Microsoft 數位防禦報告

Microsoft 數位防禦報告 2021 年 10 月
目錄簡介網路犯罪現況國家威脅供應鏈、IOT 及 OT 安全性混合式工作團隊的安全性假資訊可付諸行動的見解團隊
第1章第4章第6章
簡介供應鏈、IOT 及 OT 安全性假資訊
3 簡介 71 簡介 110 簡介
5 2021 年的主要重心 72 管理與供應商生態系統相關風險的 111 假資訊是一種新興威脅
挑戰 113 借助媒體素養釐清事實
73 Microsoft 對供應鏈的看法 114 假資訊會為企業製造混亂
76 IoT 和 OT 威脅環境 117 活動的安全性與選舉的公正性
第2章
81 高度安全裝置的 7 項特質
網路犯罪現況 82 將零信任方法應用於 IoT 解決方案第7章
83 處於網路安全性與永續性交會點的 IOT
8 簡介
84 IoT 安全性政策考量
可付諸行動的見解
8 網路犯罪經濟與服務
10 勒索軟體與勒索 122 簡介
20 網路釣魚及其他惡意電子郵件
第5章 123 報告結果摘要
34 惡意軟體混合式工作團隊的安全性 128 總結
38 惡意網域
42 對抗式機器學習 89 簡介 Microsoft 的參與團隊
91 保護混合式辦公的零信任方法
第3章 93 身分識別
98 裝置/端點
國家威脅 99 應用程式
100 網路
48 簡介
104 基礎結構
49 追蹤國家威脅
105 資料
52 所見所聞
106 人員
57 本年度國家活動分析
69 民間攻擊行為體
69 必備的全方位保護
Microsoft 數位防禦報告 | 2021 年 10 月 2

簡介 2021 年的主要重心
簡介
TOM BURT，公司副總裁，客戶安全和信任部門
過去一年來，全球都見證了網路犯罪經濟及網路犯罪服務的迅速發展和崛起。我們看到全球市場在複雜性和
狂熱度方面的增長。我們同時也發現網路攻擊環境變得日漸複雜，因為網路罪犯在這段危機時刻仍持續活動，
甚至可說更加猛烈。新層次的供應鏈和勒索軟體攻擊，讓我們領悟到大家必須攜手合作，並以全新的方式一
同守護全球網路安全。《MICROSOFT 數位
防禦報告》取材自遍
我們認為透明度和資訊共享對保護生態系統來說至關《Microsoft 數位防禦報告》取材自遍布 Microsoft 雲 Microsoft 為了提升及增進從威脅訊號獲得的知識，
重要。知識帶來力量，為此，安全性專業人員需要及端、端點和智慧邊緣的見解、資料和訊號。這些見 1
已持續付出大量投資。大家在這裡看到的見解，都是布 MICROSOFT 雲端、
時且多元化的見解，來掌握他們抵禦的威脅。解是從我們先進的工程和威脅訊號收集而得，並由經因為這些投資才能確保高度合成性與整合性。我們彙
端點和智慧邊緣的見解、
過數千名遍及 77 個國家 / 地區的 Microsoft 安全性總這些學習課程的目標，是協助組織了解網路罪犯不
Microsoft 在全球擁有數十億名客戶，因此可以彙總專家參與解讀。我們的安全性專家包括分析師、研究斷改變其攻擊模式的方式，並判斷對抗這些攻擊的最資料和訊號。
各種公司、組織和消費者的安全性資料。我們每天會人員、回應人員、工程師和資料科學家。我們也會分佳方法。而我們撰寫及分享這份報告的初衷，是讓全
收到 24 兆個以上的安全性訊號，站在這樣的資訊制享客戶轉換至混合式工作團隊的經驗談，以及事件回球社群可以獲益於我們從獨特使命及優勢角度得到的
高點上，可協助我們精確掌握目前網路安全性的狀應人員的一線實戰案例。當然，我們難免會有疏漏之見解、觀察和透明度。
態，其中也有部分指標可協助預測攻擊者的後續行動。處，有些惡意活動是靠業界其他夥伴通報得來。雖然
《Microsoft 數位防禦報告》的創立目標是希望能比以 Microsoft 的防禦者社群努力找出威脅並隨時通知客
往納入 Microsoft 更多領域、更多團隊的整合式資料戶，但惡意行為體不只技術嫻熟，還防不勝防。我們
和見解。我們會分享所見所聞，協助全球社群加強數為此付出許多努力，持續分享我們和業界其他夥伴透
位生態系統的防禦，並納入可執行的學習課程，讓公過這些心血結晶獲得的見解，並希望以此讓每個人都
司、政府和消費者可以使用這些學習課程，進一步保能更有效地守護線上生態系統。
護個人和環境。
1
我們在收集這些訊號時，仍仔細保護客戶的隱私權。我們會依據您跟 Microsoft 的互動情況及您所做的選擇，包括您的隱私權設定以及使用的商品和功能，來判斷要收集哪些資料。 Microsoft 數位防禦報告 | 2021 年 10 月 3
Microsoft 安全性訊號
Microsoft 處理的訊號數量和多樣性

2021 年的主要重心
2021 年讓我們深刻體會到，為了保護未來，我們必
網路犯罪現況國家威脅供應鏈、IOT 及 OT 安全性
須了解目前的威脅。為此，我們必須以新的方式持續
這個章節將探討網路犯罪經濟的新發展以及網路犯罪本章節更新了我們對國家對抗式活動的所見所聞，從去年受到高度關注的事件可清楚得知，保護及管理
分享資料和見解。隨著網路罪犯改變戰術、運用當前
服務市場的成長。我們會針對勒索軟體與勒索、網路包括我們之前未曾公開提及的七個活動群組之相關報供應商生態系統的相關風險至關重要。本章節會討論
事件來利用脆弱目標，並以新管道推展活動，特定類
釣魚和其他惡意電子郵件、惡意軟體，以及網路罪犯告。我們針對分水嶺這年內不斷變化的威脅提供了分目前在供應商生態系統中保護及管理相關風險的一些
型的攻擊狀況也更加惡化。對攻擊者和防禦者來說，
所用網域的所見所聞提供最新資訊與分析，並提出降析，而這份分析更關注內部佈署伺服器及大範圍暴露挑戰，並說明 Microsoft 對 9 個投資領域中的端對端
變化都會帶來機會，因此這份報告將著重在未來幾個
低各個領域風險的建議。最後，我們會分享我們在對的供應鏈弱點。最後，我們會以討論民間攻擊行為體供應鏈安全性有何想法。然後，我們會將討論轉向我
月裡與社群習習相關的最新威脅。
抗式機器學習中的所見所聞，以及我們為了在此領域作結，並提供全方位保護的指引。們對於物聯網 (IoT) 和營運技術 (OT) 威脅形勢的所見
中領先網路罪犯而採取的措施。所聞，以及高安全性裝置屬性的指引。其中包含 IoT
考量威脅形勢，以及全公司團隊的資料和訊號，這份
的專門使用案例，以及一些有助於構思 IoT 政策的新
報告強力聚焦的重點為下列五大關鍵領域：網路犯罪
研究。
現況；國家威脅；供應商生態系統、物聯網 (IoT) 和營
運技術 (OT) 安全性；混合式工作團隊；以及假資訊。
為了將效益最大化，我們還精選相關建議和可執行的
學習課程，並在整份報告及總結章節中加以呈現。

混合式工作團隊的安全性假資訊可付諸行動的見解

本章節主要討論我們最大的資產，也就是我們的員本章節會討論前所未有的假資訊活動以及相關網路行在今年度總結章節的一開始，我們會先討論五個典範
工。在過去一年轉移到混合式工作團隊的過程中，動，這類活動由國家行為體和非國家行為體所進行，轉移，聚焦在對人們和資料之包容性這項工作的演
我們發現威脅形勢的發展印證了採用零信任方法的重並影響了公眾意識和知識，以及企業營運。我們會探進。本章最後摘要了這份報告先前所有章節網羅的重
要性。我們會說明零信任六大支柱 (身分識別、端點、討網路安全的一些相似事件，以及如何借助媒體素養要經驗：為了將攻擊所造成的影響降至最低，我們必
應用程式、網路、基礎結構和資料) 的相關威脅訊號和釐清事實。我們會討論假資訊會為企業製造混亂的情須真正實踐良好的網路衛生，實作支援零信任原則的
其他資料，並依據我們的所見所聞提供指引。最後，況，並為企業主管提供四個重點的方案。最後本章節架構，並確保將網路風險管理內化到業務當中。
我們將討論混合式工作環境中的內部威脅，以及管理會深入探索政治活動的安全性與選舉的公正性。這兩
當今工作人力面對的全新關鍵挑戰時極應具備的同理個領域一直是假資訊活動的目標。
心態。

第2章
網路犯罪現況
簡介
網路犯罪經濟與服務
勒索軟體與勒索
網路釣魚及其他惡意電子郵件
惡意軟體
惡意網域
對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習
簡介：網路犯罪的威脅日益嚴重
數位犯罪部門總經理 AMY HOGAN-BURNEY
網路犯罪無論是否為國家贊助或允許的行為，都是對國家安全的威脅。網路罪犯會針對關鍵基礎設施的所有產業
發動攻擊，包括醫療保健和公共衛生、資訊技術 (IT)、金融服務以及能源產業。勒索軟體攻擊的成功率越來越高，
癱瘓了政府和企業機能，而且從這些攻擊而來的獲利不斷飆升。
即使不具備如何進行
網路犯罪供應鏈 (通常是由犯罪集團所建立) 愈發成熟，任何人都能購買進行惡意活動所需的服務，以獲取金錢或網路犯罪攻擊的技術
達成其他不良意圖。經驗豐富的網路罪犯也仍然會為政府工作，在新的戰場上進行間諜和訓練活動。
知識，業餘威脅行為
情況並非毫無希望，我們最近看到兩個正面趨勢。首先，市場應運而生，威脅行為體也採用更多自動化手法來體也只需要按一下滑
當越來越多的政府和公司成為受害者時，他們將挺身而
出。這樣的透明性在許多方面很有幫助。這會向全球各
網路犯罪經濟與降低成本和增加規模。例如，除了遠端桌面通訊協定
(RDP)、安全殼層 (SSH)、虛擬私人網路 (VPN)、虛擬私
鼠，即可購買一系列
地的政府傳達一個明確的訊息，那就是網路犯罪是安全服務人伺服器 (VPS)、網頁殼層、cPanel (虛擬主機管理儀表服務進行攻擊。
性的威脅。受害者故事讓這些攻擊的後果顯得更近人情板) 及其他匿名化系統之外，我們還看到 Backconnect
且清楚明瞭，引起人們對問題的注意，而讓越來越多的在我們對線上犯罪網路組織的調查、客戶攻擊的前線 Proxy (在行動、住宅和資料中心系統之間輪替的 Proxy)
事件回應人員和執法機構願意參與。其次，現在全球各調查、安全性和攻擊研究、國家威脅追蹤以及安全性的供應不斷增加。
地的政府都了解網路犯罪會對國家安全造成威脅，因此工具開發過程中，我們持續看到網路犯罪供應鏈的整
將打擊網路犯罪視為首要任務。世界各地的政府通過了合與成熟。以前，網路罪犯必須開發攻擊所需的所有其他例子還包括販售可能透過網路釣魚取得的盜用認
有關呈報、建立跨政府任務小組、分配資源及尋求民間技術。現在，他們依賴成熟的供應鏈，其中專家會建證、抓取殭屍網路記錄或其他認證搜集技術、偽造
機構協助的新法。立網路犯罪套件和服務，供其他行為體購買和納入其網域名稱、網路釣魚即服務、客製的潛在客戶生成

活動。隨著對這些服務的需求增加，專業化服務經濟 (例如特定國家/地區、產業或角色的受害者)、負載 (用

於更新受感染電腦上惡意程式碼的惡意軟體)、拒雖然有時可能會有不同地區的行為體提供特定服務，網路犯罪服務的平均交易價格

絕服務 (DoS) 等。例如，在某些市場中，不同的賣但大多數網路犯罪市場本質上是全球性的。巴西的買
家會根據各種變數 (包括企業目標的感知價值) 提供家可以從巴基斯坦的賣家、美國的網域、奈及利亞的
USD 1.00 元到 USD 50.00 元不等的盜用認證。在潛在受害者及羅馬尼亞的 Proxy 取得網路釣魚套件。
過去 12 個月，提供這些服務的網站數量大幅增加，
而且認證的數量和網路釣魚套件的種類也大幅增加。這些價格過去幾年來維持相當穩定，但與任何其他市
場一樣會隨著供應、需求及外部因素 (例如政治) 的變
連業餘威脅行為體也能使用的服務還包括加密委付化而有所不同。
服務 (以確保服務按提供方式轉譯)，我們經常在商
品勒索軟體活動中看到這些服務，而且已穩固建立重點：
加盟模式。非技術網路罪犯與勒索軟體同夥簽約， • 身分識別和密碼/網路釣魚攻擊很便宜，而且不斷
以收入分潤 30% 換取同夥網路提供勒索軟體、復原增加。如果攻擊者能夠登入，為何還要破門而入？
服務和付款服務。攻擊者接著會從市場購買「負載」，
• 針對未受保護網站的分散式阻斷服務 (DDoS)
再將勒索軟體推送到他們所購買的負載，然後就能
攻擊很便宜，每月大約 USD 300 元。
坐享其成。
• 勒索軟體套件是專為讓低技能攻擊者執行更複雜
攻擊而設計的諸多攻擊套件類型之一。
組織現在面對的是一個技能專業化且從事非法商品交易的產業化攻擊者經濟市場。如這份平均價格簡
述所示，許多可在黑市購買的商品非常便宜，使攻擊更便宜且更容易進行 (這也促使攻擊數量增加 )。
並非所有攻擊都有效。我們必須持續改進防禦措
施，以提高攻擊的失敗率及攻擊者的相關成本。

勒索軟體與勒索點來看，公開報導的勒索軟體和勒索攻擊獲利為這些
攻擊者提供了預算金額，且可能足以比擬國家攻擊組
準與技術局 (National Institute of Standards and
Technology) 刊物，其中包含勒索軟體風險管理的網
在勒索軟體最終佈署到組織內的所有電腦系統之前，
早已發生一系列犯罪活動。因此，我們建立了一套分
勒索軟體基礎知識與分類織的預算 (這甚至還未計入未見報的攻擊獲利)。路安全性架構概況。

3
類，著重於勒索軟體生態系統中實體之間的關係，因
為任何實體可能會在任何指定時間扮演不同的角色。
勒索軟體與勒索是一門高利潤、低成本的生意，會對
為了打擊勒索軟體，全球各地的民間機構、執法機勒索軟體和勒索攻擊是指威脅行為體佈署惡意軟體以
目標組織、國家安全、經濟安全以及公共衛生和安全
關與政府必須協同合作，才能降低這類犯罪的獲利，加密和外洩資料，然後挾持資料進行勒索，通常會要勒索軟體攻擊已演變成人為操作的勒索軟體，也稱為
造成嚴重影響。一開始是簡單的單一電腦勒索軟體，
使其更難以進入勒索軟體市場，並提供有效的工具求以加密貨幣支付贖金。攻擊者不會直接加密受害者「鉅款勒索軟體」。
現已成長為包含可透過人工情報實現的各種勒索技
給受害者以有效率地進行預防和補救。Microsoft 的檔案並要求贖金以換取解密金鑰，而是先外洩敏感
術，並會影響全球各地所有類型的組織網路。
是勒索軟體任務小組報告的參與者之一，這是專性資料，再佈署勒索軟體。這種做法會防止受害者從
2
為採取行動打擊勒索軟體而設計的全方位架構。談判中退出，並提高受害者不支付贖金的名譽成本，
這種即時情報以及更廣泛犯罪戰術、技術和程序 (TTP)
Microsoft 還發佈了一個專案計劃，其中包含技術因為攻擊者可能不僅會將受害者的資料保持加密，還
的組合，將這些攻擊的影響發揮至最大，並且從這些
指引的連結，以協助組織為這些攻擊做更好的準備會外洩敏感性資訊。
攻擊中獲利，影響程度是幾年前難以想像的。從這一
並回應這些攻擊。Microsoft 也參與了美國國家標
勒索軟體分類
主要角色描述
開發撰寫惡意程式碼
佈署傳送網路釣魚電子郵件、佈署勒索軟體
提供存取權載入其他惡意程式碼的惡意軟體，或以服務形式販售存取權的團體
管理/操作團體 (例如 MAZE 聯盟會員) 的領導權和/或提供協調的功能 (例如管理或操作中央勒

