民族國家網絡攻擊58%來自俄羅斯
新采集到的數據表明,微軟在過去一年中測得民族國家網絡攻擊的最大來源前三名是俄羅斯(58%),朝鮮(23%)、伊朗(11%),韓國、越南和土耳其則占比不到1%。
今年的微軟《數字防御報告》以大量數據凸顯民族國家威脅、網絡犯罪活動、混合勞動力安全、虛假信息和物聯網(IoT)、運營技術(OT)及供應鏈安全方面的趨勢。
數據顯示,俄羅斯民族國家攻擊“卓有成效”,成功入侵率從去年的21%躥升到今年的32%。俄羅斯黑客國家隊愈發加緊針對政府機構的情報收集活動,其攻擊目標中政府機構占比從去年的3%躍升至2021年的53%。微軟的數據顯示,俄羅斯黑客國家隊的主要攻擊目標是美國、烏克蘭和英國。
微軟的報告還揭示,變換行事風格的民族國家不單單有俄羅斯一家。民族國家黑客組織最常見的任務目標是情報竊取;但伊朗和朝鮮的黑客國家隊與眾不同:伊朗黑客國家隊去年投向以色列的網絡攻擊火力翻了兩番,且發起的是破壞性網絡攻擊;而朝鮮則是求財,對加密貨幣公司下手。
近80%的民族國家網絡攻擊活動以企業為目標;21%針對消費者。最容易遭到攻擊的行業為政府(48%)、智庫(31%)、教育(3%)、政府間組織(3%)、IT(2%)、能源(1%)和媒體(1%)。過去三年間,微軟已向客戶發出了2.05萬次民族國家攻擊嘗試警報。
民族國家攻擊者使用的工具通常就是其他犯罪分子用來破壞目標網絡的同一套工具。微軟在其報告中寫道,民族國家可能“創建或利用定制的惡意軟件,構建新穎的密碼噴射基礎設施,或策劃獨特的網絡釣魚或社會工程活動”。有些攻擊活動,比如與中國有關的Gadolinium,越來越多地轉向利用開源工具或常用惡意軟件朝供應鏈下手,或者使用此類工具發起中間人或分布式拒絕服務(DDoS)攻擊。
網絡犯罪
在網絡犯罪方面,數據凸顯出犯罪活動增長在很大程度上是由供應鏈驅動的:供應鏈使得攻擊者更容易發起網絡攻擊。被盜用戶名和密碼對的價格為平均每1000對0.97美元,或者150美元買4億條。魚叉式網絡釣魚即服務每成功接管一個賬戶的費用在100到1000美元之間,DDoS攻擊則很便宜,拿下防護不周的網站也就約300美元每月。
勒索軟件工具包的成本低至預付費66美元,或者勒索收益的30%,所以勒索軟件攻擊隨處可見。微軟報告稱,根據其檢測和快速響應團隊與勒索軟件交手的記錄,過去一年中遭勒索軟件攻擊最多的行業是消費品零售業(13%)、金融服務業(12%)、制造業(12%)、政府(11%)和醫療保健行業(9%)。
微軟也看到了兩個積極的趨勢:首先,各家公司和政府遭攻擊后更樂于共享信息,凸顯網絡攻擊對各國政府的威脅。其次,隨著世界各地越來越多的政府認識到網絡犯罪是國家安全威脅,各國政府已將打擊網絡犯罪列為國家重大事項。越來越多的政府正不斷通過新的法律,旨在規范報告、協作和資源共享,從而更好地對抗網絡攻擊。
混合勞動力:安全數據與挑戰
新冠肺炎疫情影響下,企業紛紛快速轉向居家辦公,為網絡罪犯創造了新的攻擊面,導致一年來重大安全事件頻發,出現了針對SolarWinds和Colonial Pipeline的供應鏈攻擊,以及針對本地Exchange服務器漏洞的那些攻擊。新的攻擊趨勢隨之顯現。
面對媒體采訪,微軟首席信息安全官Bret Arsenault表示,微軟內部想遠程辦公和想到辦公室上班的人大概是一半對一半。“這反映了全球的情況,不同文化、不同家庭環境、不同環境概莫如此。至于數字化轉型和零信任,這種情況極大地加速了兩者的普及。”
不過,雖然有所進展,企業還有很長的路要走:微軟報告稱,Azure Active Directory每天都會發生5000萬次密碼攻擊,但只有20%的用戶和30%的全局管理員使用多因素身份驗證(MFA)等強身份驗證措施。數據顯示,基于密碼的攻擊仍然是身份被盜的主要途徑。
在談到強身份驗證方法時,Arsenault稱:“我們需要用戶更加快速地普及強身份驗證措施。”雖然有一些好消息,比如越來越多的人認識到全局管理員是一個風險較高的群體,應該被優先考慮;但Arsenault認為人們還是過于重視老舊流程,并強調了“進步優于完美”的重要性。
他解釋道:“我有時候確實會擔心人們會在未達到100%確定之前徹底裹足不前。作為一個行業,我們可以做更多的事情來幫助人們看清前路,比如從雙因素身份驗證開始,從與業務相關的高風險用戶開始。不同的業務、不同的模式有不同的起點。選擇對自家業務最重要的那些就好。”
他繼續道,面向混合未來的安全團隊還需要重視是網絡訪問控制。Azure防火墻的數據表明,過去一年中該網絡訪問控制措施阻止了2萬億流量,包括威脅情報引擎檢測到的惡意流量和防火墻規則阻止的非必要流量。過去一年間,Web應用防火墻(WAF)每周觸發的規則數量超過250億條,入站流量中平均4%到5%是惡意的。
Arsenault表示,與微軟過去所看到的相比,轉向遠程辦公也助長了遠程桌面協議(RDP)攻擊。
“我們繼續觀測到很多人圍著老舊協議轉;尤其是在身份驗證方面,這種情況持續發生。”
此類攻擊多數都可以用基本安全措施加以緩解:打補丁、更新系統、最小權限原則和MFA等等。
“這確實是工作中乏味無趣的部分,但卻能很大程度上是你免受攻擊,或者緩解攻擊發生時的影響或波及范圍。這很無聊,但現實是,相對于我們看到的攻擊模式,仍然堅持做好基本安全措施實際上是非常有效的。”
