報(bào)告概述了NCSC在2021年處理的777起網(wǎng)絡(luò)攻擊，以及專(zhuān)業(yè)、有組織的勒索軟件活動(dòng)對(duì)英國(guó)組織的破壞性影響，并強(qiáng)調(diào)了勒索軟件即服務(wù)商業(yè)模式的持續(xù)演變。

　　2021年11月17日，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC）發(fā)布了最新的2021年度審查報(bào)告，詳細(xì)介紹了過(guò)去12個(gè)月的網(wǎng)絡(luò)威脅趨勢(shì)及其為保護(hù)英國(guó)而開(kāi)展的工作。概述了NCSC在2021年處理的777起網(wǎng)絡(luò)攻擊，以及專(zhuān)業(yè)、有組織的勒索軟件活動(dòng)對(duì)英國(guó)組織的破壞性影響，并強(qiáng)調(diào)了勒索軟件即服務(wù)（RaaS）商業(yè)模式的持續(xù)演變。

　　摘譯 | 韓昱/賽博研究院實(shí)習(xí)研究員

　　來(lái)源 | 英國(guó)NCSC

　　NCSC工作概述

　　NCSC成立于2016年，旨在滿足政府對(duì)網(wǎng)絡(luò)安全的需求，改善英國(guó)國(guó)防，使英國(guó)成為最安全的在線生活和工作場(chǎng)所。

　　過(guò)去12個(gè)月，NCSC開(kāi)創(chuàng)性的主動(dòng)網(wǎng)絡(luò)防御計(jì)劃已經(jīng)摧毀了230萬(wàn)個(gè)網(wǎng)絡(luò)惡意活動(dòng)，包括442個(gè)使用NHS品牌的網(wǎng)絡(luò)釣魚(yú)活動(dòng)和80個(gè)在官方應(yīng)用商店之外托管和下載的非法NHS應(yīng)用。同時(shí)，NCSC為777起重大事件提供了支持，比前一年的723起有所增加，大約20%受支持的組織與衛(wèi)生部門(mén)和疫苗有關(guān)。此外，NCSC收到了540萬(wàn)份來(lái)自公眾的潛在惡意電子郵件報(bào)告，刪除了50500多個(gè)欺詐和90100多個(gè)惡意URL。通過(guò)NCSC的保護(hù)域名系統(tǒng)服務(wù)，衛(wèi)生部門(mén)和疫苗生產(chǎn)部門(mén)的工作人員受到保護(hù)，阻止了44億潛在有害的訪問(wèn)交互。

　　NCSC這一年度的工作不僅僅針對(duì)疫情相關(guān)安全威脅，還與大約5000家組織進(jìn)行了接觸，并向80家公司和14所大學(xué)發(fā)布了安全指導(dǎo)和威脅評(píng)估。

　　2021年網(wǎng)絡(luò)威脅

　　在2021年網(wǎng)絡(luò)威脅中，勒索軟件和供應(yīng)鏈攻擊極為突出。

　　勒索軟件

　　2020年，犯罪分子試圖在加密受害者網(wǎng)絡(luò)之前進(jìn)行數(shù)據(jù)滲透，然后威脅數(shù)據(jù)泄露與索要贖金（所謂的雙重勒索）。過(guò)去一年，美國(guó)輸油管道勒索攻擊等事件受到了廣泛的關(guān)注。

　　后續(xù)，勒索攻擊導(dǎo)致數(shù)據(jù)泄露威脅肯定會(huì)繼續(xù)增加。極有可能有更多的英國(guó)人受到雙重勒索的威脅。

　　供應(yīng)鏈攻擊

　　供應(yīng)鏈?zhǔn)峭泄芊?wù)提供商基于信任關(guān)系運(yùn)行的，這種關(guān)系幫助了多個(gè)部門(mén)更好地保護(hù)易受攻擊目標(biāo)。

