臺(tái)灣微軟舉辦《微軟2022年數(shù)字防御報(bào)告》媒體分享會(huì),由微軟亞洲首席安全官花村実(Minoru Hanamura)針對(duì)網(wǎng)絡(luò)犯罪動(dòng)態(tài)、國(guó)家攻擊威脅、影響力作戰(zhàn)、設(shè)備與基礎(chǔ)建設(shè)、及安全韌性等面向進(jìn)行解析。同時(shí)建議只要做好多因素驗(yàn)證、采用零信任原則、使用現(xiàn)代化的安全防護(hù)軟件、進(jìn)行系統(tǒng)的及時(shí)更新及資料保護(hù)等網(wǎng)絡(luò)衛(wèi)生的基本防護(hù),就能阻擋高達(dá)98%的網(wǎng)絡(luò)攻擊。
網(wǎng)絡(luò)犯罪經(jīng)濟(jì)的產(chǎn)業(yè)化提供了更多任務(wù)具和基礎(chǔ)設(shè)施,使得攻擊的技術(shù)門檻下降,網(wǎng)絡(luò)犯罪持續(xù)增加。僅在去年,每秒的密碼攻擊就增加了74%,這些攻擊也助長(zhǎng)了勒索軟件攻擊,導(dǎo)致勒索事件翻倍增長(zhǎng)。
勒索軟件的攻擊有其流程,首先挑選2500個(gè)潛在攻擊目標(biāo),然后選擇60個(gè)容易攻擊的對(duì)象發(fā)動(dòng)攻擊,接著從成功攻擊的20個(gè)目標(biāo)中找出最可能支付贖金的對(duì)象。勒索軟件的攻擊流程可分為事前準(zhǔn)備及發(fā)動(dòng)攻擊兩個(gè)階段,事前準(zhǔn)備可能花費(fèi)數(shù)天到數(shù)月的時(shí)間,但攻擊只要數(shù)分鐘即可針對(duì)攻擊對(duì)象進(jìn)行加密,因此防范勒索軟件攻擊最佳的時(shí)機(jī)是前期準(zhǔn)備階段,在勒索軟件潛入系統(tǒng)時(shí)就立即發(fā)現(xiàn)并采取防護(hù)對(duì)策。
未能落實(shí)公司治理及安全防護(hù)措施薄弱是黑客成功入侵的主要原因。黑客通常通過(guò)入侵能夠訪問(wèn)特殊權(quán)限的賬號(hào)進(jìn)入系統(tǒng)并進(jìn)行橫向移動(dòng)攻擊。報(bào)告中指出,有93%的勒索軟件事件回應(yīng)項(xiàng)目顯示,企業(yè)對(duì)特權(quán)訪問(wèn)和橫向移動(dòng)的控制不足。
制造業(yè)(28%)及醫(yī)療保健業(yè)(20%)是黑客最容易攻擊的產(chǎn)業(yè),主要原因?yàn)橹圃鞓I(yè)有許多關(guān)鍵基礎(chǔ)設(shè)備,醫(yī)療保健業(yè)則是有大量病人個(gè)人信息,這些關(guān)鍵設(shè)備及個(gè)人信息一旦被攻擊,將影響到企業(yè)運(yùn)營(yíng)及聲譽(yù),因此有較高愿意支付贖金。
報(bào)告指出,國(guó)家攻擊威脅(Nation State Threats)從2020年的20%增加到2021年的40%,攻擊比例增加一倍,特別是針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊增加。此外,國(guó)家攻擊威脅的最大目標(biāo)并非政府,而是IT企業(yè)(22%)。
微軟針對(duì)NICKEL黑客集團(tuán)進(jìn)行下架行動(dòng),雖然成功接管42個(gè)指揮控制域名,但2022年3到5月間又死灰復(fù)燃,已攻擊全球5個(gè)以上的政府單位。因此,網(wǎng)絡(luò)黑客的攻擊是永無(wú)止境的戰(zhàn)爭(zhēng)。
