【導(dǎo)語】隨著網(wǎng)絡(luò)犯罪分子改變策略，利用當(dāng)前事件和易受攻擊的目標(biāo)，通過新渠道推進(jìn)其活動，某些類型的攻擊已經(jīng)升級。近期，微軟發(fā)布了第二份年度數(shù)字防御報告，指出俄羅斯黑客在2020年7月到2021年6月間不僅攻擊頻率提高，成功入侵比例也從前一年的2成增加到3成，并且滲透政府組織搜集情報的行為也更加頻繁，報告同時還將矛頭指向朝鮮、伊朗和中國等。此外，報告還重點(diǎn)關(guān)注最新穎和與社區(qū)相關(guān)的威脅。

　　通過縱觀威脅現(xiàn)狀，以及來自跨公司團(tuán)隊的數(shù)據(jù)和信息，五個關(guān)鍵領(lǐng)域成為最關(guān)注的焦點(diǎn)：網(wǎng)絡(luò)犯罪現(xiàn)狀；國家威脅；供應(yīng)商生態(tài)系統(tǒng)、物聯(lián)網(wǎng)（IoT）和運(yùn)營技術(shù)（OT）安全；混合的勞動力；和虛假信息的趨勢。

　　一、民族國家黑客活動

　　根據(jù)該報告所揭露的國家級黑客列表，源自俄羅斯的黑客集團(tuán)只有3組，朝鮮為4組，伊朗為3組，中國有6組；而遭到國家級黑客選定的目標(biāo)則主要是美國（46%），其次是烏克蘭的19%，以及英國的9%。

　　在民族國家黑客的攻擊中有21%以消費(fèi)者為目標(biāo)，79%以企業(yè)為目標(biāo)，其中所攻擊的對象以政府機(jī)構(gòu)為主，占了48%、居次則是非政府組織與智庫組織，占了31%、教育占了3%、之后依次是政府間組織3%、IT 2%、能源1%和媒體1%。

　　圖1 國家級黑客分布

　　每個國家級黑客的攻擊目的都不同，最常見的是間諜活動，但也有不少例外，例如伊朗鎖定以色列的攻擊行動多是毀滅性的，這也使得雙方的關(guān)系更為緊張；至于朝鮮則通常是為了經(jīng)濟(jì)利益，其國家級黑客鎖定了許多加密貨幣平臺展開攻擊。

　　微軟表示，俄羅斯黑客在這一年來不僅活動頻繁，且其成功入侵比例從前一年的21%，成長到這一年的32%。同時俄羅斯也對搜集情報愈來愈感興趣，之前鎖定政府組織的攻擊行動只占3%，這一年卻占了53%，且絕大多數(shù)的攻擊對象牽涉到外交政策、國家安全與國防領(lǐng)域，涵蓋美國、烏克蘭與英國組織。

　　另一個被微軟點(diǎn)名的國家級黑客還有中國。微軟表示，中國黑客經(jīng)常利用零日漏洞展開攻擊，且搜集情報的目的非常多元，例如其中一個黑客組織Chromium鎖定的是印度、馬來西亞、蒙古、巴基斯坦與泰國等鄰國，以及香港及臺灣的社會、經(jīng)濟(jì)與政治議題。微軟稱，Chromium最積極的攻擊目標(biāo)為香港及臺灣的大學(xué)，之后才是其它鄰國的政府組織與電信企業(yè)。

　　中國黑客組織Nickel則是針對中美、南美與歐洲國家的外交部展開攻擊，中國的影響力隨著“一帶一路”倡議而產(chǎn)生了變化，預(yù)期其國家級黑客將會持續(xù)透過網(wǎng)路攻擊，來取得有關(guān)投資、談判或產(chǎn)生影響力的情報。

　　二、網(wǎng)絡(luò)犯罪

　　今年的微軟數(shù)字防御報告顯示，網(wǎng)絡(luò)犯罪尤其是勒索軟件，仍然是一種嚴(yán)重且不斷增長的瘟疫。但是，雖然民族國家黑客主要采取有用的信息來鎖定受害者，網(wǎng)絡(luò)罪犯卻用金錢鎖定受害者。

