要素，網絡安全必須成為整體商業決策中的一個因素，而不僅僅是技術部門的事情。

　　網絡安全不應再被視為僅屬于IT部門權限范圍內的特殊風險。技術專業知識位于IT部門，但風險的最終責任在于業務職能部門。解決組織面臨的威脅需要技術、政策和人員專業知識的結合，所有業務決策也應如此。

　　圖9 網絡安全在數字化轉型中的作用

　　5、建立第三方風險計劃

　　合作伙伴、供應商和承包商始終與連接到企業環境的數據和應用程序交互。攻擊者越來越多地將目標對準第三方提供商，以獲得對其系統和網絡的訪問權限，以期獲得對其客戶的訪問權限。

　　確保組織擁有強大的供應鏈保證流程，其基礎是了解供應商遭受網絡攻擊的風險、他們如何配置其系統以確保安全，以及他們采取什么步驟保護您與他們共享的任何信息。確保通過可靠的服務級別協議、認證和共享評估（如SSAE 18 SOC 1和SOC 2、PCI-DSS、GDPR和ISO 20001）管理第三方風險。

　　第三方對系統的訪問還應遵循應用于組織的零信任原則，以限制其系統受到攻擊的風險。

　　隨著技術越來越融入我們的社會，攻擊者越來越多地試圖利用這種文化轉變。從網絡罪犯到民族國家組織，這些都是成熟的、經過充分研究的組織，它們擁有資源、投資和研究，可以部署針對組織的復雜和知情的攻擊。

　　天地和興工業網絡安全研究院提醒，《數字防御報告》只是整理了微軟所察覺的網絡攻擊行動，并不代表網絡攻擊的整個全貌，希望能借由分享微軟的觀察來協助各組織的安全任務。