Professional Documents
Culture Documents
Microsoft 數位防禦報告
Microsoft 數位防禦報告
3 簡介 71 簡介 110 簡介
5 2021 年的主要重心 72 管理與供應商生態系統相關風險的 111 假資訊是一種新興威脅
挑戰 113 借助媒體素養釐清事實
73 Microsoft 對供應鏈的看法 114 假資訊會為企業製造混亂
76 IoT 和 OT 威脅環境 117 活動的安全性與選舉的公正性
第2章
81 高度安全裝置的 7 項特質
網路犯罪現況 82 將零信任方法應用於 IoT 解決方案 第7章
83 處於網路安全性與永續性交會點的 IOT
8 簡介
84 IoT 安全性政策考量
可付諸行動的見解
8 網路犯罪經濟與服務
10 勒索軟體與勒索 122 簡介
20 網路釣魚及其他惡意電子郵件
第5章 123 報告結果摘要
34 惡意軟體 混合式工作團隊的安全性 128 總結
38 惡意網域
42 對抗式機器學習 89 簡介 Microsoft 的參與團隊
91 保護混合式辦公的零信任方法
第3章 93 身分識別
98 裝置/端點
國家威脅 99 應用程式
100 網路
48 簡介
104 基礎結構
49 追蹤國家威脅
105 資料
52 所見所聞
106 人員
57 本年度國家活動分析
69 民間攻擊行為體
69 必備的全方位保護
簡介 2021 年的主要重心
簡介
TOM BURT,公司副總裁,客戶安全和信任部門
過去一年來,全球都見證了網路犯罪經濟及網路犯罪服務的迅速發展和崛起。我們看到全球市場在複雜性和
狂熱度方面的增長。我們同時也發現網路攻擊環境變得日漸複雜,因為網路罪犯在這段危機時刻仍持續活動,
甚至可說更加猛烈。新層次的供應鏈和勒索軟體攻擊,讓我們領悟到大家必須攜手合作,並以全新的方式一
同守護全球網路安全。 《MICROSOFT 數位
防禦報告》取材自遍
我們認為透明度和資訊共享對保護生態系統來說至關 《Microsoft 數位防禦報告》取材自遍布 Microsoft 雲 Microsoft 為了提升及增進從威脅訊號獲得的知識,
重要。知識帶來力量,為此,安全性專業人員需要及 端、端點和智慧邊緣的見解、資料和訊號。 這些見 1
已持續付出大量投資。大家在這裡看到的見解,都是 布 MICROSOFT 雲端、
時且多元化的見解,來掌握他們抵禦的威脅。 解是從我們先進的工程和威脅訊號收集而得,並由經 因為這些投資才能確保高度合成性與整合性。我們彙
端點和智慧邊緣的見解、
過數千名遍及 77 個國家 / 地區的 Microsoft 安全性 總這些學習課程的目標,是協助組織了解網路罪犯不
Microsoft 在全球擁有數十億名客戶,因此可以彙總 專家參與解讀。我們的安全性專家包括分析師、研究 斷改變其攻擊模式的方式,並判斷對抗這些攻擊的最 資料和訊號。
各種公司、組織和消費者的安全性資料。我們每天會 人員、回應人員、工程師和資料科學家。我們也會分 佳方法。而我們撰寫及分享這份報告的初衷,是讓全
收到 24 兆個以上的安全性訊號,站在這樣的資訊制 享客戶轉換至混合式工作團隊的經驗談,以及事件回 球社群可以獲益於我們從獨特使命及優勢角度得到的
高點上,可協助我們精確掌握目前網路安全性的狀 應人員的一線實戰案例。當然,我們難免會有疏漏之 見解、觀察和透明度。
態,其中也有部分指標可協助預測攻擊者的後續行動。 處,有些惡意活動是靠業界其他夥伴通報得來。雖然
《Microsoft 數位防禦報告》的創立目標是希望能比以 Microsoft 的防禦者社群努力找出威脅並隨時通知客
往納入 Microsoft 更多領域、更多團隊的整合式資料 戶,但惡意行為體不只技術嫻熟,還防不勝防。我們
和見解。我們會分享所見所聞,協助全球社群加強數 為此付出許多努力,持續分享我們和業界其他夥伴透
位生態系統的防禦,並納入可執行的學習課程,讓公 過這些心血結晶獲得的見解,並希望以此讓每個人都
司、政府和消費者可以使用這些學習課程,進一步保 能更有效地守護線上生態系統。
護個人和環境。
1
我們在收集這些訊號時,仍仔細保護客戶的隱私權。我們會依據您跟 Microsoft 的互動情況及您所做的選擇,包括您的隱私權設定以及使用的商品和功能,來判斷要收集哪些資料。 Microsoft 數位防禦報告 | 2021 年 10 月 3
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
簡介 2021 年的主要重心
Microsoft 安全性訊號
Microsoft 處理的訊號數量和多樣性
簡介 2021 年的主要重心
2021 年的主要重心
2021 年讓我們深刻體會到,為了保護未來,我們必
網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性
須了解目前的威脅。為此,我們必須以新的方式持續
這個章節將探討網路犯罪經濟的新發展以及網路犯罪 本章節更新了我們對國家對抗式活動的所見所聞, 從去年受到高度關注的事件可清楚得知,保護及管理
分享資料和見解。隨著網路罪犯改變戰術、運用當前
服務市場的成長。我們會針對勒索軟體與勒索、網路 包括我們之前未曾公開提及的七個活動群組之相關報 供應商生態系統的相關風險至關重要。本章節會討論
事件來利用脆弱目標,並以新管道推展活動,特定類
釣魚和其他惡意電子郵件、惡意軟體,以及網路罪犯 告。我們針對分水嶺這年內不斷變化的威脅提供了分 目前在供應商生態系統中保護及管理相關風險的一些
型的攻擊狀況也更加惡化。對攻擊者和防禦者來說,
所用網域的所見所聞提供最新資訊與分析,並提出降 析,而這份分析更關注內部佈署伺服器及大範圍暴露 挑戰,並說明 Microsoft 對 9 個投資領域中的端對端
變化都會帶來機會,因此這份報告將著重在未來幾個
低各個領域風險的建議。最後,我們會分享我們在對 的供應鏈弱點。最後,我們會以討論民間攻擊行為體 供應鏈安全性有何想法。然後,我們會將討論轉向我
月裡與社群習習相關的最新威脅。
抗式機器學習中的所見所聞,以及我們為了在此領域 作結,並提供全方位保護的指引。 們對於物聯網 (IoT) 和營運技術 (OT) 威脅形勢的所見
中領先網路罪犯而採取的措施。 所聞,以及高安全性裝置屬性的指引。其中包含 IoT
考量威脅形勢,以及全公司團隊的資料和訊號,這份
的專門使用案例,以及一些有助於構思 IoT 政策的新
報告強力聚焦的重點為下列五大關鍵領域:網路犯罪
研究。
現況;國家威脅;供應商生態系統、物聯網 (IoT) 和營
運技術 (OT) 安全性;混合式工作團隊;以及假資訊。
為了將效益最大化,我們還精選相關建議和可執行的
學習課程,並在整份報告及總結章節中加以呈現。
簡介 2021 年的主要重心
第2章
網路犯罪現況
簡介
網路犯罪經濟與服務
勒索軟體與勒索
網路釣魚及其他惡意電子郵件
惡意軟體
惡意網域
對抗式機器學習
簡介: 網路犯罪的威脅日益嚴重
數位犯罪部門總經理 AMY HOGAN-BURNEY
網路犯罪無論是否為國家贊助或允許的行為,都是對國家安全的威脅。網路罪犯會針對關鍵基礎設施的所有產業
發動攻擊,包括醫療保健和公共衛生、資訊技術 (IT)、金融服務以及能源產業。勒索軟體攻擊的成功率越來越高,
癱瘓了政府和企業機能,而且從這些攻擊而來的獲利不斷飆升。
即使不具備如何進行
網路犯罪供應鏈 (通常是由犯罪集團所建立) 愈發成熟,任何人都能購買進行惡意活動所需的服務,以獲取金錢或 網路犯罪攻擊的技術
達成其他不良意圖。經驗豐富的網路罪犯也仍然會為政府工作,在新的戰場上進行間諜和訓練活動。
知識,業餘威脅行為
情況並非毫無希望,我們最近看到兩個正面趨勢。首先, 市場應運而生,威脅行為體也採用更多自動化手法來 體也只需要按一下滑
當越來越多的政府和公司成為受害者時,他們將挺身而
出。這樣的透明性在許多方面很有幫助。這會向全球各
網路犯罪經濟與 降低成本和增加規模。例如,除了遠端桌面通訊協定
(RDP)、安全殼層 (SSH)、虛擬私人網路 (VPN)、虛擬私
鼠,即可購買一系列
地的政府傳達一個明確的訊息,那就是網路犯罪是安全 服務 人伺服器 (VPS)、網頁殼層、cPanel (虛擬主機管理儀表 服務進行攻擊。
性的威脅。受害者故事讓這些攻擊的後果顯得更近人情 板) 及其他匿名化系統之外,我們還看到 Backconnect
且清楚明瞭,引起人們對問題的注意,而讓越來越多的 在我們對線上犯罪網路組織的調查、客戶攻擊的前線 Proxy (在行動、住宅和資料中心系統之間輪替的 Proxy)
事件回應人員和執法機構願意參與。其次,現在全球各 調查、安全性和攻擊研究、國家威脅追蹤以及安全性 的供應不斷增加。
地的政府都了解網路犯罪會對國家安全造成威脅,因此 工具開發過程中,我們持續看到網路犯罪供應鏈的整
加盟模式。非技術網路罪犯與勒索軟體同夥簽約, • 身分識別和密碼/網路釣魚攻擊很便宜,而且不斷
以收入分潤 30% 換取同夥網路提供勒索軟體、復原 增加。如果攻擊者能夠登入,為何還要破門而入?
服務和付款服務。攻擊者接著會從市場購買「負載」,
• 針對未受保護網站的分散式阻斷服務 (DDoS)
再將勒索軟體推送到他們所購買的負載,然後就能
攻擊很便宜,每月大約 USD 300 元。
坐享其成。
• 勒索軟體套件是專為讓低技能攻擊者執行更複雜
攻擊而設計的諸多攻擊套件類型之一。
組織現在面對的是一個技能專業化且從事非法商品交易的產業化攻擊者經濟市場。如這份平均價格簡
述所示,許多可在黑市購買的商品非常便宜,使攻擊更便宜且更容易進行 (這也促使攻擊數量增加 )。
並非所有攻擊都有效。我們必須持續改進防禦措
施,以提高攻擊的失敗率及攻擊者的相關成本。
勒索軟體與勒索 點來看,公開報導的勒索軟體和勒索攻擊獲利為這些
攻擊者提供了預算金額,且可能足以比擬國家攻擊組
準 與 技 術 局 (National Institute of Standards and
Technology) 刊物,其中包含勒索軟體風險管理的網
在勒索軟體最終佈署到組織內的所有電腦系統之前,
早已發生一系列犯罪活動。因此,我們建立了一套分
勒索軟體分類
主要角色 描述
開發 撰寫惡意程式碼
佈署 傳送網路釣魚電子郵件、佈署勒索軟體
提供存取權 載入其他惡意程式碼的惡意軟體,或以服務形式販售存取權的團體
公開通報的連線 有公開通報的連線存在
2
https://securityandtechnology.org/ransomwaretaskforce/report/ 3
https://aka.ms/humanoperated Microsoft 數位防禦報告 | 2021 年 10 月 10
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
外洩後回應 法恢復業務營運,會有一個專門與勒索軟體犯罪集團
談判的組織代表受害者設法取得解密金鑰。
就像佈署勒索軟體的犯罪集團通常涉及幾個各自擁有
特定職責的關係人,對勒索軟體的回應也涉及幾個關
鍵關係人。
如果勒索軟體攻擊的受害者擁有網路保險,保險公司
將會雇用特定服務提供者,包括事件回應公司、律師
事務所及專門處理勒索談判的組織。即使受害者沒有
網路保險,這些關係人通常也會尋找解決勒索的解決
方案。
一旦勒索軟體犯罪集團鎖定受害者的網路、外洩資料
並挾持網路和資料進行勒索,事件回應團隊就會調查
外洩的根本原因,並視受害者在攻擊前的準備程度來
推動補救措施。如果受害者已充分備份其資料或資料
未遭竊,事件回應團隊通常會從受害者的系統移除威
脅行為體、恢復業務營運,並實施未來的降低風險措
施。事件回應團隊通常會提供受害者一份報告,其中
包含根本原因、受害者網路內的犯罪行為體行動、資
料暴露和外流,以及補救建議。
勒索軟體犯罪集團和同夥會聯手執行這些彼此相連的威脅。勒索軟體攻擊背後不只一個人,而是好幾群
人,類似共享經營模式。
外洩後回應所涉及的的關係人和角色
犯罪經濟學:不斷變化的 勒索軟體談判對話
經營模式
勒索軟體的經營模式實際上已演變成情報作業;犯罪
行為體會對目標受害者進行研究,以決定適當的贖金
金額。一旦犯罪行為體滲透網路,就可能會竊取並研
究財務文件和保險單。他們也可能了解與當地外洩法
相關的罰則。這些行為體會接著向受害者勒索贖金,
不只是為了解鎖其系統,還為了防止受害者的外洩資
料被對外公開。在收集並分析此情報之後,犯罪行為 勒索軟體集團已演
體會找出「適當的」贖金金額。
變成由人工情報和
右側談判對話顯示一所公立學校被勒索現金,以換取
研究驅動的勒索軟
解密金鑰來解鎖佈署在其網路上的 Conti 勒索軟體。
該對話呈現了罪犯在談判之前進行過什麼研究。在此, 體即服務。
犯罪行為體表明:「我們查看了所有財務文件、去年
的銀行對帳單、保險。結論是,你們誇大了財務不良
的情況。我們也計算教職員和學生因個人資料外洩可
能發生的訴訟損失。這些罰款將超過 USD 3,000 萬元。
更別提名譽損失,我們認為代價會更高。」
交易雜湊和電子錢包地址
受害者贖金電子錢包顯示在最左邊。資金分割成最右邊的兩個不同電子錢包。
交易雜湊 比特幣電子錢包地址
基於出版目的,已故意模糊處理文字內容
4
公地悲劇 - 維基百科 Microsoft 數位防禦報告 | 2021 年 10 月 14
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
5
The State of Ransomware 2021 (2021 年勒索軟體現況 ) – Sophos News Microsoft 數位防禦報告 | 2021 年 10 月 15
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
使用者現在必須將勒索信文字檔上傳到勒索信中列出的復原網站。該信可作為勒索軟體行為體的加密和受害者身 上傳並確認勒索信之後,就會展開談判。
分識別證明。
勒索復原網站 上傳勒索信後的談判對話
Conti News 網站
談判階段是由威脅行為體起頭,因為他們會證明自己能夠解密受害者提供的任何檔案。在談定最終贖金之後,
勒索軟體行為體會提供一個比特幣電子錢包地址,以供受害者支付贖金。Conti 勒索軟體執行者會在一般頂層網
域 (例如開放網路) 以及暗網或 Tor (亦即 The Onion Router,洋蔥路由器) 上維護復原和新聞網站。
Conti 背後的行為體會維護一個新聞網站,這是雙重勒索經營模式的一部分,用途為發佈網站,證明如果不支付
贖金,受害者的私人資訊就會被公開張貼,並可能在黑市販售。Conti News 網站目前列出了數百名受害者及其
私人資料的各種實例。
Conti 受害者主要位於美國及歐洲,並包括公立學校、醫療保健提供者、製造公司、美國市政府,甚至還有公共
事業提供者。
我們在勒索軟體資料和訊號中所看到的內容
防禦訊號
這些圖表顯示勒索軟體遭遇數整體增加,其中在 2019 年底 6、當 RaaS 開始成長時,以及在 2020 年初新型冠狀病毒 (COVID-19) 疫情爆發時 7,消費者和
商業遭遇數均明顯激增。
6
https://www.microsoft.com/security/blog/2019/12/16/ransomware-response-to-pay-or-not-to-pay/ 7
https://www.microsoft.com/security/blog/2020/03/20/protecting-against-coronavirus-themed-phishing-attacks/ Microsoft 數位防禦報告 | 2021 年 10 月 17
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
賭注已經改變。勒索軟體與勒索的成長軌跡
十分驚人。
建議摘要 使用這些階段做為起始計畫,規劃要優先執行、接續執行及稍後執行的工作,以優先找出最具影響力的要素。
賭注已經改變。勒索軟體與勒索的成長軌跡十分驚人。為了協助保護您的組織免受勒索軟體攻擊,我們建議組織: 這些建議使用了假設外洩的零信任原則來排列優先順序,該原則假設攻擊者能夠透過一或多個方法成功存取您
的環境,旨在將業務風險降至最低。
佈署勒索軟體保護 8
Microsoft 支援 Cyber Readiness Institute 所出版 Ransomware Playbook (勒索軟體教戰手冊) 中的指引 。
了解更多:
更難入侵 ,遵循基本網路安全性檢疫步驟,使攻擊者更難以存取網路。這些步驟中最重要的是使用多重要素驗證
(MFA),這對於提高進入阻力很重要。做為更加安全的旅程中的一道關卡,其需要投入時間完成。您還可以執行
其他步驟 (例如將修補和正確設定保持在最新狀態),找出並關閉易受攻擊的進入點。
8
Ransomware Playbook (勒索軟體教戰手冊 ) - Cyber Readiness Institute Microsoft 數位防禦報告 | 2021 年 10 月 19
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
惡意電子郵件 方式各式各樣,這或許可以解釋為何威脅增加。威脅
行為體更加自動化並購買工具,以提高犯罪活動的獲
至未經授權的收款人。我們的調查發現,威脅行為體
會監視具有財務傾向的訊息以尋找要假冒的身分,然
利。攻擊者可能會從假冒無數個線上服務的網路釣魚 後註冊偽造網域來與要冒充之人的電子郵件魚目混
身分識別威脅
網站,向毫無戒心的受害者取得認證,這些網站會自 珠。在此案例中,認證遭竊的人會使另一個人成為受
在 2020 年,FBI IC3 報告 9 將網路釣魚列為受害者最 動抓取及剖析屬於受感染裝置的記錄檔 (其中記錄了 害者。
常申訴的頭號犯罪類型。與前一年相比,報告數量倍 在鍵盤上輸入的按鍵),然後猜測來自一個遭入侵線
增。網路釣魚對企業和個人都構成重大威脅,去年許 上服務的認證重複用於另一個服務的位置。
多最具破壞性的攻擊中都利用了認證網路釣魚。
針對每個認證,都有服務利用個人身分的額外詳細資
料來充實身分識別的相關資訊,包括姓名、任職公司、
職務、在公司的資歷及公司相關產業。有了此資訊,
BEC 攻擊就能利用身分識別,以便傳送來路不明的訊
息 (垃圾郵件)、收集敏感性資訊,或將網路釣魚網站
裝載於相關的線上帳戶。即使發生過一次攻擊,當自
動化系統確認帳戶仍處於遭入侵狀態之後,就有可能
