2021年11月17日,英国国家网络安全中心(NCSC)发布了最新的2021年度审查报告,详细介绍了过去12个月的网络威胁趋势及其为保护英国而开展的工作。概述了NCSC在2021年处理的777起网络攻击,以及专业、有组织的勒索软件活动对英国组织的破坏性影响,并强调了勒索软件即服务(RaaS)商业模式的持续演变。
摘译 | 韩昱/赛博研究院实习研究员
来源 | 英国NCSC
NCSC工作概述
NCSC成立于2016年,旨在满足政府对网络安全的需求,改善英国国防,使英国成为最安全的在线生活和工作场所。
过去12个月,NCSC开创性的主动网络防御计划已经摧毁了230万个网络恶意活动,包括442个使用NHS品牌的网络钓鱼活动和80个在官方应用商店之外托管和下载的非法NHS应用。同时,NCSC为777起重大事件提供了支持,比前一年的723起有所增加,大约20%受支持的组织与卫生部门和疫苗有关。此外,NCSC收到了540万份来自公众的潜在恶意电子邮件报告,删除了50500多个欺诈和90100多个恶意URL。通过NCSC的保护域名系统服务,卫生部门和疫苗生产部门的工作人员受到保护,阻止了44亿潜在有害的访问交互。
NCSC这一年度的工作不仅仅针对疫情相关安全威胁,还与大约5000家组织进行了接触,并向80家公司和14所大学发布了安全指导和威胁评估。
2021年网络威胁
在2021年网络威胁中,勒索软件和供应链攻击极为突出。
勒索软件
2020年,犯罪分子试图在加密受害者网络之前进行数据渗透,然后威胁数据泄露与索要赎金(所谓的双重勒索)。过去一年,美国输油管道勒索攻击等事件受到了广泛的关注。
后续,勒索攻击导致数据泄露威胁肯定会继续增加。极有可能有更多的英国人受到双重勒索的威胁。
供应链攻击
供应链是托管服务提供商基于信任关系运行的,这种关系帮助了多个部门更好地保护易受攻击目标。
尽管这类攻击并不新鲜,但其造成了巨大影响,例如SolarWinds和微软Exchange服务器供应链漏洞,波及了多个美国政府部门、英国云和电子邮件安全公司Mimecast以及其他受害者。开源报告显示,仅在美国就有30000家组织因Microsoft Exchange服务器中的零日漏洞而受到威胁。
对SolarWinds和微软Exchange服务器的漏洞利用突出了供应链攻击的威胁。这些复杂的攻击是NCSC观察到的最严重的两起网络入侵事件,参与者攻击的目标是经济、政府和国家安全机构供应链中较不安全的要素,如托管服务提供商或商业软件平台。
供应链事件突出了供应链运营的可行性、有效性和全球覆盖范围。在未来一年内,几乎可以肯定,还会有进一步的此类攻击行动。
基于主动网络防御(ACD)对抗不断演变的勒索软件威胁
1.防止勒索软件进入
NCSC为符合条件的组织提供一系列免费网络安全工具和服务,作为主动网络防御(ACD)计划的一部分。这些举措有助于组织发现和修复漏洞、管理事件或自动中断网络攻击。NCSC的一些服务主要是为公共部门设计的,而其他服务则更广泛地提供给私营部门或公民,这取决于它们的适用性和可行性。ACD帮助组织保护其IT的安全,并且警惕经常被用来传递勒索软的以下载体:
A.网络钓鱼和远程桌面协议端口暴露是勒索软件的主要载体。
B.邮件检查帮助用户配置DMARC安全协议。NCSC的综合DMARC服务对不存在的gov.uk域名也有同样的作用。
C.Web检查和早期警告扫描用户的Web服务以查找暴露的端口,例如用于远程桌面协议的端口3390。
D.勒索软件的另一个常见载体是软件漏洞,HBC、预警、Web检查、漏洞披露服务和漏洞披露工具包试图解决这些漏洞。
2.防止勒索软件工作
ACD有助于破坏勒索软件。
A.保护域名系统(PDNS)可以通过阻止与已知勒索软件域的连接来防止勒索软件运行。
B.可疑电子邮件报告服务(SERS)允许公众向NCSC报告可疑电子邮件。Takedown服务还从其他来源接收恶意域的提要,并向托管恶意域的公司发送请求删除恶意域的通知。该删除服务还将恶意域名添加到安全浏览列表中,以便浏览器阻止对其的访问。
C.演习服务可以帮助组织实践其对网络安全场景和事件的响应。这些演习帮助组织准备限制网络攻击的影响,包括勒索软件。
3.启用调查和事件响应
ACD提供数据和工具,以调查可疑勒索软件并作出回应。
A.在可疑查询时,即使PDNS的拒绝列表不知道勒索软件域,服务也会记录客户组织试图连接到该域的事实。一旦域名被认定为可疑,这些记录可用于在事件发生后识别组织中是否存在勒索软件。
B.HBC可以检测客户网络上的威胁。该软件代理广泛安装在官方政府的设备上,并向NCSC的专家分析师发送技术元数据,这些专家分析师使用专业技术识别可疑活动。
C.HBC和PDNS是互补的。PDNS提供了哪些组织可能受到勒索软件影响的估计,而HBC完全有能力对特定设备上的活动进行更详细的调查。
D.通过将各种来源的威胁情报映射到客户IP范围、ASN和域名,早期预警可以识别客户网络上的主动危害。该服务会提醒用户注意事件、可疑网络活动、漏洞和不需要的开放端口。
恢复网络弹性的10个步骤
1.风险管理
采取基于风险的方法保护数据和系统。
2.参与和培训
协作构建适用于组织内部人员的安全性。
3.资产管理
了解拥有哪些数据和系统以及它们需要支持哪些业务。
4.架构和配置
安全地设计、构建、维护和管理系统。
5.脆弱性管理
在系统的整个生命周期中保护系统。
6.身份和访问
管理层控制谁和什么可以访问系统和数据。
7.数据安全
保护易受攻击的数据。
8.记录和监测
将系统设计为能够检测和调查事件。
9.事件管理
提前计划应对网络事件。
10.供应链安全
与供应商和合作伙伴达成合作。
构建安全生态系统
NCSC致力于应对威胁,增强英国抵御威胁的能力,而加强英国蓬勃发展的网络安全生态系统发挥着关键作用。
NCSC通过培养年轻人才到创造进一步的教育机会、支持网络初创企业、测试和认证安全行业的标准、推动增长和创新到与行业分享最佳实践,NCSC通过构建安全生态体系对增强其国家安全能力带来积极的现实影响。
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。