索外洩網站)
公開通報的連線有公開通報的連線存在
2
https://securityandtechnology.org/ransomwaretaskforce/report/ 3
https://aka.ms/humanoperated Microsoft 數位防禦報告 | 2021 年 10 月 10
例如，如右圖所示，威脅行為體可能會開發和佈署惡根據受害者的管轄地，受害者可能必須通報資料外洩。勒索軟體生態系統中實體之間角色和關係的範例分析

意軟體，讓一位威脅行為體接觸到某一類的受害者，律師事務所通常會評估受害者的公開責任，並協助受
並讓另一位威脅行為體只能佈署惡意軟體。害者履行其法規義務。重要的是，律師事務所會在適
當的情況下連絡相關執法機關。最後，如果受害者無
外洩後回應法恢復業務營運，會有一個專門與勒索軟體犯罪集團
談判的組織代表受害者設法取得解密金鑰。
就像佈署勒索軟體的犯罪集團通常涉及幾個各自擁有
特定職責的關係人，對勒索軟體的回應也涉及幾個關
鍵關係人。
如果勒索軟體攻擊的受害者擁有網路保險，保險公司
將會雇用特定服務提供者，包括事件回應公司、律師
事務所及專門處理勒索談判的組織。即使受害者沒有
網路保險，這些關係人通常也會尋找解決勒索的解決
方案。
一旦勒索軟體犯罪集團鎖定受害者的網路、外洩資料
並挾持網路和資料進行勒索，事件回應團隊就會調查
外洩的根本原因，並視受害者在攻擊前的準備程度來
推動補救措施。如果受害者已充分備份其資料或資料
未遭竊，事件回應團隊通常會從受害者的系統移除威
脅行為體、恢復業務營運，並實施未來的降低風險措
施。事件回應團隊通常會提供受害者一份報告，其中
包含根本原因、受害者網路內的犯罪行為體行動、資
料暴露和外流，以及補救建議。
勒索軟體犯罪集團和同夥會聯手執行這些彼此相連的威脅。勒索軟體攻擊背後不只一個人，而是好幾群
人，類似共享經營模式。

外洩後回應所涉及的的關係人和角色

犯罪經濟學：不斷變化的勒索軟體談判對話
經營模式
勒索軟體的經營模式實際上已演變成情報作業；犯罪
行為體會對目標受害者進行研究，以決定適當的贖金
金額。一旦犯罪行為體滲透網路，就可能會竊取並研
究財務文件和保險單。他們也可能了解與當地外洩法
相關的罰則。這些行為體會接著向受害者勒索贖金，
不只是為了解鎖其系統，還為了防止受害者的外洩資
料被對外公開。在收集並分析此情報之後，犯罪行為勒索軟體集團已演
體會找出「適當的」贖金金額。
變成由人工情報和
右側談判對話顯示一所公立學校被勒索現金，以換取
研究驅動的勒索軟
解密金鑰來解鎖佈署在其網路上的 Conti 勒索軟體。
該對話呈現了罪犯在談判之前進行過什麼研究。在此，體即服務。
犯罪行為體表明：「我們查看了所有財務文件、去年
的銀行對帳單、保險。結論是，你們誇大了財務不良
的情況。我們也計算教職員和學生因個人資料外洩可
能發生的訴訟損失。這些罰款將超過 USD 3,000 萬元。
更別提名譽損失，我們認為代價會更高。」

此犯罪集團的進入門檻很低。網路罪犯不需要專精的無論勒索軟體佈署在何處，威脅行為體通常會要求透相關主題：要付還是不付？入之後，會使用其中一部分進行研發 (R&D) 以改

程式碼開發技能，就能從此犯罪中獲利。勒索軟體集過加密電子錢包，以加密貨幣支付贖金。雖然基底區勒索軟體攻擊的餘波，常會使公司脫離常軌，包括安進其工具，並能夠購買潛在受害組織遭外洩的存
團已演變成由人工情報和研究驅動的勒索軟體即服塊鏈技術有助於讓加密貨幣流程透明化，但電子錢包全性系統遭到篡改、備份系統遭到刪除、資料遭到加取權。某些勒索軟體團隊擁有大量的資金，可用
務。這不再單純是惡意程式碼開發人員的領域；相反的擁有者仍然保持匿名。不過，他們仍然需要找到加密，以及使用者無法登入。當營運失序且虧損節節高於進行研發和購買先進零時差攻擊產品。例如，
地，這門生意的結構是模組化的。惡意軟體開發人員密生態系統的出、入金管道。其核心是，犯罪行為體升時，請記住，支付要求的贖金並不保證可恢復營運，某些勒索軟體團隊會針對零時差攻擊撥出高達
招募能存取網路的駭客，並承諾能從獲利中「抽成」。必須在區塊鏈進行交易，最終找到出金的方法。加密也不保證可防止未來的攻擊。 USD 100 萬元或甚至更高的開銷預算。雖然有些
罪犯可以購買惡意軟體和存取特定網路，並鎖定特定貨幣生態系統中有幾個關係人會協助處理與勒索相關先進勒索軟體團隊會購買零時差攻擊產品，但其
4
產業。這實際上是犯罪集團，其中每個成員都會依其的交易和支付贖金。這些中介者通常位於過去不願意此外，實際上還有典型的「公地悲劇」，雖然個別受他團隊則專注於利用傳統方式來取得受害者網路
特定專長而獲得報酬。與美國及其他國家/地區合作的政府管轄地。正是這害者可以為個人利益 (恢復關鍵業務營運) 支付贖金，的遠端存取權。
些中介者實現了勒索軟體不當獲利的金流。民間機構但支付行為也會助長此模式對所有人的危害。支付贖
• 勒索軟體工具變得更自動化且更有效，讓惡意行
在以下顯示的範例中，我們遵循加密流程，發現犯罪可透過民事訴訟，而政府可透過起訴、監管執法及跨金可能會使此循環永不終止，如下所述：
為體能夠更輕易地擴大及加速更複雜的攻擊。
集團分割了其比特幣「獲利」，其中大約 15% 的獲利國協作，對中介者採取協調行動，以中斷付款過程。 • 勒索者的經營模式獲得增強，而這也會吸引更多
流向開發人員/管理者，而 75% 的獲利則流向攻擊者。惡意行為體利用此獲利策略。行為體獲得大量收
交易雜湊和電子錢包地址
受害者贖金電子錢包顯示在最左邊。資金分割成最右邊的兩個不同電子錢包。
交易雜湊比特幣電子錢包地址
基於出版目的，已故意模糊處理文字內容
4
公地悲劇 - 維基百科 Microsoft 數位防禦報告 | 2021 年 10 月 14
在決定是否要支付贖金時，請注意下列重要詳細資料：支付贖金會助長勒索軟體犯罪集團例證：CONTI 勒索軟體

Conti 勒索軟體最早出現於 2020 年 7 月左右，採用了雙重勒索經營模式。在此雙重勒索模式中，會先勒索受
• 平均而言，支付贖金的組織只會拿回 65% 的資
料，其中 29% 的組織拿回的資料還不到一半。
5 害者為可能被公佈的遭竊資料支付贖金。Conti 也是勒索軟體即服務 (RaaS)，這是一種訂閱型服務，可讓同夥
立即存取勒索軟體建置工具和組建。服務同夥同意在勒索軟體開發人員與執行惡意探索的威脅執行者之間支付
• 勒索解密程式錯誤很多，而且經常無法解密最大、
的贖金百分比。Conti 通常會透過其他威脅 (例如 Trickbot、IcedID 或 Zloader) 取得受害者網路的存取權。一
最關鍵的資料檔案 (檔案大小超過 4 GB)。
旦進入受害者網路，Conti 有一個可設定的偵察模組，能夠在掃描內部網路以尋找網路共享及其他高價值目標。
• 解密資料檔案是一個緩慢且耗力的過程，大多數佈署後，Conti 會開始根據目標副檔名清單，加密使用者可修改的資料和資料庫。加密完成後，會在每個檔案
客戶只能解密其最關鍵的資料檔案，然後從備份目錄中留下勒索信，並指示使用者如何連絡勒索軟體行為體：
中還原其餘部分。
勒索信
• 還原資料不會復原攻擊者執行的任何篡改。支付贖金會讓罪犯有更多資源來擴大行動，
• 還原資料無法確保系統安全以防止未來的攻擊。協助他們變得更有組織且更專業化。有了更
多的資金，這些團體可以改進其工具和程式
• 組織必須了解在其所在國家/地區支付贖金的合
碼，讓勒索軟體在不被防毒軟體偵測到的情
法性。全球各地的政府正在制定勒索軟體支付贖況下透過網路傳播。
金通報規定、對於向受制裁方支付贖金的行為可
能設有罰則，並考慮制定法律使支付贖金成為非
法行為。
5
The State of Ransomware 2021 (2021 年勒索軟體現況 ) – Sophos News Microsoft 數位防禦報告 | 2021 年 10 月 15
使用者現在必須將勒索信文字檔上傳到勒索信中列出的復原網站。該信可作為勒索軟體行為體的加密和受害者身上傳並確認勒索信之後，就會展開談判。
分識別證明。
勒索復原網站上傳勒索信後的談判對話
Conti News 網站

談判階段是由威脅行為體起頭，因為他們會證明自己能夠解密受害者提供的任何檔案。在談定最終贖金之後，
勒索軟體行為體會提供一個比特幣電子錢包地址，以供受害者支付贖金。Conti 勒索軟體執行者會在一般頂層網
域 (例如開放網路) 以及暗網或 Tor (亦即 The Onion Router，洋蔥路由器) 上維護復原和新聞網站。
Conti 背後的行為體會維護一個新聞網站，這是雙重勒索經營模式的一部分，用途為發佈網站，證明如果不支付
贖金，受害者的私人資訊就會被公開張貼，並可能在黑市販售。Conti News 網站目前列出了數百名受害者及其
私人資料的各種實例。
Conti 受害者主要位於美國及歐洲，並包括公立學校、醫療保健提供者、製造公司、美國市政府，甚至還有公共
事業提供者。
我們在勒索軟體資料和訊號中所看到的內容
防禦訊號
勒索軟體遭遇率 (電腦計數)：企業客戶勒索軟體遭遇率 (電腦計數)：所有客戶
這些圖表顯示勒索軟體遭遇數整體增加，其中在 2019 年底 6、當 RaaS 開始成長時，以及在 2020 年初新型冠狀病毒 (COVID-19) 疫情爆發時 7，消費者和
商業遭遇數均明顯激增。
6
https://www.microsoft.com/security/blog/2019/12/16/ransomware-response-to-pay-or-not-to-pay/ 7
https://www.microsoft.com/security/blog/2020/03/20/protecting-against-coronavirus-themed-phishing-attacks/ Microsoft 數位防禦報告 | 2021 年 10 月 17
受勒索軟體影響的電腦計數 (依國家/地區) (2020 年 7 月 - 2021 年 6 月) DART 資料

2021 年 5 月的 Colonial Pipeline 勒索攻擊引起相當大的大眾關注，而我們的偵測及回應團隊 (DART) 勒索軟體互
動資料顯示，三大目標產業分別是消費品、金融業和製造業。儘管勒索軟體行為體持續承諾在疫情期間不會攻擊
醫院或醫療保健公司，但醫療保健業仍然是人為操作勒索軟體的前五大受害產業。
DART 勒索軟體佔各產業的百分比 (2020 年 7 月 - 2021 年 6 月)
賭注已經改變。勒索軟體與勒索的成長軌跡
十分驚人。

建議摘要使用這些階段做為起始計畫，規劃要優先執行、接續執行及稍後執行的工作，以優先找出最具影響力的要素。
賭注已經改變。勒索軟體與勒索的成長軌跡十分驚人。為了協助保護您的組織免受勒索軟體攻擊，我們建議組織：這些建議使用了假設外洩的零信任原則來排列優先順序，該原則假設攻擊者能夠透過一或多個方法成功存取您
的環境，旨在將業務風險降至最低。
佈署勒索軟體保護 8
Microsoft 支援 Cyber Readiness Institute 所出版 Ransomware Playbook (勒索軟體教戰手冊) 中的指引。
了解更多：
預防勒索軟體及從中復原的 3 個步驟 (英文 ) | Microsoft 安全性部落格 (9/7/2021)
快速防範勒索軟體與勒索 (機器翻譯 ) | Microsoft Docs (8/24/2021)
Azure Sentinel 的勒索軟體融合偵測 (英文 ) (microsoft.com) (8/9/2021)
勒索軟體的威脅日益嚴重 (英文 ) - Microsoft On the Issues (7/20/2021)
人為操作的勒索軟體 (機器翻譯 ) | Microsoft Docs (5/27/2021)

準備復原方案，使系統更難存取和中斷，從而將勒索軟體攻擊者的獲利誘因降至最低，並更容易從攻擊中復原，
而無需支付贖金。 Ransom mafia analysis of the world's first ransomware cartel (全球第一勒索軟體 Cartel 的勒索犯罪集團分析 ) PDF
文件 (analyst1.com) (4/7/2021)
限制破壞範圍，迫使攻擊者花更多功夫才能取得多個關鍵業務系統的存取權。建立最低權限存取並採用零信任原
Ransomware Playbook (勒索軟體教戰手冊 ) - Cyber Readiness Institute
則。這些步驟會讓進入網路的攻擊者更難周遊網路，以找到要鎖定的寶貴資料。此外，也請加密待用資料，並實
施健全的備份與還原檢疫。如此一來，即使資料遭竊，也會因為已加密而對攻擊者用處不大。如果資料不幸被攻
擊者加密，您會有完好的備份可以還原，並用於維護業務續航力。
更難入侵，遵循基本網路安全性檢疫步驟，使攻擊者更難以存取網路。這些步驟中最重要的是使用多重要素驗證
(MFA)，這對於提高進入阻力很重要。做為更加安全的旅程中的一道關卡，其需要投入時間完成。您還可以執行
其他步驟 (例如將修補和正確設定保持在最新狀態)，找出並關閉易受攻擊的進入點。
8
Ransomware Playbook (勒索軟體教戰手冊 ) - Cyber Readiness Institute Microsoft 數位防禦報告 | 2021 年 10 月 19
網路釣魚及其他根據我們對涉及商務電子郵件入侵 (BEC) 之線上犯罪

