微软报告显示网络威胁日益复杂

今天，微软发布了一份新的年度报告，名为“数字防御报告”，涵盖了过去一年的网络安全趋势。这份报告清楚地表明，在过去的一年里，威胁行为者的复杂性迅速增加，使用的技术使他们更难被发现，甚至威胁到最精明的目标。例如，民族国家行为者正在从事新的侦察技术，这增加了他们危及高价值目标的机会，针对企业的犯罪集团将其基础设施转移到云中，以隐藏在合法服务中，攻击者已经开发出新的方法来搜索互联网上易受勒索软件攻击的系统。

除了攻击变得更加复杂外，威胁行为者还表现出对某些技术的明显偏好，明显转向凭证获取和勒索软件，并越来越关注物联网(IoT)设备。关于这些趋势的最重要的统计数据包括：

2019年，我们拦截了130多亿封恶意邮件和可疑邮件，其中10多亿是明确为了发起钓鱼凭据攻击而设置的URL。

勒索软件是我们2019年10月至2020年7月的事件响应活动背后最常见的原因。

民族国家行为者在过去一年中使用的最常见的攻击技术是侦察、凭证获取、恶意软件和虚拟专用网(VPN)利用。

物联网威胁正在不断扩大和发展。与2019年下半年相比，2020年上半年的总攻击量增长了约35%。

鉴于过去一年攻击复杂性的飞跃，我们比以往任何时候都更重要地采取措施建立网络空间的新规则：所有组织，无论是政府机构还是企业，都要在人员和技术上进行投资，以帮助阻止攻击；人们应该把重点放在基础上，包括定期应用安全更新、全面的备份策略，特别是启用多因素身份验证(MFA)。我们的数据显示，仅启用MFA就可以防止绝大多数成功的攻击。

在这篇博客文章中，我将总结今年报告中的一些最重要的见解，包括对个人和企业的相关建议。

犯罪集团技术娴熟，冷酷无情。他们已经变得善于发展他们的技术来提高成功率，无论是通过试验不同的网络钓鱼诱饵，调整他们执行的攻击类型，还是找到新的方法来隐藏他们的工作。

在过去的几个月里，我们看到网络犯罪分子利用他们成熟的战术和恶意软件来对抗我们人类的好奇心和对信息的需求。攻击者是机会主义的，每天都会切换引诱主题，以配合新闻周期，就像他们利用新冠肺炎大流行所看到的那样。虽然恶意软件的总量随着时间的推移相对稳定，但对手利用世界范围内对新冠肺炎的担忧，在社会上策划了诱饵，绕过了我们的集体焦虑和与流行病相关的大量信息。近几个月来，以新冠肺炎为主题的钓鱼攻击量有所下降。这些活动被广泛用于广泛瞄准消费者，以及专门针对基本行业部门，如医疗保健。

在过去的几年里，网络犯罪分子集中在恶意软件攻击上。最近，他们将重点转向网络钓鱼攻击(约70%)，以此作为实现获取人们凭据的更直接手段。为了诱骗人们放弃他们的证书，攻击者经常发送模仿顶级品牌的电子邮件。根据我们的Office365遥测，在这些攻击中使用的顶级欺骗品牌是微软、UPS、亚马逊、苹果和Zoom。

此外，我们还看到一些攻击活动正在迅速改变或变形以逃避检测。变形在发送域、电子邮件地址、内容模板和URL域之间使用。我们的目标是增加变化的组合，使其保持不可见状态。

民族国家已经改变了他们的目标，以与其发源国不断演变的政治目标保持一致。

微软观察到16个不同的民族国家行为者，要么瞄准了参与全球新冠肺炎响应努力的客户，要么利用主题诱饵中的危机来扩大他们的凭据窃取和恶意软件交付策略。这些以COVID为主题的攻击目标是著名的政府医疗保健组织，试图对其网络或人员进行侦察。参与疫苗研究的学术和商业组织也成为目标。