　　盡管這類(lèi)攻擊并不新鮮，但其造成了巨大影響，例如SolarWinds和微軟Exchange服務(wù)器供應(yīng)鏈漏洞，波及了多個(gè)美國(guó)政府部門(mén)、英國(guó)云和電子郵件安全公司Mimecast以及其他受害者。開(kāi)源報(bào)告顯示，僅在美國(guó)就有30000家組織因Microsoft Exchange服務(wù)器中的零日漏洞而受到威脅。

　　對(duì)SolarWinds和微軟Exchange服務(wù)器的漏洞利用突出了供應(yīng)鏈攻擊的威脅。這些復(fù)雜的攻擊是NCSC觀察到的最嚴(yán)重的兩起網(wǎng)絡(luò)入侵事件，參與者攻擊的目標(biāo)是經(jīng)濟(jì)、政府和國(guó)家安全機(jī)構(gòu)供應(yīng)鏈中較不安全的要素，如托管服務(wù)提供商或商業(yè)軟件平臺(tái)。

　　供應(yīng)鏈?zhǔn)录怀隽斯?yīng)鏈運(yùn)營(yíng)的可行性、有效性和全球覆蓋范圍。在未來(lái)一年內(nèi)，幾乎可以肯定，還會(huì)有進(jìn)一步的此類(lèi)攻擊行動(dòng)。

　　基于主動(dòng)網(wǎng)絡(luò)防御（ACD）對(duì)抗不斷演變的勒索軟件威脅

　　1.防止勒索軟件進(jìn)入

　　NCSC為符合條件的組織提供一系列免費(fèi)網(wǎng)絡(luò)安全工具和服務(wù)，作為主動(dòng)網(wǎng)絡(luò)防御（ACD）計(jì)劃的一部分。這些舉措有助于組織發(fā)現(xiàn)和修復(fù)漏洞、管理事件或自動(dòng)中斷網(wǎng)絡(luò)攻擊。NCSC的一些服務(wù)主要是為公共部門(mén)設(shè)計(jì)的，而其他服務(wù)則更廣泛地提供給私營(yíng)部門(mén)或公民，這取決于它們的適用性和可行性。ACD幫助組織保護(hù)其IT的安全，并且警惕經(jīng)常被用來(lái)傳遞勒索軟的以下載體：

　　A.網(wǎng)絡(luò)釣魚(yú)和遠(yuǎn)程桌面協(xié)議端口暴露是勒索軟件的主要載體。

　　B.郵件檢查幫助用戶配置DMARC安全協(xié)議。NCSC的綜合DMARC服務(wù)對(duì)不存在的gov.uk域名也有同樣的作用。

　　C.Web檢查和早期警告掃描用戶的Web服務(wù)以查找暴露的端口，例如用于遠(yuǎn)程桌面協(xié)議的端口3390。

　　D.勒索軟件的另一個(gè)常見(jiàn)載體是軟件漏洞，HBC、預(yù)警、Web檢查、漏洞披露服務(wù)和漏洞披露工具包試圖解決這些漏洞。

　　2.防止勒索軟件工作

　　ACD有助于破壞勒索軟件。

　　A.保護(hù)域名系統(tǒng)（PDNS）可以通過(guò)阻止與已知勒索軟件域的連接來(lái)防止勒索軟件運(yùn)行。

　　B.可疑電子郵件報(bào)告服務(wù)（SERS）允許公眾向NCSC報(bào)告可疑電子郵件。Takedown服務(wù)還從其他來(lái)源接收惡意域的提要，并向托管惡意域的公司發(fā)送請(qǐng)求刪除惡意域的通知。該刪除服務(wù)還將惡意域名添加到安全瀏覽列表中，以便瀏覽器阻止對(duì)其的訪問(wèn)。

　　C.演習(xí)服務(wù)可以幫助組織實(shí)踐其對(duì)網(wǎng)絡(luò)安全場(chǎng)景和事件的響應(yīng)。這些演習(xí)幫助組織準(zhǔn)備限制網(wǎng)絡(luò)攻擊的影響，包括勒索軟件。

　　3.啟用調(diào)查和事件響應(yīng)