　　在過去一年中，針對勒索軟件攻擊的前五大行業(yè)是消費(fèi)品零售占13%、金融服務(wù)占12%、制造業(yè)占12%、政府機(jī)構(gòu)占11%和醫(yī)療保健占9%。到目前為止，美國是最受攻擊的國家，受到的勒索軟件攻擊數(shù)量是第二大目標(biāo)國家的三倍多，其次是中國、日本、德國和阿聯(lián)酋。

　　圖2 勒索軟件網(wǎng)絡(luò)犯罪目標(biāo)

　　在過去的一年中，網(wǎng)絡(luò)犯罪即服務(wù)（cybercrime-as-a-service）經(jīng)濟(jì)從一個新興但快速增長的行業(yè)轉(zhuǎn)變?yōu)槌墒斓姆缸锲髽I(yè)。今天，無論技術(shù)知識如何，任何人都可以訪問強(qiáng)大的在線市場，購買用于任何目的執(zhí)行攻擊所需的一系列服務(wù)。市場有三個組成部分，首先，隨著需求的增加，犯罪分子越來越專注于專門生產(chǎn)差異化的現(xiàn)成感染手段工具，并增加了對自動化的使用，從而降低了成本，擴(kuò)大了規(guī)模。目前在網(wǎng)上觀察看到的套件售價低至66美元。其次，獨(dú)立的供應(yīng)商提供訪問用戶系統(tǒng)和部署套件所需的安全證書。目前觀察到每個證書的售價從1美元到50美元不等，這取決于目標(biāo)的感知價值。第三，加密貨幣托管服務(wù)充當(dāng)買家和賣家之間的中間人，以確保工具包和憑證按照提供的方式運(yùn)行。這些工具包不僅向購買和部署工具包的罪犯提供受害者數(shù)據(jù)，而且還秘密地向創(chuàng)建工具包的實(shí)體提供數(shù)據(jù)。

　　勒索軟件仍然是最大的網(wǎng)絡(luò)犯罪威脅之一，在過去的一年中，它不斷演變，變得更具破壞性。人工操作的勒索軟件使用從在線來源收集的情報，竊取和研究受害者的金融和保險文件，調(diào)查受損網(wǎng)絡(luò)，選擇目標(biāo)并設(shè)定更高的贖金要求，而不是專注于依靠數(shù)量和容易支付的低需求來產(chǎn)生利潤的自動攻擊。

　　三、供應(yīng)鏈、物聯(lián)網(wǎng)和OT安全

　　在過去的一年中，大量事件導(dǎo)致許多組織的運(yùn)營受到物理和數(shù)字干擾。這些事件有時會破壞物理領(lǐng)域，如生產(chǎn)線和能源變電站的中斷，在其他情況下，它們完全是在數(shù)字領(lǐng)域進(jìn)行的，如通過勒索活動。

　　物聯(lián)網(wǎng)（IoT）、運(yùn)營技術(shù)（OT）和供應(yīng)生態(tài)系統(tǒng)已被孤立對待，但為了應(yīng)對攻擊，安全需要采取整體方法。多因素身份驗(yàn)證等多層防御可以幫助維護(hù)安全性。

　　隨著應(yīng)用程序、基礎(chǔ)設(shè)施、設(shè)備和人力資本外包的擴(kuò)大，采用工具監(jiān)控多層次供應(yīng)商的質(zhì)量、安全性、完整性和彈性風(fēng)險也在增加，如今，各組織正在利用的框架和方法的數(shù)量不斷增加。當(dāng)一個組織內(nèi)部和供應(yīng)商之間的框架應(yīng)用不一致時，或者如果有多個框架在起作用時，就會出現(xiàn)額外的復(fù)雜性。

　　對于供應(yīng)商風(fēng)險管理來說，擁有定制的解決方案并更清楚地了解誰最終能夠跨域訪問組織的數(shù)據(jù)是最重要的。從供應(yīng)商生態(tài)系統(tǒng)和風(fēng)險管理的角度來看，建立多因素認(rèn)證（MFA）應(yīng)該是一個優(yōu)先事項。

