報告概述了NCSC在2021年處理的777起網(wǎng)絡(luò)攻擊，以及專業(yè)、有組織的勒索軟件活動對英國組織的破壞性影響，并強(qiáng)調(diào)了勒索軟件即服務(wù)商業(yè)模式的持續(xù)演變。

　　2021年11月17日，英國國家網(wǎng)絡(luò)安全中心（NCSC）發(fā)布了最新的2021年度審查報告，詳細(xì)介紹了過去12個月的網(wǎng)絡(luò)威脅趨勢及其為保護(hù)英國而開展的工作。概述了NCSC在2021年處理的777起網(wǎng)絡(luò)攻擊，以及專業(yè)、有組織的勒索軟件活動對英國組織的破壞性影響，并強(qiáng)調(diào)了勒索軟件即服務(wù)（RaaS）商業(yè)模式的持續(xù)演變。

　　摘譯 | 韓昱/賽博研究院實(shí)習(xí)研究員

　　來源 | 英國NCSC

　　NCSC工作概述

　　NCSC成立于2016年，旨在滿足政府對網(wǎng)絡(luò)安全的需求，改善英國國防，使英國成為最安全的在線生活和工作場所。

　　過去12個月，NCSC開創(chuàng)性的主動網(wǎng)絡(luò)防御計劃已經(jīng)摧毀了230萬個網(wǎng)絡(luò)惡意活動，包括442個使用NHS品牌的網(wǎng)絡(luò)釣魚活動和80個在官方應(yīng)用商店之外托管和下載的非法NHS應(yīng)用。同時，NCSC為777起重大事件提供了支持，比前一年的723起有所增加，大約20%受支持的組織與衛(wèi)生部門和疫苗有關(guān)。此外，NCSC收到了540萬份來自公眾的潛在惡意電子郵件報告，刪除了50500多個欺詐和90100多個惡意URL。通過NCSC的保護(hù)域名系統(tǒng)服務(wù)，衛(wèi)生部門和疫苗生產(chǎn)部門的工作人員受到保護(hù)，阻止了44億潛在有害的訪問交互。

　　NCSC這一年度的工作不僅僅針對疫情相關(guān)安全威脅，還與大約5000家組織進(jìn)行了接觸，并向80家公司和14所大學(xué)發(fā)布了安全指導(dǎo)和威脅評估。

　　2021年網(wǎng)絡(luò)威脅

　　在2021年網(wǎng)絡(luò)威脅中，勒索軟件和供應(yīng)鏈攻擊極為突出。

　　勒索軟件

　　2020年，犯罪分子試圖在加密受害者網(wǎng)絡(luò)之前進(jìn)行數(shù)據(jù)滲透，然后威脅數(shù)據(jù)泄露與索要贖金（所謂的雙重勒索）。過去一年，美國輸油管道勒索攻擊等事件受到了廣泛的關(guān)注。

　　后續(xù)，勒索攻擊導(dǎo)致數(shù)據(jù)泄露威脅肯定會繼續(xù)增加。極有可能有更多的英國人受到雙重勒索的威脅。

　　供應(yīng)鏈攻擊

　　供應(yīng)鏈?zhǔn)峭泄芊?wù)提供商基于信任關(guān)系運(yùn)行的，這種關(guān)系幫助了多個部門更好地保護(hù)易受攻擊目標(biāo)。

　　盡管這類攻擊并不新鮮，但其造成了巨大影響，例如SolarWinds和微軟Exchange服務(wù)器供應(yīng)鏈漏洞，波及了多個美國政府部門、英國云和電子郵件安全公司Mimecast以及其他受害者。開源報告顯示，僅在美國就有30000家組織因Microsoft Exchange服務(wù)器中的零日漏洞而受到威脅。

　　對SolarWinds和微軟Exchange服務(wù)器的漏洞利用突出了供應(yīng)鏈攻擊的威脅。這些復(fù)雜的攻擊是NCSC觀察到的最嚴(yán)重的兩起網(wǎng)絡(luò)入侵事件，參與者攻擊的目標(biāo)是經(jīng)濟(jì)、政府和國家安全機(jī)構(gòu)供應(yīng)鏈中較不安全的要素，如托管服務(wù)提供商或商業(yè)軟件平臺。

　　供應(yīng)鏈?zhǔn)录怀隽斯?yīng)鏈運(yùn)營的可行性、有效性和全球覆蓋范圍。在未來一年內(nèi)，幾乎可以肯定，還會有進(jìn)一步的此類攻擊行動。

　　基于主動網(wǎng)絡(luò)防御（ACD）對抗不斷演變的勒索軟件威脅

　　1.防止勒索軟件進(jìn)入

　　NCSC為符合條件的組織提供一系列免費(fèi)網(wǎng)絡(luò)安全工具和服務(wù)，作為主動網(wǎng)絡(luò)防御（ACD）計劃的一部分。這些舉措有助于組織發(fā)現(xiàn)和修復(fù)漏洞、管理事件或自動中斷網(wǎng)絡(luò)攻擊。NCSC的一些服務(wù)主要是為公共部門設(shè)計的，而其他服務(wù)則更廣泛地提供給私營部門或公民，這取決于它們的適用性和可行性。ACD幫助組織保護(hù)其IT的安全，并且警惕經(jīng)常被用來傳遞勒索軟的以下載體：

