報告概述了NCSC在2021年處理的777起網(wǎng)絡攻擊，以及專業(yè)、有組織的勒索軟件活動對英國組織的破壞性影響，并強調了勒索軟件即服務商業(yè)模式的持續(xù)演變。

　　2021年11月17日，英國國家網(wǎng)絡安全中心（NCSC）發(fā)布了最新的2021年度審查報告，詳細介紹了過去12個月的網(wǎng)絡威脅趨勢及其為保護英國而開展的工作。概述了NCSC在2021年處理的777起網(wǎng)絡攻擊，以及專業(yè)、有組織的勒索軟件活動對英國組織的破壞性影響，并強調了勒索軟件即服務（RaaS）商業(yè)模式的持續(xù)演變。

　　摘譯 | 韓昱/賽博研究院實習研究員

　　來源 | 英國NCSC

　　NCSC工作概述

　　NCSC成立于2016年，旨在滿足政府對網(wǎng)絡安全的需求，改善英國國防，使英國成為最安全的在線生活和工作場所。

　　過去12個月，NCSC開創(chuàng)性的主動網(wǎng)絡防御計劃已經(jīng)摧毀了230萬個網(wǎng)絡惡意活動，包括442個使用NHS品牌的網(wǎng)絡釣魚活動和80個在官方應用商店之外托管和下載的非法NHS應用。同時，NCSC為777起重大事件提供了支持，比前一年的723起有所增加，大約20%受支持的組織與衛(wèi)生部門和疫苗有關。此外，NCSC收到了540萬份來自公眾的潛在惡意電子郵件報告，刪除了50500多個欺詐和90100多個惡意URL。通過NCSC的保護域名系統(tǒng)服務，衛(wèi)生部門和疫苗生產(chǎn)部門的工作人員受到保護，阻止了44億潛在有害的訪問交互。

　　NCSC這一年度的工作不僅僅針對疫情相關安全威脅，還與大約5000家組織進行了接觸，并向80家公司和14所大學發(fā)布了安全指導和威脅評估。

　　2021年網(wǎng)絡威脅

　　在2021年網(wǎng)絡威脅中，勒索軟件和供應鏈攻擊極為突出。

　　勒索軟件

　　2020年，犯罪分子試圖在加密受害者網(wǎng)絡之前進行數(shù)據(jù)滲透，然后威脅數(shù)據(jù)泄露與索要贖金（所謂的雙重勒索）。過去一年，美國輸油管道勒索攻擊等事件受到了廣泛的關注。

　　后續(xù)，勒索攻擊導致數(shù)據(jù)泄露威脅肯定會繼續(xù)增加。極有可能有更多的英國人受到雙重勒索的威脅。

　　供應鏈攻擊

　　供應鏈是托管服務提供商基于信任關系運行的，這種關系幫助了多個部門更好地保護易受攻擊目標。

　　盡管這類攻擊并不新鮮，但其造成了巨大影響，例如SolarWinds和微軟Exchange服務器供應鏈漏洞，波及了多個美國政府部門、英國云和電子郵件安全公司Mimecast以及其他受害者。開源報告顯示，僅在美國就有30000家組織因Microsoft Exchange服務器中的零日漏洞而受到威脅。

　　對SolarWinds和微軟Exchange服務器的漏洞利用突出了供應鏈攻擊的威脅。這些復雜的攻擊是NCSC觀察到的最嚴重的兩起網(wǎng)絡入侵事件，參與者攻擊的目標是經(jīng)濟、政府和國家安全機構供應鏈中較不安全的要素，如托管服務提供商或商業(yè)軟件平臺。

　　供應鏈事件突出了供應鏈運營的可行性、有效性和全球覆蓋范圍。在未來一年內(nèi)，幾乎可以肯定，還會有進一步的此類攻擊行動。

　　基于主動網(wǎng)絡防御（ACD）對抗不斷演變的勒索軟件威脅

　　1.防止勒索軟件進入

　　NCSC為符合條件的組織提供一系列免費網(wǎng)絡安全工具和服務，作為主動網(wǎng)絡防御（ACD）計劃的一部分。這些舉措有助于組織發(fā)現(xiàn)和修復漏洞、管理事件或自動中斷網(wǎng)絡攻擊。NCSC的一些服務主要是為公共部門設計的，而其他服務則更廣泛地提供給私營部門或公民，這取決于它們的適用性和可行性。ACD幫助組織保護其IT的安全，并且警惕經(jīng)常被用來傳遞勒索軟的以下載體：