　　如今，成功的解決方案通常取決于許多組件的融合，包括硬件、軟件和云服務(wù)，這些組件通常在物聯(lián)網(wǎng)解決方案中結(jié)合在一起。物聯(lián)網(wǎng)不僅僅是連接的設(shè)備，還涉及這些設(shè)備收集的信息以及從這些信息中可以獲得的強(qiáng)大、即時的見解。因此，物聯(lián)網(wǎng)和其他嵌入式和OTs已成為關(guān)鍵的業(yè)務(wù)、運(yùn)營和安全主題。物聯(lián)網(wǎng)和OT安全比以往任何時候都更成為一個高度優(yōu)先的問題，部分原因是過去一年襲擊事件的頻率和嚴(yán)重性不斷增加。攻擊的擴(kuò)散也促使人們越來越意識到數(shù)字領(lǐng)域的網(wǎng)絡(luò)攻擊對物理領(lǐng)域的影響。

　　圖3 攻擊者如何通過物聯(lián)網(wǎng)進(jìn)入企業(yè)

　　所有這些發(fā)展都強(qiáng)調(diào)了組織需要確保其物聯(lián)網(wǎng)和OT足跡的安全。組織比以往任何時候都更加相互關(guān)聯(lián)，導(dǎo)致遺留OT設(shè)備和環(huán)境的暴露增加，包括那些相對隔離的設(shè)備和環(huán)境。另一方面，最新的物聯(lián)網(wǎng)設(shè)備，如智能電視和智能傳感器，同時存在于OT和IT環(huán)境中。將所有這些結(jié)合在一起，再加上隱私問題和法規(guī)遵從性，強(qiáng)調(diào)需要一種整體方法，實(shí)現(xiàn)所有OT和IoT設(shè)備的無縫安全和治理。

　　圖4 各國物聯(lián)網(wǎng)命令與控制服務(wù)分布情況

　?。?020年7月至2021年6月）

　　企業(yè)不得不應(yīng)對不斷演變的網(wǎng)絡(luò)威脅和新型惡意軟件。這些問題包括供應(yīng)鏈攻擊（如HAVEX和SolarWinds）、零日工業(yè)控制系統(tǒng)（ICS）惡意軟件（如Triton和Industroyer）、無文件惡意軟件、以及使用標(biāo)準(zhǔn)管理工具的野外生存策略，這很難發(fā)現(xiàn)，因?yàn)樗鼈兣c合法的日常活動融為一體。在過去的一年里，這些攻擊的頻率和嚴(yán)重性也有所增加。

　　圖5 在野外檢測到的物聯(lián)網(wǎng)惡意軟件

　?。?020年7月至2021年6月）

　　圖6 物聯(lián)網(wǎng)惡意軟件CPU架構(gòu)的分布

　　（2020年7月至2011年6月）

　　四、混合勞動力安全

　　雖然由于疫情，大多數(shù)行業(yè)都轉(zhuǎn)向了遠(yuǎn)程辦公，但它為網(wǎng)絡(luò)罪犯創(chuàng)造了新的攻擊平臺，例如用于商業(yè)目的的家庭設(shè)備。在2021年上半年，發(fā)生了三起重大攻擊：NOBELIUM（太陽風(fēng)供應(yīng)鏈攻擊）、HAFNIUM（本地Exchange服務(wù)器攻擊）和Colonial Pipeline（勒索軟件攻擊）。

　　組織可以從中吸取很多教訓(xùn)。首先，一個持續(xù)的威脅向量是電子郵件泄露。事實(shí)上，網(wǎng)絡(luò)釣魚造成了近70%的數(shù)據(jù)泄露。其次，網(wǎng)絡(luò)犯罪分子正在使用惡意軟件作為合法的軟件更新來攻擊毫無戒心的員工。第三，勒索軟件攻擊者提高了賭注，不僅將重點(diǎn)放在支付方面的雙重或三重勒索策略上，而且還提供勒索軟件即服務(wù)（RaaS），即使用合作伙伴網(wǎng)絡(luò)進(jìn)行攻擊，這使得很難確定誰是真正的壞行為者。最后，對手的目標(biāo)是內(nèi)部部署系統(tǒng)，這加強(qiáng)了企業(yè)將基礎(chǔ)設(shè)施移動到安全更難滲透的云端的需求。

　　圖7 全球每周唯一標(biāo)識掃描

　?。?021年1月－8月）

　　隨著網(wǎng)絡(luò)威脅的數(shù)量、復(fù)雜性和影響的增加，組織必須采取措施加強(qiáng)第一道防線。部署基本的網(wǎng)絡(luò)安全衛(wèi)生措施，是組織必須采取的基本步驟。

