微软2020-2021年度数字防御报告

作者 | 天地和兴工业网络安全研究院

【导语】随着网络犯罪分子改变策略，利用当前事件和易受攻击的目标，通过新渠道推进其活动，某些类型的攻击已经升级。近期，微软发布了第二份年度数字防御报告，指出俄罗斯黑客在2020年7月到2021年6月间不仅攻击频率提高，成功入侵比例也从前一年的2成增加到3成，并且渗透政府组织搜集情报的行为也更加频繁，报告同时还将矛头指向朝鲜、伊朗和中国等。此外，报告还重点关注最新颖和与社区相关的威胁。

通过纵观威胁现状，以及来自跨公司团队的数据和信息，五个关键领域成为最关注的焦点:网络犯罪现状；国家威胁；供应商生态系统、物联网(IoT)和运营技术(OT)安全；混合的劳动力；和虚假信息的趋势。

一、民族国家黑客活动

根据该报告所揭露的国家级黑客列表，源自俄罗斯的黑客集团只有3组，朝鲜为4组，伊朗为3组，中国有6组；而遭到国家级黑客选定的目标则主要是美国(46%)，其次是乌克兰的19%，以及英国的9%。

在民族国家黑客的攻击中有21%以消费者为目标，79%以企业为目标，其中所攻击的对象以政府机构为主，占了48%、居次则是非政府组织与智库组织，占了31%、教育占了3%、之后依次是政府间组织3%、IT 2%、能源1%和媒体1%。

图1 国家级黑客分布

每个国家级黑客的攻击目的都不同，最常见的是间谍活动，但也有不少例外，例如伊朗锁定以色列的攻击行动多是毁灭性的，这也使得双方的关系更为紧张；至于朝鲜则通常是为了经济利益，其国家级黑客锁定了许多加密货币平台展开攻击。

微软表示，俄罗斯黑客在这一年来不仅活动频繁，且其成功入侵比例从前一年的21%，成长到这一年的32%。同时俄罗斯也对搜集情报愈来愈感兴趣，之前锁定政府组织的攻击行动只占3%，这一年却占了53%，且绝大多数的攻击对象牵涉到外交政策、国家安全与国防领域，涵盖美国、乌克兰与英国组织。

另一个被微软点名的国家级黑客还有中国。微软表示，中国黑客经常利用零日漏洞展开攻击，且搜集情报的目的非常多元，例如其中一个黑客组织Chromium锁定的是印度、马来西亚、蒙古、巴基斯坦与泰国等邻国，以及香港及台湾的社会、经济与政治议题。微软称，Chromium最积极的攻击目标为香港及台湾的大学，之后才是其它邻国的政府组织与电信企业。

中国黑客组织Nickel则是针对中美、南美与欧洲国家的外交部展开攻击，中国的影响力随着“一带一路”倡议而产生了变化，预期其国家级黑客将会持续透过网路攻击，来取得有关投资、谈判或产生影响力的情报。

二、网络犯罪

今年的微软数字防御报告显示，网络犯罪尤其是勒索软件，仍然是一种严重且不断增长的瘟疫。但是，虽然民族国家黑客主要采取有用的信息来锁定受害者，网络罪犯却用金钱锁定受害者。

在过去一年中，针对勒索软件攻击的前五大行业是消费品零售占13%、金融服务占12%、制造业占12%、政府机构占11%和医疗保健占9%。到目前为止，美国是最受攻击的国家，受到的勒索软件攻击数量是第二大目标国家的三倍多，其次是中国、日本、德国和阿联酋。