再次出售這些帳戶。
9
https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf Microsoft 數位防禦報告 | 2021 年 10 月 20
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
10
https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf; https://www.microsoft.com/security/blog/2021/06/14/behind-the-scenes-of-business-email-compromise-using-cross-domain-threat-data-to-disrupt-a-large-bec-infrastructure/ Microsoft 數位防禦報告 | 2021 年 10 月 23
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
過去一年來觀察到的一些常見技術: 合法基礎結構的濫用
遭入侵的寄件者 > 遭入侵的服務 防禦者經常告訴其終端使用者在與電子郵件互動之前,先確認電子郵件中的各個層面都合法,例如寄件者和電子
多年來,攻擊者一直利用遭入侵的寄件者來延續網路釣魚電子郵件鏈;他們會使用受害者的電子郵件帳戶來傳送 郵件中的任何連結。此建議仍然有其價值,但有時連結和寄件者可能看似合法卻包含惡意內容。攻擊者正在改為
其他網路釣魚電子郵件。雖然這仍然非常普遍,但許多公司已開始運用 MFA,從而降低了此方法的效果。因此, 濫用合法基礎結構,以掩蓋電子郵件中的惡意內容。對於寄件者地址,攻擊者可能會註冊 Office 365 等服務的試
攻擊者正在調整其方法,以開始入侵整個電子郵件服務。例如,當 NOBELIUM 取得一個電子郵件行銷解決方案的 用租用戶,讓其電子郵件看起來更加合法。此外,攻擊者正在利用各種方式來掩蓋電子郵件中的惡意網域,像是
存取權時,就能讓攻擊者以多個合法地址進行傳送 11。 透過使用來自合法網域的開放式重新導向,或是透過濫用 Google 雲端硬碟或 OneDrive 等合法代管平台。在這
些案例中,使用者可能很難得知電子郵件是合法或惡意的。
以合法公司名義使用遭入侵服務的網路釣魚電子郵件
合法基礎結構濫用
攻擊者會濫用網站上的合法連絡人表單來
傳送電子郵件,以及濫用合法的 Google 網
站來裝載惡意軟體。
11
https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/ Microsoft 數位防禦報告 | 2021 年 10 月 25
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
假回覆 防禦規避
除了指示使用者先驗證電子郵件的各個層面 (例如寄件者或連結) 再與其互動之外,也指示使用者不要與預期之外 雖然攻擊者將攻擊火力集中在說服收件者與電子郵件互動,但他們也知道如果受害者從未收到此電子郵件,則所
收到的電子郵件互動。這仍然是非常有價值的建議,但攻擊者也發覺到這一點,並已將策略改為尋找方法讓收件 有心血都將毫無價值。因此,威脅行為體正在開發規避電子郵件防禦功能的新方式。在過去,攻擊者只要使用受
者相信這是預期會收到的電子郵件。其中一個做法是製作假回覆電子郵件。在這些案例中,攻擊者會從遭入侵的 密碼保護的封存檔案就足以規避偵測,但現在大多數安全性技術都可以輸入電子郵件所包含的密碼,來引爆並找
信箱中取得先前電子郵件的內容,或製作一封全新的電子郵件並包含在電子郵件的本文中,使新的電子郵件看起 出惡意內容。攻擊者已改為包含 CAPTCHA 以及 Microsoft 或 Google 等服務的合法登入畫面,以防止偵測技術發
來像是回覆。如果使用者的工作必須每天向數十人發送電子郵件,可能不會記得他們送出的每封電子郵件。看到 現惡意內容。
假回覆可能會讓他們相信這是預期的電子郵件,並導致他們與惡意連結或附件互動。利用電子郵件安全性功能,
在電子郵件來自不是過去互動的寄件者時通知使用者,可能有助於緩減此技術。此技術是 Emotet 和 IcedID 等惡
意軟體變種的慣用手法,也常用於 BEC 電子郵件中。
假回覆電子郵件
遭竊認證的數位之旅
您在假網頁輸入的遭竊認證將流落何處?
12
https://www.wmcglobal.com/blog/phishing-kit-exfiltration-methods Microsoft 數位防禦報告 | 2021 年 10 月 28
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
網路釣魚套件和認證搜集
具箱中有哪些招數?我們如何提
高員工意識
2020 年,業界的網路釣魚活動激增,並於 2021 一整年維持穩定增加。
在 Microsoft 內部,網路釣魚電子郵件的整體數量增加、包含惡意軟體
的電子郵件則呈下滑趨勢,而語音網路釣魚 (或語音釣魚) 則是上升。
幸好,我們已具備有效的保護控制基礎,可減少網路釣魚嘗試成功的次數。體認到威脅環境不斷演變,我們擴充
了這些控制,涵蓋除了電子郵件以外還可能遭到利用的其他媒介 (例如 Forms 和 Teams)。
工具箱中的招數
網路釣魚無法一招就修正,必須多管齊下才能解決。我們專注於四個主要元素:保護控制、使用者意識、報告和見解,
以及偵測和回應。
透過這些方法,我們讓容易受影響的
程度逐年減少了 50%。
訓練之後則接著模擬、增強學習及目標模擬
除了偵測和保護之外,我們還必須培養安全
意識的文化。
儘管網路釣魚越來越複雜,但員工較不容易受到影響,這歸因於更高的模擬和訓練頻率。
我們提高員工網路釣魚意識的方法包括提供年度基礎訓練、模擬練習和正向加強學習。這些模擬是在深入解析事 了解更多:
件之後所建立,利用適用於 Office 365 的 Microsoft Defender 攻擊模擬器和訓練,以確保我們將員工暴露於複雜
在適用於 Office 365 的 Microsoft Defender 中自動分級網路釣魚提交 (英文 ) (2021/9/9)
程度與我們在環境中所見一樣逼真的網路釣魚。反覆受到模擬影響的員工會更頻繁地被釣,這能提高其透過經驗
和預防性指導學習的機會。我們也會針對高風險群組 (例如新員工、主管及其支援人員) 執行針對性的活動。我們
模擬練習的結果還可用來找出產品中的機會,以協助員工識別網路釣魚 (例如安全提示)。
員工網路釣魚意識
惡意電子郵件的相關建議摘要
1. 使用 MFA 減輕認證受到攻擊者網路釣魚攻擊的 6. 建立及實施財務政策,要求員工與帳戶持有人 了解更多:
影響。 確認任何帳戶資訊變更,包括電匯資訊。
發 現 趨 勢 電 子 郵 件 技 術: 現 代 網 路 釣 魚 電 子 郵 件
2. 開發健全的使用者教育程序,使用正向加強學 7. 確保您所有的電子郵件都已有效簽署 (DKIM) 並
如何讓人視而不見 (英文 ) | Microsoft 安全性部落格
習來教導使用者如何識別潛在惡意電子郵件。 經過驗收 (DMARC),以使客戶受到保護,避免 (2021/8/18)
建立程序,讓使用者可以呈報可疑的電子郵件, 攻擊者嘗試以您的網域/品牌形式傳遞訊息。
並收到有關他們所提交電子郵件是否確實為惡 8. 為您的使用者提供進階防護 13,包括:
意的意見回饋。將額外訓練重點放在更容易成 • 類似網域或冒充組織中的重要使用者。
為目標的群組上,例如主管、執行助理和財務 • 附件和 URL 的深入分析 (引爆)
部員工。與終端使用者分享您公司收到的真實 • 共同作業套件,旨在防範零時差攻擊。
世界網路釣魚範例,以便他們了解威脅並知道 • 傳遞後保護,旨在移除已傳遞且稍後判定
預期會發生什麼情況。 為惡意的郵件。
3. 透過將標籤附加至來自組織外部電子郵件地址 9. 消除攻擊者略過安全性的機會,例如允許寄件
之任何電子郵件的主旨列,向收件者呈現外部 者、網域或 IP 位址清單。
電子郵件。
4. 啟用功能,讓使用者發現來自過去未曾通訊之
寄件者的電子郵件。
5. 檢閱郵件流程規則,以確保廣泛的規則不會不
小心允許傳送惡意電子郵件。
13
適用於 Office 365 的 Microsoft Defender - Office 365 | Microsoft Docs Microsoft 數位防禦報告 | 2021 年 10 月 33
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
惡意軟體 安全性作業中心內其他值得注意的行為和防護機會
還包括使用特定偵察命令、將處理序新增至啟動資
依活動顯示的警示計數 (2021 年 5 月到 6 月)
料夾、排定的工作或登錄變更,以及透過濫用 Office
我們看到的趨勢 文件執行惡意處理序。由於這些行為普遍在所有惡
年來有不斷改變的趨勢,其中許多領域需要同等的創
無檔案惡意軟體和規避行為
新防禦策略和過往彈性的風險降低措施,例如多重要
素驗證和強固的應用程式安全性做法。 「無檔案」惡意軟體是從已在裝置上的系統處理序或
合法工具衍生其大部分元件的惡意軟體,這可能會使
個人化惡意軟體技術和動作 其更難以移除和偵測,因為需要移除多個檔案。持續
在過去一年所分析的熱門惡意軟體類型和傳遞方法 性策略可能包括登錄、排定的工作和啟動資料夾持續
路中建立自身複本的類似策略。使用可疑命令或編 會定期利用處理序插入和記憶體內部執行。這些方法
次要常見的是惡意軟體嘗試重新命名承載來模擬系統 易移除。為了打擊這類行為,組織內的安全性團隊必
處理序或完全加以取代,然後使用惡意軟體從瀏覽器 須審查其事件回應和惡意軟體移除程序,加入足夠的
快取收集認證等資料。 鑑定,以確保在防毒解決方案清除之後能夠完全補救
常見的惡意軟體持續性機制。
後者情況下,會直接從剪貼網站提取惡意軟體中使用 來越多利用瀏覽器修改和搜尋結果達到目的。這將持
的程式碼,並立即在記憶體內部執行,而不需要以單 續鞏固某類利用瀏覽器跨消費者和企業領域進行傳遞
一檔案形式下載惡意軟體。 和惡意探索的惡意軟體地位。
惡意軟體傳播和行為中的更大趨勢
殭屍網路革新
在 2021 年 1 月,執法機關執行搜捕行動,而消滅了 Emotet 系列的惡意軟體,隨後 Emotet 遭遇數也
殭屍網路一詞也不斷進化。在過去,這是指為操作員 大幅減少。 14
完成工作的電腦網路。不過,現在大多數惡意軟體系
件以進一步從其行為中獲利,包括 Avaddon 勒索軟 SEO 和惡意廣告
列可能被分類為具有殭屍網路元件或行為。
體。Lemon Duck、Purple Fox 和 Sysrv-Hello 等殭屍 藉由搜尋引擎結果和廣告將惡意軟體提供給終端使用
網路在過去一年激增,納入新的程式設計語言、新的 者的方法也越來越有效,包括透過濫用合法的搜尋引
隨著過去普遍的惡意軟體殭屍網路基礎結構 (例如
基礎結構及新的感染方法。Lemon Duck 與大多數新 擎最佳化策略及利用現有的感染來安裝瀏覽器延伸模
Trickbot 和 Emotet) 遭到中斷,其他惡意軟體系列已
興殭屍網路一樣,在 Windows 和 Linux 環境中使用超 組,以修改搜尋結果及呈現攻擊者的非法資料內容。
取而代之。作為替代,舊版殭屍網路及一種新型的規
過 10 多種不同的感染方法。新版殭屍網路也很快就
避惡意軟體開始以更快的速度帶來威脅程度更高的次
能開始利用新的漏洞來感染伺服器。儘管如此,大多 2020 年的 Adrozek16 惡意軟體即為此例,該惡意軟
要元件。在 2021 年 1 月,執法機關執行搜捕行動,
數方法仍然依賴未修補的邊緣應用程式、透過連線磁 體使用了瀏覽器延伸模組,其中受感染的裝置會使用
而消滅了 Emotet 系列的惡意軟體,隨後 Emotet 遭
碟機的橫向移動,以及可用服務上的弱式認證。 瀏覽器延伸模組以冒充 Microsoft 產品及其他合法軟
遇數也大幅減少。Phorpiex15 等殭屍網路感染的主機
體的惡意軟體連結取代合法的搜尋結果。Gootkit 是
數逐漸增加,並提供許多勒索軟體和次要惡意軟體元
一種可導致勒索軟體的惡意軟體感染,其操作員在
14
https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action 15 https://www.microsoft.com/security/blog/2021/05/20/phorpiex-morphs-how-a-longstanding-
botnet-persists-and-thrives-in-the-current-threat-environment/ 16 https://www.microsoft.com/security/blog/2020/12/10/widespread-malware-campaign-seeks-to-silently-inject-ads-into-search-results-affects-multiple-browsers/ Microsoft 數位防禦報告 | 2021 年 10 月 35
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
伺服器作為發射台對受影響的組織發動進一步攻擊。 級網路活動團體。
會是企業中最有效的持續性方法。我們經常看到網 到網頁殼層偵測率突然大幅增加。這是由於多個威脅
頁殼層單獨用作持續性機制的案例。網頁殼層保證 行為體使用了利用客戶修補延遲的「先妥協後獲利」
遭入侵的網路中存在後門,因為攻擊者在伺服器上 方法所造成。行為體一逮到機會就加以利用。
為了將風險降至最低,組織應加速佈署安全性更新,特別是針對網際網路對向的系統。為了將風險降至最低, 惡意軟體預防的建議摘要
組織應加速佈署安全性更新,特別是針對網際網路對向的系統。
1. 立即在所有應用程式和作業系統上安裝安全性更新。
2. 透過反惡意程式碼軟體解決方案 (例如 Microsoft Defender) 實現即時保護。
網頁殼層遭遇數,Defender 訊號 (2020 年 9 月 - 2021 年 6 月) 3. 緩解大型攻擊媒介,例如巨集濫用、公開的邊緣服務、不安全的預設設定、舊版驗證、未簽署的指令碼類
型,以及來自透過電子郵件傳遞之特定檔案類型的可疑執行。Microsoft 透過使用受攻擊面縮小規則來提供
一些較大型的降低風險措施 21,以防止惡意軟體感染。Azure Active Directory 使用者還可以利用安全性預設
值 22,為雲端環境建立基準驗證安全性。
4. 讓端點偵測及回應功能主動根據個人行為和技術來分析及回應威脅。
5. 在主機及網路閘道上啟用網域和 IP 型保護 (如果可能),以確保基礎結構涵蓋範圍完整。
6. 開啟潛在的垃圾應用程式 (PUA) 保護。許多反惡意程式碼軟體解決方案可能會將廣告軟體、
torrent 下載程式、
RAT 和遠端管理服務 (RMS) 等初始存取威脅標記為 PUA。有時,預設可能會停用這些類型的軟體,以避免
對環境造成影響。
7. 決定具有高度權限的帳戶將在何處登入和公開認證。監視並調查登入類型屬性的登入事件。工作站上不應該
存在具有高度權限的帳戶。
8. 實施最低權限原則並維護認證檢疫。避免使用全網域的管理員層級服務帳戶。限制本機系統管理權限可能有
助於限制 RAT 及其他垃圾應用程式的安裝。
9. 教導使用者惡意軟體威脅 (例如 RAT) 的相關資訊,這些威脅可透過電子郵件以及透過網站下載和搜尋引擎傳播。
了解更多:
了解更多:
以 Exchange 伺服器為目標發動零時差惡意探索的 HAFNIUM | Microsoft 安全性部落格 (英文 )(2021/3/2) 使用受攻擊面縮小規則防止惡意軟體感染 | Microsoft Docs (2021/6/23)
21
使用受攻擊面縮小規則防止惡意軟體感染 | Microsoft Docs 22 Azure Active Directory 安全性預設值 | Microsoft Docs Microsoft 數位防禦報告 | 2021 年 10 月 37
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
惡意網域 網域擴散和威脅緩解
過去幾年來,網際網路上可用的網域數量迅速增加。
網域如何用於惡意軟體
惡意網域經常作為惡意軟體受害者被導向的目的地。
網域可以是一種在基礎結構中內建復原能力的機制
網 路 罪 犯 現 在 會 定 期 將 網 域 生 成 演 算 法 (Domain
Generating Algorithm,DGA) 新增至其惡意軟體,例
任何用於追求網路犯罪的網域都可以視為惡意網域。 這包括國碼 (地區碼) 頂層網域 (cTLD),例如 .uk、. 透過此方式,網域會開始建立與受害者的通訊通道,
如在執法機關截獲硬式編碼的惡意網域時提供後援機
惡意網域可以是已遭入侵可讓罪犯在子網域上裝載惡 ca 和 .cn; 一 般 頂 層 網 域 (gTLD), 例 如 .com、.net 並揭露受感染的受害者位置。了解受害者的位置非常
制。為了利用 DGA,惡意軟體會包含程式碼,以產
意內容的合法網站,也可以是完全為犯罪而設的詐欺 和 org;以及在 2013 年引進網域名稱系統 (DNS) 的 重要,因為網路罪犯利用多種方法來散佈其惡意軟體,
生使用隨機字元或字串建立的網域清單,這些字元或
基礎結構。網路罪犯會針對三項主要功能使用惡意網 1,200 多個新 gTLD。由於頂層網域數量龐大,而且網 但無法預測最終將成功下載的位置。因此,網路罪犯
字串會依日期、時間和年份而改變。例如,在 2022
域:資訊傳輸、位置混淆,以及建立復原能力來對抗 域名稱登錄、網域註冊機構和網域註冊服務提供者的 將惡意軟體設計成「回報」惡意網域。剛受感染的電
年 6 月 4 日星期五,DGA 可能會產生三個網域 (例
試圖干擾其犯罪活動的人。 生態系統成長,減輕惡意網域的網路威脅變得更為複 腦會立即與這類網域聯繫,以有效地透過 IP 位址「宣
如 ahu3rrfsirraqrty.com、hyrssgu5oqr4cetc.com 和
雜。整個生態系統的網路威脅緩解一致性至關重要。 告」其位置。網域基於這些目的用於惡意軟體的方式