　　趨勢是明確的：民族國家越來越多地使用并將繼續(xù)使用網(wǎng)絡(luò)攻擊，無論其政治目的是什么，無論是間諜、破壞還是破壞。預(yù)計，更多國家將加入攻擊性網(wǎng)絡(luò)行動的名單，這些行動將變得更加肆無忌憚、持續(xù)和具有破壞性，除非有更嚴(yán)重的后果。網(wǎng)絡(luò)犯罪市場將繼續(xù)變得更加復(fù)雜和專業(yè)化，除非組織都在努力阻止它們。

　　五、虛假信息

　　虛假信息是指故意使用虛假信息以影響公眾輿論。為操縱群眾而編造虛假信息的行為由來已久。然而，在過去的十年中，新形式的虛假信息已經(jīng)嶄露頭角，計算方法和基礎(chǔ)設(shè)施的進(jìn)步改變了虛假信息活動的力量、范圍和效率。

　　廣泛使用的消費(fèi)平臺和服務(wù)，如社交媒體、創(chuàng)建者平臺、搜索引擎和消息服務(wù)，現(xiàn)在為國家和非國家行為者提供了傳播虛假信息的強(qiáng)大渠道。除此之外，這些服務(wù)還為惡意參與者提供現(xiàn)成的工具，用于試驗(yàn)、監(jiān)控、迭代和優(yōu)化虛假信息活動的影響。

　　這些攻擊者利用商業(yè)在線平臺作為虛假信息的引擎，為旨在施加政治影響、分化和混亂的信息傳遞項目提供動力。虛假信息策略越來越復(fù)雜，包括協(xié)同使用多種服務(wù)來跨平臺強(qiáng)化信息。

　　在第二個方面，機(jī)器學(xué)習(xí)（ML）和圖形技術(shù)的進(jìn)步導(dǎo)致了制作高保真視聽內(nèi)容（被稱為合成媒體和深度造假）的工具的廣泛使用。然而，制造假貨的技術(shù)正在為惡意攻擊者提供強(qiáng)大的、通用的調(diào)色板，用于捏造行為和事件。這些方法正在為虛假信息運(yùn)動注入新的說服力。

　　第三個值得關(guān)注的領(lǐng)域是，國家和非國家黑客可以利用人工智能（AI）方法制定和推動強(qiáng)大的心理操作，利用人類認(rèn)知的洞察力和數(shù)據(jù)。ML和推理可用于分析個人和群體，并生成旨在影響信念、觀點(diǎn)和行動的個性化虛假信息程序。

　　組織需要嚴(yán)格關(guān)注不斷增加的虛假信息的復(fù)雜性和范圍，并在多個方面開展工作。首先也是最重要的是，需要深入投資于現(xiàn)代媒體素養(yǎng)，教育人們?nèi)绾卫斫?、期待和識別虛假信息和錯誤信息。在媒體素養(yǎng)方面的工作不僅限于教育，還包括努力提供新的工具，幫助人們批評新聞和信息的來源和真實(shí)性。其次，需要支持高質(zhì)量的新聞，包括值得信賴的新聞機(jī)構(gòu)。派遣有義務(wù)的記者在現(xiàn)場清楚地看到、聽到和報道事件是至關(guān)重要的。此外，還需要確保本地新聞業(yè)的健康和活力。

　　在技術(shù)方面，應(yīng)用人工智能模式識別技術(shù)來檢測顯示欺騙意圖的通信模式和內(nèi)容是有希望的。這類工作包括努力確定視聽媒體和基于文本的媒體是偽造的。另一方面，網(wǎng)絡(luò)技術(shù)的努力可以旨在確定虛假信息的主要位置和組織來源。最后，在技術(shù)方面也有了很有前途的發(fā)展，這些技術(shù)采用了一系列方法，包括在生產(chǎn)工具和管道中使用加密、安全和數(shù)據(jù)庫技術(shù)，以證明在線媒體內(nèi)容編輯的來源和歷史，即內(nèi)容的來源。在媒體來源和真實(shí)性方面，強(qiáng)有力的跨組織合作促進(jìn)了令人興奮的進(jìn)展。