　　A.網(wǎng)絡(luò)釣魚和遠(yuǎn)程桌面協(xié)議端口暴露是勒索軟件的主要載體。

　　B.郵件檢查幫助用戶配置DMARC安全協(xié)議。NCSC的綜合DMARC服務(wù)對不存在的gov.uk域名也有同樣的作用。

　　C.Web檢查和早期警告掃描用戶的Web服務(wù)以查找暴露的端口，例如用于遠(yuǎn)程桌面協(xié)議的端口3390。

　　D.勒索軟件的另一個常見載體是軟件漏洞，HBC、預(yù)警、Web檢查、漏洞披露服務(wù)和漏洞披露工具包試圖解決這些漏洞。

　　2.防止勒索軟件工作

　　ACD有助于破壞勒索軟件。

　　A.保護(hù)域名系統(tǒng)（PDNS）可以通過阻止與已知勒索軟件域的連接來防止勒索軟件運(yùn)行。

　　B.可疑電子郵件報告服務(wù)（SERS）允許公眾向NCSC報告可疑電子郵件。Takedown服務(wù)還從其他來源接收惡意域的提要，并向托管惡意域的公司發(fā)送請求刪除惡意域的通知。該刪除服務(wù)還將惡意域名添加到安全瀏覽列表中，以便瀏覽器阻止對其的訪問。

　　C.演習(xí)服務(wù)可以幫助組織實(shí)踐其對網(wǎng)絡(luò)安全場景和事件的響應(yīng)。這些演習(xí)幫助組織準(zhǔn)備限制網(wǎng)絡(luò)攻擊的影響，包括勒索軟件。

　　3.啟用調(diào)查和事件響應(yīng)

　　ACD提供數(shù)據(jù)和工具，以調(diào)查可疑勒索軟件并作出回應(yīng)。

　　A.在可疑查詢時，即使PDNS的拒絕列表不知道勒索軟件域，服務(wù)也會記錄客戶組織試圖連接到該域的事實(shí)。一旦域名被認(rèn)定為可疑，這些記錄可用于在事件發(fā)生后識別組織中是否存在勒索軟件。

　　B.HBC可以檢測客戶網(wǎng)絡(luò)上的威脅。該軟件代理廣泛安裝在官方政府的設(shè)備上，并向NCSC的專家分析師發(fā)送技術(shù)元數(shù)據(jù)，這些專家分析師使用專業(yè)技術(shù)識別可疑活動。

　　C.HBC和PDNS是互補(bǔ)的。PDNS提供了哪些組織可能受到勒索軟件影響的估計，而HBC完全有能力對特定設(shè)備上的活動進(jìn)行更詳細(xì)的調(diào)查。

　　D.通過將各種來源的威脅情報映射到客戶IP范圍、ASN和域名，早期預(yù)警可以識別客戶網(wǎng)絡(luò)上的主動危害。該服務(wù)會提醒用戶注意事件、可疑網(wǎng)絡(luò)活動、漏洞和不需要的開放端口。

　　恢復(fù)網(wǎng)絡(luò)彈性的10個步驟

　　1.風(fēng)險管理

　　采取基于風(fēng)險的方法保護(hù)數(shù)據(jù)和系統(tǒng)。

　　2.參與和培訓(xùn)

　　協(xié)作構(gòu)建適用于組織內(nèi)部人員的安全性。

　　3.資產(chǎn)管理

　　了解擁有哪些數(shù)據(jù)和系統(tǒng)以及它們需要支持哪些業(yè)務(wù)。

　　4.架構(gòu)和配置

　　安全地設(shè)計、構(gòu)建、維護(hù)和管理系統(tǒng)。

　　5.脆弱性管理

　　在系統(tǒng)的整個生命周期中保護(hù)系統(tǒng)。

　　6.身份和訪問

　　管理層控制誰和什么可以訪問系統(tǒng)和數(shù)據(jù)。

　　7.數(shù)據(jù)安全

　　保護(hù)易受攻擊的數(shù)據(jù)。

　　8.記錄和監(jiān)測

　　將系統(tǒng)設(shè)計為能夠檢測和調(diào)查事件。

　　9.事件管理

　　提前計劃應(yīng)對網(wǎng)絡(luò)事件。

　　10.供應(yīng)鏈安全

　　與供應(yīng)商和合作伙伴達(dá)成合作。

　　構(gòu)建安全生態(tài)系統(tǒng)

　　NCSC致力于應(yīng)對威脅，增強(qiáng)英國抵御威脅的能力，而加強(qiáng)英國蓬勃發(fā)展的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)發(fā)揮著關(guān)鍵作用。

　　NCSC通過培養(yǎng)年輕人才到創(chuàng)造進(jìn)一步的教育機(jī)會、支持網(wǎng)絡(luò)初創(chuàng)企業(yè)、測試和認(rèn)證安全行業(yè)的標(biāo)準(zhǔn)、推動增長和創(chuàng)新到與行業(yè)分享最佳實(shí)踐，NCSC通過構(gòu)建安全生態(tài)體系對增強(qiáng)其國家安全能力帶來積極的現(xiàn)實(shí)影響。