wkcclsoqqpcaty.com),而惡意軟體會嘗試依該順序
網域會用於資料外流、控制勒索軟體通訊、裝載網路 最近在網際網路指定名稱與位址管理機構 (Internet 主要有兩種:
連絡這些網域。使用 DGA 會增加中斷網路罪犯通訊
釣魚頁面,以及提供惡意軟體的控制權。同時也可作 Corporation for Assigned Names and Numbers,
基礎結構的成本和複雜度,需要中斷者監視數十萬個
為電子郵件網域,以建立看似相同的詐欺者電子郵件 ICANN) 合約 (含登錄) 中加入的語言,即為朝這個方 網域協助混淆處理及隱藏網路罪犯的位置和身分
潛在惡意網域,而網路罪犯只需要其中一個網域。
假名來魚目混珠。詐騙網域可能會利用商標來欺騙客 向發展的證明,其中包含定義和禁止不法活動的使用 直接新增至惡意軟體 (或「硬式編碼」網域) 並納入
23
15 U.S.C.§§ 1125(a)-(c) Microsoft 數位防禦報告 | 2021 年 10 月 39
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
24
https://www.namecoin.org/2019/07/30/opennic-does-right-thing-shuts-down-centralized-inproxy.html 25 https://explorer1.emercoin.com/nvs Microsoft 數位防禦報告 | 2021 年 10 月 40
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
對抗區塊鏈網域可能不如您想像中的困難 區塊鏈網域已成為網路犯罪基礎結構的首選
區塊鏈網域的弱點是需要第三方 Proxy 服務或瀏覽器
外掛程式將區塊鏈網域解析為 IP。停用或封鎖區塊鏈
Proxy 解析服務及停用瀏覽器外掛程式,將會停用區
塊鏈網域的解析功能。許多威脅情報廠商提供了惡意
URL 摘要,有時會包括區塊鏈解析 Proxy 或區塊鏈網
域本身。
其原本就不同於公司網路的傳統攻擊。
26
https://docs.microsoft.com/en-us/security/engineering/failure-modes-in-machine-learning Microsoft 數位防禦報告 | 2021 年 10 月 42
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
ML 模型上的攻擊
攻擊 描述 範例
27
例如, MD5、 SHA1、 SSLv2/3 和 TLS 1.0 Microsoft 數位防禦報告 | 2021 年 10 月 44
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
第3章
國家威脅
簡介
追蹤國家威脅
所見所聞
本年度國家活動分析
民間攻擊行為體
必備的全方位保護
簡介: 攻擊者愈來愈常使用欺騙性手段以期達成全國性目標
JOHN LAMBERT,MICROSOFT 威脅情報中心傑出工程師暨副總裁
去年發生了一些具有重大歷史意義的地緣政治事件,也出現了一些意外的挑戰,改變了組織日常運作的方式。當其時,
國家行為體大致上仍按一致的步伐維持行動,同時創造出新的戰術與技術來避開偵測,並擴大攻擊的規模。
重大網路安全性事件 (如 NOBELIUM 發動的 SolarWinds Microsoft 威脅情報中心 (MSTIC) 和數位安全部門 (DSU) 這些老練的攻擊者一直持續關注有助於維持隱匿和存取
攻擊和 HAFNIUM 發動的內部佈署 Exchange Server 攻 觀察到,大多數國家行為體會持續關注在針對政府機構、 的有效技術。我們可以看到他們持續不斷攻擊傳統的安 這些國家行為體似
擊) 以及其他多個行為體發動的攻擊,都讓我們將注意 跨政府組織 (IGO)、非政府組織 (NGO) 以及傳統間諜或 全性檢疫元素,並且聚焦於以供應商生態系統為目標而
力集中在如何保護供應鏈上。在這非比尋常的一年中, 監視目標專研智庫,採取行動和攻擊。遭到攻擊的受害 開發並精進的新型突破性攻擊,以攻擊下游客戶。國家 乎利用增加攻擊的
國家行為體和許多網路犯罪行動的重點,都放在攻擊供 者通常掌握有與敵對政府情報需求相關的資訊,這也是 行為體尚未就此常見策略施行多重要素驗證 (MFA) 或其
規模和數量來躲避
應商的安全性漏洞或探索組織賴以維持業務續航力但未 許多政府機構和智庫受到攻擊的原因。然而,民營產業 他保護的機關,運用其建立良好的魚叉式網路釣魚和密
修補的系統。最近這些事件顯示,為所有已部署的系統 在支援遠端工作者、增加的醫療保健服務、新型冠狀病 碼噴濺攻擊活動仍能持續取得成功。但這些技術的成功 偵測。
維持最新的安全性更新益加重要,因為這是對抗快速變 毒 (COVID-19) 疫苗研究和新型冠狀病毒 (COVID-19) 疫 率,會隨著愈來愈多的組織針對帳戶安全進行投資而會
化威脅最有效的方式。 苗分配等方面所扮演的角色,也使其更常成了為尋找 下降,同時偵測到的攻擊也會隨之增加。而國家行為體
政府國家安全性或情報之資訊的這些成熟行為體的目 對此情況的因應之道,似乎是利用增加攻擊規模和數量
標。遠端工作者增加了對全球電信骨幹和虛擬私人網路 來躲避偵測,並提高多個目標的成功機率。如果放任安
(VPN)/ 虛擬私人伺服器 (VPS) 基礎結構的依賴,為惡意 全防護不佳的帳戶成為目標,
行為體提供了新的媒介,使其得以存取為因應新式工作
行為而混合使用的目標私人網路。
疫需求和 MFA,而是集於一套整體的零信任安全性原
則。為保護企業身分識別、裝置、應用程式、資料、
追蹤國家威脅 會追蹤特定的受害者、單位或區域。將所有資訊綜合
在一起,即可窺見我們代受影響客戶投入的防禦努力。
活動的新功能,以作為我們承諾保護客戶的後盾。我
們不斷提升了解這些國家行為體及其受害者的能力,
32
零信任安全性模型和架構 | Microsoft 安全性 Microsoft 數位防禦報告 | 2021 年 10 月 49
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
當我們主動打擊惡意基礎結構時,就能讓該行為
體喪失其先前已掌控之各式大範圍資產的可見
度、行為能力和存取權,迫使它們進行重建。
國家行為體及其活動範例
所見所聞 期破壞性攻擊的國家行為體,其主要對象是以色列。
這些網路攻擊發生在兩國互相發動軍事行動 (包括攻
北韓國家行為體在網路攻擊中添加了第三個動機:金
錢收益。北韓鎖定從事加密貨幣交易或相關研究的公
雖然 SolarWinds 和 Exchange 弱點是年度兩大網路安
全性事件,但伊朗和北韓也同樣運用了鎖定 IT 提供
擊對方的貨輪),只差陳兵對戰的政治環境中。因為 司,可能企圖竊取加密貨幣或知識性財產。雖然北韓 者的類似策略,尋找各種巧妙方法來攻擊真正的目標。
國家目標 情勢已經非常高張,所以伊朗決定使用網路進行破壞 的經濟從未強大過,但在受到聯合國制裁多年後,新 例如,北韓行為體 ZINC 在各網站和社交媒體頁面建
國家行為體的兩大主要目標也從未改變。去年的間諜 智庫,將這些組織推到情報作業的眼前。當傳統的
是更常見的目標。伊朗一直以來是唯一有意願從事定 體的目標。
北韓鎖定的重要基礎設施比例 中國、伊朗、北韓和俄羅斯鎖定的重要基礎設施合計比例
33
GADOLINIUM 威脅行為體在網路攻擊中利用雲端服務和開放原始碼工具 - Securezoo 部落格 Microsoft 數位防禦報告 | 2021 年 10 月 56
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
分析
過去一年來,來自俄羅斯的這些活動組織,藉展現其
術之成熟和效果之成功,吸引了全球關注,然而國家 2020 年改變作風。多個伊朗行為體可能也發動了供
適應性、持續性和攻擊受信任技術關係的意志,鞏固
威脅的影響遠不止於這些眼前的事件。例如,俄羅斯 應鏈攻擊,包括 2020 年初,一項透過為美國國防和
其精準威脅全球數位生態系統的立場,而匿名及開放
不斷變化的國家網路安全性威脅,提高了對內部佈 的 NOBELIUM 和中國的 HAFNIUM,其攻擊行動都 情報單位提供支援的 IT 和工程服務公司,間接蒐集
原始碼工具的便利性,更加大對這些組織偵測和究責
署 伺 服 器 和 大 範 圍 暴 露 供 應 鏈 漏 洞 的 關 注, 尤 重 以內部佈署資源和傾印認證為目標,這使其有機會取 政府機關情報的行動。
的困難度。其還對附帶損害表示出極高的耐受力,使
精準攻擊軟體,使這一年成為網路攻擊的分水嶺。 得認證,存取並轉向雲端資源。與俄羅斯關係密切
得任何與利益目標有關係的人,都容易受到伺機性目
HAFNIUM 在 2021 年初針對內部佈署 Exchange 伺服 的 STRONTIUM 也針對歐洲外交和國防相關單位的內
標攻擊。
活動組
織名稱
其他名稱 來源國家/
地區
目標行業
俄羅斯
STRONTIUM APT28、Fancy Bear 俄羅斯 政府、外交和國防單位、智庫、非政府組織、高等教育機構、
國防承包商、IT 軟體和服務
NOBELIUM:變動目標圖反映戰術多樣性。
34
https://www.usnews.com/news/technology/articles/2020-12-24/solarwinds-releases-update-to-flagship-software-after-hack ; https://www.msn.com/en-us/news/technology/mimecast-reveals-source-code-theft-in-solarwinds-hack/ar-BB1eInqC 35
https://blogs.microsoft.com/on-the-issues/2021/05/27/nobelium-cyberattack-nativezone-solarwinds/ 36
https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/ 37
https://www.youtube.com/
watch?v=Ldzr0bfGtHc 38 https://www.microsoft.com/security/blog/2020/09/10/strontium-detecting-new-patters-credential-harvesting/ Microsoft 數位防禦報告 | 2021 年 10 月 58
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
在 2019 到 2020 年間改變作風。 2020 年夏季,STRONTIUM 針對美國、澳洲、加拿 接著才是烏克蘭、英國,以及歐洲的 NATO 聯盟及成 俄羅斯威脅活動的觀察指出,情報收集是主要動機,
大、以色列、印度和日本等地開發及測試新型冠狀病 員國。5 月 14 日,俄羅斯政府正式點名美國和捷克 因為我們只看到資料外洩,卻幾乎沒有證據指出所
自 2018 年 8 月以來,政府組織第一次成為 Microsoft 毒 (COVID-19) 疫苗和療法 40
的組織,發動了認證搜 為「不友好國家/地區」,而 4 月外洩的暫定清單中曾 追蹤的組織曾從事破壞性或毀滅性活動。獲取敵對方
追蹤之俄羅斯威脅行為體最感興趣的目標,智庫排在 集攻擊。 出現過波蘭、立陶宛、拉脫維亞、愛沙尼亞、英國、 政策計畫和意圖的相關資訊,是俄羅斯政府機構的標
其後。雖然威脅行為體 BROMINE 全力攻擊美國的州、 加拿大、烏克蘭和澳洲 。去年受俄羅斯網路活動影 41
準情報需求,美國政府認為俄羅斯方面應為這些活動
郡、市政府,以及航空和港務當局,但政府機構大多 獲取美國與歐洲的情報 響最大的三個國家/地區,美國、烏克蘭和英國都曾 負責 42。
涉及外交政策和國家安全或國防事務。這段期間最容 這段期間,俄羅斯的威脅行為體企圖存取幾乎每個大 名列「不友好國家/地區」清單中。Microsoft 去年對
易成為目標行業的第三名是醫療保健業,這是因為在 陸上各組織的帳戶,但主要攻擊重點仍是美國的組織,
存取的資訊 行動目標
經驗? • 俄羅斯政策
• 新型冠狀病毒 (COVID-19) 資訊
1. 美國政府目前仍不確定網路行動的紅色警戒線。
在 3 月,一位英國政府通訊總部前資深顧問警告拜登政府,不要對俄羅斯「精確的」間諜活 • 網路事件回應;威脅搜補技術 收集情報以改善反制措施
動做出過於嚴厲的反應,這是美國和歐洲的政策社群就是否及如何回應 SolarWinds 入侵事件, • 對俄羅斯威脅行為體的評估
39
即將展開之辯論所發出的信號 。俄羅斯威脅行為體多年來一直利用這種政策模糊性,而且 • 紅隊演練工具
未來數年仍可能繼續這樣做。 • 偵測簽章
• 原始程式碼
2. 民間機構對美國政府的網路防衛至關重要。
Microsoft 和 FireEye 在 SolarWinds 攻擊期間,曾代表公眾對事件回應發聲。未來,NOBELIUM • CSP 帳戶 收集情報以支援行動規劃
和其他組織可能會向及早癱瘓重要網路安全性團隊的方向發展,預期如此可拖延發現和補救高 • 軟體憑證
價值目標入侵的時間。 • 原始程式碼
NOBELIUM 行動者根據其所存取的受害者帳戶可能取得的資訊類型,以及可能推動入侵的行動目標範例。
39
拜登政府首席網路官員稱: SolarWinds 入侵事件可能會「立刻」從間諜案變成毀滅性攻擊 (yahoo.com) 40 https://blogs.microsoft.com/on-the-issues/2020/11/13/health-care-cyberattacks-covid-19-paris-peace-forum/ 41 https://tass.com/
politics/1289825; https://www.newsweek.com/russia-puts-us-top-unfriendly-countries-list-1586749 42 https://www.nsa.gov/News-Features/Feature-Stories/Article-View/Article/2573391/russian-foreign-intelligence-service-exploiting-five-publicly-
known-vulnerabili/ ; https://media.defense.gov/2021/Apr/15/2002621240/-1/-1/0/CSA_SVR_TARGETS_US_ALLIES_UOO13234021.PDF/CSA_SVR_TARGETS_US_ALLIES_UOO13234021.PDF; https://home.treasury.gov/news/press-releases/jy0127 Microsoft 數位防禦報告 | 2021 年 10 月 59
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
活動組
織名稱
其他名稱 來源國家/
地區
目標行業
中國
MANGANESE APT5、Keyhole Panda 中國 通訊基礎設施、國防工業基地、軟體/技術
43
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ Microsoft 數位防禦報告 | 2021 年 10 月 60
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
44
https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/19/the-united-states-joined-by-allies-and-partners-attributes-malicious-cyber-activity-and-irresponsible-state-behavior-to-the-peoples-republic-
of-china/ ; https://www.ncsc.gov.uk/news/uk-allies-hold-chinese-state-responsible-for-pervasive-pattern-of-hacking 45 SolarWinds 信任中心資訊安全諮詢 | CVE-2021-35211 46 https://www.fireeye.com/blog/threat-
research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html 47 https://us-cert.cisa.gov/ncas/alerts/aa21-110a 48 https://blogs.microsoft.com/on-the-issues/2020/09/10/cyberattacks-us-
elections-trump-biden/ 49 https://www.ncsc.gov.uk/news/uk-allies-hold-chinese-state-responsible-for-pervasive-pattern-of-hacking Microsoft 數位防禦報告 | 2021 年 10 月 62
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
活動組
織名稱
其他名稱 來源國家/
地區
目標行業
伊朗
PHOSPHORUS Charming Kitten 伊朗 外交與核政策團體、學術人員以及新聞記者
50
https://labs.sentinelone.com/from-wiper-to-ransomware-the-evolution-of-agrius; https://unit42.paloaltonetworks.com/thanos-ransomware/ 51 https://labs.sentinelone.com/from-wiper-to-ransomware-the-evolution-of-agrius; https://www.