　　六、可行性建議

　　通過與世界各地的組織合作，認(rèn)識到需要使人們能夠在各種非傳統(tǒng)場所和各種設(shè)備上安全高效地工作。通過這些互動，組織了解了網(wǎng)絡(luò)安全在幫助企業(yè)在適應(yīng)混合工作環(huán)境時保持業(yè)務(wù)連續(xù)性方面所起的作用。因此，預(yù)計將有五種網(wǎng)絡(luò)安全范式的轉(zhuǎn)變，將會以一種以人和數(shù)據(jù)的包容性為中心的方式支持工作的發(fā)展。

　　從報告的所有要素中可采取行動的關(guān)鍵是，為了將攻擊的影響降到最低，組織必須真正實(shí)踐良好的網(wǎng)絡(luò)衛(wèi)生，實(shí)施支持零信任原則的架構(gòu)，并確保網(wǎng)絡(luò)風(fēng)險管理整合到業(yè)務(wù)的各個方面。

　　以下部分總結(jié)了報告中發(fā)現(xiàn)和見解所加強(qiáng)的一些關(guān)鍵經(jīng)驗(yàn)。

　　1、網(wǎng)絡(luò)安全鐘形曲線

　　采取基本的安全防范措施可以幫助組織準(zhǔn)備和減輕絕大多數(shù)現(xiàn)代網(wǎng)絡(luò)威脅，并有助于為隨著技術(shù)進(jìn)步而發(fā)生的威脅演變做好準(zhǔn)備?！熬W(wǎng)絡(luò)安全鐘形曲線”顯示了對減少威脅影響最大的活動。

　　圖8 網(wǎng)絡(luò)安全鐘形曲線：基本的安全衛(wèi)生仍然可以抵御98%的攻擊

　　實(shí)現(xiàn)多因素身份驗(yàn)證

　　通過啟用多因素身份驗(yàn)證，使不良參與者更難利用竊取或假冒的憑證。始終基于所有可用數(shù)據(jù)點(diǎn)進(jìn)行身份驗(yàn)證和授權(quán)，包括用戶身份、位置、設(shè)備運(yùn)行狀況、服務(wù)或工作負(fù)載、數(shù)據(jù)分類和異常情況。

　　應(yīng)用最小權(quán)限訪問

　　通過應(yīng)用最小權(quán)限訪問原則防止攻擊者在網(wǎng)絡(luò)上傳播，該原則通過及時和足夠的訪問（JIT/JEA）、基于風(fēng)險的自適應(yīng)策略和數(shù)據(jù)保護(hù)限制用戶訪問，以幫助保護(hù)數(shù)據(jù)和生產(chǎn)效率。

　　保持最新

　　通過確保組織的設(shè)備、基礎(chǔ)設(shè)施和應(yīng)用程序保持最新并正確配置，降低軟件漏洞的風(fēng)險。端點(diǎn)管理解決方案允許將策略推送到計算機(jī)以進(jìn)行正確配置，并確保系統(tǒng)運(yùn)行的是最新版本。

　　利用反惡意軟件

　　通過在端點(diǎn)和設(shè)備上安裝并啟用反惡意軟件解決方案，阻止惡意軟件攻擊的執(zhí)行。利用云連接的反惡意軟件服務(wù)實(shí)現(xiàn)最新、最準(zhǔn)確的檢測功能。

　　保護(hù)數(shù)據(jù)

　　知道敏感數(shù)據(jù)存儲在哪里以及誰有權(quán)訪問。實(shí)施信息保護(hù)最佳做法，例如應(yīng)用敏感標(biāo)簽和數(shù)據(jù)丟失預(yù)防策略。如果確實(shí)發(fā)生了漏洞，安全團(tuán)隊必須知道最敏感的數(shù)據(jù)存儲和訪問的位置。

　　2、采用零信任原則

　　這份報告強(qiáng)調(diào)了許多攻擊的復(fù)雜性和復(fù)雜性，以及為什么準(zhǔn)備應(yīng)對這些攻擊變得越來越困難。零信任對于減少敏感數(shù)據(jù)的暴露非常重要，因?yàn)樗拗屏私M織內(nèi)攻擊者可能利用的固有信任，特別是當(dāng)人們從任何地方連接不一定來自“受信任”的位置時。這就是為什么對大多數(shù)組織來說，采用零信任方法現(xiàn)在是頭等大事。在一個更難預(yù)測或阻止攻擊者的世界里，重要的是假設(shè)他們會進(jìn)入并限制他們的暴露很重要。