網路組織的調查，發現認證的取得、驗證及稍後使用
如 BEC 攻擊中所示，身分識別會因假冒而進一步受到
威脅；其中金融交易的一方遭到假冒，以將付款轉向
惡意電子郵件方式各式各樣，這或許可以解釋為何威脅增加。威脅
行為體更加自動化並購買工具，以提高犯罪活動的獲
至未經授權的收款人。我們的調查發現，威脅行為體
會監視具有財務傾向的訊息以尋找要假冒的身分，然
利。攻擊者可能會從假冒無數個線上服務的網路釣魚後註冊偽造網域來與要冒充之人的電子郵件魚目混
身分識別威脅
網站，向毫無戒心的受害者取得認證，這些網站會自珠。在此案例中，認證遭竊的人會使另一個人成為受
在 2020 年，FBI IC3 報告 9 將網路釣魚列為受害者最動抓取及剖析屬於受感染裝置的記錄檔 (其中記錄了害者。
常申訴的頭號犯罪類型。與前一年相比，報告數量倍在鍵盤上輸入的按鍵)，然後猜測來自一個遭入侵線
增。網路釣魚對企業和個人都構成重大威脅，去年許上服務的認證重複用於另一個服務的位置。
多最具破壞性的攻擊中都利用了認證網路釣魚。
針對每個認證，都有服務利用個人身分的額外詳細資
料來充實身分識別的相關資訊，包括姓名、任職公司、
職務、在公司的資歷及公司相關產業。有了此資訊，
BEC 攻擊就能利用身分識別，以便傳送來路不明的訊
息 (垃圾郵件)、收集敏感性資訊，或將網路釣魚網站
裝載於相關的線上帳戶。即使發生過一次攻擊，當自
動化系統確認帳戶仍處於遭入侵狀態之後，就有可能
再次出售這些帳戶。
9
https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf Microsoft 數位防禦報告 | 2021 年 10 月 20
確定為網路釣魚的電子郵件所見所聞攻擊者也會使用同意網路釣魚來傳送使用者連結，

如果按一下這些連結，就會授與攻擊者存取應用程
惡意電子郵件的類型
式的權限，例如透過 OAuth 2.0 授權通訊協定。在
無論攻擊者的目標是網路釣魚認證、將電匯重新導
這些情況下，使用者可能會不經意地授與攻擊者應
向到自己的銀行帳戶，還是將惡意軟體下載到電腦
用程式的權限，使他們能夠存取大量敏感性資訊。
上，攻擊者都很有可能會利用電子郵件做為犯罪活
動的初始進入媒介。雖然許多焦點都放在認證網路
我們在 Microsoft Exchange 全球郵件流程中，觀察
釣魚，但惡意電子郵件可用於多種類型的網路事件。
到網路釣魚電子郵件在 2020 年 6 月到 2021 年 6 月
Microsoft 安全性研究人員觀察到以下三種最常見的
期間的數量增加。我們看到此數量在 11 月明顯激增
惡意電子郵件類型：
(可能與節日主題的網路釣魚活動有關)，並隨後在美
國冬季假期減少 (可能表示攻擊者在許多人未工作時
網路釣魚
傳送較少的訊息)。
網路釣魚是在我們威脅訊號中觀察到最常見的惡意電
子郵件類型。這些電子郵件旨在誘使個人與攻擊者分
雖然各行各業都會收到網路釣魚電子郵件，但其中一
享敏感性資訊，例如使用者名稱和密碼。為此，攻擊
些垂直產業通常會比其他產業收到更多的網路釣魚活
受網路釣魚影響的前 10 大垂直產業 (Defender 偵測，2021 年 6 月) 者會使用各種主題 (例如生產力工具、密碼重設或其
動。受網路釣魚影響最嚴重的垂直產業可能每個月都
他具有緊迫感的通知) 製作電子郵件，以誘使使用者
不同，決定因素有幾個，包括攻擊者目標、遭入侵電
按一下連結。
子郵件地址的可用性，或有關特定部門和產業的目前
活動。
這些攻擊中使用的網路釣魚網頁可能會利用惡意網域
(例如由攻擊者購買和操作的網域) 或遭入侵的網域
(其中攻擊者會濫用合法網站中的漏洞來裝載惡意內
容)。網路釣魚網站經常複製已知、合法的登入頁面
(例如 Office 365 或 Google)，以誘使使用者輸入其
認證。一旦使用者輸入其認證，通常會被重新導向至
合法的最終網站 (例如真正的 Office 365 登入頁面)，
讓使用者不知道行為體已取得其認證。同時，輸入的
認證會儲存或傳送給攻擊者，供日後濫用或出售。

每週的惡意軟體電子郵件數量惡意軟體傳遞有趣的是，在 2020 年 7 月到 2021 年 6 月期間，我

惡意軟體傳遞是威脅行為體利用電子郵件達到目標的們觀察到包含惡意軟體的電子郵件數量呈整體下降趨
另一個範例。多種惡意軟體變種 (例如 Agent Tesla、勢，表示攻擊者可能正在使用其他進入方式。此外，
IcedID、Trickbot 和 Qakbot) 都會使用電子郵件做為成功移除一些值得注意的惡意軟體 (即 Trickbot 和
主要散發方法。這些電子郵件會使用連結或附件來提 Emotet) 也可能促使此一整體下降趨勢。10 月出現的
供惡意軟體，而且許多時候會使用與網路釣魚電子郵大幅增加趨勢與這些惡意軟體變種的散發有關，在突
件重疊的技術。例如，惡意軟體傳遞電子郵件和網路然增加之後緊接而來的快速減少則與 Microsoft 移除
釣魚電子郵件都可能會使用導向至 CAPTCHA 測試的 Trickbot 惡意軟體同時發生。
連結，以規避安全性技術的偵測。
攻擊者透過電子郵件散發的惡意軟體經常因各種原因
由於惡意軟體不會和網路釣魚一樣依賴使用者互動，而改變，包括移除惡意軟體和攻擊者目標。如 2021
因此攻擊者可以將其傳遞設計得較不容易讓使用者發年 6 月 Defender 偵測圖表所示，Microsoft 觀察到數
包含惡意軟體的電子郵件數量有整體下降趨勢。現。例如，當使用附件做為傳遞方法時，攻擊者可能量最多的惡意軟體是 Agent Tesla，這是一種竊取認
會使用含有巨集的誘餌文件，當收件者啟用巨集時，證的間諜軟體。觀察到數量次多的惡意軟體是可識別
前 15 名 Defender 偵測 (2021 年 6 月)
就會在使用者不知情下於背景下載惡意軟體。在這些社交工程誘餌的 Tisifi，數量只有 Agent Tesla 的三分
案例中，使用者可能會認為文件已損毀或不是要給他之。EncDoc 和 CVE-2017-11882 是前幾名偵測的第
們，並可能完全不知道其電腦上正在執行惡意軟體。三名和第四名，表示攻擊者仍然偏好以惡意文件做為
傳遞各種威脅的常用方法。前四名
過去一年觀察到最常見的惡意軟體傳遞方法之一，就
是透過受密碼保護的封存檔案。這些電子郵件包含封
存檔案 (例如受密碼保護的 ZIP 附件)，以規避安全性
技術對其進行引爆和分析。不過，這些檔案的密碼通
常會包含在電子郵件本文中，以便收件者開啟檔案並
下載惡意軟體。透過使用這些封存檔案來裝載惡意文
件 (通常是 Excel 或 Word 文件)，攻擊者就可以針對
每個收件者使用唯一的封存檔案，使防禦者更難以完
全確定活動的範圍。
旨在竊取認證的間諜軟體是所觀察到透過電子郵件傳遞中最常見惡意軟體類型，偵測到的數量是數量
次高偵測的三倍。

HTML/Phish 偵測，僅包含使用 HTML 附件的網路釣員的生日禮物或員工獎勵。攻擊者通常會要求收件者偵測 Web 型網路釣魚專為攻擊建立的網域相較於濫用合法基礎結構的攻

魚電子郵件。這些類型的網路釣魚經常採用假語音信購買數位禮品卡並在購買後寄給他們，但我們也看過在過去一年，Web 型網路釣魚攻擊持續變得越來越複擊，其啟用時間通常較短，且使用較少的惡意 URL。
箱網路釣魚訊息的形式。攻擊者要求使用者購買實體禮品卡並將卡片背面的代雜。Web 型網路釣魚攻擊所使用的網路釣魚套件通過去一年來，Microsoft SmartScreen 發現從開始到結
碼拍照寄給他們，讓攻擊者能夠在線上轉售或交換加常會使用影像、情境式內容及其他先進技術來避免偵束不到一兩小時的攻擊不斷增加。
商務電子郵件入侵密貨幣。測。我們的機器學習 (ML) 模型和網路啟發學習法必
BEC 雖然不是數量最多的惡意電子郵件類型，但經證須持續精進，才能維持有效的保護。攻擊者的語言功
明是對財務影響最大的網路犯罪類型 10。當攻擊者利一種更為複雜且要求更高金額的 BEC 類型是電匯詐
惡意電子郵件技術
力也大幅改進；過去尋找拼寫和文法不佳的使用者指
用遭入侵的電子郵件地址、已註冊的類似網域或免費騙。在這種類型的 BEC 中，行為體會介入預期的金引，現在效果較差，尤其是針對具針對性且更先進的攻擊者已隨時間調整策略；利用合法商務電子郵件的
的電子郵件服務 (例如 Hotmail 或 Gmail) 來假裝成合融交易，並要求收件者調整銀行帳戶資訊的對外電攻擊。新式套件十分複雜，在拼寫、文法和影像使用各個層面，使其電子郵件更有可能規避偵測和保護。
法的商業帳戶，然後傳送電子郵件來誘使收件者執行匯部分。行為體會假裝成預期的收款人，讓受害者方面，都足以假裝成合法內容。防禦者除了必須保護公司，還有責任維護商務流程，
一些財務動作、交出敏感性資訊或提供資產 (例如禮不覺得這有何異常。一旦受害者匯款到新帳戶，行而攻擊者正是仰賴這點侵門踏戶。去年，Microsoft
品卡) 給攻擊者時，就會發生 BEC。為體就會提款而可能很難追回。公司可以確保財務越來越多的網路釣魚者利用合法基礎結構，但此模安全性研究人員觀察到攻擊者在多個惡意電子郵件活
政策要求驗證才能變更帳戶，來協助避免這類詐騙。式在偵測到的網路釣魚攻擊中仍佔少數。Microsoft 動中使用許多技術，使電子郵件對終端使用者和保護

Microsoft 在過去一年觀察到最常見的 BEC 類型為禮財務人員應透過電子郵件以外的其他方式 (例如透過 SmartScreen 在過去一年偵測到 Web 型網路釣魚攻技術而言看起來都更加合法。
品卡詐騙。在這些詐騙中，攻擊者通常會建立大量的收款人的已知可信電話號碼) 進行驗證，再進行電子擊中共使用了超過一百萬個唯一網域，其中遭入侵的
免費電子郵件帳戶，並根據目標變更顯示名稱；此外，郵件中所提到的帳號變更。此外，利用電子郵件安網域僅略多於 5%。這 5% 的網域通常在合法網站上
攻擊者也註冊了自己的網域來進行這些攻擊，或已針全性產品中的防冒功能可協助防止攻擊者成功進行裝載網路釣魚攻擊，而不會中斷任何合法流量，以便
對特定目標建立免費電子郵件帳戶。然後，他們會假這類詐騙。盡可能長時間隱匿其攻擊。
裝成收件者的共事者 (通常是其公司老闆或主管)，並
要求他們購買禮品卡 (通常是使用公司資金)。這些電
子郵件通常會指出，寄件者想要以此做為某個家庭成
10
https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf； https://www.microsoft.com/security/blog/2021/06/14/behind-the-scenes-of-business-email-compromise-using-cross-domain-threat-data-to-disrupt-a-large-bec-infrastructure/ Microsoft 數位防禦報告 | 2021 年 10 月 23

過去一年來觀察到的一些常見技術：合法基礎結構的濫用
遭入侵的寄件者 > 遭入侵的服務防禦者經常告訴其終端使用者在與電子郵件互動之前，先確認電子郵件中的各個層面都合法，例如寄件者和電子
多年來，攻擊者一直利用遭入侵的寄件者來延續網路釣魚電子郵件鏈；他們會使用受害者的電子郵件帳戶來傳送郵件中的任何連結。此建議仍然有其價值，但有時連結和寄件者可能看似合法卻包含惡意內容。攻擊者正在改為
其他網路釣魚電子郵件。雖然這仍然非常普遍，但許多公司已開始運用 MFA，從而降低了此方法的效果。因此，濫用合法基礎結構，以掩蓋電子郵件中的惡意內容。對於寄件者地址，攻擊者可能會註冊 Office 365 等服務的試
攻擊者正在調整其方法，以開始入侵整個電子郵件服務。例如，當 NOBELIUM 取得一個電子郵件行銷解決方案的用租用戶，讓其電子郵件看起來更加合法。此外，攻擊者正在利用各種方式來掩蓋電子郵件中的惡意網域，像是
存取權時，就能讓攻擊者以多個合法地址進行傳送 11。透過使用來自合法網域的開放式重新導向，或是透過濫用 Google 雲端硬碟或 OneDrive 等合法代管平台。在這
些案例中，使用者可能很難得知電子郵件是合法或惡意的。
以合法公司名義使用遭入侵服務的網路釣魚電子郵件
合法基礎結構濫用
攻擊者會濫用網站上的合法連絡人表單來
傳送電子郵件，以及濫用合法的 Google 網
站來裝載惡意軟體。
11
https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/ Microsoft 數位防禦報告 | 2021 年 10 月 25
假回覆防禦規避
除了指示使用者先驗證電子郵件的各個層面 (例如寄件者或連結) 再與其互動之外，也指示使用者不要與預期之外雖然攻擊者將攻擊火力集中在說服收件者與電子郵件互動，但他們也知道如果受害者從未收到此電子郵件，則所
收到的電子郵件互動。這仍然是非常有價值的建議，但攻擊者也發覺到這一點，並已將策略改為尋找方法讓收件有心血都將毫無價值。因此，威脅行為體正在開發規避電子郵件防禦功能的新方式。在過去，攻擊者只要使用受
者相信這是預期會收到的電子郵件。其中一個做法是製作假回覆電子郵件。在這些案例中，攻擊者會從遭入侵的密碼保護的封存檔案就足以規避偵測，但現在大多數安全性技術都可以輸入電子郵件所包含的密碼，來引爆並找
信箱中取得先前電子郵件的內容，或製作一封全新的電子郵件並包含在電子郵件的本文中，使新的電子郵件看起出惡意內容。攻擊者已改為包含 CAPTCHA 以及 Microsoft 或 Google 等服務的合法登入畫面，以防止偵測技術發
來像是回覆。如果使用者的工作必須每天向數十人發送電子郵件，可能不會記得他們送出的每封電子郵件。看到現惡意內容。
假回覆可能會讓他們相信這是預期的電子郵件，並導致他們與惡意連結或附件互動。利用電子郵件安全性功能，
在電子郵件來自不是過去互動的寄件者時通知使用者，可能有助於緩減此技術。此技術是 Emotet 和 IcedID 等惡
意軟體變種的慣用手法，也常用於 BEC 電子郵件中。
假回覆電子郵件
禮品卡詐騙 BEC 電子郵件會使