clearskysec.com/wp-content/uploads/2020/12/Pay2Kitten.pdf; https://www.flashpoint-intel.com/blog/second-iranian-ransomware-operation-project-signal-emerges/ 52 https://www.aljazeera.com/news/2021/4/25/top-iranian-commander-hints-at-
future-response-to-isreal; https://www.timesofisrael.com/eye-for-an-eye-iran-editorial-urges-retaliatory-attack-on-dimona-reactor/; https://www.al-monitor.com/originals/2021/04/iranian-military-leader-threatens-israel-following-missile-strike-syria Microsoft 數位防禦報告 | 2021 年 10 月 63
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
在 2020 年末,PHOSPHORUS 開始鎖定 2015 年聯合 先前在 2020 年,PHOSPHORUS 就曾偽裝成重大國際 伊朗:最容易成為目標的國家/地區
全面行動計畫 (Joint Comprehensive Plan of Action, 會議的會議召集人 (詳情請見此部落格) 。Microsoft 54 (2020 年 7 月到 2021 年 6 月)
即伊朗核協議) 締約國的核政策專家,極可能是為 偵測到 PHOSPHORUS 向 100 多名預期出席的政策專
取得情報,以在拜登總統大選後的預期協議談判中 家寄送了內附認證搜集網站連結的冒名電子郵件邀請
占 據 談 判 優 勢。PHOSPHORUS 發 動 認 證 網 路 釣 魚 函,有數位遭到入侵。該組織的認證網路釣魚活動可
活動攻擊,偽裝成外國核政策專家成員,傳送核主 能試圖取得情報,以提高自己在國際互動中的地位。
題文章的連結,將受害者導向認證搜集網站。他們 自 2021 年 4 月以來,我們追蹤的伊朗行為體也鎖定
鎖定的醫學研究組織資深人員不到 25 名 (詳情請見 了一些不太可能是德黑蘭情報目標的美國農業和媒體
Proofpoint) ,但我們偵測到的 100 多個目標中,絕
53
公司 55。這些相同的行動者對其他公司使用了勒索軟
大多數都是美國、英國、法國及俄羅斯的核政策或解 體,暗示他們想要取得一個立足點,以備核協議未達
決衝突專家 (與網路釣魚電子郵件主題一致)。4 月在 德黑蘭期望時,得有應急方案。
維也納召開核談判時,PHOSPHORUS 即調整目標鎖
定此團體,也鎖定參與的外交人員。 在某些案例中,我們偵測到以美國組織單位為目標的
伊朗攻擊,主要是為了收集情報和/或進行應急規劃。
今年年初,CURIUM 發動了一場魚叉式網路釣魚活動攻
擊,目標是為美國國防和情報機關提供 IT 和工程服務
的公司,這可能是供應鏈行動中存取客戶資訊的部分。
53
https://www.proofpoint.com/us/blog/threat-insight/badblood-ta453-targets-us-and-israeli-medical-research-personnel-credential 54 https://blogs.microsoft.com/on-the-issues/2020/10/28/cyberattacks-phosphorus-t20-munich-
security-conference/ 55 以 MSTIC 情報為基礎侵。 Microsoft 數位防禦報告 | 2021 年 10 月 64
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
PHOSPHORUS 利用魚叉式網路釣魚入侵的一般流程
業界和美國政府無人不
知會議、大型集會和商
展是情報收集活動的溫
床,國內的競爭情報和
外國對手的消息,無所
不包。翻撿垃圾、記錄
演說、試圖竊取產品及
誘導員工出賣敏感性資
訊,都是個人收集情報
的手段。雖然這些活動
許多都因疫情限制而停
辦,但大型集會已逐漸
恢復舉辦。
活動組
織名稱
其他名稱 來源國家/
地區
目標行業
北韓
ZINC Lazarus、 北韓 公用事業、私人公司、智庫、安全性研究人員
Labyrinth Chzarima
許多消費者帳戶可能是學術人員、智庫成員和政
THALLIUM 等組織發起的無止盡魚叉式網路
府官員的個人帳戶。
釣魚嘗試通常不會成功,但因其無處不在,
只要偶爾成功一次,就一本萬利。
56
https://blogs.microsoft.com/on-the-issues/2020/11/13/health-care-cyberattacks-covid-19-paris-peace-forum/ 57 https://www.microsoft.com/security/blog/2021/01/28/zinc-attacks-against-security-researchers/ Microsoft 數位防禦報告 | 2021 年 10 月 67
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
活動組
織名稱
其他名稱 來源國家/
地區
目標行業
越南
BISMUTH APT32 OceanLotus 越南 人權和民間組織
土耳其
SILICON 為土耳其的戰略利益收集許多國家/地區的情報,主要是中東和巴爾幹半島國家/地區。他們的偵察顯示,
該組織最關注符合土耳其戰略利益的國家/地區,包括亞美尼亞、賽普勒斯、希臘、伊拉克和敘利亞。他們定期鎖
定電信和 IT 公司,可能想在預期目標上游建立立足點,並經常透過掃描基礎結構尋找遠端程式碼漏洞來獲取存取權。
活動組
織名稱
其他名稱 來源國家/
地區
目標行業
土耳其
SILICON Sea Turtle、UNC1326 土耳其 中東和巴爾幹半島的電信公司
58
https://www.microsoft.com/security/blog/2020/11/30/threat-actor-leverages-coin-miner-techniques-to-stay-under-the-radar-heres-how-to-spot-them/ Microsoft 數位防禦報告 | 2021 年 10 月 68
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
59
法庭之友意見書 12.20.2020 (microsoft.com) 60 連結 Candiru:又發現一個唯利是圖的間諜軟體廠商 - 公民實驗室 (Citizen Lab) 61 CVE-2021-31979 - 安全性更新指南 - Microsoft - Windows 核心權限提高弱點 62
CVE-2021-33771 -
安全性更新指南 - Microsoft - Windows 核心權限提高弱點 63
打擊私人公司製造的網路武器 - Microsoft On the Issues Microsoft 數位防禦報告 | 2021 年 10 月 69
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
第4章
供應鏈、IOT 及 OT 安全性
簡介
管理與供應商生態系統相關風險的挑戰
Microsoft 對供應鏈的看法
oT 和 OT 威脅環境
高度安全裝置的 7 項特質
處於網路安全性與永續性交會點的 IOT
IoT 安全性政策考量
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
簡介: 在規模日益增加的攻擊環境中推動創新的機會
副總裁暨雲端和 AI 安全性部門技術長 MICHAL BRAVERMAN-BLUMENSTYK
在過去一年,我們發現大量導致許多組織實體和數位作業中斷的事件。這些事件有時是以實體領域為目標
(例如生產線和能源變電所的中斷),有時則完全在數位領域中進行 (例如透過勒索軟體活動)。
探討已遭惡意探索的受攻擊面會提供額外的觀點:從舊 為惡意探索的目標,這點已從最近越來越明顯且具影響
OT 安全性 在家中和工作場所採
版營運技術 (OT) 設備到全新的物聯網 (IoT) 裝置;從看 力的 SolarWinds 和 Kaseya 攻擊獲得證明。隨著威脅和
似普通的雲端移轉專案到與 5G IoT 相關的工作;以及 攻擊持續加劇,供應鏈複雜性會增加防禦成本,而暴露
OT 裝置 (例如工業控制、醫院監控或水資源管理系統)
用 IOT 及加速推動遠
是許多社會數十年來一直依賴的公共基礎設施。許多裝
從實體供應鏈到數位供應鏈。所有這些都在豐富受攻擊 風險可能會為敵人帶來極大的獲利。
置在採用和利用現代安全性標準方面落後。最近對水資 端服務,提高了風險
面方面扮演著越來越重要的角色。這些都是我們將在本
章中探討的主題。 IoT 安全性
源、運輸及能源公用事業的攻擊,即證明這些領域的中
實現的可能性。
斷會造成深遠且廣泛的影響
IoT 安全性是一個呈幾何發展的前沿,具有推動創新
供應鏈完整性 的機會及規模日益增加的攻擊環境。自新型冠狀病毒 本章包含有關組織如何了解及改進其 IoT、OT 和供應
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
管理與供應商生態系統相關風險的
挑戰
隨著應用程式、基礎結構、裝置和人力資本擴大外包,用於監視多層供應商品質、安全性、完整性和復原力風險 我們聽到了什麼
的工具採用也不斷擴大,而且組織現今利用的大量架構和方法也同時持續增加。當架構在組織和供應商間應用不
一致,或有多個架構實際在運作時,就會出現更多複雜性。 最近,Microsoft M365 安全性、合規性和管理團隊主辦了一場活動,討論高階主管 (資安長、資訊長、
副總裁 /IT 和治理主管等) 及其組織在更了解更多其安全性和風險管理體驗方面的挑戰和策略性需求。以
在風險評估和管理方面,孤島可能會造成其他問題。不同的團隊有不同的優先考量,進而可能導致完全不同的風 下為部分要點:
險偏好、優先順序、做法和文化。這種不一致的情況可能會降低效率,並造成重複工作、風險分析差距,以及無
法有效地在組織中分享風險資訊。 1. 供應商的選擇和管理受到許多因素影響,進而導致缺乏了解和低度信任,因為許多人難以掌握自己的
環境。
我們需要一套一貫且自動化的整合式方法,但目前的 孤立的環境會對風險評估和管理帶來挑戰 組織必須在自我保護免受人類責任、混合式工作固有的問題、影子 IT (未知或未受管理的應用程式、服務,
流程並不適合演變: 以及在標準政策之外開發和管理的基礎結構)、其數位資產的多元化,以及不斷演變的威脅和漏洞之間取
得平衡。在選擇廠商/供應商時,通常都涉及好幾方,而使得情況更顯複雜。安全性只是考量因素之一,
• 供應商的評估和審查流程通常只包含問卷調查。
而且通常不是首要之務,儘管這是需要立即關切的領域。組織最後都有一長串必須管理的供應商 (其中
• 一旦供應商上線,就只有時間點年度審查週期。
一些未知),且對其安全性做法和態勢常常所知有限。除此之外,在供應商合約的限度內工作,往往會限
• 通常,同一家公司內的不同團隊有不同的流程和 制評估。因此,很難對供應商有預期的了解與信任。
職能,且沒有明確的方法可在團隊間互通資訊。
這會使其難以建立整體且自動化的組織風險檢視。 2. 主動管理供應商生態系統雖然理想,卻很困難。指定的關鍵供應商因其造成的潛在風險而需要關注。
組織經常被迫以分離的方法進行供應商風險管理 - 盡可能主動,卻往往更加被動。反應式做法是因資源
和專案規模有限且未考慮安全性所造成。 為了確保盡可能受到全面保護,組織會嚴格管控關鍵供應商 (對
組織任務至關重要的供應商),並給予更少的彈性並加強監督。
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
3. 領導者在供應商安全性投入更多資源,但近來的入侵情況顯示,傳統模型已無法保證安全。
Microsoft 對供 安全供應鏈的九大重點領域
應鏈的看法
以下概述一個可有效率地評估您供應鏈生態系統的架
在 SolarWinds 和 Colonial Pipeline 遭到入侵之後,IT 團隊對於湧進的預算和資源心懷感念。那份感激 構,並提供如何進行保護的考量。我們將投資分組為
附帶了相應的恐慌感。這些入侵事件顯示,他們實施的策略可能無法保護他們免受類似的攻擊,而且必 九個安全供應鏈工作流,以井然有序地評估和降低每
端對端供應鏈和供應商生態系統複雜難懂,從開發到
須在各供應商層進行持續評估和力求補救。 個領域的暴露風險。
建置、晶片到韌體、驅動程式、作業系統、協力廠商
安全端對端供應鏈的九大投資領域
供應商生態系統風險的零信任安全性模型
針對供應商風險管理,首要的優先考量是擁有自訂解決方案,以及進一步洞悉誰最終可以跨領域存取組織資料。
雖然有許多地方可以展開您的零信任之旅,但從供應商生態系統和風險管理觀點來看,首要之務應該是建立多重
要素驗證 (MFA)。
如需零信任策略的詳細資訊,請參閱本報告的混合式工作團隊的安全性一章。
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
攻擊。這些互動的調查結果有助於確定下一組需要解 者將資訊與元件建立關聯。為了能夠檢查漏洞和完整
(機器翻譯 ) (2021/6/24) 重於軟體供應鏈安全性,並列舉要為軟體提供者和軟
決的需求。 性,Microsoft 和 GitHub 支援提供 SBOM,而且我們
Microsoft 開放原始碼軟體安全性 (英文 ) 體的聯邦機構使用者開發的需求領域。針對軟體提供
致力於利用 SBOM 做為更廣泛證據存放區的一部分,
者,EO 要求提高抵禦篡改或攻擊的能力,以及提高
8. 信任鏈結治理和復原 資料中心安全性概觀 - Microsoft 服務保證 | 以驗證端對端供應鏈完整性。
元件的透明度,包括透過安全軟體開發做法和環境、
客戶信任供應商組織會在他們使用產品和服務時提供 Microsoft Docs (2021/8/23)
使用工具或流程進行軟體驗證和漏洞檢查、提供軟體
保護。第一方信任鏈結會為組織的平台、產品和服務 Azure 資料中心的實體安全性 - Microsoft Azure |
物料清單 (Software Bill of Materials,SBOM) 資訊、
提供身分識別、完整性和不可否認性。信任鏈結的主 Microsoft Docs (機器翻譯 ) (2020/7/10)
參與漏洞揭露計畫,以及其他做法。針對軟體的聯邦
要元素包括公開金鑰基礎結構、密碼編譯演算法、硬
供應鏈安全性 - Microsoft Research (英文 ) 機構使用者 (這類軟體具有特定權限存取或使其特別
體,以及支援團體和設施。協力廠商信任鏈結的有效
Microsoft 安全性開發週期 (英文 ) 重要的其他屬性),EO 要求以美國國家標準技術研究
治理至關重要。
院 (National Institute of Standards and Technology,
9. 監視和偵測 NIST) 在 7 月 發 佈 的 安 全 性 措 施 來 管 理 營 運 風 險。
發現可疑活動之後採取跟進動作。在現今超大規模的
雲端作業中,監視、偵測和初始回應都已逐漸自動化。 了解更多:
了解您的供應商並理解其供應鏈。 Microsoft - Executive Order - NIST workshop position paper 4- Testing software source code Microsoft Corporation.pdf
Microsoft - Executive Order - NIST workshop position paper 5- Software integrity chains Microsoft Corporation.pdf
Microsoft 如何採用協調性弱點揭露準則
NTIA_RFC_SBOM_Minimum_Elements_MSFT_Response_061721.docx.pdf
66
Executive Order on Improving the Nation’ s Cybersecurity (「改善國家網路安全性」行政命令 ) | 美國白宮 67
Security Measures for EO-Critical
Software Use (行政命令關鍵軟體使用的安全性措施 ) | NIST 68
Fundamental Practices for Secure Software Development, Third Edition (安全軟體開發
的基本做法,第三版 ) - SAFECode 69