　　3、隔離遺留系統(tǒng)

　　并不是每個系統(tǒng)都能夠運(yùn)行這些工具來啟用零信任。例如，許多操作技術(shù)（OT）系統(tǒng)具有很長的技術(shù)生命周期，并且可能運(yùn)行不能更新的操作系統(tǒng)和軟件。

　　應(yīng)該使用網(wǎng)絡(luò)分段來限制對這些系統(tǒng)的訪問。這有助于確保運(yùn)營技術(shù)不暴露于混合工作的風(fēng)險，并確保物聯(lián)網(wǎng)設(shè)備和傳感器只能訪問和連接其支持的智能生態(tài)系統(tǒng)。

　　這意味著，組織可以將這些系統(tǒng)從現(xiàn)代連接基礎(chǔ)設(shè)施帶來的風(fēng)險中隔離出來，避免遺留技術(shù)阻礙現(xiàn)代體系結(jié)構(gòu)的發(fā)展。它還允許對承載操作技術(shù)和物聯(lián)網(wǎng)（IoT）設(shè)備的環(huán)境進(jìn)行監(jiān)控，高度集中于檢測和響應(yīng)可能無法在系統(tǒng)上安裝軟件的環(huán)境中的異?；顒?。

　　4、將網(wǎng)絡(luò)安全納入商業(yè)決策，并將網(wǎng)絡(luò)視為商業(yè)風(fēng)險

　　現(xiàn)在，技術(shù)是商業(yè)運(yùn)營的一個基本要素，網(wǎng)絡(luò)安全必須成為整體商業(yè)決策中的一個因素，而不僅僅是技術(shù)部門的事情。

　　網(wǎng)絡(luò)安全不應(yīng)再被視為僅屬于IT部門權(quán)限范圍內(nèi)的特殊風(fēng)險。技術(shù)專業(yè)知識位于IT部門，但風(fēng)險的最終責(zé)任在于業(yè)務(wù)職能部門。解決組織面臨的威脅需要技術(shù)、政策和人員專業(yè)知識的結(jié)合，所有業(yè)務(wù)決策也應(yīng)如此。

　　圖9 網(wǎng)絡(luò)安全在數(shù)字化轉(zhuǎn)型中的作用

　　5、建立第三方風(fēng)險計劃

　　合作伙伴、供應(yīng)商和承包商始終與連接到企業(yè)環(huán)境的數(shù)據(jù)和應(yīng)用程序交互。攻擊者越來越多地將目標(biāo)對準(zhǔn)第三方提供商，以獲得對其系統(tǒng)和網(wǎng)絡(luò)的訪問權(quán)限，以期獲得對其客戶的訪問權(quán)限。

　　確保組織擁有強(qiáng)大的供應(yīng)鏈保證流程，其基礎(chǔ)是了解供應(yīng)商遭受網(wǎng)絡(luò)攻擊的風(fēng)險、他們?nèi)绾闻渲闷湎到y(tǒng)以確保安全，以及他們采取什么步驟保護(hù)您與他們共享的任何信息。確保通過可靠的服務(wù)級別協(xié)議、認(rèn)證和共享評估（如SSAE 18 SOC 1和SOC 2、PCI-DSS、GDPR和ISO 20001）管理第三方風(fēng)險。

　　第三方對系統(tǒng)的訪問還應(yīng)遵循應(yīng)用于組織的零信任原則，以限制其系統(tǒng)受到攻擊的風(fēng)險。

　　隨著技術(shù)越來越融入我們的社會，攻擊者越來越多地試圖利用這種文化轉(zhuǎn)變。從網(wǎng)絡(luò)罪犯到民族國家組織，這些都是成熟的、經(jīng)過充分研究的組織，它們擁有資源、投資和研究，可以部署針對組織的復(fù)雜和知情的攻擊。

　　天地和興工業(yè)網(wǎng)絡(luò)安全研究院提醒，《數(shù)字防御報告》只是整理了微軟所察覺的網(wǎng)絡(luò)攻擊行動，并不代表網(wǎng)絡(luò)攻擊的整個全貌，希望能借由分享微軟的觀察來協(xié)助各組織的安全任務(wù)。