報(bào)告中也針對(duì)俄羅斯攻擊烏克蘭的影響力作戰(zhàn)進(jìn)行關(guān)注,發(fā)現(xiàn)俄羅斯利用傳播假消息將攻擊烏克蘭的行為正當(dāng)化,如2022年2月俄烏戰(zhàn)爭(zhēng)開打時(shí),俄羅斯發(fā)布消息表示攻擊烏克蘭是因?yàn)槠鋼碛猩镂淦?。事?shí)上,俄羅斯在2021年11月29日就在YouTube發(fā)布視頻表示發(fā)現(xiàn)烏克蘭有生物武器的跡象,俄羅斯事前低調(diào)地將視頻上傳,并在攻擊烏克蘭時(shí)大肆宣傳該視頻,以此來(lái)誤導(dǎo)俄羅斯及烏克蘭的人們。
此外,報(bào)告中也指出復(fù)合媒體(synthetic media)容易成為影響力作戰(zhàn)的武器,且難以阻止。微軟建議媒體需要針對(duì)傳播的消息進(jìn)行求證,以確認(rèn)消息的真實(shí)性,微軟已經(jīng)與包括BBC在內(nèi)的媒體進(jìn)行跨產(chǎn)業(yè)的合作,以認(rèn)證網(wǎng)絡(luò)上傳播的內(nèi)容的真?zhèn)巍?/p>
影響力作戰(zhàn)通常通過(guò)三個(gè)步驟來(lái)完成目標(biāo):
1.網(wǎng)絡(luò)影響力作戰(zhàn)首先會(huì)在公眾領(lǐng)域發(fā)布假新聞,就像網(wǎng)絡(luò)攻擊者在組織的計(jì)算機(jī)網(wǎng)絡(luò)中植入惡意軟件。
2.接著發(fā)起一個(gè)統(tǒng)籌活動(dòng);在最有利于實(shí)現(xiàn)目標(biāo)的時(shí)候,通過(guò)政府支持和具影響力的媒體以及社群宣傳假新聞。
3.最后由國(guó)家控制的媒體針對(duì)目標(biāo)群眾傳播假新聞。
企業(yè)通常會(huì)在計(jì)算機(jī)安裝端點(diǎn)防護(hù)軟件(Endpoint Detection and Response,EDR),此舉大幅提升黑客攻擊的門檻。因此黑客集團(tuán)轉(zhuǎn)向攻擊OT、IoT等安全防護(hù)較為薄弱的設(shè)備,這些基礎(chǔ)設(shè)施一旦遭受攻擊,企業(yè)的運(yùn)營(yíng)就會(huì)受到影響。報(bào)告發(fā)現(xiàn),攻擊者主要通過(guò)遠(yuǎn)程管理(46%)及網(wǎng)絡(luò)(30%)兩種途徑進(jìn)行IoT與OT攻擊。從被攻擊的IoT與OT的固件漏洞分析發(fā)現(xiàn),27%是IoT設(shè)備密碼加密方式薄弱、32%是使用的開源程序版本老舊,本身就存在漏洞所致。
在安全防護(hù)上,身份識(shí)別仍然是重要的,報(bào)告發(fā)現(xiàn)攻擊者通常針對(duì)IP進(jìn)行攻擊,并通過(guò)黑市購(gòu)買外流的賬號(hào)密碼,進(jìn)行密碼噴濺攻擊。微軟過(guò)去一直鼓勵(lì)客戶應(yīng)采用多因素驗(yàn)證來(lái)進(jìn)行身份識(shí)別,但報(bào)告發(fā)現(xiàn)企業(yè)采用多因素驗(yàn)證的比例并不高,雖逐年增加但增加的比例很緩慢。
企業(yè)以往對(duì)于安全、IT及業(yè)務(wù)三個(gè)部門采取分開且獨(dú)立運(yùn)行,容易增加被攻擊的風(fēng)險(xiǎn)。建議企業(yè)要將安全、IT及業(yè)務(wù)三者進(jìn)行連接,讓彼此的資訊可交流及集成,達(dá)到最佳的安全防護(hù)進(jìn)而提升安全韌性。只要做好多因素驗(yàn)證、采用零信任原則、使用現(xiàn)代化的安全防護(hù)軟件、進(jìn)行系統(tǒng)的及時(shí)更新及資料保護(hù)等網(wǎng)絡(luò)衛(wèi)生的基本防護(hù),就能阻擋98%的攻擊。