用假回覆，誘騙使用者相信這
是預期收到的電子郵件。

遭竊認證的數位之旅
您在假網頁輸入的遭竊認證將流落何處？

神秘的網路釣魚者：複雜網路釣這種網路犯罪世界分層會對商務基礎結構造成更大但相較於經驗更豐富的網路釣魚套件作者和整體行

的威脅，因為網路釣魚套件作者的技術會比網路釣動的背後主謀，這些網路釣魚者大多數經常被視為
魚套件的隱性經濟市場
魚者更高竿，而且影響的範圍更是高出好幾倍。暗程式碼撰寫技術較低的人。
研究和商務社群長久以來一直認為，受害者認證會網的匿名性助長了這項技術。網路釣魚通常是指一
傳遞給操作網路釣魚活動的個人 (或組織)。安全性種架構，其中一名網路釣魚者 (或一組網路釣魚者)
12
社群中的研究人員逐漸發現在更複雜的套件中，會在暗網市場購買套件，並取得基礎結構元件，例
受害者的認證不僅會傳送給從事網路釣魚活動的網如伺服器、用於裝載仿冒網站的網域，以及用於接
路釣魚者，還有可能會回到套件的原始作者，或是收受害者資訊的電子郵件帳戶或其他端點。一旦組
複雜的中間人手上；其已在重新散發套件之前，利合好基礎結構，基本上只要「插竿就能見影」，作者
用隱藏的收集帳戶修改套件。Microsoft 數位犯罪部和套件散發者已盡可能將整個過程設計得十分簡單。
門 (DCU) 已發現此技術的數種版本。雖然不宜過度概括，
12
https://www.wmcglobal.com/blog/phishing-kit-exfiltration-methods Microsoft 數位防禦報告 | 2021 年 10 月 28
網路釣魚套件和認證搜集

Microsoft 用來防禦網路釣魚的工 Microsoft 2020-2021 年趨勢
具箱中有哪些招數？我們如何提
高員工意識
2020 年，業界的網路釣魚活動激增，並於 2021 一整年維持穩定增加。
在 Microsoft 內部，網路釣魚電子郵件的整體數量增加、包含惡意軟體
的電子郵件則呈下滑趨勢，而語音網路釣魚 (或語音釣魚) 則是上升。
幸好，我們已具備有效的保護控制基礎，可減少網路釣魚嘗試成功的次數。體認到威脅環境不斷演變，我們擴充
了這些控制，涵蓋除了電子郵件以外還可能遭到利用的其他媒介 (例如 Forms 和 Teams)。
工具箱中的招數
網路釣魚無法一招就修正，必須多管齊下才能解決。我們專注於四個主要元素：保護控制、使用者意識、報告和見解，
以及偵測和回應。
透過這些方法，我們讓容易受影響的
程度逐年減少了 50%。

無論我們準備了多少保護控制，降低風險仍然是打擊網路釣魚的一個關鍵要素，因為威脅行為體會透過增加複雜除了偵測和保護之外，我們還必須培養安全意識的文化，讓員工 (我們的最後一道防線) 具備識別網路釣魚的技能，

度來通過我們的防禦。我們的安全作業中心具備適用於 Office 365 的 Microsoft Defender 工具和自動化功能，可並提供一個簡單的報告機制以在所有平台上都有一致的體驗。員工報告很重要，但透過驗證報告來關閉回饋迴圈
快速偵測、調查和有效補救惡意電子郵件。對我們而言，自動化事件回應功能一直是讓我們的團隊能夠快速行動也同樣重要。
的關鍵，因為分分秒秒都很重要。
訓練之後則接著模擬、增強學習及目標模擬
除了偵測和保護之外，我們還必須培養安全
意識的文化。
儘管網路釣魚越來越複雜，但員工較不容易受到影響，這歸因於更高的模擬和訓練頻率。

我們提高員工網路釣魚意識的方法包括提供年度基礎訓練、模擬練習和正向加強學習。這些模擬是在深入解析事了解更多：
件之後所建立，利用適用於 Office 365 的 Microsoft Defender 攻擊模擬器和訓練，以確保我們將員工暴露於複雜
在適用於 Office 365 的 Microsoft Defender 中自動分級網路釣魚提交 (英文 ) (2021/9/9)
程度與我們在環境中所見一樣逼真的網路釣魚。反覆受到模擬影響的員工會更頻繁地被釣，這能提高其透過經驗
和預防性指導學習的機會。我們也會針對高風險群組 (例如新員工、主管及其支援人員) 執行針對性的活動。我們
模擬練習的結果還可用來找出產品中的機會，以協助員工識別網路釣魚 (例如安全提示)。
員工網路釣魚意識

惡意電子郵件的相關建議摘要
1. 使用 MFA 減輕認證受到攻擊者網路釣魚攻擊的 6. 建立及實施財務政策，要求員工與帳戶持有人了解更多：
影響。確認任何帳戶資訊變更，包括電匯資訊。
發現趨勢電子郵件技術：現代網路釣魚電子郵件
2. 開發健全的使用者教育程序，使用正向加強學 7. 確保您所有的電子郵件都已有效簽署 (DKIM) 並
如何讓人視而不見 (英文 ) | Microsoft 安全性部落格
習來教導使用者如何識別潛在惡意電子郵件。經過驗收 (DMARC)，以使客戶受到保護，避免 (2021/8/18)
建立程序，讓使用者可以呈報可疑的電子郵件，攻擊者嘗試以您的網域/品牌形式傳遞訊息。
並收到有關他們所提交電子郵件是否確實為惡 8. 為您的使用者提供進階防護 13，包括：
意的意見回饋。將額外訓練重點放在更容易成 • 類似網域或冒充組織中的重要使用者。
為目標的群組上，例如主管、執行助理和財務 • 附件和 URL 的深入分析 (引爆)
部員工。與終端使用者分享您公司收到的真實 • 共同作業套件，旨在防範零時差攻擊。
世界網路釣魚範例，以便他們了解威脅並知道 • 傳遞後保護，旨在移除已傳遞且稍後判定
預期會發生什麼情況。為惡意的郵件。
3. 透過將標籤附加至來自組織外部電子郵件地址 9. 消除攻擊者略過安全性的機會，例如允許寄件
之任何電子郵件的主旨列，向收件者呈現外部者、網域或 IP 位址清單。
電子郵件。
4. 啟用功能，讓使用者發現來自過去未曾通訊之
寄件者的電子郵件。
5. 檢閱郵件流程規則，以確保廣泛的規則不會不
小心允許傳送惡意電子郵件。
13
適用於 Office 365 的 Microsoft Defender - Office 365 | Microsoft Docs Microsoft 數位防禦報告 | 2021 年 10 月 33
惡意軟體安全性作業中心內其他值得注意的行為和防護機會
還包括使用特定偵察命令、將處理序新增至啟動資
依活動顯示的警示計數 (2021 年 5 月到 6 月)
料夾、排定的工作或登錄變更，以及透過濫用 Office
我們看到的趨勢文件執行惡意處理序。由於這些行為普遍在所有惡
網路釣魚在過去一年持續成長，而支援攻擊的惡意軟意軟體之間使用 (不論複雜度為何)，因此特別醒目，
體和網路犯罪基礎結構也持續進化。Microsoft 365 不過 Microsoft 還觀察到企業較難以降低風險的更具
Defender 威脅情報觀察到幾個關鍵惡意軟體領域近體戰術。
年來有不斷改變的趨勢，其中許多領域需要同等的創
無檔案惡意軟體和規避行為
新防禦策略和過往彈性的風險降低措施，例如多重要
素驗證和強固的應用程式安全性做法。「無檔案」惡意軟體是從已在裝置上的系統處理序或
合法工具衍生其大部分元件的惡意軟體，這可能會使
個人化惡意軟體技術和動作其更難以移除和偵測，因為需要移除多個檔案。持續
在過去一年所分析的熱門惡意軟體類型和傳遞方法性策略可能包括登錄、排定的工作和啟動資料夾持續
中，Microsoft 在感染期間所使用的個別戰術中觀察性，讓惡意軟體不需要在檔案系統中保持為靜態項目。
到許多趨勢。儘管存在勒索、資料遺失、認證竊取和免費或容易取得的遠端存取特洛伊木馬程式 (RAT)、
間諜活動等多種結果，但大多數惡意軟體都依賴在網銀行特洛伊木馬程式及 Cobalt Strike 等攻擊工具組，
路中建立自身複本的類似策略。使用可疑命令或編會定期利用處理序插入和記憶體內部執行。這些方法
碼值透過惡意軟體處理序啟動 Windows PowerShell，會濫用遭竊的系統管理權限，將惡意程式碼移入執行
是 Microsoft 在最近幾個月所觀察到最常見的行為。中的良性處理序 (而不是在靜態檔案中)，使其無法輕
次要常見的是惡意軟體嘗試重新命名承載來模擬系統易移除。為了打擊這類行為，組織內的安全性團隊必
處理序或完全加以取代，然後使用惡意軟體從瀏覽器須審查其事件回應和惡意軟體移除程序，加入足夠的
快取收集認證等資料。鑑定，以確保在防毒解決方案清除之後能夠完全補救
常見的惡意軟體持續性機制。

網路通訊中的合法服務濫用 Emotet 遭遇數 2020 年購買廣告，利用稍微不同的技術來濫用搜尋

在過去一年，許多惡意軟體活動中使用的另一項戰引擎，以將連結提升至裝載惡意軟體的遭入侵網站。
術，就是在惡意軟體的下列幾乎所有階段利用合法其他資訊竊取惡意軟體 (例如 Jupyter 或 SolarMarker)
網站：傳遞、偵察、命令和控制、外流、惡意廣告，則採用另一種方法，透過使用裝載於 AWS、Google
以及加密貨幣採礦。Google 雲端硬碟、Microsoft 和 Strikingly 內容傳遞網路等服務上的文件顯示在搜
OneDrive、Adobe Spark、Dropbox 等雲端服務仍然尋結果中，導致使用者透過 PDF 頁面的搜尋結果搜
是惡意軟體初始傳遞的熱門目標，而 Pastebin.com、尋常用詞彙，最終在其裝置上建立持續性。
Archive.org 和 Stikked.ch 等內容「剪貼」網站也因便
於轉用於多部分和無檔案惡意軟體而越來越熱門。在資訊竊取、資料外流及其他惡意軟體傳遞領域，有越
後者情況下，會直接從剪貼網站提取惡意軟體中使用來越多利用瀏覽器修改和搜尋結果達到目的。這將持
的程式碼，並立即在記憶體內部執行，而不需要以單續鞏固某類利用瀏覽器跨消費者和企業領域進行傳遞
一檔案形式下載惡意軟體。和惡意探索的惡意軟體地位。
惡意軟體傳播和行為中的更大趨勢
殭屍網路革新
在 2021 年 1 月，執法機關執行搜捕行動，而消滅了 Emotet 系列的惡意軟體，隨後 Emotet 遭遇數也
殭屍網路一詞也不斷進化。在過去，這是指為操作員大幅減少。 14
完成工作的電腦網路。不過，現在大多數惡意軟體系
件以進一步從其行為中獲利，包括 Avaddon 勒索軟 SEO 和惡意廣告
列可能被分類為具有殭屍網路元件或行為。
體。Lemon Duck、Purple Fox 和 Sysrv-Hello 等殭屍藉由搜尋引擎結果和廣告將惡意軟體提供給終端使用
網路在過去一年激增，納入新的程式設計語言、新的者的方法也越來越有效，包括透過濫用合法的搜尋引
隨著過去普遍的惡意軟體殭屍網路基礎結構 (例如
基礎結構及新的感染方法。Lemon Duck 與大多數新擎最佳化策略及利用現有的感染來安裝瀏覽器延伸模
Trickbot 和 Emotet) 遭到中斷，其他惡意軟體系列已
興殭屍網路一樣，在 Windows 和 Linux 環境中使用超組，以修改搜尋結果及呈現攻擊者的非法資料內容。
取而代之。作為替代，舊版殭屍網路及一種新型的規
過 10 多種不同的感染方法。新版殭屍網路也很快就
避惡意軟體開始以更快的速度帶來威脅程度更高的次
能開始利用新的漏洞來感染伺服器。儘管如此，大多 2020 年的 Adrozek16 惡意軟體即為此例，該惡意軟
要元件。在 2021 年 1 月，執法機關執行搜捕行動，
數方法仍然依賴未修補的邊緣應用程式、透過連線磁體使用了瀏覽器延伸模組，其中受感染的裝置會使用
而消滅了 Emotet 系列的惡意軟體，隨後 Emotet 遭
碟機的橫向移動，以及可用服務上的弱式認證。瀏覽器延伸模組以冒充 Microsoft 產品及其他合法軟
遇數也大幅減少。Phorpiex15 等殭屍網路感染的主機
體的惡意軟體連結取代合法的搜尋結果。Gootkit 是
數逐漸增加，並提供許多勒索軟體和次要惡意軟體元
一種可導致勒索軟體的惡意軟體感染，其操作員在
14
https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action 15 https://www.microsoft.com/security/blog/2021/05/20/phorpiex-morphs-how-a-longstanding-
botnet-persists-and-thrives-in-the-current-threat-environment/ 16 https://www.microsoft.com/security/blog/2020/12/10/widespread-malware-campaign-seeks-to-silently-inject-ads-into-search-results-affects-multiple-browsers/ Microsoft 數位防禦報告 | 2021 年 10 月 35
瀏覽器搜尋結果操縱網頁殼層深入探索根據我們在 2020 年 2 月的報告，網頁殼層用在

網頁殼層仍然是所有類型之進階持續威脅 (APT) 行全球攻擊的次數穩定增加。最新的 Microsoft 365
為體的熱門目標，包括 NOBELIUM 17
和 HAFNIUM 18
Defender 資料顯示，此趨勢不僅繼續維持，而且還
國家級網路活動團體。正如 DART 和 Microsoft 365 加速成長；從 2020 年 8 月到 2021 年 1 月，我們登
Defender 研究團隊在 2020 年 19
和 2021 年 20
所報記每月平均在伺服器上遭遇這類威脅 140,000 次，幾
告，網頁殼層使用率在國家級團體和犯罪組織之間持乎是每月平均 77,000 次的兩倍。
續攀升。網頁殼層是一段惡意程式碼，通常是以典
型的網頁程式開發程式設計語言 (例如 ASP、PHP 或在 2021 一整年，增加的幅度甚至更高，每月平均遭
JSP) 撰寫，攻擊者會將程式碼植入網頁伺服器以提供遇 180,000 次。在 2021 年 3 月，我們看到網頁殼層
遠端存取和程式碼執行來使用伺服器功能。網頁殼層遭遇數突然大幅增加，我們將此歸因於以 Exchange
可讓敵手執行命令並從網頁伺服器竊取資料，或使用伺服器為目標發動零時差惡意探索的 HAFNIUM 國家
伺服器作為發射台對受影響的組織發動進一步攻擊。級網路活動團體。
網頁殼層越來越普遍，這可能歸因於攻擊者輕易就在 2021 年 3 月到 4 月，隨著惡意探索程式碼變成可
能發動有效的攻擊。安裝在伺服器之後，網頁殼層用於網路對向的內部佈署 Exchange 伺服器，我們看
會是企業中最有效的持續性方法。我們經常看到網到網頁殼層偵測率突然大幅增加。這是由於多個威脅
頁殼層單獨用作持續性機制的案例。網頁殼層保證行為體使用了利用客戶修補延遲的「先妥協後獲利」
遭入侵的網路中存在後門，因為攻擊者在伺服器上方法所造成。行為體一逮到機會就加以利用。
未受保護之電腦與執行 Adrozek 之電腦上的搜尋結果頁面比較。建立初始據點之後會留下惡意植入程式。如果未被