ISO - ISO/IEC 27034-1:2011 - Information technology — Security techniques — Application security —
Part 1: Overview and concepts (資訊技術 - 安全性技術 - 應用程式安全性 - 第 1 部分:概觀和概念 ) 70 Secure Software Development Framework
Microsoft 數位防禦報告 | 2021 年 10 月 75
(安全軟體開發架構 ) | CSRC (nist.gov)
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
環境
企業必須與不斷演變的網路威脅和新型惡意軟體相抗
OT 裝置和環境,包括以往相對孤立的裝置和環境也
衡。這些問題包括 HAVEX73 和 SolarWinds74 等供應
是如此。另一方面,OT 和 IT 環境也都採用了最新的
鏈攻擊、Triton75 和 Industroyer76 等零時差工業控制
現今成功的解決方案通常有賴於許多元件的融合,包 IoT 裝置 (例如智慧電視和智慧型感應器)。綜合上述
系統 (ICS) 惡意軟體、無檔案惡意軟體 77,以及使用
括硬體、軟體和雲端服務,而這些元件通常會整合 所有一切,再加上隱私關注與法規合規性的情境,更
標準管理員工具的離地攻擊戰術 78,由於這些問題混
到 IoT 解決方案中。IoT 不僅是連線的裝置,更是指 突顯了我們需要一個全面性的方式來實現所有 OT 和
合了合法的日常活動,因此較難發現。這些攻擊的頻
這些裝置收集的資訊,以及立即可從該資訊取得的 IoT 裝置之間順暢的安全性和治理。
率和嚴重性在過去一年也有所增加。
強力見解。因此,IoT 及其他嵌入式和 OT 已成為關
了解更多:
鍵的業務、營運和安全性主題。與以往相比,IOT 及 從技術觀點來看,對中東石化設施中安全控制器所發
OT 安全性更常作為公司董事會以及州和聯邦議會討 SCADA Hacking: The Most Important SCADA/ICS 動的 Triton 攻擊,是為了對設施造成重大結構性損害,
論的首要議題,部分是因為過去一年內攻擊頻率和嚴 Attacks in History (SCADA 駭客攻擊:史上最重大的 並可能導致人員喪生。攻擊者會在 IT 網路中取得最
重性不斷增加。這樣的攻擊激增情況也讓人們更加了 SCADA/ICS 攻擊 ) (hackers-arise.com) (2021/4/12) 初立足點,然後使用離地攻擊戰術從遠端存取 OT 網
解哪些數位領域的網路攻擊會對實體領域造成影響: 路,並部署專為 OT 建置的惡意軟體。
Colonial Pipeline 網路攻擊直接導致了美國最大石油
71
管線停擺。Oldsmar 水資源處理廠的入侵 造成了危
險的局勢,其中網路行為體取得未經授權的存取權,
並使用 SCADA 系統的軟體來提高水中氫氧化鈉 (一種
腐蝕性化學物質) 的濃度。監視攝影機提供者遭到駭
72
客攻擊 ,進而暴露了醫院、警察局及其他許多公司
的敏感性影片。
71
Lessons Learned from Oldsmar Water Plant Hack (從 Oldsmar 水資源處理廠駭客攻擊汲取的教訓 ) - Security Today 72 Hackers breach Verkada’ s giant trove of security-camera data collection (駭客入侵 Verkada 的龐大監視攝影機資料收藏 ) |
Fortune 73 https://en.wikipedia.org/wiki/Havex 74
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/ 75 https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-
framework-triton.html 76
https://www.zdnet.com/article/industroyer-an-in-depth-look-at-the-culprit-behind-ukraines-power-grid-blackout/ 77
https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/fileless-threats 78
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
IoT 命令和控制服務的分佈 (依國家/地區) (2020 年 7 月 - 2021 年 6 月) IoT 惡意軟體 CPU 架構的分佈 (2020 年 7 月 - 2021 年 6 月)
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
BadAlloc 此一案例說明了這些漏洞可能帶來的廣泛影
在 2021 年 4 月,我們在 IoT 和 OT 裝置中發現了一 響,因為此風險存在於所有主要產業的 IoT 和 OT 裝
系列重大的記憶體配置漏洞,敵人可能會惡意探索這 置中。此範例更突顯了降低 IT、IoT 和 OT 風險的最
些漏洞來略過安全性控制,並以此執行惡意軟體或造 大挑戰之一,就是這些風險都有共同的攻擊面,而且
成系統損毀。這組漏洞稱為 BadAlloc。這些遠端程式 攻擊者會探索整個生態系統。
碼執行漏洞影響了多種產業和垂直領域,從消費者和
醫療 IoT,到工業 IoT、OT 和工業控制系統。且涵蓋
範圍超過 25 種常見的漏洞和暴露風險 (CVE)。就 IT
環境而言,這類漏洞的惡意探索可能會導致機密性喪
失。在 OT 環境背景下,則可能用於觸發作業中斷。
這 些 漏 洞 源 於 使 用 易 受 攻 擊 的 記 憶 體 函 式, 例 如
malloc、calloc、realloc、memalign、valloc、pvalloc 等。
我們的研究顯示,多年來做為 IoT 裝置和內嵌軟體一
因為這些風險幾乎會帶來相同的結果,所以保護 IoT 確保現代數位環境不會受制於連線到 OT 系統的舊版
部分所撰寫的記憶體配置實作,並未納入適當的輸入
和 OT 裝置免於風險愈發地重要。這些風險往往會嚴 技術威脅。必須有一套橫跨整個企業的整合方法才能
驗證。如果沒有這些輸入驗證,攻擊者可能會利用記
格以孤立的方式隔離處理。為了成功對抗攻擊,請以 降低風險。組織應該找出強化、修補或分割系統的機
憶體配置函式來執行堆積溢位,藉此在目標裝置上執
整體方式來處理風險,同時在每個區域採用領域專業 會,以縮小受攻擊面。
行惡意軟體。
知識。另請務必
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
縮小受攻擊面。避免與 OT 控制系統的不必要網際網
BadAlloc 是 IoT/OT 系列漏洞的範例,會為所有產業帶來風險。風險的程度和性質取決於特定的裝置使 路連線,並只在需要遠端存取時,才透過 MFA 實作虛
用背景。 BadAlloc 不應該僅被視為 OT 或 IT 問題;相反地,組織應該採取整體方式降低風險。
擬私人網路 (VPN) 存取。美國 DHS 警告,VPN 裝置
可能也會有漏洞,並應該更新為目前可用的最新版本。
79
https://azure.microsoft.com/en-us/services/azure-defender-for-iot/ 80 https://azure.microsoft.com/en-us/services/azure-sentinel/ Microsoft 數位防禦報告 | 2021 年 10 月 80
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
高度安全裝置的 裝置身分識別和完整性受到硬體保護。有實體對策可抵禦旁路攻擊。
7 項特質
硬體根信任
裝置是否有與硬體不可分之唯一且不可偽造的身分識別?裝置軟體的完整性是否受到硬體保護?
針對威脅應用了多項降低風險措施。有對策可減輕任一媒介上成功攻擊的後果。
我們建議確保您和供應商裝置的硬體和作業系統經過
安全設計和實作、具有很高的入侵屏障,並納入機制
深度防禦
即使有一個安全性機制遭到入侵,裝置是否仍然安全?
和流程以在必要時持續監視、警示和還原安全性。
私密金鑰會儲存在受硬體保護且軟體無法存取的保存庫中。將軟體分割成多個自我保護層。
經過廣泛的研究和測試,Microsoft 指出所有獨立網
小型受信任的
裝置的安全性強制執行程式碼是否受到保護,不受裝置上其他軟體中的錯誤影響?
際網路連線裝置需具備才能被視為高度安全的七項特 計算基礎
質。在許多情況下,這些高度安全的裝置會應用額外
的安全性措施,但在任何情況下裝置都必須具備所有 軟體元件之間的硬體強制屏障可防止某個元件的缺口擴散到其他元件。
七項特質。這七項特質會共同為整個裝置的矽晶片、 動態區間
裝置的某個元件失敗是否僅限於該元件?現場新增區間是否可以解決新的安全性威脅?
軟體架構和 OS、雲端通訊以及雲端服務,提供安全
性基礎基準。對於某些組織而言,維護所有七項特質 已簽署的權杖,經不可偽造的密碼編譯金鑰簽署後,可證明裝置身分識別和真實性。
的複雜度可能是障礙,儘管裝置安全性的不全經常會 無密碼驗證
裝置是否使用憑證或其他經硬體根信任簽署的權杖進行自我驗證?
導致成本過高。
軟體錯誤會回報給雲端式失敗分析系統,例如因攻擊者探查安全性而導致的緩衝區溢位。
錯誤報告 裝置是否會回報錯誤以供分析,以確認現場裝置執行是否正確並找出新的威脅?
更新會將裝置帶往安全狀態,使得遭入侵資產中的已知漏洞或安全性缺口失效。
可更新的安全性
裝置的軟體是否會自動更新?裝置的安全性 TCB 軟體是否可以快速更新,而無需重新封裝其他裝置程式碼?
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
用於 IoT 解決
解決方案的特定零信任需求: 利用集中式設定與合規性管理解決方案以及健全的更
新機制,確保裝置保持最新狀態且狀態良好。
方案
以強式身分識別驗證裝置
註冊裝置、核發可更新的認證、採用無密碼驗證並使 以安全性監視和回應來偵測和應對新興威脅
用硬體根信任,以確保您能夠先信任其身分識別,再 採用主動監視來快速找出未經授權或遭入侵的裝置。
使用零信任安全性模型 81
保護 IoT 解決方案會從非
做出決定。
IoT 特定需求開始,也就是確保您已實作基本功能來 了解更多:
保護身分識別及其裝置,並限制其存取。這些需求包 以最低權限存取縮小波及範圍 適用於 IoT 的 Azure Defender | Microsoft Azure (英文 )
括明確驗證使用者、了解使用者在網路上使用的裝置, 實作裝置和工作負載存取控制,藉此在已驗證的身分
Azure Sentinel - 雲端原生 SIEM 解決方案 | Microsoft
以及能夠使用即時風險偵測做出動態存取決定。符合 識別可能遭入侵,或正在執行未經核准的工作負載時,
Azure (英文 )
這些需求有助於限制使用者未經授權存取雲端或內部 限制任何可能的波及範圍。
佈署 IoT 服務和資料的可能波及範圍。否則,您可能 https://aka.ms/7properties
會面臨大量資訊洩漏 (例如工廠的生產資料外洩),以 以裝置健康情況控制存取權,或標示裝置以進行補救 Azure Sphere 中用來實現高度安全裝置七項特質的
及網路實體系統的命令和控制權限可能會提高 (例如 檢查安全性設定、評估是否有漏洞和不安全的密碼, 十九種網路安全性最佳做法 (microsoft.com) (英文 )
停止工廠生產線)。 並監視主動式威脅和異常行為警示,以持續建立風險 (2020 年 7 月 )
設定檔。
適用於物聯網的零信任網路安全性 (英文 ) (2021/4/30)
81
零信任安全性模型和架構 | Microsoft 安全性 Microsoft 數位防禦報告 | 2021 年 10 月 82
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
處於網路安全性 為了大幅改善其對環境的影響,組織必須評估及監視
自身行為,然後使用自動化或遠端控制方法將行為最
這可能會接著為攻擊者提供到達 OT 系統的路徑;此
外,攻擊者也可以進行反向攻擊。在一個範例中,攻
此外,請務必了解不在組織 IT/OT 網路上,但仍影響
作業的供應系統安全性態勢。正如組織想要提高效率
的 IOT
這顯示任何具有連線能力的裝置都可能存在缺口引發 在網路外部連線 (例如行動數據),以評估和監視裝置
其挑戰在於了解如何安全地評估、監視及自動化這些 攻擊。 作業、減少到府服務的次數,並提高運作時間。外部
系統。這些系統可能包含敏感性資料、連線到整個組 管理的基礎設施元件遭入侵時,可能會直接影響下游
組織通常會部署 IoT 以改善損益底線,包括更好的品 織的商務系統,並逐漸影響您企業的實體營運。上述 雖然許多組織正在發展其 IT 安全性方法 (從界限型安 業務。例如,關閉建築物中的冷卻器可能會停止作業
質、更高的生產力/更短的停機時間、正式環境最佳 Triton82 或 Crash Override83 等攻擊專門以 OT 系統為 全性模型轉向零信任模型),但卻常常忽視和延宕了 並破壞庫存、空氣品質感應器可能不會提醒員工環境
化,以及降低營運成本和/或以非線性方式增加輸出。 目標,顯示這些系統是吸引國家級和網路罪犯攻擊的 IoT。例如,組織知道要加密應用程式中的敏感性資料, 不安全等。
利用這些方式改善營運也會減少浪費,包括使用更少 目標,並有可能中斷業務營運及可能造成環境損害。 但許多組織未考慮到其控制系統依賴 Modbus 通訊協
的資源就能獲得相同或更高的輸出、更長的運作時間、 定,該通訊協定在設計上缺少任何驗證,並會公開傳 雖然 IoT 能夠而且將會實現更好的環境做法,但重要
減少報廢等。雖然專門針對永續性的 IoT 投資較不常 請務必以與 IT 系統同樣嚴謹和全面的方式來評估 OT 送資料。雖然電腦必須定期取得更新的憑證,但 IoT 的是要安全地設計、評估和操作所有連線的系統 (而
見,但以永續性為計劃不再被視為與商業價值衝突抵 系統的安全性。根據我們的觀察,攻擊者會選擇「脆 裝置通常會使用原廠預設密碼進行部署。 這些系統可能存在十年以上)。隨著全世界都在調整腳
銷的無用功。 弱目標」做為進入點。魚叉式網路釣魚或類似攻擊允 步以因應疫情期間出現的新優先考量,許多公司都希
許存取 IT 系統, 這些 OT 系統的入侵可能會中斷作業,但攻擊者也會 望能夠解決未來日益增加的永續性挑戰。安全的 IoT
由於組織在改善對環境的影響時,面臨日益增加的 將焦點放在 IoT 和 OT 互動的方式。工業控制系統通 將扮演關鍵角色,讓企業在現今和未來都能以永續的
壓力 (這些壓力可能來自關係人的要求及新的政府法 常會使用遠端功能進行更新或修改,這會引進新的攻 方式使用和保護重要資源和公用設施。
規),永續性將成為 IoT 營運部署的主要驅動因素。 擊媒介,讓虛擬攻擊可以在實體案例中造成傷害。今
年年初,佛羅里達州的一家水資源處理廠遭到攻擊,
攻擊者從遠端存取關鍵系統,並嘗試變更供水中的化
請務必以與 IT 系統同樣嚴謹和全面的方式來評估 OT
學劑量 85。
系統的安全性。
82
Hackers use Triton malware to shut down plant, industrial systems (駭客使用 Triton 惡意軟體關閉工廠的工業系統 ) | ZDNet 83 Crash Override Malware Took Down Ukraine’ s Power Grid Last December (Crash Override 惡
意軟體在去年 12 月中斷了烏克蘭的電網 ) | WIRED 84 A smart fish tank left a casino vulnerable to hackers (智慧型魚缸讓賭場易受駭客攻擊 ) (cnn.com) 85 FBI, Secret Service investigating cyberattack on Florida water treatment
plant (FBI 情報局調查佛羅里達州水資源處理廠的網路攻擊 ) - TechRepublic Microsoft 數位防禦報告 | 2021 年 10 月 83
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
考量
消費性產品的安全性,並推動關鍵應用程式的進階安
裝置網路安全性制定了一組最佳做法標準。這些標準
全性狀態。在美國,政策倡議所依據的標準包括 2020
展示了對抗常見攻擊的成效,而業界和政策制定者同
年 的《 物 聯 網 網 路 安 全 促 進 法 》(IoT Cybersecurity
全球各地的政策制定者都承認 IoT 安全性對於隱私 樣可以利用這些標準,立即改善消費者、企業和政府
