根据微软 10 月 15 日发布的数字防御报告,去年全球针对微软客户的勒索软件攻击尝试数量急剧增加。然而,自动攻击中断技术的进步使得这些攻击达到加密阶段的数量有所减少。
微软报道6亿网络犯罪和民族国家攻击每天都在发生。虽然勒索软件尝试增加了 2.75 倍,但涉及数据加密和勒索要求的成功攻击却下降了三倍。
重要的攻击类型包括深度伪造、电子商务盗窃
微软表示,它“追踪超过 1,500 个独特的威胁团体,其中包括 600 多个民族国家威胁行为团体、300 个网络犯罪团体、200 个影响力行动团体以及数百个其他团体”。排名前五的勒索软件系列——Akira、Lockbit、Play、Blackcat 和 Basta——占已记录攻击的 51%。
根据该报告,攻击者最常利用社会工程、身份泄露以及面向公众的应用程序或未修补的操作系统中的漏洞。一旦进入内部,他们通常会安装远程监控工具或篡改安全产品。值得注意的是,70% 的成功攻击涉及远程加密,92% 的攻击针对的是非托管设备。
其他主要类型的攻击包括:
- 基础设施攻击。
- 网络金融欺诈。
- 对电子商务空间的攻击,其中信用卡交易不需要卡实际存在。
- 冒充。
- 。
- 帐户接管。
- 身份和社会工程攻击——其中大多数(99%)是密码盗窃攻击。
- SIM 交换。
- 服务台社交工程,攻击者冒充客户重置密码或连接新设备。
- 凭据,特别是通过网络钓鱼即服务项目。这些通常是由包含恶意 URL 的 HTML 或 PDF 附件触发的。
- DDoS 攻击,其中今年早些时候。
防病毒篡改也是去年的一个主要因素:2024 年 Microsoft Defender XDR 检测到超过 176,000 起事件涉及篡改安全设置。
请参阅:勒索软件攻击者可以瞄准尝试强制付款。
民族国家、出于经济动机的参与者分享策略
微软发现,出于经济动机的威胁行为者和民族国家行为者越来越多地使用相同的信息窃取程序和命令与控制框架。有趣的是,出于经济动机的行为者现在发起云身份泄露攻击——这种策略以前与民族国家攻击者相关。
报告指出:“今年,与国家有关的威胁行为者越来越多地使用犯罪工具和策略——甚至犯罪分子本身——来推进他们的利益,模糊了民族国家支持的恶意活动和网络犯罪活动之间的界限。”
微软追踪来自俄罗斯的主要威胁组织,、伊朗和朝鲜。这些民族国家可能会利用金融威胁行为者获取利润,或者对其境内的活动视而不见。
微软负责客户安全和信任的公司副总裁汤姆·伯特表示,勒索软件问题凸显了民族国家活动与出于经济动机的网络犯罪之间的联系。如果国家利用这些业务牟利,或者未能在其境内采取行动打击网络犯罪,则加剧了这一问题。
前美国国家安全局网络安全专家埃文·多恩布什 (Evan Dornbush) 就此事提出了观点:
他在给 TechRepublic 的一封电子邮件中表示:“这份报告表明了一种目前很少受到关注的趋势,该趋势可能会定义网络的未来:犯罪分子可以赚取多少钱。” “根据微软的报告,政府作为一个部门只占攻击者目标的 12%。绝大多数受害者都在私营部门。”
今年最受民族国家威胁行为者攻击的行业是:
- 它。
- 教育 。
- 政府。
- 智库和非政府组织。
- 运输。
攻击者和防御者都使用生成式人工智能
引入了一组新问题。微软建议限制生成式人工智能对敏感数据的访问,并确保数据治理策略应用于其使用。该报告概述了人工智能对网络安全的重大影响:
- 攻击者和防御者都越来越多地使用人工智能工具。
- 国家行为者可以利用人工智能生成欺骗性的音频和视频。
- 人工智能鱼叉式网络钓鱼、简历蜂拥而至和深度造假现在很常见。
- 限制外国影响力运作的传统方法可能不再有效。
- 人工智能政策和原则可以减轻与使用人工智能工具相关的一些风险。
- 尽管许多政府都同意安全需求是人工智能发展的一个重要因素,但不同的政府以不同的方式追求安全。
伯特解释说:“必须通过有效的威慑来减少攻击的绝对数量,虽然该行业必须采取更多措施,通过更好的网络安全来阻止攻击者的努力,但这需要与政府行动相结合,以施加后果,进一步阻止最有害的网络攻击。”
组织如何防止常见的网络攻击
Microsoft 报告包含组织可以采取的防止特定类型攻击的措施。 TechRepublic 总结了一些全面适用的可行见解:
- 在技术层破坏攻击,这意味着实施多因素身份验证和减少攻击面等策略。
- 同样,使用“默认安全”设置,这使得多重身份验证成为强制性的。
- 使用强密码保护。
- 在仅报告模式下测试预配置的安全设置,例如安全默认值或托管条件访问策略,以在上线前了解其潜在影响。
- 对敏感数据进行分类和标记,并针对高风险数据和高风险用户制定 DLP、数据生命周期和条件访问策略。
微软将其在 2023 年 7 月中国入侵微软政府电子邮件帐户后,该措施于今年实施。