發現，網頁殼層可讓攻擊者繼續從其有權存取的網
惡意軟體工具系列的選項來模糊處理其攻擊命令。不過，這些混淆
路收集資料並從中獲利。此外，網路流量加上持續
惡意軟體已演變成利用可用的工具，而且在某些情況技術本身可能成為一個訊號，而且識別 Cobalt Strike
網際網路攻擊的一般雜訊，表示瞄準網頁伺服器的
下會利用本質並非惡意的工具。其中一個主要範例是比以往更加重要，因為網路犯罪經濟會導致惡意軟體
目標流量可立即混入，使網頁殼層偵測變得更加困
利用商業滲透測試工具 Cobalt Strike。雖然 Cobalt 快速植入 Cobalt Strike，再傳給勒索軟體操作員。
難，而需要進階行為型偵測。
Strike 是滲透測試，但越來越常用於各式各樣的攻擊
中 (從國家到人為操縱的勒索軟體)，以執行系統和網
路探索動作，並在網路之間橫向移動。Cobalt Strike
是專為規避傳統偵測方法所設計，並為操作員提供一
17 https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/ (2021 年 2 月 ) 18 https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ 19 https://www.microsoft.com/

security/blog/2020/02/04/ghost-in-the-shell-investigating-web-shell-attacks/ 20
https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/ Microsoft 數位防禦報告 | 2021 年 10 月 36
為了將風險降至最低，組織應加速佈署安全性更新，特別是針對網際網路對向的系統。為了將風險降至最低，惡意軟體預防的建議摘要
組織應加速佈署安全性更新，特別是針對網際網路對向的系統。
1. 立即在所有應用程式和作業系統上安裝安全性更新。
2. 透過反惡意程式碼軟體解決方案 (例如 Microsoft Defender) 實現即時保護。
網頁殼層遭遇數，Defender 訊號 (2020 年 9 月 - 2021 年 6 月) 3. 緩解大型攻擊媒介，例如巨集濫用、公開的邊緣服務、不安全的預設設定、舊版驗證、未簽署的指令碼類
型，以及來自透過電子郵件傳遞之特定檔案類型的可疑執行。Microsoft 透過使用受攻擊面縮小規則來提供
一些較大型的降低風險措施 21，以防止惡意軟體感染。Azure Active Directory 使用者還可以利用安全性預設
值 22，為雲端環境建立基準驗證安全性。
4. 讓端點偵測及回應功能主動根據個人行為和技術來分析及回應威脅。
5. 在主機及網路閘道上啟用網域和 IP 型保護 (如果可能)，以確保基礎結構涵蓋範圍完整。
6. 開啟潛在的垃圾應用程式 (PUA) 保護。許多反惡意程式碼軟體解決方案可能會將廣告軟體、
torrent 下載程式、
RAT 和遠端管理服務 (RMS) 等初始存取威脅標記為 PUA。有時，預設可能會停用這些類型的軟體，以避免
對環境造成影響。
7. 決定具有高度權限的帳戶將在何處登入和公開認證。監視並調查登入類型屬性的登入事件。工作站上不應該
存在具有高度權限的帳戶。
8. 實施最低權限原則並維護認證檢疫。避免使用全網域的管理員層級服務帳戶。限制本機系統管理權限可能有
助於限制 RAT 及其他垃圾應用程式的安裝。
9. 教導使用者惡意軟體威脅 (例如 RAT) 的相關資訊，這些威脅可透過電子郵件以及透過網站下載和搜尋引擎傳播。
了解更多：
了解更多：
以 Exchange 伺服器為目標發動零時差惡意探索的 HAFNIUM | Microsoft 安全性部落格 (英文 )(2021/3/2) 使用受攻擊面縮小規則防止惡意軟體感染 | Microsoft Docs (2021/6/23)
網頁殼層攻擊持續攀升 - Microsoft 安全性 (英文 ) (2021/2/11) 開啟網路保護 | Microsoft Docs (2021/6/14)

攻殼機動隊：調查網頁殼層攻擊 - Microsoft 安全性 (英文 ) (2021/2/4) 使用 Microsoft Defender 防毒軟體封鎖潛在的垃圾應用程式 | Microsoft Docs (2021/6/02)
21
使用受攻擊面縮小規則防止惡意軟體感染 | Microsoft Docs 22 Azure Active Directory 安全性預設值 | Microsoft Docs Microsoft 數位防禦報告 | 2021 年 10 月 37
惡意網域網域擴散和威脅緩解
過去幾年來，網際網路上可用的網域數量迅速增加。
網域如何用於惡意軟體
惡意網域經常作為惡意軟體受害者被導向的目的地。
網域可以是一種在基礎結構中內建復原能力的機制
網路罪犯現在會定期將網域生成演算法 (Domain
Generating Algorithm，DGA) 新增至其惡意軟體，例
任何用於追求網路犯罪的網域都可以視為惡意網域。這包括國碼 (地區碼) 頂層網域 (cTLD)，例如 .uk、. 透過此方式，網域會開始建立與受害者的通訊通道，
如在執法機關截獲硬式編碼的惡意網域時提供後援機
惡意網域可以是已遭入侵可讓罪犯在子網域上裝載惡 ca 和 .cn；一般頂層網域 (gTLD)，例如 .com、.net 並揭露受感染的受害者位置。了解受害者的位置非常
制。為了利用 DGA，惡意軟體會包含程式碼，以產
意內容的合法網站，也可以是完全為犯罪而設的詐欺和 org；以及在 2013 年引進網域名稱系統 (DNS) 的重要，因為網路罪犯利用多種方法來散佈其惡意軟體，
生使用隨機字元或字串建立的網域清單，這些字元或
基礎結構。網路罪犯會針對三項主要功能使用惡意網 1,200 多個新 gTLD。由於頂層網域數量龐大，而且網但無法預測最終將成功下載的位置。因此，網路罪犯
字串會依日期、時間和年份而改變。例如，在 2022
域：資訊傳輸、位置混淆，以及建立復原能力來對抗域名稱登錄、網域註冊機構和網域註冊服務提供者的將惡意軟體設計成「回報」惡意網域。剛受感染的電
年 6 月 4 日星期五，DGA 可能會產生三個網域 (例
試圖干擾其犯罪活動的人。生態系統成長，減輕惡意網域的網路威脅變得更為複腦會立即與這類網域聯繫，以有效地透過 IP 位址「宣
如 ahu3rrfsirraqrty.com、hyrssgu5oqr4cetc.com 和
雜。整個生態系統的網路威脅緩解一致性至關重要。告」其位置。網域基於這些目的用於惡意軟體的方式
wkcclsoqqpcaty.com)，而惡意軟體會嘗試依該順序
網域會用於資料外流、控制勒索軟體通訊、裝載網路最近在網際網路指定名稱與位址管理機構 (Internet 主要有兩種：
連絡這些網域。使用 DGA 會增加中斷網路罪犯通訊
釣魚頁面，以及提供惡意軟體的控制權。同時也可作 Corporation for Assigned Names and Numbers，
基礎結構的成本和複雜度，需要中斷者監視數十萬個
為電子郵件網域，以建立看似相同的詐欺者電子郵件 ICANN) 合約 (含登錄) 中加入的語言，即為朝這個方網域協助混淆處理及隱藏網路罪犯的位置和身分
潛在惡意網域，而網路罪犯只需要其中一個網域。
假名來魚目混珠。詐騙網域可能會利用商標來欺騙客向發展的證明，其中包含定義和禁止不法活動的使用直接新增至惡意軟體 (或「硬式編碼」網域) 並納入
戶，或提供平台進行詐騙，例如詐騙技術支援網站。規定，以及註冊機構制定其專屬反濫用政策以及監視通訊基礎結構的網域，可以有效地隱藏網路罪犯的真
和處理濫用活動的需求。實位置。網路罪犯將網域設定為 Proxy 或「墊腳石」，

以將與受害者的通訊重新導向至另一個網域或 IP。此
程序可能包含多個橫跨網域的「躍點」，而這些網域
會與全球各地的頂層網域相關聯。網路罪犯通常使用
虛構的名稱、電子郵件和地址，並使用竊取的信用卡
或無法追溯的數位貨幣支付網域費用。

中斷惡意網域基礎結構透過法律行動中斷協力廠商託管的網域追求適當的救濟是有效中斷的法律行動不可或缺的組下一個巨大威脅：

「永久」(區塊鏈)
由於有越來越多的網路罪犯佈署私人技術基礎結構成部分。精心製作、依賴聯邦法院廣泛正當授權的禁
中斷 Microsoft 託管服務上的網域網域
(包括惡意網域) 以進行各種網路犯罪，因此組織和個制令，讓原告能夠取得彈性的法院命令，允許他們對
現在，有越來越多的網路罪犯濫用 Microsoft 和協力
人有義務建立必要的法律和技術功能，以透過法律行網路犯罪基礎結構行使控制權。為了取得這類救濟，區塊鏈網域是不在監管之列的新興威脅。過去兩年來，
廠商雲端，以及員工和消費者用於日常協作的服務
動來中斷此基礎結構。原告經常援用法規來支援查封用於犯罪目的的實體裝區塊鏈技術的採用已跨許多商業垂直市場迅速成長。
資訊 (例如電子郵件)。Microsoft 會執行許多步驟來
置、電腦和伺服器。從事犯罪活動的惡意網域，也可區塊鏈技術的實際應用範圍包括供應鏈管理、身分識
減少雲端主機的濫用。我們會主動在裝載來源偵測
近年來，民營部門運用了各種法律理論，透過聯邦法依據各種聯邦法規與公平理論遭到查封。在幾個民事別管理、房地產合約和網域基礎結構。近年來，我們
Microsoft 雲端的濫用，並在攻擊開始或擴展之前予
院的民事訴訟以追求中斷。針對駭客和非法存取的刑案例中，聯邦法院已針對違反 CFAA、《電子通訊隱私觀察到區塊鏈網域已整合到網路犯罪基礎結構和作業
以消除；我們會根據服務中 (例如 Office 365 電子郵
事法規經常提供以惡意基礎結構為目標的民事案由。法》(Electronic Communications Privacy Act)、《拉納中。我們第一次大規模觀察到此情況是在調查 Necurs
件中) 的偵測結果採取行動，並將此知識路由傳送至
特別是《電腦詐欺及濫用防制法》(Computer Fraud 姆法》和一般法律聲明授予這類禁制令。這些法律聲殭屍網路時，多年來，該殭屍網路因其傳送惡意垃圾
可消除威脅的內部服務；我們會根據客戶和協力廠商
and Abuse Act，CFAA)、《有線監聽法》(Wiretap 明也支援直接轉移或停用網域和/或 IP 位址的法院命郵件 (通常隨附勒索軟體承載) 的能力，而在全球各地
報告採取行動；而且我們會通知協力廠商產業夥伴，
Act) 和《儲存通訊記錄法》(Stored Communications 令。在此案例中，法院將惡意基礎結構轉移給私人原造成恐慌。Necurs 包含一個健全的備份系統，其中
我們使用安全性服務偵測到其雲端上的濫用，讓他們
Act)，都是經常主張的法律理論。由於網路罪犯會利告控制或加以停用，並遠離被告的控制，這有效中斷納入 DGA。在其中一個 DGA 版本中，Necurs 大約每
能夠採取行動在其裝載來源予以消除。在 2021 年 5
用信任的品牌欺騙受害者，因此也經常主張《拉納姆了網路罪犯發動攻擊和造成傷害的技術能力。 30 天會從 43 個不同的 TLD 產生 2,048 個新網域，包
月到 7 月的三個月期間，我們停用了大約 15,850 個
法》(Lanham Act) 中的商標理論。在許多情況下，
23 括區塊鏈網域 TLD“.bit”。
裝載於 Azure 上的網路釣魚網站。我們密切監視濫用，
侵權網域會提供惡意技術基礎結構的關鍵部分，而且
並評估偵測和消除裝載惡意網站威脅的新方式
通常會包含合法內容的大批盜版複製品，以混淆受害
者並發動犯罪計畫。
區塊鏈網域是不在監管之列的
新興威脅。
23
15 U.S.C.§§ 1125(a)-(c) Microsoft 數位防禦報告 | 2021 年 10 月 39
不同於向網際網路註冊機構購買的傳統網域是透過區塊鏈網域的運作方式不同，從使用和干擾的觀點來使用區塊鏈網域的巨大威脅調查區塊鏈網域提供了一項獨特的挑戰，因為沒有

受 ICANN 監管的 DNS 系統運作，區塊鏈網域不受看都具有挑戰。區塊鏈網域可透過軟體/瀏覽器外掛犯罪基礎結構的威脅環境持續改變，以避免偵測和任何關於註冊者與註冊時間的中央 WHOIS 註冊資
任何中央機關控管，從而限制了濫用報告和強制干程式或 Proxy 解析服務運作。網路罪犯在區塊鏈網域干擾。在過去一年，網際網路上的一些大型威脅行料庫追蹤。幸好，某些區塊鏈 DNS 提供者 (例如
擾的機會。方面的挑戰，是從區塊鏈取得最新的 IP 位址，並移為體已開始利用區塊鏈網域做為其基礎結構的一部 Emercoin) 提供了對區塊總管工具的存取權 25，以便
至嘗試將區塊鏈網域解析為 IP 位址的電腦。由於區分。Trickbot 是惡名昭彰的銀行特洛伊木馬程式，其搜尋網域名稱、交易雜湊，以及可能儲存在區塊鏈中
傳統上，區塊鏈網域是透過加密電子錢包使用來自區塊鏈網域不是在一般 DNS 通道內運作，因此惡意軟經營模式已演變為提供勒索軟體方面高價值目標的存的其他值。Emercoin 區塊鏈具有偽匿名性質，但可
塊鏈 DNS 提供者的加密貨幣進行購買。加密電子錢體作者必須包含適用於受感染受害者的其他解析指取權，並已開始使用 Emercoin 區塊鏈 DNS 所提供以揭露區塊鏈網域中一些令人感興趣的相關資訊，例
包使用不對稱加密，涉及了區塊鏈交易的私密金鑰和示。這些指示通常會硬式編碼到惡意軟體中，並將受的「.bazar」網域。最近一個與 Trickbot 有關的威脅如 IP 位址和交易日期。
公開金鑰。在執行交易之後，會將網域名稱、網域 IP 感染的系統指向區塊鏈 Proxy 解析服務 IP。 Bazarloader 已開始部署使用「.bazar」網域的獨特
和交易雜湊記錄到區塊鏈中。在未來，唯一能夠對區 DGA 版本。這種利用區塊鏈網域做為基礎結構的威
塊鏈上所記錄 IP 進行變更的實體，會是進行初始交多年來，網際網路上有數個專案負責經營免費的未脅趨勢，會助長建立一個無庸置疑的犯罪網路，因此
易以購買網域之擁有電子錢包和私密金鑰的人。受監管 DNS，並支援區塊鏈網域的解析。最近的應認真以對。
OpenNic 專案以「DNS 中立並提供未經審查 DNS 存
取權」任務聲明為行動方針，旨在解析「.bit」加密網域。
專案進行幾年後，由於收到「.bit」網域濫用的大量
報告，OpenNic 專案決定停止解析「.bit」網域 24。
24
https://www.namecoin.org/2019/07/30/opennic-does-right-thing-shuts-down-centralized-inproxy.html 25 https://explorer1.emercoin.com/nvs Microsoft 數位防禦報告 | 2021 年 10 月 40
對抗區塊鏈網域可能不如您想像中的困難區塊鏈網域已成為網路犯罪基礎結構的首選
區塊鏈網域的弱點是需要第三方 Proxy 服務或瀏覽器
外掛程式將區塊鏈網域解析為 IP。停用或封鎖區塊鏈
Proxy 解析服務及停用瀏覽器外掛程式，將會停用區
塊鏈網域的解析功能。許多威脅情報廠商提供了惡意
URL 摘要，有時會包括區塊鏈解析 Proxy 或區塊鏈網
域本身。