Improvement Act)87,其中參考了 NISTIR 8259A,以
權、安全、關鍵基礎設施保護和一般數位轉型具有深 使用者的全球 IoT 裝置安全性狀態。
便管理與美國聯邦機構使用 IoT 裝置相關的風險,並
遠的影響。IoT 安全性政策的實施方法包括自願計畫 參考 EO 14028,其所建議的消費者 IoT 裝置標記計
和強制安全性需求。IoT 裝置類型的範圍、不斷增加 最低安全性基準 畫也可能參考 NISTIR 8259A,並與 ETSI 或 ISO 標準
的裝置數量,以及裝置、實體世界和網際網路之間的 最低 IoT 安全性基準標準是改善全球網路安全性健康 相容。其他範例還包括對英國消費者智慧型裝置建議
互動量,使制定有效且適當量身打造的網路安全性政 情況的一個好起點。這些標準旨在為製造商、開發人 的強制安全性需求 88,以及新加坡和芬蘭的自發性裝
86
將於 2021 年 11 月發佈的 Microsoft IOT Signals 報告 87
H.R.1668 (116th): IoT Cybersecurity Improvement Act of 2020 (H.R. 1668 (116th): 2020 年物聯網
網路安全促進法 ) 原文 (國會通過版本 )) - GovTrack.us 88 New cyber security laws to protect smart devices amid pandemic sales surge (在疫情銷售激增期間用
於保護智慧型裝置的新網路安全法 ) - GOV.UK (www.gov.uk)
Microsoft 數位防禦報告 | 2021 年 10 月 84
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
89
https://www.globalcyberalliance.org/ Microsoft 數位防禦報告 | 2021 年 10 月 85
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
90
如何主動防禦 Mozi IoT 殭屍網路 | Microsoft 安全性部落格 (英文 ) Microsoft 數位防禦報告 | 2021 年 10 月 86
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
簡介 管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境 安全裝置的 7 項特質 將零信任應用於 IoT IoT 與永續性 IoT 政策
在 45 天感應器訊號中看到的密碼數
>2,000 萬
我們在 45 天內觀察
到 IOT 裝置中使用密
碼「ADMIN」的次數。
第5章
混合式工作團隊的安全性
簡介
保護混合式辦公的零信任方法
身分識別
裝置/端點
應用程式
網路
基礎結構
資料
人員
簡介: 基礎很重要
資訊安全長 BRET ARSENAULT
不應用或不維持這些
過去這一年來我們仍持續面對深刻的挑戰。雖然大多數的產業因為疫情而轉移到遠端工作,但這也為網路罪犯創造
了新的可利用受攻擊面,例如用於業務用途的家用裝置。在 2021 年上半年,曾發生三件重大的攻擊:NOBELIUM 基本衛生做法的組織
(SolarWinds 供應鏈攻擊)、HAFNIUM (內部佈署 Exchange 伺服器攻擊),以及 Colonial Pipeline (勒索軟體攻擊)。 將會面臨更大的攻擊
我們可以從中汲取許多教訓。首先,電子郵件入侵是持 如果遭到入侵的組織應用了基本的安全性衛生,例如修
風險。
開始使用零信任的建議事項:
續存在的威脅媒介。事實上,網路釣魚幾乎占了 70% 補、套用更新或開啟多重要素驗證 (MFA),這些組織便
91
的資料外洩。 其次,網路罪犯會使用偽裝成合法軟體 可能逃過一劫或降低受到影響的程度。事實上,令人震 • 身分識別會在任何位置透過 MFA 進行驗證及保護。
束,但到了某個時間點,新型冠狀病毒 (COVID-19)
將不再是我們社會的沉重負擔,而比較像是流行性
病毒 (像是流感)。當地的健康形勢和地方政府指引
會決定我們有多少員工可以在工作現場工作,以及 全球每週不重複徽章掃描次數 (2021 年 1 月 – 8 月)
哪些服務可供使用。一旦某個地點完全重新開放後,
了解更多:
的零信任方法
零信任消除了傳統公司網路內部中所預設的固有信
分析資料以進行了解、管理內部風險、驅動威脅偵測, 式各樣不同的端點,從 IoT 裝置到智慧型手機、自備
任。有效的零信任架構旨在掌握數位資產中每一個降
以及改善防禦。 裝置到合作夥伴管理的裝置,以及內部佈署工作負載
低風險的機會。實際上,這意味著系統之間的每一項
混合式辦公環境中日益盛行的雲端式服務、行動運算、 到裝載在雲端的伺服器。這種多樣性會創造巨大的受
交易都必須經過驗證並證明是值得信賴的,然後才能
物聯網 (IoT) 和攜帶您自己的裝置 (BYOD) 已改變了當
進行交易。為了建立有效的零信任策略,我們建議採
整合式安全性哲學與端對端策略 攻擊面區域。監視和強制執行裝置健康情況與合規性,
今企業的技術面貌。依賴網路防火牆和虛擬私人網路 以確保安全存取。
用這些指導性原則: 零信任控制和技術是部署在六大基礎技術支柱上。每
(VPN) 以隔離和限制公司技術資源及服務存取的安全
個支柱都是訊號來源、強制執行的控制平面,以及要
性架構,已不足以應對需要定期存取傳統公司網路邊 明確地驗證 維護的關鍵資源。在零信任架構中,這些支柱會經由
界以外應用程式和資源的工作團隊。轉向選擇網際網 執行驗證及授權時,一律以提供的所有資料點為依據, 安全性原則的自動化強制執行、訊號與安全性自動化
路作為網路及持續不斷進化的威脅,促使 Microsoft 包括使用者身分識別、位置、裝置健康狀態、服務或 的相互關聯,以及協調流程來互相連結。
選擇採用零信任安全性模型。零信任已成為全球企業 工作負載、資料分類和異常。
安全性領導者的首要任務。 1. 身分識別
使用最低權限存取 身分識別可能代表人員、服務或 IoT 裝置。當身分識
隨著全球不斷增加且越趨複雜及廣泛的網路安全性攻 使用適時適度 (JIT/JEA)、以風險為基礎的調適性原則 別嘗試存取資源時,以強式驗證驗證該身分識別並確
擊,我們正面臨一個抉擇的時刻。這個現實再加上辦 和資料保護來限制使用者存取,以協助保護資料和生 保存取,對該身分識別而言是合規且典型的。遵循最
公型態進入下一個顛覆性的改變 (即混合式環境),為 產力。 低權限存取原則。
世界各地的公司都帶來了採用零信任方法的緊急機
會,並假設所有活動 (即使是受信任的使用者也一樣) 數位資產零信任
都有可能是針對入侵所進行的嘗試。整個產業的訊號
凸顯了每個公司都需要建立安全性文化,並現代化其
方法以確保受到保護。
95
2021 年零信任採用報告 (英文 ) 根據來自不同業界超過 900 名熟悉零信任的安全性決策者。來自美國、德國、日本、澳洲及紐西蘭的受訪者。 Microsoft 數位防禦報告 | 2021 年 10 月 92
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
目前的零信任實作概觀 - 安全性風險區域
身分識別 幅減少,但同時我們也發現歸因於網路釣魚或其他更
複雜技術 (例如使用惡意軟體進行認證搜集) 的攻擊明
顯增加。資料顯示惡意行為體已對其策略進行調整,
在 Azure Active Directory 中,我們每天觀察到 5000
以繼續入侵帳戶。
萬次密碼攻擊,但只有 20% 的使用者和 30% 的全球
管理員正在使用如 MFA 等強式驗證。96 密碼型攻擊
儘管封鎖舊版驗證和啟用 MFA 仍然是所有組織最重
仍然是身分識別入侵的主要來源。然而,其他類型的
要的防禦措施,網路釣魚保護比以往變得更加重要。
攻擊正在興起,包括同意網路釣魚和非人工身分識別
即使啟用 MFA,使用者的認證仍然可以會遭到即時中
攻擊。 間人網路釣魚工具進行網路釣魚,這類工具會複寫登
入頁面,並重播 MFA 提示以收集傳送給使用者的一
次性密碼。為了防範這類攻擊,客戶可以採用 Fido2
密碼型攻擊
型認證 (以公開金鑰密碼編譯金鑰對為基礎),例如安
Azure AD 是所有 Microsoft 雲端服務的大門。我們的
全性金鑰或 Windows Hello 企業版。97
登入服務每天會收到 900 億個驗證要求,這讓我們可
以了解更多所有雲端中發生的身分識別攻擊。針對使
零信任實作沒有一體適用的方法,只要有授權,任何地方都可以是起點。
用者身分識別所進行的密碼型攻擊仍然是最猖獗的身
分識別入侵媒介。雖然密碼噴灑和認證資訊填充過去
是身分識別入侵的最大媒介,但過去一年來,我們觀
了解更多:
察到惡意行為體生態系統的策略有了明顯的變化。在
零信任採用報告 (英文 ) (2021/7/27) 過去幾年中,特別是在疫情期間,Microsoft 和我們
的客戶都在減少受攻擊面上進行了大量的投資,以避
加速您零信任之旅的資源 – Microsoft 安全性 (英文 ) (2021/5/24)
免惡意行為體入侵以 Azure AD 為基礎的帳戶。安全
零信任安全性模型與架構 | Microsoft 安全性 (英文 )
性態勢 (安全性預設、MFA 採用、密碼保護、舊版驗
證區塊) 的強化,以及我們在偵測 (惡意 IP 位址、密
碼噴灑偵測) 上進行的投資,都減少了使用舊版驗證
96
根據截至 2021 年 8 月的 Azure Active Directory 保護遙測資料。 97 您的認證都歸我們所有! - Microsoft 技術社群 (英文 ) Microsoft 數位防禦報告 | 2021 年 10 月 93
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
非人工帳戶的攻擊 程式碼中的認證挑戰並不是新的挑戰。雖然大多數的
我們觀察到對應用程式和服務主體身分識別的攻擊 廠商 (包括 Azure DevOps 和 GitHub) 都提供保護措
98
數量大幅上升。 與使用者不同,這些身分識別通 施來標記這些認證以進行移除,但這種做法仍然存在。
常更容易受到攻擊,因為組織並未一致地將許多典 這些認證會為攻擊者提供進入組織環境的直接路徑,
型的保護措施 (例如強式驗證、嚴格的生命週期管理 同時不會受到 Azure AD 稽核記錄偵測。Microsoft 建
和安全性監視) 套用到這類帳戶。因此,我們觀察到 議客戶稽核其工程成品,包括認證的程式碼存放庫。
攻擊者會利用已具備特殊權限角色或更大權限範圍
的應用程式識別。與典型的「初始存取 -> 取得特殊 安全性態勢的採用
權限」攻擊鏈不同,這種攻擊媒介會透過遭到入侵
採用強式驗證
的使用者或洩露的應用程式取得初始存取。
針對身分識別,明確驗證表示確保身分識別在存取資
源時使用強式驗證。Microsoft 研究顯示,要求強式
我們觀察到透過遭入侵使用者取得初始存取的攻擊
驗證可以保護 99.9% 的身分識別攻擊,因為大多數的
者,會使用其提升的權限進行偵察,以使用現有權限
攻擊都與密碼有關。雖然增強密碼有助於抵禦這些攻
來辨識應用程式,視需要新增一組應用程式認證,甚
擊,但使用無密碼驗證方法來完全消除密碼可提供最
至是將特殊權限角色指派給應用程式。因此,應用程
實用且最安全的驗證體驗。
式會在環境中正常執行,但同時也會作為攻擊者的工
具執行。客戶應檢閱應用程式角色和權限,以符合最
正因為有了這些對抗措施,相較於 2020 年 7 月到 如需網路釣魚趨勢和降低風險的詳細資訊,請參閱本 隨著公司開始針對遠端工作和混合式工作團隊調整其
低權限原則,並監視其 Azure AD 稽核記錄中,應用
12 月期間,2021 年 1 月至 6 月期間停用的應用程式 報告的網路犯罪現況章節。 安全性態勢,我們在過去 18 個月中觀察到強式驗證
程式和服務主體是否有不熟悉的活動。
增加了 89%。經過詳細調查後,我們觀察到主要惡 的使用量增加了 220%。
意攻擊媒介已從多租用戶網路釣魚攻擊轉變為濫用式 了解更多:
攻擊。
Microsoft 提高全方位解決方案以對抗同意網路釣
魚電子郵件的崛起 | Microsoft 安全性部落格 (英文 )
(2021/7/14)
駭客不會入侵,他們會
登入。
98
Azure AD 中的應用程式與服務主體 - Microsoft 身分識別平台 | Microsoft Docs (英文 ) Microsoft 數位防禦報告 | 2021 年 10 月 95
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
當使用者存取應用程式時,管理員可以使用條件式存取來設定要強制實行哪些額外的需求以授與存取。隨著組織
擁抱零信任安全性原則,除了 MFA 之外,我們還觀察到了受控裝置和受控應用程式需求獲得了更廣泛的採用。
Microsoft 讓所有新客戶都可使用安全性預設,確保每個人至少都擁有基本的保護層級,包括適用於管理員的
MFA 等控制。99
啟用安全性預設的租用戶
99
Azure Active Directory 安全性預設 | Microsoft Docs Microsoft 數位防禦報告 | 2021 年 10 月 96
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
舊版通訊協定:敵手的首選進入點
幸運的是,終端使用者和管理員已經開始在組織中使用現代化驗證。
組織入侵的其中一個主要來源是來自舊版通訊協定 (例如 IMAP、SMTP、POP 和 MAPI) 的驗證。這些通訊協定不
支援 MFA,因此成為敵手的首選進入點。事實上,根據 Azure AD 的驗證資料,99% 的密碼噴灑和 97% 的認證填
混合式世界基本上是「無周邊」,因此在身分識別和裝置周圍加上保護層非常重要。作為零信任的一部分,我們也
充攻擊都使用舊版驗證。來自 Azure AD 的資料顯示,使用 IMAP 用戶端進行驗證的入侵率比瀏覽器驗證的入侵
認為未來是無密碼的,100 而我們在今年已開始觀察到這項轉變。
率高 22 倍。
100
準備為您的企業消除密碼 (英文 ) (microsoft.com) Microsoft 數位防禦報告 | 2021 年 10 月 97
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
降低 BYOD 風險的建議
裝置/端點 為了降低所有增加的 BYOD 模型風險,重要的是確保持續驗證指定的安全性標準,以及驗證裝置和使用者的身分
識別,以對關鍵公司資源進行門控。例如,您可以封鎖已遭越獄 (經過修改以移除製造商或電信業者所施加的限制)
所見所聞
的個人裝置,確保企業應用程式不會暴露在已知的弱點中。
隨著全球轉移到遠端或混合式工作模型驅動了大多數的需求,使用者會從任何地方及使用任何裝置工作,且其時
間比歷史上任何一個時代都要來得更長。因此,攻擊者正在快速調整其策略,以利用這項變化。企業必須衡量啟 如需保護裝置的詳細資訊,請參閱本報告的供應鏈、IoT 及 OT 安全性章節。
用 BYOD (允許其終端使用者存取傳統上需要 VPN 或內部佈署存取的公司資源) 所提高的風險,因為相同的使用者
可能會在於個人裝置上執行與工作無關的功能時,不經意地安裝勒索軟體或其他惡意軟體。透過使用零信任模型 了解更多:
啟用 BYOD,企業可以減少佈建成本,避免針對在家辦公購買額外硬體,但其需要能夠在這些裝置上保護公司資產,
使用 Intune 保護資料和裝置 | Microsoft Docs (英文 )
同時允許使用者在相同的裝置上執行非工作功能。
Microsoft Intune - Azure 中的裝置合規性原則 | Microsoft Docs (英文 ) (2021/4/29)
應用程式 機密資料。若要了解這個領域最近的攻擊趨勢,請
參閱本報告的舊版通訊協定和 OAuth 同意網路釣魚
了解更多:
如何現代化您的應用程式?成功部署下列三個解決方案之一:
網路 客戶會使用網路細分來組織工作負載及部署防火牆,
以保護子網路與 VNET 間的流量,以及連向內部佈署
最常見的網路攻擊類型
Azure 防火牆每天會阻擋數以百萬計的入侵嘗試。我
網路入侵嘗試中最常使用的 5 大通訊協定
(2021 年 7 月)
和網際網路的流量。客戶會使用防火牆來控制及增強
零信任方法鼓勵組織假設持續受到攻擊,而且可能隨 們的訊號顯示,攻擊者在 2021 年 7 月的網路攻擊嘗
所有網路流量的可見度。
時發生安全性事件。為了準備將這類事件影響範圍降 試中最常使用惡意軟體、網路釣魚、Web 應用程式
控制程度以實作這些軟體定義的參數,會增加攻擊者
Web 應用程式防火牆 有了顯著的提升,這是一種使用網路來挖取加密貨幣
101
Azure DDoS 保護 – 2020 年回顧 | Azure 部落格與更新 | Microsoft Azure (英文 ) Microsoft 數位防禦報告 | 2021 年 10 月 101
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
