微軟數(shù)字防御報告：國家攻擊威脅鎖定關(guān)鍵基礎(chǔ)設(shè)施的比例增加一倍

臺灣微軟舉辦《微軟2022年數(shù)字防御報告》媒體分享會，由微軟亞洲首席安全官花村実（Minoru Hanamura）針對網(wǎng)絡(luò)犯罪動態(tài)、國家攻擊威脅、影響力作戰(zhàn)、設(shè)備與基礎(chǔ)建設(shè)、及安全韌性等面向進(jìn)行解析。同時建議只要做好多因素驗證、采用零信任原則、使用現(xiàn)代化的安全防護(hù)軟件、進(jìn)行系統(tǒng)的及時更新及資料保護(hù)等網(wǎng)絡(luò)衛(wèi)生的基本防護(hù)，就能阻擋高達(dá)98%的網(wǎng)絡(luò)攻擊。

網(wǎng)絡(luò)犯罪經(jīng)濟(jì)的產(chǎn)業(yè)化提供了更多任務(wù)具和基礎(chǔ)設(shè)施，使得攻擊的技術(shù)門檻下降，網(wǎng)絡(luò)犯罪持續(xù)增加。僅在去年，每秒的密碼攻擊就增加了74%，這些攻擊也助長了勒索軟件攻擊，導(dǎo)致勒索事件翻倍增長。

勒索軟件的攻擊有其流程，首先挑選2500個潛在攻擊目標(biāo)，然后選擇60個容易攻擊的對象發(fā)動攻擊，接著從成功攻擊的20個目標(biāo)中找出最可能支付贖金的對象。勒索軟件的攻擊流程可分為事前準(zhǔn)備及發(fā)動攻擊兩個階段，事前準(zhǔn)備可能花費(fèi)數(shù)天到數(shù)月的時間，但攻擊只要數(shù)分鐘即可針對攻擊對象進(jìn)行加密，因此防范勒索軟件攻擊最佳的時機(jī)是前期準(zhǔn)備階段，在勒索軟件潛入系統(tǒng)時就立即發(fā)現(xiàn)并采取防護(hù)對策。

未能落實公司治理及安全防護(hù)措施薄弱是黑客成功入侵的主要原因。黑客通常通過入侵能夠訪問特殊權(quán)限的賬號進(jìn)入系統(tǒng)并進(jìn)行橫向移動攻擊。報告中指出，有93%的勒索軟件事件回應(yīng)項目顯示，企業(yè)對特權(quán)訪問和橫向移動的控制不足。

制造業(yè)（28%）及醫(yī)療保健業(yè)（20%）是黑客最容易攻擊的產(chǎn)業(yè)，主要原因為制造業(yè)有許多關(guān)鍵基礎(chǔ)設(shè)備，醫(yī)療保健業(yè)則是有大量病人個人信息，這些關(guān)鍵設(shè)備及個人信息一旦被攻擊，將影響到企業(yè)運(yùn)營及聲譽(yù)，因此有較高愿意支付贖金。

報告指出，國家攻擊威脅（Nation State Threats）從2020年的20%增加到2021年的40%，攻擊比例增加一倍，特別是針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊增加。此外，國家攻擊威脅的最大目標(biāo)并非政府，而是IT企業(yè)（22%）。

微軟針對NICKEL黑客集團(tuán)進(jìn)行下架行動，雖然成功接管42個指揮控制域名，但2022年3到5月間又死灰復(fù)燃，已攻擊全球5個以上的政府單位。因此，網(wǎng)絡(luò)黑客的攻擊是永無止境的戰(zhàn)爭。

報告中也針對俄羅斯攻擊烏克蘭的影響力作戰(zhàn)進(jìn)行關(guān)注，發(fā)現(xiàn)俄羅斯利用傳播假消息將攻擊烏克蘭的行為正當(dāng)化，如2022年2月俄烏戰(zhàn)爭開打時，俄羅斯發(fā)布消息表示攻擊烏克蘭是因為其擁有生物武器。事實上，俄羅斯在2021年11月29日就在YouTube發(fā)布視頻表示發(fā)現(xiàn)烏克蘭有生物武器的跡象，俄羅斯事前低調(diào)地將視頻上傳，并在攻擊烏克蘭時大肆宣傳該視頻，以此來誤導(dǎo)俄羅斯及烏克蘭的人們。

此外，報告中也指出復(fù)合媒體（synthetic media）容易成為影響力作戰(zhàn)的武器，且難以阻止。微軟建議媒體需要針對傳播的消息進(jìn)行求證，以確認(rèn)消息的真實性，微軟已經(jīng)與包括BBC在內(nèi)的媒體進(jìn)行跨產(chǎn)業(yè)的合作，以認(rèn)證網(wǎng)絡(luò)上傳播的內(nèi)容的真?zhèn)巍?/p>

影響力作戰(zhàn)通常通過三個步驟來完成目標(biāo)：

1.網(wǎng)絡(luò)影響力作戰(zhàn)首先會在公眾領(lǐng)域發(fā)布假新聞，就像網(wǎng)絡(luò)攻擊者在組織的計算機(jī)網(wǎng)絡(luò)中植入惡意軟件。

2.接著發(fā)起一個統(tǒng)籌活動；在最有利于實現(xiàn)目標(biāo)的時候，通過政府支持和具影響力的媒體以及社群宣傳假新聞。

3.最后由國家控制的媒體針對目標(biāo)群眾傳播假新聞。

企業(yè)通常會在計算機(jī)安裝端點防護(hù)軟件（Endpoint Detection and Response，EDR），此舉大幅提升黑客攻擊的門檻。因此黑客集團(tuán)轉(zhuǎn)向攻擊OT、IoT等安全防護(hù)較為薄弱的設(shè)備，這些基礎(chǔ)設(shè)施一旦遭受攻擊，企業(yè)的運(yùn)營就會受到影響。報告發(fā)現(xiàn)，攻擊者主要通過遠(yuǎn)程管理（46%）及網(wǎng)絡(luò)（30%）兩種途徑進(jìn)行IoT與OT攻擊。從被攻擊的IoT與OT的固件漏洞分析發(fā)現(xiàn)，27%是IoT設(shè)備密碼加密方式薄弱、32%是使用的開源程序版本老舊，本身就存在漏洞所致。

在安全防護(hù)上，身份識別仍然是重要的，報告發(fā)現(xiàn)攻擊者通常針對IP進(jìn)行攻擊，并通過黑市購買外流的賬號密碼，進(jìn)行密碼噴濺攻擊。微軟過去一直鼓勵客戶應(yīng)采用多因素驗證來進(jìn)行身份識別，但報告發(fā)現(xiàn)企業(yè)采用多因素驗證的比例并不高，雖逐年增加但增加的比例很緩慢。

企業(yè)以往對于安全、IT及業(yè)務(wù)三個部門采取分開且獨立運(yùn)行，容易增加被攻擊的風(fēng)險。建議企業(yè)要將安全、IT及業(yè)務(wù)三者進(jìn)行連接，讓彼此的資訊可交流及集成，達(dá)到最佳的安全防護(hù)進(jìn)而提升安全韌性。只要做好多因素驗證、采用零信任原則、使用現(xiàn)代化的安全防護(hù)軟件、進(jìn)行系統(tǒng)的及時更新及資料保護(hù)等網(wǎng)絡(luò)衛(wèi)生的基本防護(hù)，就能阻擋98%的攻擊。