對抗式 ML 威脅矩陣 ML 中的有意失敗模式

對抗式機器學習 Microsoft 與 MITRE 合作打造「對抗式 ML 威脅矩
2. 以 ML 系統上的實際攻擊為基礎：我們在此架
構中植入了經 Microsoft 和 MITRE 審查，認定
Microsoft 將 AI 和 ML 特定的安全性做法納入其安全
對正式環境 ML 系統有效的一組漏洞和敵人行
機器學習 (ML) 是一種人工智慧 (AI) 技術，有許多應陣」，因為我們相信，讓安全性團隊抵禦 ML 系統攻性開發生命週期 (SDL)，以保護 Microsoft 產品和服
為，讓安全性分析師可以專注於實際的威脅。
用用途，包括網路安全性。在負責的 ML 創新中，資擊的第一步就是擁有一個架構，以有系統的方式組務免受這些攻擊。除了威脅偵測和降低風險開發工作
我們也會將 Microsoft 在這方面廣泛經驗中學到
料科學家和開發人員會建立、訓練及部署 ML 模型，織惡意敵人用來破壞 ML 系統的技術。我們希望安與自動化之外，我們還發佈了客戶所能採取的步驟指
的知識納入架構。例如，我們發現模型竊取不
以了解、保護及控制資料和流程來建立受信任的解決全性社群能夠使用表列的策略和技術，加強組織關引，以便他們能夠在自己的 AI 和 ML 系統中構建深
是攻擊者的最終目標，實際上會導致更險惡的
方案。鍵任務 ML 系統周圍的監視策略。度防禦。
模型規避。我們也發現，攻擊者在攻擊 ML 系
1. 主要對象是安全性分析師：我們認為保護 ML
統時，會結合網路釣魚與橫向移動等傳統技術，
不過，敵人可能會攻擊這些 ML 驅動的系統。支撐正系統是一項資安問題。「對抗式 ML 威脅矩陣」在我們所發佈的資料中，最重要的是＜機器學習中的失
以及對抗式 ML 技術。
式環境 ML 系統的方法在系統上易受整個 ML 供應鏈的目標，是將 ML 系統上的攻擊置於一個架構，敗模式＞ (機器翻譯)26，該文章列出了我們與哈佛大學
中新型漏洞的攻擊，這類攻擊統稱為「對抗式 ML」。讓安全性分析師能夠在這些新興和即將出現的伯克曼網際網路與社會研究中心 (Berkman Klein Center
敵人可能會惡意探索這些漏洞來操作 AI 系統並更改威脅中調整自己的方向。該矩陣的結構方式類 for Internet and Society) 共同開發的術語。其中包括可
其行為，達到最終的惡意目標。似於 ATT&CK 架構，這是由於安全性分析師社用於描述敵人嘗試更改結果或竊取演算法所造成之有
群廣泛採用該架構所致。如此一來，安全性分意失敗的詞彙，以及可用於描述意外失敗 (例如產生可
析師就會有熟悉的架構來了解 ML 系統的威脅，能不安全之結果的系統) 的詞彙。
其原本就不同於公司網路的傳統攻擊。
26
https://docs.microsoft.com/en-us/security/engineering/failure-modes-in-machine-learning Microsoft 數位防禦報告 | 2021 年 10 月 42
ML 模型上的攻擊
攻擊描述範例
規避攻擊攻擊者會以導致模型分類自動駕駛汽車

錯誤的方式修改查詢。透過操作停車標誌或汽車影像辨識系統所觀察到的
環境，敵人就可以引起模型分類錯誤。透過此方式，
就能使自動駕駛汽車忽略停車標誌。
毒害攻擊攻擊者會污染 ML 系統的關鍵基礎結構系統

訓練階段，以取得預期的透過提交防毒軟體做為惡意軟體，敵人就可以迫使
結果。攻擊者想要錯誤分將其錯誤分類為惡意軟體，進而導致無法在用戶端
類特定範例，導致執行或系統上使用防毒軟體。這可能會使關鍵基礎結構系
省略特定動作。統暴露在攻擊風險之中。
成員資格推斷攻擊者可以推斷指定的資醫療保健資訊

料記錄是否屬於模型的訓敵人可以查看根據資料主體訓練的模型，例如包含
練資料集。動過特定外科手術人士的資料。透過了解特定人士
的資料在訓練集中，敵人就會接著得知該人士動過
外科手術，然後就能公開利用此隱私權違規。
模型竊取攻擊者可以透過精心製作財務演算法

的查詢來復原模型。透過模型查詢，敵人就可以重建 ML 模型的可能輸
出。這可能會對專為特定市場中高頻率股票交易設
計的專有演算法造成不利影響。

攻擊者規避白帽駭客研究人員一再展現了對 ML 模型的複雜黑箱 ML 模型/資料毒害如過去漏洞的安全性研究所示 27，在研究出版物明

規避攻擊，這些人員使用了演算法來反覆判斷何種輸顯增加之後，很快就會出現主動式惡意探索。鑒於
規避攻擊是一種針對 ML 模型以導致完整性違規的探我們在對抗式 ML 安全性研究中看到一個趨勢變化。
入會導致完整性違規。不過在今日，環境中的威脅行焦點會轉移到資料毒害攻擊，Microsoft 持續專注於
索式攻擊。從系統的安全性觀點來看，考慮黑箱規避雖然過去幾年將焦點放在高度可見的模型規避攻擊，
為體也可能會嘗試規避某些網域中的 ML 系統，但通設計威脅偵測和降低風險措施，以保護 ML 模型及
攻擊會很有幫助，其中攻擊者可能不具備 ML 模型內而很容易展現某些 ML 模型的脆弱性，但安全性研究
常會透過手動而不是演算法的方法進行，而且不一定其資料集免受這些威脅。這方面的降低風險措施也
部運作方式的特定知識，而是透過提交輸入和觀察對人員逐漸擴大焦點，以包含較不明顯的攻擊。例如，
只專注於 ML 做為規避目標。例如，惡作劇或出於金可能有助於偵測非惡意的訓練資料漂移，讓資料科
應的系統輸出來影響變更。此威脅模型對於許多以雲在資料毒害攻擊中，目標是建立 ML 模型所依據的訓
錢誘因的使用者會以創意方式模糊處理承載內容，略學家能更了解更多資料在一段時間後的品質，並突
端服務形式或在消費者裝置上託管的 AI 系統很常見，練資料。隨著新資料彙總並納入訓練資料集中，驗證
過內容仲裁篩選。敵人會使用數種模糊處理技術，規顯異常以供調查。
也是金融、醫療保健、防禦、詐欺和安全性模型關心新的訓練資料未遭到洩露變得越來越重要。我們有證
避包含反惡意程式碼軟體或反網路釣魚模型的安全性
的問題。據顯示，因訓練資料對抗式污染所導致的客戶 ML 模
產品。在這些實際手動規避攻擊中，這些依賴 ML 的
型入侵，若未被發現，則會成為現有訓練資料集中同
目標系統不一定會是考量。
樣受信任的部分。如果沒有自動化測量方式來測量不
斷增長之資料集中的統計漂移，在 ML 模型發生重大
無論您的公司網域中是否存在敵人，所有網域都存在
失敗之前，這些類型的攻擊大多都不會被發現。
敵人規避 ML 模型的風險。ML 模型是不理想的資料
集摘要，因此即使根據理想的資料集訓練，模型也有
固有的失敗模式。通常會認為規避的可行性是所有
ML 模型的特質，而不是只有少數會受其影響的失敗所有網域都存在敵人規避 ML 模型
模式。在 ML 模型的正常使用期間，可能很少會遇到
的風險。
這些完整性違規，但如果敵人明確針對導致違規所需
最糟情況條件進行最佳化，就可以立即發現這些漏洞。
27
例如， MD5、 SHA1、 SSLv2/3 和 TLS 1.0 Microsoft 數位防禦報告 | 2021 年 10 月 44
我們如何持續保持領先地位根據從內部和外部參與學到的知識，Counterfit 的設 AI 風險管理

計是為了在下列三個主要方面保持彈性：
對正式環境 AI 系統執行安全性評估並不容易。
1. 與環境無關：其可協助評估裝載於任何雲端環
Microsoft 調查橫跨《財星》500 大公司、政府、非
境、內部佈署或邊緣上的 AI 模型。
營利組織和中小型企業的 28 家組織 28，以了解目前
2. 與模型無關：此工具會將 AI 模型的內部運作方
保護 AI 系統的流程。我們發現在 28 家企業中，有
式抽象化，讓安全性專業人員可以專注於安全
25 家表示沒有適當的工具可保護其 AI 系統，而且安
性評估。
全性專業人員正在尋找這方面的特定指引。
3. 努力與資料無關：其在使用文字、影像或表格
式輸入的 AI 模型上運作，而且我們將持續新增
為了因應對抗式 ML 的日益增長需求，Microsoft 發
資料類型。
行了 Counterfit，這是一種開放式原始碼工具，可讓
使用者攻擊自己的 AI/ML 來協助評估風險。此工具
了解更多：
是為了滿足我們自己的需求而開發，我們必須遵守負
責的 AI 原則 29 和負責的 AI 工程策略 (Responsible AI Microsoft 的負責 AI 做法 (英文 )
Strategy in Engineering，RAISE)，評估 Microsoft AI GitHub – Azure/counterfit: a CLI that provides a

系統中是否有漏洞，並主動保護 AI 服務。Counterfit generic automation layer for assessing the security of
一開始是一組專為目標個別 AI 模型所撰寫的攻擊指 ML models (GitHub - Azure/Counterfit：提供一般自安全性是「 AI 風險管理」這個迅速成長市場中相當重要的一部分，
令碼，然後成長為可大規模攻擊多個 AI 系統的一般動化層的 CLI，用於評估 ML 模型的安全性 ) (英文 ) 並包含「模型作業」，可確保您的 AI 系統可靠、準確且可用。此外，
自動化工具。今天，我們經常使用 Counterfit 做為 AI 還包括「負責的 AI」，以及公平性、道德、透明度和讓 AI 系統以負
使用 Counterfit 的 AI 安全性風險評估 | Microsoft 安
責的方式運作的所有法律後果。此「安全性」元素也值得關注，是
紅隊作業的一部分。
全性部落格 (英文 ) (2021/5/3) 使得風險管理態勢完美的重要一環。
Adversarial Machine Learning - Industry Perspectives
(對抗式機器學習 - 產業觀點 ) (2021/3/19)
28 2002.05646.pdf (arxiv.org) (2021 年 3 月 ) 29 Microsoft 的負責 AI 原則 (英文 ) Microsoft 數位防禦報告 | 2021 年 10 月 45

處理 AI 系統安全性的標準 AI 和 ML 逐漸整合到所有類型的系統中 (包括關鍵和考量 AI 安全性時，不能忽視基於現有風險的安全性、了解更多：

安全基礎結構)，而產生使用 AI 系統專屬的新安全性隱私權和治理基礎，這些基礎可以解決使用 AI 系統
AI 和 ML 普遍應用於各行各業，是新興的監管環境， Microsoft 的負責 AI 原則 (英文 )
威脅，以及極端不希望發生的攻擊後果。這類後果可時出現的許多威脅。例如，使用資訊安全性管理系
而對這些技術使用的普遍不信任或誤解，導致更需要 AI/ML 系統和相依性威脅模型 - 安全性文件 |
能包括聊天機器人效能低落、拒絕基本服務、智慧財統 (ISO/IEC 27001) 和隱私權資訊管理系統 (ISO/IEC
有相關標準，才能定義良好實務，並提供指引以改善 Microsoft Docs (機器翻譯 ) (2019/11/11)
產竊盜，或甚至造成人身危險。在某些情況下，AI 系 27701) 等標準，可協助組織實作流程和控制，以解決
信任和市場接受度。國際標準組織 (ISO) 和國際電子
統的安全性攻擊已造成重大問題。與其目標和活動相關的安全性和隱私權風險，包括 AI AI/ML 轉向安全性開發生命週期錯誤列 – 安全性文件 |
電機委員會 (IEC) 正在制定 AI 標準，包括定義 AI 和
系統的安全性威脅。除了這些現有做法之外，這個演 Microsoft Docs (機器翻譯 ) (2019/11/11)
ML 的關鍵術語和概念、風險管理、治理影響、資料
變的威脅環境將需要新的指引、良好實務以及組織和機器學習中的失敗模式 - 安全性文件 | Microsoft Docs
品質，以及與可信度相關的各種主題。此外，AI 的可
技術措施，以協助組織保護其 AI 系統。有效的安全 (機器翻譯 ) (2019/11/11)
認證管理系統標準也正在制定中，這會引導組織採用
性措施對於以負責的方式開發和部署 AI 系統至關重
風險型方法以負責地使用和開發 AI 系統，並展現職
要。Microsoft 參與了制定新標準的工作，並開始為
責劃分及其關懷關係人的責任。
解決 AI 和 ML 中的安全性威脅和失敗提供指引。

第3章
國家威脅
簡介
追蹤國家威脅
所見所聞
本年度國家活動分析
民間攻擊行為體
必備的全方位保護

簡介追蹤國家威脅所見所聞本年度國家活動分析民間攻擊行為體必備的全方位保護
簡介：攻擊者愈來愈常使用欺騙性手段以期達成全國性目標
JOHN LAMBERT，MICROSOFT 威脅情報中心傑出工程師暨副總裁
去年發生了一些具有重大歷史意義的地緣政治事件，也出現了一些意外的挑戰，改變了組織日常運作的方式。當其時，
國家行為體大致上仍按一致的步伐維持行動，同時創造出新的戰術與技術來避開偵測，並擴大攻擊的規模。
重大網路安全性事件 (如 NOBELIUM 發動的 SolarWinds Microsoft 威脅情報中心 (MSTIC) 和數位安全部門 (DSU) 這些老練的攻擊者一直持續關注有助於維持隱匿和存取
攻擊和 HAFNIUM 發動的內部佈署 Exchange Server 攻觀察到，大多數國家行為體會持續關注在針對政府機構、的有效技術。我們可以看到他們持續不斷攻擊傳統的安這些國家行為體似
擊) 以及其他多個行為體發動的攻擊，都讓我們將注意跨政府組織 (IGO)、非政府組織 (NGO) 以及傳統間諜或全性檢疫元素，並且聚焦於以供應商生態系統為目標而
力集中在如何保護供應鏈上。在這非比尋常的一年中，監視目標專研智庫，採取行動和攻擊。遭到攻擊的受害開發並精進的新型突破性攻擊，以攻擊下游客戶。國家乎利用增加攻擊的
國家行為體和許多網路犯罪行動的重點，都放在攻擊供者通常掌握有與敵對政府情報需求相關的資訊，這也是行為體尚未就此常見策略施行多重要素驗證 (MFA) 或其
規模和數量來躲避
應商的安全性漏洞或探索組織賴以維持業務續航力但未許多政府機構和智庫受到攻擊的原因。然而，民營產業他保護的機關，運用其建立良好的魚叉式網路釣魚和密
修補的系統。最近這些事件顯示，為所有已部署的系統在支援遠端工作者、增加的醫療保健服務、新型冠狀病碼噴濺攻擊活動仍能持續取得成功。但這些技術的成功偵測。
維持最新的安全性更新益加重要，因為這是對抗快速變毒 (COVID-19) 疫苗研究和新型冠狀病毒 (COVID-19) 疫率，會隨著愈來愈多的組織針對帳戶安全進行投資而會
化威脅最有效的方式。苗分配等方面所扮演的角色，也使其更常成了為尋找下降，同時偵測到的攻擊也會隨之增加。而國家行為體
政府國家安全性或情報之資訊的這些成熟行為體的目對此情況的因應之道，似乎是利用增加攻擊規模和數量
標。遠端工作者增加了對全球電信骨幹和虛擬私人網路來躲避偵測，並提高多個目標的成功機率。如果放任安
(VPN)/ 虛擬私人伺服器 (VPS) 基礎結構的依賴，為惡意全防護不佳的帳戶成為目標，
行為體提供了新的媒介，使其得以存取為因應新式工作
行為而混合使用的目標私人網路。