图2 勒索软件网络犯罪目标

在过去的一年中，网络犯罪即服务(cybercrime-as-a-service)经济从一个新兴但快速增长的行业转变为成熟的犯罪企业。今天，无论技术知识如何，任何人都可以访问强大的在线市场，购买用于任何目的执行攻击所需的一系列服务。市场有三个组成部分，首先，随着需求的增加，犯罪分子越来越专注于专门生产差异化的现成感染手段工具，并增加了对自动化的使用，从而降低了成本，扩大了规模。目前在网上观察看到的套件售价低至66美元。其次，独立的供应商提供访问用户系统和部署套件所需的安全证书。目前观察到每个证书的售价从1美元到50美元不等，这取决于目标的感知价值。第三，加密货币托管服务充当买家和卖家之间的中间人，以确保工具包和凭证按照提供的方式运行。这些工具包不仅向购买和部署工具包的罪犯提供受害者数据，而且还秘密地向创建工具包的实体提供数据。

勒索软件仍然是最大的网络犯罪威胁之一，在过去的一年中，它不断演变，变得更具破坏性。人工操作的勒索软件使用从在线来源收集的情报，窃取和研究受害者的金融和保险文件，调查受损网络，选择目标并设定更高的赎金要求，而不是专注于依靠数量和容易支付的低需求来产生利润的自动攻击。

三、供应链、物联网和OT安全

在过去的一年中，大量事件导致许多组织的运营受到物理和数字干扰。这些事件有时会破坏物理领域，如生产线和能源变电站的中断，在其他情况下，它们完全是在数字领域进行的，如通过勒索活动。

物联网(IoT)、运营技术(OT)和供应生态系统已被孤立对待，但为了应对攻击，安全需要采取整体方法。多因素身份验证等多层防御可以帮助维护安全性。

随着应用程序、基础设施、设备和人力资本外包的扩大，采用工具监控多层次供应商的质量、安全性、完整性和弹性风险也在增加，如今，各组织正在利用的框架和方法的数量不断增加。当一个组织内部和供应商之间的框架应用不一致时，或者如果有多个框架在起作用时，就会出现额外的复杂性。

对于供应商风险管理来说，拥有定制的解决方案并更清楚地了解谁最终能够跨域访问组织的数据是最重要的。从供应商生态系统和风险管理的角度来看，建立多因素认证(MFA)应该是一个优先事项。

如今，成功的解决方案通常取决于许多组件的融合，包括硬件、软件和云服务，这些组件通常在物联网解决方案中结合在一起。物联网不仅仅是连接的设备，还涉及这些设备收集的信息以及从这些信息中可以获得的强大、即时的见解。因此，物联网和其他嵌入式和OTs已成为关键的业务、运营和安全主题。物联网和OT安全比以往任何时候都更成为一个高度优先的问题，部分原因是过去一年袭击事件的频率和严重性不断增加。攻击的扩散也促使人们越来越意识到数字领域的网络攻击对物理领域的影响。

图3 攻击者如何通过物联网进入企业

所有这些发展都强调了组织需要确保其物联网和OT足迹的安全。组织比以往任何时候都更加相互关联，导致遗留OT设备和环境的暴露增加，包括那些相对隔离的设备和环境。另一方面，最新的物联网设备，如智能电视和智能传感器，同时存在于OT和IT环境中。将所有这些结合在一起，再加上隐私问题和法规遵从性，强调需要一种整体方法，实现所有OT和IoT设备的无缝安全和治理。

图4 各国物联网命令与控制服务分布情况

(2020年7月至2021年6月)

企业不得不应对不断演变的网络威胁和新型恶意软件。这些问题包括供应链攻击(如HAVEX和SolarWinds)、零日工业控制系统(ICS)恶意软件(如Triton和Industroyer)、无文件恶意软件、以及使用标准管理工具的野外生存策略，这很难发现，因为它们与合法的日常活动融为一体。在过去的一年里，这些攻击的频率和严重性也有所增加。

图5 在野外检测到的物联网恶意软件

(2020年7月至2021年6月)

图6 物联网恶意软件CPU架构的分布

（2020年7月至2011年6月）

四、混合劳动力安全

虽然由于疫情，大多数行业都转向了远程办公，但它为网络罪犯创造了新的攻击平台，例如用于商业目的的家庭设备。在2021年上半年，发生了三起重大攻击：NOBELIUM(太阳风供应链攻击)、HAFNIUM(本地Exchange服务器攻击)和Colonial Pipeline(勒索软件攻击)。