　　ACD提供數(shù)據(jù)和工具，以調(diào)查可疑勒索軟件并作出回應(yīng)。

　　A.在可疑查詢時(shí)，即使PDNS的拒絕列表不知道勒索軟件域，服務(wù)也會(huì)記錄客戶組織試圖連接到該域的事實(shí)。一旦域名被認(rèn)定為可疑，這些記錄可用于在事件發(fā)生后識(shí)別組織中是否存在勒索軟件。

　　B.HBC可以檢測(cè)客戶網(wǎng)絡(luò)上的威脅。該軟件代理廣泛安裝在官方政府的設(shè)備上，并向NCSC的專(zhuān)家分析師發(fā)送技術(shù)元數(shù)據(jù)，這些專(zhuān)家分析師使用專(zhuān)業(yè)技術(shù)識(shí)別可疑活動(dòng)。

　　C.HBC和PDNS是互補(bǔ)的。PDNS提供了哪些組織可能受到勒索軟件影響的估計(jì)，而HBC完全有能力對(duì)特定設(shè)備上的活動(dòng)進(jìn)行更詳細(xì)的調(diào)查。

　　D.通過(guò)將各種來(lái)源的威脅情報(bào)映射到客戶IP范圍、ASN和域名，早期預(yù)警可以識(shí)別客戶網(wǎng)絡(luò)上的主動(dòng)危害。該服務(wù)會(huì)提醒用戶注意事件、可疑網(wǎng)絡(luò)活動(dòng)、漏洞和不需要的開(kāi)放端口。

　　恢復(fù)網(wǎng)絡(luò)彈性的10個(gè)步驟

　　1.風(fēng)險(xiǎn)管理

　　采取基于風(fēng)險(xiǎn)的方法保護(hù)數(shù)據(jù)和系統(tǒng)。

　　2.參與和培訓(xùn)

　　協(xié)作構(gòu)建適用于組織內(nèi)部人員的安全性。

　　3.資產(chǎn)管理

　　了解擁有哪些數(shù)據(jù)和系統(tǒng)以及它們需要支持哪些業(yè)務(wù)。

　　4.架構(gòu)和配置

　　安全地設(shè)計(jì)、構(gòu)建、維護(hù)和管理系統(tǒng)。

　　5.脆弱性管理

　　在系統(tǒng)的整個(gè)生命周期中保護(hù)系統(tǒng)。

　　6.身份和訪問(wèn)

　　管理層控制誰(shuí)和什么可以訪問(wèn)系統(tǒng)和數(shù)據(jù)。

　　7.數(shù)據(jù)安全

　　保護(hù)易受攻擊的數(shù)據(jù)。

　　8.記錄和監(jiān)測(cè)

　　將系統(tǒng)設(shè)計(jì)為能夠檢測(cè)和調(diào)查事件。

　　9.事件管理

　　提前計(jì)劃應(yīng)對(duì)網(wǎng)絡(luò)事件。

　　10.供應(yīng)鏈安全

　　與供應(yīng)商和合作伙伴達(dá)成合作。

　　構(gòu)建安全生態(tài)系統(tǒng)

　　NCSC致力于應(yīng)對(duì)威脅，增強(qiáng)英國(guó)抵御威脅的能力，而加強(qiáng)英國(guó)蓬勃發(fā)展的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)發(fā)揮著關(guān)鍵作用。

　　NCSC通過(guò)培養(yǎng)年輕人才到創(chuàng)造進(jìn)一步的教育機(jī)會(huì)、支持網(wǎng)絡(luò)初創(chuàng)企業(yè)、測(cè)試和認(rèn)證安全行業(yè)的標(biāo)準(zhǔn)、推動(dòng)增長(zhǎng)和創(chuàng)新到與行業(yè)分享最佳實(shí)踐，NCSC通過(guò)構(gòu)建安全生態(tài)體系對(duì)增強(qiáng)其國(guó)家安全能力帶來(lái)積極的現(xiàn)實(shí)影響。