這種以量取勝的憑證入侵方法就一直會是有用的技因此，我們預計國家行為體會繼續精進技術，利用一響，而且往往獨一無二，能促進更深入的分析並建國家通知

術。針對未經修補的協力廠商軟體或內部佈署基礎結般供應鏈廠商之安全性弱點和未經修補的系統漏洞，立客製化的偵測。了解這些 TTP 也有助於 Microsoft
當客戶 (無論是組織或個人帳戶持有者) 遭 Microsoft
構的攻擊，可能會變得更加普遍且更容易被國家行為存取及蒐集下游客戶的資訊。作為常見偵察和滲透方更能了解下游行為體，例如網路罪犯以及經常複製
追蹤的國家活動鎖定或入侵時，我們會向客戶傳送
體及網路犯罪組織利用。延遲安裝安全性更新或對所法的魚叉式網路釣魚和密碼噴濺攻擊，目前完全沒有或重複使用這些方法的小型國家。DSU 則聚焦於
國家通知 (NSN)。過去三年，Microsoft 已傳送逾
部署系統及其修補狀態了解不足，都容易讓漫無章法和緩的跡象，而是讓跨帳戶間實作端對端 MFA 愈形 MSTIC 所找出的受害者，將受到攻擊的受害者與政
20,500 則的 NSN。本章中的圖表皆衍生自 Microsoft
想要找出受感染資產而達到完整修補狀態的組織，遭重要。Microsoft 在本章中所提供的資訊，擷取自過府的政治目標和指出的情報目標連接在一起，有利於
NSN 的程序。
受突然的大規模攻擊。網路運作時使用不受支援或不去一年鎖定我們全球客戶的一些主要活動，同時記錄 Microsoft 向全世界提供更完整的背景，說明這些國
再更新的軟體，會讓風險呈指數上升。組織必須持有下預期國家行為體明年會繼續使用的手段。我們建議家發動攻擊的原因。
全面的資產清查、確實明白修補狀態以及徹底的備份您以此資訊為指南，了解這些老練的行為體鎖定您組
反制國家活動
和防堵計劃，才能抵禦複雜的攻擊。因為敵對方會持織時會使用的戰術和技術，以便讓您能更有效地實作我們會關注國家活動，且不限平台、目標受害者或地國家行為體通常是資源豐富的強悍對手。如上所述，
續不斷地發展新技術，以鎖定及入侵企業資源，所以主動防禦。理區域，持續揭露及積極尋找全球各地的威脅，為客其經常會蒐集其本身政府感興趣之目標的情報。我們
必須具備全方位「假設外泄」心態，不侷限在基本檢戶撰寫出更佳的偵測。我們還會分析為何國家行為體無休止地追逐這些對手，並持續開發偵測及阻擋惡意
疫需求和 MFA，而是集於一套整體的零信任安全性原
則。為保護企業身分識別、裝置、應用程式、資料、
追蹤國家威脅會追蹤特定的受害者、單位或區域。將所有資訊綜合
在一起，即可窺見我們代受影響客戶投入的防禦努力。
活動的新功能，以作為我們承諾保護客戶的後盾。我
們不斷提升了解這些國家行為體及其受害者的能力，
網路和基礎結構，以抵禦複雜的威脅，套用零信任安請注意，即使下列資訊未羅列某一特定行業或地理區以協助我們的客戶更加清楚了解情況。

Microsoft 會追蹤國家活動，以保護我們客戶以及平
32 域，但國家活動幾乎涵蓋各行各業和每個地理區域。
全性模型會變得日益重要。台與服務的安全。我們使用各種計量和複雜的資料整
換言之，防範這些策略對於每個組織和個人都至關重
合技巧，能更加清楚了解其目標、動機和客戶影響。
展望未來，我們知道敵對雙方的政府會繼續其情報蒐要。特定地理位置或行業別的產品和平台使用程度，
MSTIC 持續關注國家行為體的活動，因為這些策略、
集的目標，並探索網路世界可接受的行為政治界限。對我們的情報會有所影響。
技術和程序 (TTP) 通常會對我們的客戶產生重大的影
32
零信任安全性模型和架構 | Microsoft 安全性 Microsoft 數位防禦報告 | 2021 年 10 月 49
我們的方法 2. 善用技術 4. 數位犯罪部門本報告中討論的國家行為體指南

Microsoft 有關全球威脅形勢的知識積累，讓我們的在 Microsoft 與國家行為體的戰鬥中，數位犯罪部門
Microsoft 使用五管齊下的方法破壞國家行為體：提本章引述國家行為體的範例，以更了解更多攻擊目標、
產品與服務能持續建立及更新全新的安全性商品偵 (DCU) 是其獨有的資源之一。利用訴訟查封國家行為
供直接通知客戶、利用技術進行偵測和防禦、對惡意技術和動機分析。Microsoft 按化學元素名稱來識別
測，協助防護和抵禦大規模的國家活動。這些共同防體用以攻擊 Microsoft 客戶的網域和資產，DCU 在封
行為採取技術行動、尋求法律行動，以及參與公共政這些國家活動，下表僅顯示部分活動及這些行為體的
禦是反制國家威脅最有效的方法，因為情報來源是各鎖這些攻擊媒介方面一直功業彪炳。這些案例曾瓦解
策討論。在我們致力保護客戶和整個生態系統的路途活動起源國家/地區。這份範例僅佔所有 Microsoft 追
項產品內建的廣泛威脅情報資源，且以世界級的工程數百個網域並保護數千多名客戶，Microsoft 仍然是
上，每一種方法都扮演著重要的角色。蹤之國家行為體的一小部分，是過去一年最活躍且最
方式施作。唯一願意對國家行為體採取法律行動，以查封基礎結
善利用本章詳述策略的國家。
構及破壞攻擊的公司。Microsoft 工程團隊從這些案
1. 讓客戶能有所作為
3. 對惡意行為採取技術性動作例中獲得的經驗，有利我們提高作業和技術破壞能力。
Microsoft 利用 NSN 程序，通知客戶我們所追蹤之 Microsoft 還會追蹤及調查許多新來源或來源不明的
Microsoft 不時會掌握充分資訊，保證能一次性刪除
國家行為體進行了鎖定或入侵行為，向客戶提供可惡意活動，以便能全面了解這些策略、技術和目標。
或關機與國家攻擊者相關聯的基礎結構或資產。主動 5. 通告公眾對話和公共政策
採取動作的資訊，以便迅速做出回應並自我保護。
打擊惡意基礎結構，讓該行為體喪失其先前已掌控之 Microsoft 發聲突顯事件的背景和影響，並分享攻擊
Microsoft 也提供產業別和客戶區隔的警示，協助提
各式大範圍資產的可見度、行為能力和存取權，迫使相關內容及其影響全世界的原因，提高對國家活動的
高對惡意活動的警覺，以及指引回應方法。
它們進行重建。警覺。此有助於就如何打擊遍及政府機構、NGO、企業、
學術和公眾的惡意國家活動，開展廣泛的討論。公開
談論國家攻擊在反制行動中至為重要。
當我們主動打擊惡意基礎結構時，就能讓該行為
體喪失其先前已掌控之各式大範圍資產的可見
度、行為能力和存取權，迫使它們進行重建。

國家行為體及其活動範例

所見所聞期破壞性攻擊的國家行為體，其主要對象是以色列。
這些網路攻擊發生在兩國互相發動軍事行動 (包括攻
北韓國家行為體在網路攻擊中添加了第三個動機：金
錢收益。北韓鎖定從事加密貨幣交易或相關研究的公
雖然 SolarWinds 和 Exchange 弱點是年度兩大網路安
全性事件，但伊朗和北韓也同樣運用了鎖定 IT 提供
擊對方的貨輪)，只差陳兵對戰的政治環境中。因為司，可能企圖竊取加密貨幣或知識性財產。雖然北韓者的類似策略，尋找各種巧妙方法來攻擊真正的目標。
國家目標情勢已經非常高張，所以伊朗決定使用網路進行破壞的經濟從未強大過，但在受到聯合國制裁多年後，新例如，北韓行為體 ZINC 在各網站和社交媒體頁面建
我們在 2020 Microsoft 數位防禦報告中，披露了主要性攻擊，其戰略性躍升幅度不像在北韓、俄羅斯或中型冠狀病毒 (COVID-19) 的大流行已將其推到這代最立了偽裝為網路安全性專家的網路角色，並利用這些
國家網路行為體中常見的目標 (間諜活動、顛覆/破壞) 國那麼大。雖然除伊朗以外的其他國家，大多能克制差的境地，迫使北韓不擇手段獲取資金。雖然伊朗的角色接近網路安全性弱點專家，企圖讓所連絡的這些
和常運用之技術 (偵察、收集憑證、惡意軟體和虛擬採取破壞性攻擊，但若衝突加劇，達到兩方政府策略國家行為體經常使用勒索軟體攻擊，但據 Microsoft 研究人員開啟會將攻擊破口下載至其電腦的內容。這
私人網路 (VPN) 攻擊)。這些目標和技術在今年和去性決定升級網路戰爭時，他們確實會繼續入侵本為破評估，勒索軟體更常用於掩蓋攻擊者蹤跡，而非獲利。雖然不是對 SolarWinds 這樣的 IT 公司發動直接攻擊，
年一樣流行。這些行之有效的方法，例如大規模的魚壞性攻擊主要對象的受害者。但嘗試透過負責尋找保護方案的專家來達成北韓的真

鎖定 IT 公司是去年的大事正目標，確實可間接獲利。
叉式網路釣魚活動，仍是駭客手中的實用工具。但全
本章中「最易被鎖定的行業」一圖顯示，近 80% 被一項最常出現在 Big Four (四大會計師事務所) 國家
球各地的攻擊者，不論是與政府有直接密切的合作或
鎖定的對象是政府、NGO 或智庫。智庫通常權充政網路計劃中的革命性變化，是決定以 IT 服務提供者如需有關供應鏈安全性的詳細資訊，請參閱本報告的
較為鬆散的關係，對鎖定之目標的研究從未中斷，以
策孵化器和實施者，與現政府和前政府的官員及計劃為目標，以便更成功地攻擊接受這些 IT 提供者服務供應鏈、IoT 與 OT 安全性一章。
便攻擊時能一擊中的、開發從所未見的新技術，甚至
關係密切。威脅行為體能夠攻擊且確實會攻擊較傳統的下游受害者。去年使用這類策略最知名的案例，是
模擬犯罪行為，以混淆意圖和目標。Microsoft 則同
的 NGO 社群和政府組織之間的連線，以彰顯其可取俄羅斯對 SolarWinds 的攻擊和中國利用 Microsoft
樣努力地提升專門技能，以跟上其中之變化。
得國家政策計劃和意向的深入內容。如前所述，正 Exchange 伺服器內部佈署漏洞的攻擊。這些攻擊會
間諜活動比破壞性攻擊更普遍是其觀點與目前或未來政府政策或政治目標相關的在有關俄羅斯和中國的部分詳加說明。
國家行為體的兩大主要目標也從未改變。去年的間諜智庫，將這些組織推到情報作業的眼前。當傳統的
活動，具體而言即是情報蒐集，且相較於破壞性攻擊 NGO 掌握類似資訊時，我們也會將其視為國家行為
是更常見的目標。伊朗一直以來是唯一有意願從事定體的目標。

最易被鎖定的國家/地區 (2020 年 7 月至 2021 年 6 月) 最易被鎖定的行業 (2020 年 7 月至 2021 年 6 月) 鎖定的消費者與企業 (2020 年 7 月至 2021 年 6 月)
美國的組織仍然是今年大多數觀察活動的目標。我們也同時發現，隨著國今年追蹤的每一個威脅行為體，其目標都是政府部門單位。NOBELIUM、威脅行為體可能認為，在全球步入遠端工作期間，利用消費者電子郵件帳

家間地緣政治的緊張情勢升高，針對性也會提高。受俄羅斯 NOBELIUM NICKEL、THALLIUM 和 PHOSPHORUS 最熱衷攻擊 Big Four (四大會計師戶可能更容易存取所鎖定的網路。除了被鎖定的企業及其代表之行業外，
攻擊影響的烏克蘭客戶，從上個會計年度的六個增加到今年的 1,200 多個，事務所) 威脅國家/地區的公部門。這些被鎖定的政府機關，多為關注外今年消費者帳戶收到的通知量是第二高。TIUMIUM 和 PHISHUS 鎖定這些
動員支持反對俄羅斯增兵烏克蘭邊界的烏克蘭政府利益集團，是被攻擊的交事務和參與國際事務的其他全球政府單位。(此圖排除一般消費者帳戶，帳戶，投入大量資金發動魚叉式網路釣魚活動。
重災區。今年，被鎖定的以色列組織單位幾乎增加了四倍，全是伊朗的行只描述被鎖定之企業的對應行業。)
為體所發動，因為兩個敵對國家的緊張情勢急劇升高，所以瞄準以色列。

鎖定的重要基礎設施與非重要基礎設施焦點。來自中國的威脅行為體對重要基礎設施區塊的單位最感興趣，而來網路行動完美展示出俄羅斯熱衷於取得資訊和情蒐行動，但不常以重要基

根據 2020 年 7 月到 2021 年 6 月追蹤的 NSN 資訊，重要基礎設施並非自俄羅斯的威脅行為體則對這些單位最不感興趣。俄羅斯的 NOBELIUM 礎設施為目標發動可能的破壞行動。
以關鍵基礎設施及非關鍵基礎設施為目標 (PPD-21)(2020 年 7 月到 2021 年 6 月)
俄羅斯鎖定的重要基礎設施比例中國鎖定的重要基礎設施比例伊朗鎖定的重要基礎設施比例
北韓鎖定的重要基礎設施比例中國、伊朗、北韓和俄羅斯鎖定的重要基礎設施合計比例

入侵與鎖定成功率活動來源最活躍的國家活動組織

威脅組織的成功率各不相同。有些組織的成功率較低 (例如北韓的如前文＜入侵與鎖定＞一節中所述，攻擊者所選擇的戰術會嚴重影響本節
下一節描述依來源國家/地區列出的攻擊頻率，以每個行為體攻擊所產生
THALLIUM)，因為使用了像大規模魚叉式網路釣魚活動這樣的策略，更偏中的資料。如果有一個組織嘗試對一百個目標發動密碼噴濺攻擊且成功入
的 NSN 數量為單位來衡量。來自俄羅斯的威脅活動位居今年榜首，主要
向廣撒網而不是精準的攻擊。密碼噴濺攻擊則是低成功率策略的又一例，侵了一個目標，而另一個組織只精準攻擊所入侵的一個受害者，這兩個組
是由 NOBELIUM 發動的大規模目標鎖定攻擊所造成。此外，北韓行為體
但攻擊者知道成功率會很低。其他組織使用強調重點式的攻擊，更容易成織的成功次數是一樣的。但是，第一個組織因為攻擊了一百個目標，所以
運用了無所不在的目標鎖定策略，使得北韓成為通知比例次高的國家。
功。例如，HAFNIUM 的攻擊成功率為 43%。NICKEL 成功率則驚人的超會顯示為較「活躍」的組織。此清單前三名的組織都使用了高失敗率戰術。
過 90%。下圖顯示依不同成功率設計的不同策略平均值。第一季非常高， NOBELIUM 在高成功率的精準攻擊外，也經常使用成功率低的密碼噴濺
活動來源國家/地區
不盡然是這些行為體在該季較成功，而是因為 Microsoft 記錄遏止的低成攻擊，而 THALLIUM 和 PHOSPHORUS 則是向大型組織寄送魚叉式網路
NOBELIUM 及其以 IT 服務提供者和西方政府機構為目標的激進行為，使
功率攻擊活動較少。釣魚電子郵件。此圖表不必然表示最危險的組織，但確實指出這些組織在
得俄羅斯躍居今年攻擊來源國家/地區的榜首。在發送給客戶有關俄羅斯
某些方面也能稱之為歷久不衰和無所不在。
威脅活動的通知中，該組織就佔了 92%。來自北韓的攻擊也佔了很大的
入侵率 (2020 年 7 月到 2021 年 6 月)
比例，主要是出於威脅行為體 TIUMIUM 和 CERIUM 之手。這兩個組織都
最活躍的國家活動組織 (2020 年 7 月到 2021 年 6 月)
依賴大量的攻擊。雖然這些攻擊的成功率很低，但因為嘗試次數非常多，
所以這些組織還是能成功影響到部分受害者。
依來源國家/地區排列的攻擊 (2020 年 7 月到 2021 年 6 月)