近年来，人们对关键基础设施中的漏洞给予了重要关注。虽然我们必须保持警惕并继续加强关键基础设施的安全，虽然这些目标将继续对民族国家行为者具有吸引力，但在过去一年里，这些行为者基本上把重点放在了其他类型的组织上。事实上，在过去的一年里，90%的民族国家通知都发送给了不运营关键基础设施的组织。共同的目标包括非政府组织(NGO)、倡导团体、人权组织和专注于公共政策、国际事务或安全的智库。这一趋势可能表明，民族国家行为者一直在针对那些参与公共政策和地缘政治的人，特别是那些可能帮助制定官方政府政策的人。我们在过去一年中观察到的大多数民族国家活动都来自俄罗斯、伊朗、中国和朝鲜的团体。

我们追踪的每个民族国家参与者都有自己的首选技术，该报告详细介绍了一些最活跃的群体的首选技术。

国土安全部(Department Of Homeland Security)、联邦调查局(FBI)和其他机构已经警告我们所有人要提防勒索软件，特别是它可能被用来扰乱2020年选举。我们所看到的支持了他们提出的担忧。

加密和丢失的文件以及威胁赎金的便条现在已经成为大多数高管团队最担心的问题。攻击模式表明，网络犯罪分子知道何时会出现更改冻结(例如假期)，这将影响组织进行更改(例如打补丁)以加强其网络的能力。他们知道何时会有业务需求使组织更愿意支付赎金而不是造成停机时间，例如在医疗、金融和法律行业的计费周期期间。

攻击者利用新冠肺炎危机来缩短他们在受害者系统中的停留时间--泄露、泄露数据，在某些情况下还会迅速赎回--显然是认为疫情爆发会增加支付意愿。在某些情况下，网络罪犯从最初进入到赎回整个网络只需不到45分钟。

与此同时，我们还看到，人工操作的勒索软件团伙正在对互联网进行大规模、大范围的扫荡，寻找易受攻击的入口点，因为他们正在“银行”访问-等待一个对他们的目的有利的时间。

大家都知道，新冠肺炎加速了2019年本已火热进行的在家办公风潮。

组织边界内的传统安全策略在由家庭和其他专用网络以及连接路径中的非托管资产组成的更广泛的网络中执行起来变得困难得多。随着组织继续将应用程序迁移到云，我们看到网络犯罪分子增加了分布式拒绝服务(DDoS)攻击，以扰乱用户访问，甚至混淆对组织资源的更多恶意和有害渗透。

同样重要的是，通过关注内部威胁和恶意行为者的社会工程等挑战，将人的因素作为安全员工队伍的基础来解决。在微软最近进行的一项调查中，73%的CIO表示，他们的组织在过去12个月中遇到了敏感数据泄露和数据泄漏，由于新冠肺炎疫情，他们计划在内部风险技术上投入更多资金。

在2020年上半年，我们看到使用暴力攻击企业账户的基于身份的攻击有所增加。此攻击技术使用系统猜测、密码列表、先前入侵的转储凭证或其他类似方法强制向设备或服务进行身份验证。鉴于密码被猜测、钓鱼、被恶意软件窃取或重复使用的频率，人们将密码与某种第二种形式的强凭据配对是至关重要的。对于组织来说，启用MFA是必要的行动号召。

在微软，我们使用技术、运营、法律行动和政策的组合来扰乱和威慑恶意活动。

例如，作为一项技术措施，我们正在Microsoft 365中投资复杂的营销活动群集智能，以使安全运营中心(SOC)团队能够从碎片中拼凑出这些日益复杂的营销活动。我们还试图通过法律行动扰乱犯罪分子的活动，使其更难运作。通过采取主动行动来夺取其恶意基础设施，不良行为者失去了对以前在其控制下的一系列资产的可见性、能力和访问权限，迫使它们进行重建。自2010年以来，我们的数字犯罪部门已与执法部门和其他合作伙伴合作进行了22次恶意软件中断，从网络犯罪分子手中解救了超过5亿台设备。

即使我们将所有资源都投入到网络安全上，我们的贡献也只是应对挑战所需的一小部分。它需要政策制定者、商界、政府机构以及最终个人做出真正的改变，而我们只有通过共享信息和伙伴关系才能产生重大影响。这是我们在2005年最初推出微软安全情报报告的原因之一，也是我们将该报告演变成这份新的数字防御报告的原因之一。我们希望这一贡献将帮助我们所有人更好地共同努力，提高数字生态系统的安全性。