　　A.網(wǎng)絡釣魚和遠程桌面協(xié)議端口暴露是勒索軟件的主要載體。

　　B.郵件檢查幫助用戶配置DMARC安全協(xié)議。NCSC的綜合DMARC服務對不存在的gov.uk域名也有同樣的作用。

　　C.Web檢查和早期警告掃描用戶的Web服務以查找暴露的端口，例如用于遠程桌面協(xié)議的端口3390。

　　D.勒索軟件的另一個常見載體是軟件漏洞，HBC、預警、Web檢查、漏洞披露服務和漏洞披露工具包試圖解決這些漏洞。

　　2.防止勒索軟件工作

　　ACD有助于破壞勒索軟件。

　　A.保護域名系統(tǒng)（PDNS）可以通過阻止與已知勒索軟件域的連接來防止勒索軟件運行。

　　B.可疑電子郵件報告服務（SERS）允許公眾向NCSC報告可疑電子郵件。Takedown服務還從其他來源接收惡意域的提要，并向托管惡意域的公司發(fā)送請求刪除惡意域的通知。該刪除服務還將惡意域名添加到安全瀏覽列表中，以便瀏覽器阻止對其的訪問。

　　C.演習服務可以幫助組織實踐其對網(wǎng)絡安全場景和事件的響應。這些演習幫助組織準備限制網(wǎng)絡攻擊的影響，包括勒索軟件。

　　3.啟用調查和事件響應

　　ACD提供數(shù)據(jù)和工具，以調查可疑勒索軟件并作出回應。

　　A.在可疑查詢時，即使PDNS的拒絕列表不知道勒索軟件域，服務也會記錄客戶組織試圖連接到該域的事實。一旦域名被認定為可疑，這些記錄可用于在事件發(fā)生后識別組織中是否存在勒索軟件。

　　B.HBC可以檢測客戶網(wǎng)絡上的威脅。該軟件代理廣泛安裝在官方政府的設備上，并向NCSC的專家分析師發(fā)送技術元數(shù)據(jù)，這些專家分析師使用專業(yè)技術識別可疑活動。

　　C.HBC和PDNS是互補的。PDNS提供了哪些組織可能受到勒索軟件影響的估計，而HBC完全有能力對特定設備上的活動進行更詳細的調查。

　　D.通過將各種來源的威脅情報映射到客戶IP范圍、ASN和域名，早期預警可以識別客戶網(wǎng)絡上的主動危害。該服務會提醒用戶注意事件、可疑網(wǎng)絡活動、漏洞和不需要的開放端口。

　　恢復網(wǎng)絡彈性的10個步驟

　　1.風險管理

　　采取基于風險的方法保護數(shù)據(jù)和系統(tǒng)。

　　2.參與和培訓

　　協(xié)作構建適用于組織內(nèi)部人員的安全性。

　　3.資產(chǎn)管理

　　了解擁有哪些數(shù)據(jù)和系統(tǒng)以及它們需要支持哪些業(yè)務。

　　4.架構和配置

　　安全地設計、構建、維護和管理系統(tǒng)。

　　5.脆弱性管理

　　在系統(tǒng)的整個生命周期中保護系統(tǒng)。

　　6.身份和訪問

　　管理層控制誰和什么可以訪問系統(tǒng)和數(shù)據(jù)。

　　7.數(shù)據(jù)安全

　　保護易受攻擊的數(shù)據(jù)。

　　8.記錄和監(jiān)測

　　將系統(tǒng)設計為能夠檢測和調查事件。

　　9.事件管理

　　提前計劃應對網(wǎng)絡事件。

　　10.供應鏈安全

　　與供應商和合作伙伴達成合作。

　　構建安全生態(tài)系統(tǒng)

　　NCSC致力于應對威脅，增強英國抵御威脅的能力，而加強英國蓬勃發(fā)展的網(wǎng)絡安全生態(tài)系統(tǒng)發(fā)揮著關鍵作用。

　　NCSC通過培養(yǎng)年輕人才到創(chuàng)造進一步的教育機會、支持網(wǎng)絡初創(chuàng)企業(yè)、測試和認證安全行業(yè)的標準、推動增長和創(chuàng)新到與行業(yè)分享最佳實踐，NCSC通過構建安全生態(tài)體系對增強其國家安全能力帶來積極的現(xiàn)實影響。