组织可以从中吸取很多教训。首先，一个持续的威胁向量是电子邮件泄露。事实上，网络钓鱼造成了近70%的数据泄露。其次，网络犯罪分子正在使用恶意软件作为合法的软件更新来攻击毫无戒心的员工。第三，勒索软件攻击者提高了赌注，不仅将重点放在支付方面的双重或三重勒索策略上，而且还提供勒索软件即服务（RaaS），即使用合作伙伴网络进行攻击，这使得很难确定谁是真正的坏行为者。最后，对手的目标是内部部署系统，这加强了企业将基础设施移动到安全更难渗透的云端的需求。

图7 全球每周唯一标识扫描

（2021年1月－8月）

随着网络威胁的数量、复杂性和影响的增加，组织必须采取措施加强第一道防线。部署基本的网络安全卫生措施，是组织必须采取的基本步骤。

趋势是明确的：民族国家越来越多地使用并将继续使用网络攻击，无论其政治目的是什么，无论是间谍、破坏还是破坏。预计，更多国家将加入攻击性网络行动的名单，这些行动将变得更加肆无忌惮、持续和具有破坏性，除非有更严重的后果。网络犯罪市场将继续变得更加复杂和专业化，除非组织都在努力阻止它们。

五、虚假信息

虚假信息是指故意使用虚假信息以影响公众舆论。为操纵群众而编造虚假信息的行为由来已久。然而，在过去的十年中，新形式的虚假信息已经崭露头角，计算方法和基础设施的进步改变了虚假信息活动的力量、范围和效率。

广泛使用的消费平台和服务，如社交媒体、创建者平台、搜索引擎和消息服务，现在为国家和非国家行为者提供了传播虚假信息的强大渠道。除此之外，这些服务还为恶意参与者提供现成的工具，用于试验、监控、迭代和优化虚假信息活动的影响。

这些攻击者利用商业在线平台作为虚假信息的引擎，为旨在施加政治影响、分化和混乱的信息传递项目提供动力。虚假信息策略越来越复杂，包括协同使用多种服务来跨平台强化信息。

在第二个方面，机器学习(ML)和图形技术的进步导致了制作高保真视听内容（被称为合成媒体和深度造假）的工具的广泛使用。然而，制造假货的技术正在为恶意攻击者提供强大的、通用的调色板，用于捏造行为和事件。这些方法正在为虚假信息运动注入新的说服力。

第三个值得关注的领域是，国家和非国家黑客可以利用人工智能(AI)方法制定和推动强大的心理操作，利用人类认知的洞察力和数据。ML和推理可用于分析个人和群体，并生成旨在影响信念、观点和行动的个性化虚假信息程序。

组织需要严格关注不断增加的虚假信息的复杂性和范围，并在多个方面开展工作。首先也是最重要的是，需要深入投资于现代媒体素养，教育人们如何理解、期待和识别虚假信息和错误信息。在媒体素养方面的工作不仅限于教育，还包括努力提供新的工具，帮助人们批评新闻和信息的来源和真实性。其次，需要支持高质量的新闻，包括值得信赖的新闻机构。派遣有义务的记者在现场清楚地看到、听到和报道事件是至关重要的。此外，还需要确保本地新闻业的健康和活力。

在技术方面，应用人工智能模式识别技术来检测显示欺骗意图的通信模式和内容是有希望的。这类工作包括努力确定视听媒体和基于文本的媒体是伪造的。另一方面，网络技术的努力可以旨在确定虚假信息的主要位置和组织来源。最后，在技术方面也有了很有前途的发展，这些技术采用了一系列方法，包括在生产工具和管道中使用加密、安全和数据库技术，以证明在线媒体内容编辑的来源和历史，即内容的来源。在媒体来源和真实性方面，强有力的跨组织合作促进了令人兴奋的进展。