歐洲、亞洲和美國仍然是最常受到攻擊的區域,因為
金融服務和遊戲產業都集中在這些區域。阿拉伯聯合
大公國在政府、石油與天然氣、電信和醫療產業/部
門方面受到 DDos 攻擊的次數則越來越多。
DDoS 攻擊的主要來源區域包括俄羅斯、羅馬尼亞、
土耳其、印尼、越南和菲律賓,因為這些區域的受雇
DDoS 攻擊服務相當盛行。
DDoS 攻擊服務的平均價格
基礎結構 也應考慮在內。因此,了解容器化環境中,尤其是
Kubernetes 中可能存在的各種安全性風險至關重要。
了解更多:
基礎結構是一個關鍵的威脅媒介。
102
儲存體服務的威脅矩陣 | Microsoft 安全性部落格 (英文 ) Microsoft 數位防禦報告 | 2021 年 10 月 104
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
資料 雖然資料對組織而言相當有價值,但資料價值隨著時
間的下降速度可能會快於與其相關聯的風險。104 因管
降低與資料相關聯的風險不僅在於去除舊資料並保護
現在保存資料的位置。其還與重新評估組織如何使用
了解更多
統一資料治理和安全性對敏感性資料風險的累積影響
圖表中的下滑與主要假期期間的使用量減少有關 資料治理可以將資料的商務價值最大化,同時有助於將資料的安全性和合規性風險降到最低。
103
技術密集度如何加速商業價值 – Microsoft 產業部落格 (英文 ) 104
透過 5 個務實步驟實作您的資料和分析治理。 2020 年 7
月 6 日出版 – ID G00729295 – 作者: Guido De Simoni、 Saul Judah Microsoft 數位防禦報告 | 2021 年 10 月 105
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
人員 混合式工作場所中內部風險的一
些指引
部威脅攻擊路徑中所有階段的風險。一般而言,我們
應該假設,隨著攻擊在路徑上進展,對組織或其關係
項計劃。隨著組織在預防性控制領域朝日益先進的能
力邁進,其始終應諮詢整個組織中適當的關係人。例
人造成的損失威脅會有所增加。預防性控制 (例如指 如,在實作任何預防性控制之前,請向企業確認保護
協助人們適應新的工作方式是任何成功轉型的關鍵。 如本報告針對零信任的章節所述,在為員工提供順暢 示組織在何處報告內部威脅擔憂的認知訓練),或旨在 措施仍然可讓員工和承包商執行其合法的業務活動。
雖然組織正在賦予人們隨時、隨地及透過各種形式安 資訊存取的同時降低意外洩露的風險是可能的。針對 限制風險行為的控制 (例如限制離開組織的人員共用
全工作的能力,但我們發現最成功的是那些對終端使 更多惡意內部威脅,使用常見因素的架構和經常看到 檔案的能力) 是 Microsoft 為了降低風險而採取的兩
用者體驗感同身受的組織。 的模式有助於實現主動偵測。Microsoft 的內部風險
計劃已結合了多種預防性控制和偵測性控制,減少內
本章前幾節介紹了零信任六大基礎支柱的威脅形勢,
以及我們建議保護這些支柱的關鍵步驟。然而,重要
內部威脅攻擊路徑 105
的是我們實施零信任策略的每一個步驟都會影響組織
人員,而成功的實作不僅取決於人員,也同樣取決於
我們建立的系統和工具。公司與工作團隊針對遠端工
作和安全性的互動方式很重要。為了替本章做結,我
們將會討論關於人、任何企業的人類要素,以及最終
到我們最大的資產。
內部威脅攻擊有幾個常見的要素和模式,可透過關鍵路徑的方法描述。識別關鍵路徑中各個階段的指標,
有助於建立更主動的偵測。
105
改編自 Eric Shaw 和 Laura Sellers 的 Application of the Critical-Path Method to Evaluate Insider Risks (應用關鍵路徑方法來評估內部風險 ), Studies in Intelligence (情報研究 ), 59,2。 2021 年 Microsoft 數位防禦報告 | 2021 年 10 月 106
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
AI 和 ML 不一定永遠都是答案
假設正面意圖;假設會發生錯誤。
106
工作趨勢指數: Microsoft 針對工作方式的最新研究 (英文 ) 107 混合式工作文化如何協助您降低內部風險 - Microsoft 安全性 (英文 ) (2021/5/17) Microsoft 數位防禦報告 | 2021 年 10 月 108
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
第6章
假資訊
簡介
假資訊是一種新興威脅
借助媒體素養釐清事實
假資訊會為企業製造混亂
活動的安全性與選舉的公正性
簡介: 假資訊愈來愈周密,範圍愈來愈大,亟需嚴密關注
首席科學長 ERIC HORVITZ
假資訊 是指蓄意使用假資訊,意圖影響輿論。編造假設來操控大眾的行為由來已久。然而,由於運算方法及基礎結
構的改進,改變了假資訊活動的力量、範圍和效率,讓假訊息在過去十年中出現了許多種新型態。 這些方法為假資訊活
動注入了新的說服力。
廣泛使用的消費者平台及服務 (例如社交媒體、創作者平台、搜尋引擎及訊息服務),現在為國家及非國家行為體提
供了有力的管道來散布假資訊。除了管道之外,這些服務也為惡意行為體提供現成的工具,讓他們可以實驗、監視、
反覆運用及最佳化假資訊活動的影響。
108
Characterizing Search-Engine Traffic to Internet Research Agency Web Properties | Proceedings of The Web Conference 2020 (詳論 Internet Research Agency 網路資產中的搜尋引擎流量 ) (acm.org) Microsoft 數位防禦報告 | 2021 年 10 月 110
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
面對這樣的發展,我們可以做些什麼? 方面,可以著重在辨識假資訊的主要位置和組織來源。
目前有一些技術的發展前景十分看好。這些技術在生 假資訊是一種新 散播假資訊的一般動機是損害實體的名譽,誤導消費
者對資訊的了解,或是影響特定事件的結果。這是對
我們亟需注意假資訊愈來愈周密,範圍也愈來愈大,
然後從多方面因應。首先最重要的是,我們必須深化
產工具及管線中使用了加密、安全性及資料庫等技術,
以驗證線上媒體內容的來源和編輯記錄,也就是內容
興威脅 民主、公開討論和現代社會最大的威脅之一。
109
面對假資訊令人期待的一步 – Microsoft 面對問題 110
不同於一般常見的用法,這個詞彙在技術上是指特定類型的 ML (一種處理序,會公開大量多
元的資料,讓電腦提高自己的效能 ),這種 ML 會使用分層神經網路 (模擬人類大腦之資訊傳遞方式互相連線的電腦處理器 ),增強 ML 演算法的正確性。
深偽使用兩種演算法:第一種演算法先建立一部影片,再由第二種演算法嘗試判斷影片的真偽。若第二種演算法分辨出影片是假的,第一種演算法
會再次嘗試,直到結果呈現的樣貌充滿可信度為止。 Microsoft 數位防禦報告 | 2021 年 10 月 111
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
在注意力經濟中,使用者愈來愈只會接觸到符合他們偏好的資訊 (圖中的藍色區域 )。
過濾泡泡代表的演算法,會根據使用者先前的搜尋歷程記錄及其他線上活動選擇內容。
都是未經當事人同意的色情內容。111 個人的名譽可能
會因張貼在社交媒體上的一部深偽影片,遭致損害到 借助媒體素養釐 大學和社交媒體公司,都已經開始進行媒體素養工作,
包括標記、情境化、提供進一步的閱讀或資源,甚至
的對象時,政府引進了多種平台的資訊素養及強而有
力的批判性思考,作為國家課程核心的一環。117
無法修補的地步。
罪犯可以並會利用 AI 和深偽,提高詐騙和其他惡意
清事實 是運用像是線上測驗等的遊戲化工具。
媒體素養課程應能該個人了解其收到的資訊,評估其
111
The State of Deepfakes: 2019 Landscape, Threats, and Impact | Sensity AI (深偽現況: 2019 情勢、威脅和影響 | Sensity AI) 112 Thieves are now using AI deepfakes to trick companies into sending them money – The Verge (竊賊們正在使用 AI 深
偽,向公司詐取金錢 ‒ The Verge) 113 Romance Scammer Used Deepfakes to Impersonate a Navy Admiral and Bilk Widow Out of Nearly $300,000 (愛情詐欺犯使用深偽假冒海軍將軍,騙取寡婦將近美金 300,000 元 ) (msn.com) 114 Many Americans
Believe Fake News Is Sowing Confusion | Pew Research Center (許多美國人相信深偽新聞正在製造混亂 ) ( journalism.org) 115 A digital media literacy intervention increases discernment between mainstream and false news in the United States and
India. (在美國和印度,數位媒體素養干預行動提升了區別主流與假新聞的能力 )(2020) 116 Media Literacy Around the States | Media Literacy Now (美國的媒體素養 | Media Literacy Now) 117 https://www.theguardian.com/world/2020/jan/28/fact-
from-fiction-finlands-new-lessons-in-combating-fake-news Microsoft 數位防禦報告 | 2021 年 10 月 113
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
Microsoft 不間斷地開發媒體素養資源,協助消費者辨
別資訊。在美國 2020 年選舉之前,我們發行了 "Spot 假資訊會為企業 潛力。下列三個領域提供一些比較平常,企業可以優
先考慮的考慮事項,確保企業準備好應戰,降低假資
要施行復原力更強的做法。有哪些轉折點或資
訊交換點或解譯點,需要更加嚴謹、更多控制,
the Deepfake" (找 出 深偽)
解我的新聞) 119
118
和 "Know My News" (了
兩個網路測驗,期能藉此提高對合成
製造混亂 訊帶來的負面影響。 或是其他形式的檢查和平衡?根據此項分析導
入控制,甚至是頻外交叉檢查和驗證,以緩解
1. 假資訊和社交媒體帶來的效果一樣,都是依賴
媒體技術的認知,以及了解新聞來源。我們也發行了 假資訊經由蓄意和毫無戒心之中間人組成的傳播鏈傳 遭到汙染或描述錯誤的資訊所帶來的威脅,這
資料收集、彙總和散布等做法,滲透到企業的
"VaxFacts Quiz" (疫苗事實測驗)120,以在疫苗愈來愈普 遞。蓄意行為體包括駭客、破壞分子,以及其他產生 類資訊可能會破壞資料串流,以及從其衍生而
工作流程中。這些工作流程和資料施做本質,
遍施打同時,加強對新冠病毒 (COVID-19) 錯誤資訊的 出的見解。
或傳播假資訊的中間人。這些中間人可能包括以社會、 可能是自動或手動,甚至更先進的做法 (例如
認知。Microsoft 還開發了混合式威脅訓練課程,凸顯 產業或社會領域為目標的國家行為體。其中也可能包 利用 AI 功能),也都可能發生資料外洩。複雜 2. 企業中的訊號和資料可能會透過安全弱點或攻
威脅份子愈來愈常使用網路安全和假資訊攻擊,以達 括參與企業反間諜活動或反競爭破壞的中間人。員工、 的 AI 演算法可能會遭到愚弄,其底層的模型也 擊遭到入侵,從而注入假資訊。企業復原能力
成其目標。這些訓練課程模組針對了政治社群 (包括政 廠商與供應商、其他合作夥伴與利害關係人、客戶, 可能會因為過量的假資訊和其他類型的資訊攻 檢測和威脅訊號的重要性常被輕忽,因而審查
治活動、政黨和政府機構)、記者和其他人權組織專門 甚至是競爭對手,都可能是毫無戒心的中間人。這些 擊而不堪負荷,導致錯誤或異常的見解與結果。 程度不會與核心或主要服務或應用程式相同。
設計。 人員會持續散播假資訊而不自知,既是不知情的受害 一般而言,在缺乏適當偵測、及時通知、隔離 資料和訊號收集有時會被歸類到附屬環境中的
者,也是毫無戒心的假資訊中間人。透過這些中間人 和收回,以及深入防禦的情況下,自動化會面 支援應用程式和系統。攻擊者和破壞人士了解
了解更多:
和其他資訊傳播方式,平行和並行的假資訊浪潮會阻 臨資料外洩和損毀的威脅。反之,像是複製/貼 這一點,因此會攻擊其認為是弱點的所在之處。
我們在保存和保護新聞業上的最新工作進展 ‒ Microsoft 礙或吞噬企業。這些浪潮可能如潮汐般容易預測,也 上、旋轉椅 (將資料輸入一個系統,再將相同 他們的主要偵查區域,包括營運安全性和控制
問題焦點 (英文 ) (2021/6/16) 可能會帶來像無法預期的海嘯,壓垮岸邊毫無戒心的 資料輸入另一個系統)、螢幕截取,以及透過人 系統,以及程式碼探索和設定的弱點,尤其是
村莊這類效果。在此案例中,岸邊的村莊就是企業資 力評估和自動化方式彙總公用資訊等手動作業, 次要系統或支援系統。若攻擊者可以繞過入侵
訊社群。如同其對社會言論造成的破壞性影響,這類 也可能面臨破壞、損毀或細微修改的風險。為 偵測而攻擊成功,可能會破壞威脅訊號,或是注
假資訊很可能具有破壞企業決策過程、製造商業混亂 因應這項日益增長的威脅,企業決策者應評估 入誤導的資訊。企業決策者應重新評估他們所保
和動盪,以及在員工、客戶和市場中埋下懷疑種子的 企業的關鍵資訊收集和散發流程中,有哪些需
118
https://www.spotdeepfakes.org/en-US (與華盛頓大學知情公眾中心合作 ) 119 https://www.knowmynews.com/en-us (與 NewsGuard 合作 ) 120 Do you know the Facts about the COVID-19 Vax? (你
了解新冠病毒 (COVID-19) 疫苗的真相嗎? )– NewsGuard (newsguardtech.com) Microsoft 數位防禦報告 | 2021 年 10 月 114
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
3. 情境情報可能遭替換成假資訊,或以細微的方 心降低的影響可能會促成定價升高,並影響生
式遭到更改,藉此在決策者或前線人員的心中 產成本。懷疑企業控制價格、供貨和供應商的
製造偏見或懷疑。情境情報包括威脅情報、危 能力,可能會加劇破壞,迫使時間表加快,或
機情報、災害資料,以及其他有助於提高企業 是造成決策不精確或不正確。又或者是造成復
對營運或競爭環境理解的資訊類型。破壞人士 原、容錯移轉或後援等決策延遲,或是對決策
的關鍵策略之一,就是以假資訊替換情境情報。 產生懷疑。破壞人士也可能會透過侵蝕信任感,
這種策略的部署環境,通常是被視為企業頻外 或是呈現假的或不正確的資訊,以及領先或落
管理或超出企業控制範圍的環境,包括社交和 後的指標,嘗試削弱前線人員對領導階層的信
活動的安全性與 政治活動安全性特有的網路安全
性挑戰
溝通管道,確保發生問題時能夠找到連絡點一樣。候
選人在活動期間建立網路安全性文化也勢在必行,而
Microsoft 安全分數平均都增加了 18%。除了政治客
戶之外,其他高風險團體,包括人權組織、記者和媒
選舉的公正性 政治活動因為本身的結構和生命週期,而有其獨特的
且不只有 IT 人員,還須包括與活動互動的每個人。
像是開啟多重要素驗證 (MFA),利用密碼管理員提供
體組織,以及醫療保健組織,也都可以使用這項服務。
網路安全性挑戰。由工作人員、志工和顧問組成的活 強式專用密碼,以及使用安全通訊管道進行活動通訊
從 網 路 干 預 民 主 進 程 的 威 脅 是 一 項 重 大 的 問 題。 AccountGuard 的分布
動組織,通常會在個人宣布參選之後建立,然後快速 這些相對容易的動作,就能在提高整個組織的復原能
Microsoft 已經關閉了數十個網站,因為這些網站遭
擴展。因此在整個活動中,團隊成員經常會被要求使 力上產生巨大的差異。
到了國家行為體利用,並以勝選的政府人員及候選人、
用自己的個人裝置,包括手機或膝上型電腦。此外,
提倡民主的組織、維權者及媒體為目標。我們也看到
