民族国家网络攻击58%来自俄罗斯

攻击溯源
2年前

eastday.jpg

  新采集到的数据表明,微软在过去一年中测得民族国家网络攻击的最大来源前三名是俄罗斯(58%),朝鲜(23%)、伊朗(11%),韩国、越南和土耳其则占比不到1%。

  今年的微软《数字防御报告》以大量数据凸显民族国家威胁、网络犯罪活动、混合劳动力安全、虚假信息和物联网(IoT)、运营技术(OT)及供应链安全方面的趋势。

  数据显示,俄罗斯民族国家攻击“卓有成效”,成功入侵率从去年的21%蹿升到今年的32%。俄罗斯黑客国家队愈发加紧针对政府机构的情报收集活动,其攻击目标中政府机构占比从去年的3%跃升至2021年的53%。微软的数据显示,俄罗斯黑客国家队的主要攻击目标是美国、乌克兰和英国。

  微软的报告还揭示,变换行事风格的民族国家不单单有俄罗斯一家。民族国家黑客组织最常见的任务目标是情报窃取;但伊朗和朝鲜的黑客国家队与众不同:伊朗黑客国家队去年投向以色列的网络攻击火力翻了两番,且发起的是破坏性网络攻击;而朝鲜则是求财,对加密货币公司下手。

  近80%的民族国家网络攻击活动以企业为目标;21%针对消费者。最容易遭到攻击的行业为政府(48%)、智库(31%)、教育(3%)、政府间组织(3%)、IT(2%)、能源(1%)和媒体(1%)。过去三年间,微软已向客户发出了2.05万次民族国家攻击尝试警报。

  民族国家攻击者使用的工具通常就是其他犯罪分子用来破坏目标网络的同一套工具。微软在其报告中写道,民族国家可能“创建或利用定制的恶意软件,构建新颖的密码喷射基础设施,或策划独特的网络钓鱼或社会工程活动”。有些攻击活动,比如与中国有关的Gadolinium,越来越多地转向利用开源工具或常用恶意软件朝供应链下手,或者使用此类工具发起中间人或分布式拒绝服务(DDoS)攻击。

nationstatemsft1.jpg

网络犯罪

  在网络犯罪方面,数据凸显出犯罪活动增长在很大程度上是由供应链驱动的:供应链使得攻击者更容易发起网络攻击。被盗用户名和密码对的价格为平均每1000对0.97美元,或者150美元买4亿条。鱼叉式网络钓鱼即服务每成功接管一个账户的费用在100到1000美元之间,DDoS攻击则很便宜,拿下防护不周的网站也就约300美元每月。

  勒索软件工具包的成本低至预付费66美元,或者勒索收益的30%,所以勒索软件攻击随处可见。微软报告称,根据其检测和快速响应团队与勒索软件交手的记录,过去一年中遭勒索软件攻击最多的行业是消费品零售业(13%)、金融服务业(12%)、制造业(12%)、政府(11%)和医疗保健行业(9%)。

  微软也看到了两个积极的趋势:首先,各家公司和政府遭攻击后更乐于共享信息,凸显网络攻击对各国政府的威胁。其次,随着世界各地越来越多的政府认识到网络犯罪是国家安全威胁,各国政府已将打击网络犯罪列为国家重大事项。越来越多的政府正不断通过新的法律,旨在规范报告、协作和资源共享,从而更好地对抗网络攻击。

混合劳动力:安全数据与挑战

  新冠肺炎疫情影响下,企业纷纷快速转向居家办公,为网络罪犯创造了新的攻击面,导致一年来重大安全事件频发,出现了针对SolarWinds和Colonial Pipeline的供应链攻击,以及针对本地Exchange服务器漏洞的那些攻击。新的攻击趋势随之显现。

  面对媒体采访,微软首席信息安全官Bret Arsenault表示,微软内部想远程办公和想到办公室上班的人大概是一半对一半。“这反映了全球的情况,不同文化、不同家庭环境、不同环境概莫如此。至于数字化转型和零信任,这种情况极大地加速了两者的普及。”

  不过,虽然有所进展,企业还有很长的路要走:微软报告称,Azure Active Directory每天都会发生5000万次密码攻击,但只有20%的用户和30%的全局管理员使用多因素身份验证(MFA)等强身份验证措施。数据显示,基于密码的攻击仍然是身份被盗的主要途径。

  在谈到强身份验证方法时,Arsenault称:“我们需要用户更加快速地普及强身份验证措施。”虽然有一些好消息,比如越来越多的人认识到全局管理员是一个风险较高的群体,应该被优先考虑;但Arsenault认为人们还是过于重视老旧流程,并强调了“进步优于完美”的重要性。

  他解释道:“我有时候确实会担心人们会在未达到100%确定之前彻底裹足不前。作为一个行业,我们可以做更多的事情来帮助人们看清前路,比如从双因素身份验证开始,从与业务相关的高风险用户开始。不同的业务、不同的模式有不同的起点。选择对自家业务最重要的那些就好。”

  他继续道,面向混合未来的安全团队还需要重视是网络访问控制。Azure防火墙的数据表明,过去一年中该网络访问控制措施阻止了2万亿流量,包括威胁情报引擎检测到的恶意流量和防火墙规则阻止的非必要流量。过去一年间,Web应用防火墙(WAF)每周触发的规则数量超过250亿条,入站流量中平均4%到5%是恶意的。

  Arsenault表示,与微软过去所看到的相比,转向远程办公也助长了远程桌面协议(RDP)攻击。 

  “我们继续观测到很多人围着老旧协议转;尤其是在身份验证方面,这种情况持续发生。”

  此类攻击多数都可以用基本安全措施加以缓解:打补丁、更新系统、最小权限原则和MFA等等。

  “这确实是工作中乏味无趣的部分,但却能很大程度上是你免受攻击,或者缓解攻击发生时的影响或波及范围。这很无聊,但现实是,相对于我们看到的攻击模式,仍然坚持做好基本安全措施实际上是非常有效的。”


参考阅读

网络力量评估:美国第一 英、澳、俄位列第二梯队

美能源部将中国和俄罗斯列为大容量电力系统的最大威胁