六、可行性建议

通过与世界各地的组织合作，认识到需要使人们能够在各种非传统场所和各种设备上安全高效地工作。通过这些互动，组织了解了网络安全在帮助企业在适应混合工作环境时保持业务连续性方面所起的作用。因此，预计将有五种网络安全范式的转变，将会以一种以人和数据的包容性为中心的方式支持工作的发展。

从报告的所有要素中可采取行动的关键是，为了将攻击的影响降到最低，组织必须真正实践良好的网络卫生，实施支持零信任原则的架构，并确保网络风险管理整合到业务的各个方面。

以下部分总结了报告中发现和见解所加强的一些关键经验。

1、网络安全钟形曲线

采取基本的安全防范措施可以帮助组织准备和减轻绝大多数现代网络威胁，并有助于为随着技术进步而发生的威胁演变做好准备。“网络安全钟形曲线”显示了对减少威胁影响最大的活动。

图8 网络安全钟形曲线：基本的安全卫生仍然可以抵御98%的攻击

实现多因素身份验证

通过启用多因素身份验证，使不良参与者更难利用窃取或假冒的凭证。始终基于所有可用数据点进行身份验证和授权，包括用户身份、位置、设备运行状况、服务或工作负载、数据分类和异常情况。

应用最小权限访问

通过应用最小权限访问原则防止攻击者在网络上传播，该原则通过及时和足够的访问(JIT/JEA)、基于风险的自适应策略和数据保护限制用户访问，以帮助保护数据和生产效率。

保持最新

通过确保组织的设备、基础设施和应用程序保持最新并正确配置，降低软件漏洞的风险。端点管理解决方案允许将策略推送到计算机以进行正确配置，并确保系统运行的是最新版本。

利用反恶意软件

通过在端点和设备上安装并启用反恶意软件解决方案，阻止恶意软件攻击的执行。利用云连接的反恶意软件服务实现最新、最准确的检测功能。

保护数据

知道敏感数据存储在哪里以及谁有权访问。实施信息保护最佳做法，例如应用敏感标签和数据丢失预防策略。如果确实发生了漏洞，安全团队必须知道最敏感的数据存储和访问的位置。

2、采用零信任原则

这份报告强调了许多攻击的复杂性和复杂性，以及为什么准备应对这些攻击变得越来越困难。零信任对于减少敏感数据的暴露非常重要，因为它限制了组织内攻击者可能利用的固有信任，特别是当人们从任何地方连接不一定来自“受信任”的位置时。这就是为什么对大多数组织来说，采用零信任方法现在是头等大事。在一个更难预测或阻止攻击者的世界里，重要的是假设他们会进入并限制他们的暴露很重要。

3、隔离遗留系统

并不是每个系统都能够运行这些工具来启用零信任。例如，许多操作技术(OT)系统具有很长的技术生命周期，并且可能运行不能更新的操作系统和软件。

应该使用网络分段来限制对这些系统的访问。这有助于确保运营技术不暴露于混合工作的风险，并确保物联网设备和传感器只能访问和连接其支持的智能生态系统。

这意味着，组织可以将这些系统从现代连接基础设施带来的风险中隔离出来，避免遗留技术阻碍现代体系结构的发展。它还允许对承载操作技术和物联网(IoT)设备的环境进行监控，高度集中于检测和响应可能无法在系统上安装软件的环境中的异常活动。

4、将网络安全纳入商业决策，并将网络视为商业风险

现在，技术是商业运营的一个基本要素，网络安全必须成为整体商业决策中的一个因素，而不仅仅是技术部门的事情。

网络安全不应再被视为仅属于IT部门权限范围内的特殊风险。技术专业知识位于IT部门，但风险的最终责任在于业务职能部门。解决组织面临的威胁需要技术、政策和人员专业知识的结合，所有业务决策也应如此。