由於預算及 IT 專業知識有限,在決定要使用哪一種 Microsoft 開 發 了 一 項 服 務, 處 理 活 動 工 作 人 員 使
一些國家試圖鎖定民主系統的重要基石進行攻擊,包
電子郵件和檔案共用提供者時,通常取決於個人的偏 用 個 人 裝 置, 以 及 活 動 業 務 所 用 之 帳 戶 相 關 的 挑
括投票系統與政治活動。我們也經歷過了精心操控社
好,而不是廣泛的安全性和風險評估。由於人們經常 戰。Microsoft AccountGuard121 這 項 安 全 性 服 務 整
交媒體平台,以傳播錯誤資訊和假資訊的情事。
加入和離開活動,並利用各種個人裝置來執行活動業 合了所有帳戶的威脅偵測和通知,免費提供給使用
Microsoft 的捍衛民主計劃是為了進一步推動技術、
務,因此很難管理和施行強而有力的網路安全性做法。 Microsoft 365 產品的活動使用。當在 AccountGuard
提高網路復原能力,並和政府、活動及民主利害關係 中註冊活動之後,就能將其涵蓋範圍延伸至和活動互
這些現實狀況導致政治活動面臨嚴重的網路安全性威 動的任何人員,包括工作人員、志工、實習生、顧問
人互動,以因應網路干預為民主進程帶來的威脅。捍
脅,而惡意分子在複雜性、資源和容量方面所維持的 等等。當活動相關的帳戶面臨國家行為體的威脅或遭
Account 目前在全球 32 個民主國家皆有提供。
衛民主團隊與 Microsoft 安全性社群的其餘部門合作
非對稱優勢,讓局勢更進一步加劇。政治活動是高價 到入侵時,此服務便會提供通知及補救指引。這項服
之後,已在美國兩次重大的選舉,以及全世界數十場
值、高可見度的目標,但可能只有一個人專門負責組 務目前為政治客戶保護超過 40,000 個帳戶,其中包
全國選舉中發揮保護的作用。這個獨特且重要的問題 了解更多:
織的網路安全性。 括政治活動、政黨、技術廠商和選舉部門。
空間,衍生出一套令人關注的網路安全性見解、挑戰
在 31 個民主國家為高風險客戶展開 AccountGuard
和解決方案,而我們必須正視網路安全性見解、挑戰
重要的是,身為安全性社群的一份子,我們持續提高 在進入美國 2020 年選舉期間之後,AccountGuard 保護 ‒ Microsoft 問題焦點 (英文 ) (2021/3/9)
和解決方案,才能確保我們的民主機制安全。
對政治活動中網路安全性問題及其最佳做法的意識。 計劃也為參與選舉的客戶,提供了更強大的身分識別
其簡單程度,和在活動人員與私部門之間建立良好的 保護功能和復原能力審查。使用這些資源的組織在
121
https://www.microsoftaccountguard.com/en-us/ Microsoft 數位防禦報告 | 2021 年 10 月 117
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
選舉後台 IT • 選民資訊入口網站
• 例行事務工作站和伺服器基礎結構
• 電子郵件和檔案
122
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472 Microsoft 數位防禦報告 | 2021 年 10 月 118
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
ElectionGuard 實作了下列端對端可驗證功能:
了解更多:
• 每個人都有專屬的驗證碼,可以驗證自己的選票
保護您的投票安全: 2020 年選舉案例 – 問題焦點 已包含在最終票匭中。
(英文 ) (microsoft.com)
• 確保不會公開任何一個特定個人的選票。
保護政治活動免於駭客攻擊 – Microsoft 問題焦點
• 加密可以保證不會有任何選票可以在不被偵測到
(英文 ) (2019/5/6)
的情況下,於投票之後遭到更改。
123
https://github.com/microsoft/electionguard Microsoft 數位防禦報告 | 2021 年 10 月 119
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
第7章
可付諸行動的見解
簡介
報告結果摘要
總結
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
簡介 報告結果摘要 總結
簡介: 五項網路安全性典範轉移
ANN JOHNSON、CVP、安全性、合規性和身分識別
在與世界各地的組織合作時,我們了解到,讓人們安全有效率地從各種非傳統地點及使用各種裝置工作的必要性。
從這些互動中,我們也深刻了解到,網路安全性在我們適應混合式工作環境時,對組織維持業務續航力上所扮演的
角色。因此,我們預期會有五項網路安全性典範轉移,以人和資料為中心,協助工作的演化。
我 們 知 道, 一 個 全
1. 數位同理心的崛起 同理心不只是人與人之間的互動而已。將同理心 2. 零信任變得愈來愈重要 方位的營運復原方
零信任是一種「假設缺口存在」的安全性態勢 124。
當我們考慮將安全性納入生產力體驗時,可能會 應用在數位解決方案上,可以讓這些解決方案更
法必須包含網路復
從單純的技術觀點,轉變成關注安全性。然而, 具包容性。在網路安全性方面,這意味著建置各 這種態勢將人們在網路中的每一步和每一個資源
身處在干擾及變化不斷的時代,當人們經常要面 種工具,以滿足不同人們及其不斷變化的環境、 存取要求,都視為一個獨特的風險,需要加以評 原能力。
對壓力上升後的反應時,數位同理心便相形重要 多元的觀點及各種能力。例如,與其要求人們不 估和驗證。這種模型從每一處都需要強式身分識
了。數位同理心需要思考人們的行為,以及人們 自然地採取安全性措施,讓他們忙碌時感到綁手 別驗證開始。多重要素驗證 (MFA) (已知可以預防
與技術互動的方式。這種方式中對於社會學和人 綁腳,不如納入數位同理心,一方面可以廣納各 99% 的認證竊取) 及 125 其他智慧型驗證方法 126 相
性 的 思 考, 大 大 地 影 響 了 技 術 和 網 路 安 全 性 的 種能力、技能和觀點的安全性專業人員,一方面 較於傳統密碼,存取應用程式變得更容易,而且
進化。 還能提升安全性解決方案的面相及效率。這也表 更安全。
示開發的技術應能容許錯誤。 隨著疫情之後勞力和預算回升,零信任將成為網
數位同理心對於產業的前進關重要。無論組織或 路安全性中最需要投資的領域。這表示無論知不
個人,同理心的能力讓我們能夠理解及順應這多 知道,當今的每一個人都在使用零信任。
變的時代。
124
零信任安全性模型及架構 | Microsoft 安全性 125
只要一個簡單的動作,就能保護您的帳戶免於遭受 99.9% 的攻擊 (microsoft.com) 126 Azure Active Directory 無密碼登入 | Microsoft Docs Microsoft 數位防禦報告 | 2021 年 10 月 122
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
簡介 報告結果摘要 總結
3. 資料多元性相當重要
Microsoft 每天追蹤超過 24 兆個信號,各來自
事件 (例如天氣事件)、無法規劃的事件 (例如地
震)、法律事件 (例如網路攻擊) 及疫情 (例如新 報告結果摘要
全球各地各式各樣的產品、服務和摘要。我們 冠病毒 (COVID-19))。雲端技術可協助組織制定
我們在撰寫這份報告時,清楚地了解到技術融入我們
能夠在客戶面臨威脅前,先識別新的新冠病毒 全方位的網路復原策略,加上其靈活的擴縮性,
所有工作的程度之深。我們無法個別看待技術和網路
(COVID-19) 題材威脅 (有時候一秒鐘不到)。這 可以為各式各樣複雜程度較低的應變計劃進行
風險,並放心地交由 IT 和安全性團隊自行管理。這
只是雲端的力量和規模,在對抗威脅時具備明 準備。
份報告中的範例顯示,罪犯將會嘗試攻擊我們所開發
顯優勢的其中一例。
5. 更注重完整的安全性
和引進的技術,而我們的挑戰是推斷他們如何攻擊。
另一個範例是去年,資料多元性也同樣讓我們 2021 年上半年,我們的敵手變得更加靈敏和麻
由於我們無法一直預測技術遭受攻擊的方法,因此必
了解到新冠病毒 (COVID-19) 題材威脅,在更多 木不仁。為了偵測不斷改變的攻擊者技術,並
須假設我們所建立或使用的項目,都是可能的目標,
環境中的攻擊。Microsoft 網路防禦人員判斷敵 在對方造成真正的傷害之前加以阻止,組織必
並盡可能地準備好自身的復原能力。
手主要是將疫情題材相關的誘餌,新增到熟悉 須能夠查看其應用程式、端點、網路和使用者。
的惡意軟體中。127 面對新的經濟現實,組織也被迫降低成本,在 我們從此報告的所有要素了解到可付諸行動的重點
4. 企業的復原能力與其網路復原能力密切相關 其所選雲端及生產力平台上採用更多的安全性 是,若想要將攻擊的影響降至最低,必須真正實踐良
網路攻擊的頻率和複雜程度愈來愈高,而且這 功能。為能充分發揮安全性組織的效率,必須 好的網路衛生,實作支援零信任原則的架構,並確保
些攻擊都刻意將目標鎖定在核心商務系統,以 完全整合各種工具,以改善效能,同時提供端 將網路風險管理,整合到營運的每一個層面。
最 大 化 攻 擊 造 成 的 影 響, 或 是 取 得 勒 索 軟 體 對端的可見度。
贖 金 的 可 能 性。 因 此 我 們 了 解 到, 一 個 全 方 下節摘錄一些我們從報告中的發現及見解,獲得更進
雖然數位加速將繼續影響塑造我們產業的典範 一步確認的要點。
位的復原運作方法,必須包含網路復原能力。
轉移,但有一件事不會改變;從根本而言,安
128
Microsoft 的策略是聚焦在四個基本威脅情
全性技術就是透過安全和包容性兼具的使用者
境,並且獲益良多。這四個情境包括可規劃的
體驗來改善生產力和共同作業。
127
利用危機:網路罪犯在疫情期間的行為 – Microsoft 安全性 128
遠端工作世界的營運復原能力 (microsoft.com) Microsoft 數位防禦報告 | 2021 年 10 月 123
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
簡介 報告結果摘要 總結
網路安全性的鐘形曲線:
基本安全性衛生仍能抵禦 98% 的攻擊
簡介 報告結果摘要 總結
簡介 報告結果摘要 總結
採用零信任原則 IT 部門的範疇,就像財務風險管理專業知識一般會歸
這表示與其嘗試讓新舊系統並行,不如讓這些系統各
屬財務部門一樣,但風險最終的責任與
從這份報告中,我們看到了許多攻擊的精細度和複雜 自獨立執行,不僅可避免連線到新式基礎結構所帶來
度,以及愈來愈難對抗這些攻擊的原因。零信任因為 的風險,也能避免舊版技術阻礙了新式架構。此外也
網路安全性在數位轉型中的角色
可以限制組織內可能遭受攻擊的固有信任,因此對減 可監視裝載營運技術和物聯網 (IoT) 裝置的環境,並
少敏感性資料外洩而言十分重要,特別是當人們正從 聚焦無法在系統上安裝軟體的環境,偵測其中不尋常
四處進行連線,而且不一定會從「信任」的位置進行 的活動,並採取相應措施。
連線時。正因如此,對大多數的組織而言,採用零信
任方法是目前的首要任務。當攻擊愈來愈難以預測或
預防時,假設攻擊者會入侵,並降低其暴露風險相當
重要。
簡介 報告結果摘要 總結
應變,並就這些決策實施危機管理及其因應措施,以 工解釋其工作環境中的風險,並提供適當的情境和工
及事件發生時的技術處理方式。 具,協助其了解適當行為、認識攻擊,以及回報不尋
常的活動。培養其能力,加上信任和參與,將能大幅
提升回報率,預早獲得攻擊警報。
簡介 報告結果摘要 總結
總結 此報告不同章節中出現的一些關鍵主題,建議您在思
考改善安全性態勢時,能夠一起併入考量:
• 任何元素都可以用為攻擊媒介。
攻擊者會尋找組織生態系統中最脆弱的環節,因
• 零信任是一種架構主體。
我們看到的威脅,突顯了零信任在設計和管理組
同的小組。這也突顯了當我們希望各家公司採取 影響人們決策及破壞民主的假資訊,或是意圖存
思維。我們必須考慮整體風險和整個組織,而不是從
部門或個人的觀點出發。我們必須檢視哪些地方需要
改變,以及哪些地方可以做得更好。
Microsoft 的參與團隊
目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊
參與團隊
Microsoft 的參與團隊
本報告中的見解及以上可付諸行動的學習內容,是由一群具有多元背景並以安全性為重點的人所提供,這些人
任職於 Microsoft 並來自數十個不同的團隊。他們的共同目標是保護 Microsoft、Microsoft 客戶和全世界免受
網路攻擊的威脅。我們很自豪能以透明的精神分享這些見解,共同目標是讓數位世界成為一個對所有人來說都
更安全的地方。
Azure 網路,核心
一個專注於 Microsoft WAN、資料中心網路及 Azure 軟體定義網路基礎結構的雲端網路團隊。這包括 DDoS 平台、
網路邊緣平台,以及 Azure 防火牆和 Azure WAF 等網路安全性產品。
雲端安全性研究團隊
一個致力於保護 Microsoft 雲端及建置安全性產品的團隊,其使命是保護客戶並讓客戶能夠安全地使組織轉型。
該團隊專注於 Azure Defender、資訊安全中心和 Azure Sentinel 的研究與功能產品化。
客戶安全性與信任 (CST)
一個跨領域團隊,推動我們產品和線上服務的客戶安全性持續提升。CST 與公司內的工程和安全性團隊合作,其使
命是確保合規性、增強安全性和透明度以保護我們的客戶,以及促進全球對 Microsoft 的信任。他們在全球制定及
宣導網路安全性政策,包括透過多方關係人協作來推動數位和平、著重於數位安全以保護客戶遠離有害的線上內容,
以及與公私組織協作以瓦解網路攻擊和支援反制行動。
參與團隊
網路防禦作業中心 (CDOC)
Microsoft 的網路安全性和防禦設施是一個融合中心,彙集了公司內的安全性專業人員,以保護我們的企業基礎結
構及客戶有權存取的雲端基礎結構。事件回應人員與來自 Microsoft 服務、產品和裝置群組的資料科學家和資訊安
全工程師合作,協助全天候保護、偵測及回應威脅。
捍衛民主團隊
一個與全球民主國家/地區關係人 (包括政府、非政府組織、學術團體和業界) 合作的 Microsoft 團隊,旨在保護活
動免受駭客攻擊、提高線上政治廣告透明度、探索技術解決方案以保護選舉過程,以及防範假資訊活動。
偵測及回應團隊 (DART)
一個 Microsoft 團隊,其使命是回應安全性事件,並協助 Microsoft 客戶更有能力應付網路攻擊。DART 利用
Microsoft 與全球各地安全性組織和內部 Microsoft 產品團隊的策略性合作關係,盡可能提供最完整和徹底的調查。
全球各地的政府和商業實體利用 DART 的專業知識,協助保護其最敏感、關鍵的環境。
數位安全性與復原能力 (DSR)
一個 Microsoft 組織,其使命是讓 Microsoft 能夠建置最值得信賴的裝置和服務,同時確保我們的公司安全且資料
受到保護。在公司內,DSR 將持續改進安全性策略,並採取行動以保護 Microsoft 資產及我們客戶的資料。
數位安全性部門 (DSU)
一個由網路安全性律師和策略性網路情報分析師組成的團隊,提供法律、營運、地緣政治和技術主題專業知識,以
保護 Microsoft 及我們的客戶。DSU 針對複雜數位安全性問題所做的分析及提議的解決方案,有助於讓人們信任
Microsoft 的企業安全性功能及防禦全球先進網路敵手的能力。
參與團隊
企業風險管理 (ERM)
一個專注於 Microsoft 商務目標主要風險的團隊。ERM 團隊會跨營業單位運作,以便與 Microsoft 的高層領導 (最終
與董事會) 就優先關注的風險進行討論。該團隊會管理公司的 NIST 網路安全性架構內部評估及關係到多個營運風險
團隊的企業風險架構,並與公司的內部稽核部門協調。
GitHub 安全性實驗室
一個以開放原始碼軟體為重點的安全性研究團隊。其使命是透過安全性研究、工具配置和會議等貢獻,協助保護
全球的程式碼,並搭建安全性研究與軟體開發社群之間的橋樑。
全球網路安全性政策
一個與政府、非政府組織和產業夥伴合作的團隊,旨在推廣網路安全性公共政策,讓客戶能夠在採納和使用
Microsoft 技術時,增強安全性和復原能力。
Microsoft 客戶與合作夥伴解決方案
Microsoft 整合的商業上市組織,負責現場角色,例如安全性和技術銷售專家和顧問。
參與團隊
Microsoft Defender 團隊
Microsoft 最大的全球組織,成員包括以產品為重點的安全性研究人員、應用科學家和威脅情報分析師。Defender
團隊提供 M365 安全性解決方案和 Microsoft 威脅專家中的創新偵測及回應功能。
安全性、合規性和身分識別業務開發團隊
一個支援 Microsoft 安全性產品團隊的團隊,旨在提供最新網路安全性趨勢的市場見解,以做出明智的產品開發決
策。該團隊致力於與使用 Microsoft 安全性生態系統的獨立軟體廠商建立合作關係。