國家攻擊者工具通常是由國家行為體開發及改良新的攻擊技術，再由國家惡意行為體使用的攻擊媒介

國家用以入侵受害者網路的工具，通常與其他惡意行罪犯採用並隨著時間進一步改良。Microsoft 期望針
為體所用工具相同。為實現其目標，國家行為體可能對鎖定及入侵 IT 供應鏈所設計的工具能成為主流並
會建立或利用定製的惡意軟體、建構新式的密碼噴濺更加普及，使得零信任架構等概念透過佈署和更新成
基礎結構，或精心編織獨特的網路釣魚或社交工程活為軟體開發的優先考量。資金豐沛的國家行為體會繼
動。但是，像 GADOLINIUM 這樣的行為體也日益傾續建立獨特的工具以實現其目標，但它們也像任何其
33
向使用開放原始碼工具或常見的惡意軟體來影響供他精簡高效的組織一樣，會盡可能使用常見工具以提
國家行為體已發展成能夠對受害者展開偵察行動，並選擇最能達成每個目標或預期結果的攻擊方法。
應鏈、嘗試中間人攻擊，或發動拒絕服務攻擊。這些高效率和成效。
方法讓人視而不見惡意行為體的真實意圖。
了解更多：
開放原始碼工具的使用增加後，為負責偵測及防禦這
保護客戶不受民間攻擊行為體的零時差和 DevilsTongue
些攻擊的安全性專業人員提供了一些便利。愈來愈
惡意軟體攻擊 (英文 ) | Microsoft 安全性部落格
多針對一般威脅侵害提供防護的相同安全性和電腦檢
(7/15/2021)
疫例行公事，也能用於保護免受國家威脅侵害。訓練
員工保持警戒以阻擋魚叉式網路釣魚攻擊，並遏阻
Microsoft 在入侵初期發現的常見手法，非一蹴可及。
33
GADOLINIUM 威脅行為體在網路攻擊中利用雲端服務和開放原始碼工具 - Securezoo 部落格 Microsoft 數位防禦報告 | 2021 年 10 月 56
本年度國家活動器發動的零時差攻擊，以及 NOBELIUM 在 2020 年末

入侵 SolarWinds 的網路管理軟體，其範圍之廣、技
部佈署基礎設施開發針對特定目標的功能，讓以雲端
優先、只重雲端行動為主著稱的該組織，在 2019 和
俄羅斯
分析
過去一年來，來自俄羅斯的這些活動組織，藉展現其
術之成熟和效果之成功，吸引了全球關注，然而國家 2020 年改變作風。多個伊朗行為體可能也發動了供
適應性、持續性和攻擊受信任技術關係的意志，鞏固
威脅的影響遠不止於這些眼前的事件。例如，俄羅斯應鏈攻擊，包括 2020 年初，一項透過為美國國防和
其精準威脅全球數位生態系統的立場，而匿名及開放
不斷變化的國家網路安全性威脅，提高了對內部佈的 NOBELIUM 和中國的 HAFNIUM，其攻擊行動都情報單位提供支援的 IT 和工程服務公司，間接蒐集
原始碼工具的便利性，更加大對這些組織偵測和究責
署伺服器和大範圍暴露供應鏈漏洞的關注，尤重以內部佈署資源和傾印認證為目標，這使其有機會取政府機關情報的行動。
的困難度。其還對附帶損害表示出極高的耐受力，使
精準攻擊軟體，使這一年成為網路攻擊的分水嶺。得認證，存取並轉向雲端資源。與俄羅斯關係密切
得任何與利益目標有關係的人，都容易受到伺機性目
HAFNIUM 在 2021 年初針對內部佈署 Exchange 伺服的 STRONTIUM 也針對歐洲外交和國防相關單位的內
標攻擊。
活動組
織名稱
其他名稱來源國家/
地區
目標行業
俄羅斯
STRONTIUM APT28、Fancy Bear 俄羅斯政府、外交和國防單位、智庫、非政府組織、高等教育機構、
國防承包商、IT 軟體和服務
NOBELIUM UNC2452 俄羅斯政府、外交和國防單位、IT 軟體和服務、電信業、智庫、

非政府組織、國防承包商
BROMINE Energetic Bear 俄羅斯政府、能源業、民航業、國防工業基地

濫用供應鏈和其他受信任技術關係比較在發現 SolarWinds 遭入侵後，最初幾個月找到 STRONTIUM 在 2020 年夏季和秋季，佈署了一項自依行業/垂直排列的 NOBELIUM 攻擊

俄羅斯的 NOBELIUM 以入侵 SolarWinds Orion 的軟的 NOBELIUM 受害者分佈圖，和截至 2021 年 6 月動密碼噴濺攻擊/暴力密碼破解攻擊工具，透過超過 (2020 年 12 月到 2021 年 1 月)
體更新，證明了軟體供應鏈攻擊有多陰險，破壞性有的 NOBELIUM 活動攻擊目標圖，凸顯此威脅組織用一千個匿名 Tor IP 來執行 38，規模大到難以偵測和究
多大。雖然該組織的後續入侵約只有 100 個組織，但以獲取目標系統存取權的戰術變化和多媒介方法。第責。在美國總統大選前後，此工具曾佈署多次用以攻
其險惡的後門惡意軟體已推送到全球約 18,000 個組一個圖表描述遭到高接觸威脅行為體攻擊的受害者，擊 40 多個位於美國和英國的政治組織和倡議團體。
織單位，讓這些受影響的客戶容易受到進一步攻擊。有時會利用供應鏈後門存取。第二個圖表反映該行
為體在 2021 年上半年對目標組織發動了大規模魚達到更高入侵率及鎖定更多政府組織
NOBELIUM 運用多種技術，從密碼噴濺和網路釣魚，叉式網路釣魚和密碼噴濺攻擊活動。我們可以看到，過去一年來，俄羅斯的組織提高了入侵成功率，並鎖
到入侵協力廠商提供者以利未來攻擊，不僅限於惡意 NOBELIUM 堅持鎖定政府、非政府組織、IT 服務和專定更多政府目標，這種趨勢匯流可能預示著來年會出
後門。該行為體以雲端解決方案提供者 (CSP) 為目標，業服務業 (列為第二個圖表中的「其他」)，但入侵嘗現更多影響重大的入侵。比較歷年的 NSN 資料會發
利用後門竊取 Mimecast 私密金鑰。NOBELIUM 接著試的數量會隨著戰術變化而波動。現，入侵成功率明顯增加，從 2019 年 7 月到 2020
偽裝成這些 CSP 和合法的 Mimecast 應用程式，藉以年 6 月的 21% 到自 2020 年 7 月以來的 32%。俄羅
鎖定下游客戶。在 5 月，該組織利用熱門電子郵件
34
使用一系列技術來規避偵測和究責斯鎖定的政府組織比例也從上一期約 3% 暴增到自
行銷服務入侵了一個美國政府機構的帳戶，在服務的俄羅斯行為體展現出各種程度的適應性和安全性意 2020 年 7 月以來的 53%。
依行業/垂直排列的 NOBELIUM 攻擊 (2021 年 1 月 - 6 月)
合法 URL 後面暗藏惡意元件，將網路釣魚電子郵件傳識，協助他們避開究責和網路防禦。NOBELIUM 對常俄羅斯的威脅行為體會追著目標到天涯海角，無論在
送給 150 多個外交、國際發展和非營利組織，這些組見的軟體工具、網路安全性系統和雲端技術，以及事雲端還是在內部佈署。去年，STRONTIUM 轉向更多
35
織大多位於美國及歐洲。件回應團隊使用的補救方法都有深入的了解，所以能的內部佈署目標，針對歐洲外交政策和國防相關單位
36
隨行動而變化，維持持續性。回應者監視曾經是另的內部佈署基礎設施開發針對特定目標的功能。讓以
一個俄羅斯威脅組織 YTTRIUM 運用的戰術。 37
雲端優先、只重雲端行動為主著稱的該組織，
NOBELIUM：變動目標圖反映戰術多樣性。
34
https://www.usnews.com/news/technology/articles/2020-12-24/solarwinds-releases-update-to-flagship-software-after-hack ; https://www.msn.com/en-us/news/technology/mimecast-reveals-source-code-theft-in-solarwinds-hack/ar-BB1eInqC 35
https://blogs.microsoft.com/on-the-issues/2021/05/27/nobelium-cyberattack-nativezone-solarwinds/ 36
https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/ 37
https://www.youtube.com/
watch?v=Ldzr0bfGtHc 38 https://www.microsoft.com/security/blog/2020/09/10/strontium-detecting-new-patters-credential-harvesting/ Microsoft 數位防禦報告 | 2021 年 10 月 58
在 2019 到 2020 年間改變作風。 2020 年夏季，STRONTIUM 針對美國、澳洲、加拿接著才是烏克蘭、英國，以及歐洲的 NATO 聯盟及成俄羅斯威脅活動的觀察指出，情報收集是主要動機，
大、以色列、印度和日本等地開發及測試新型冠狀病員國。5 月 14 日，俄羅斯政府正式點名美國和捷克因為我們只看到資料外洩，卻幾乎沒有證據指出所
自 2018 年 8 月以來，政府組織第一次成為 Microsoft 毒 (COVID-19) 疫苗和療法 40
的組織，發動了認證搜為「不友好國家/地區」，而 4 月外洩的暫定清單中曾追蹤的組織曾從事破壞性或毀滅性活動。獲取敵對方
追蹤之俄羅斯威脅行為體最感興趣的目標，智庫排在集攻擊。出現過波蘭、立陶宛、拉脫維亞、愛沙尼亞、英國、政策計畫和意圖的相關資訊，是俄羅斯政府機構的標
其後。雖然威脅行為體 BROMINE 全力攻擊美國的州、加拿大、烏克蘭和澳洲。去年受俄羅斯網路活動影 41
準情報需求，美國政府認為俄羅斯方面應為這些活動
郡、市政府，以及航空和港務當局，但政府機構大多獲取美國與歐洲的情報響最大的三個國家/地區，美國、烏克蘭和英國都曾負責 42。
涉及外交政策和國家安全或國防事務。這段期間最容這段期間，俄羅斯的威脅行為體企圖存取幾乎每個大名列「不友好國家/地區」清單中。Microsoft 去年對
易成為目標行業的第三名是醫療保健業，這是因為在陸上各組織的帳戶，但主要攻擊重點仍是美國的組織，
存取的資訊行動目標
NOBELIUM 從 SolarWinds 事件中學到哪些 • 制裁政策

• 國防/情報政策
獲取政策見解的間諜活動
經驗？ • 俄羅斯政策
• 新型冠狀病毒 (COVID-19) 資訊
1. 美國政府目前仍不確定網路行動的紅色警戒線。
在 3 月，一位英國政府通訊總部前資深顧問警告拜登政府，不要對俄羅斯「精確的」間諜活 • 網路事件回應；威脅搜補技術收集情報以改善反制措施
動做出過於嚴厲的反應，這是美國和歐洲的政策社群就是否及如何回應 SolarWinds 入侵事件， • 對俄羅斯威脅行為體的評估
39
即將展開之辯論所發出的信號。俄羅斯威脅行為體多年來一直利用這種政策模糊性，而且 • 紅隊演練工具
未來數年仍可能繼續這樣做。 • 偵測簽章
• 原始程式碼
2. 民間機構對美國政府的網路防衛至關重要。
Microsoft 和 FireEye 在 SolarWinds 攻擊期間，曾代表公眾對事件回應發聲。未來，NOBELIUM • CSP 帳戶收集情報以支援行動規劃
和其他組織可能會向及早癱瘓重要網路安全性團隊的方向發展，預期如此可拖延發現和補救高 • 軟體憑證
價值目標入侵的時間。 • 原始程式碼
NOBELIUM 行動者根據其所存取的受害者帳戶可能取得的資訊類型，以及可能推動入侵的行動目標範例。
39
拜登政府首席網路官員稱： SolarWinds 入侵事件可能會「立刻」從間諜案變成毀滅性攻擊 (yahoo.com) 40 https://blogs.microsoft.com/on-the-issues/2020/11/13/health-care-cyberattacks-covid-19-paris-peace-forum/ 41 https://tass.com/
politics/1289825； https://www.newsweek.com/russia-puts-us-top-unfriendly-countries-list-1586749 42 https://www.nsa.gov/News-Features/Feature-Stories/Article-View/Article/2573391/russian-foreign-intelligence-service-exploiting-five-publicly-
known-vulnerabili/ ; https://media.defense.gov/2021/Apr/15/2002621240/-1/-1/0/CSA_SVR_TARGETS_US_ALLIES_UOO13234021.PDF/CSA_SVR_TARGETS_US_ALLIES_UOO13234021.PDF； https://home.treasury.gov/news/press-releases/jy0127 Microsoft 數位防禦報告 | 2021 年 10 月 59
中國下圖顯示，根據發送給客戶的 NSN，中國威脅組織 HAFNIUM 據評估為由國家資助、在中國境外行動的料外洩到 MEGA 等檔案共用網站。在與這些漏洞無關

於 2020 年 7 月到 2021 年 6 月間的活動狀況。這些組織，根據觀察到的受害者研究、戰術和程序，主要的活動中，Microsoft 觀察到 HAFNIUM 會與受害的
過去一年來，Microsoft 觀察到，中國的國家威脅行
圖表僅顯示觀察到的部分威脅行為體活動。鎖定美國多種行業的組織單位，包括感染性疾病研 Office 365 租用戶互動。雖然他們常常未能成功入侵
為體鎖定美國政治形勢以分析政策變化，並鎖定制定
究人員、律師事務所、高等教育機構、國防承包商、客戶帳戶，但此類偵察活動有利於敵人找出更多有關
歐洲和拉丁美洲國家/地區外交政策的政府機構以收
HAFNIUM 和 Exchange 漏洞政策智庫和非政府組織。HAFNIUM 之前透過攻擊網其目標環境的詳細資料。HAFNIUM 主要透過租賃的
集情報。為完成其任務，多個中國威脅行為體攻擊了
在 2021 年 3 月初，Microsoft 部落格第一次發文際網路對應伺服器中的漏洞來入侵受害者，並利用美國虛擬私人伺服器行動。
不同服務和網路元件之前不為所知的一系列漏洞。
指出，偵測到多起攻擊 Microsoft Exchange Server Covenant 等合法的開放原始碼架構執行命令和控制。
內部佈署版本的零時差攻擊和 HAFNIUM 有關。 43
獲得受害者網路的存取權後，HAFNIUM 通常會將資
活動組
織名稱
地區
目標行業
中國
MANGANESE APT5、Keyhole Panda 中國通訊基礎設施、國防工業基地、軟體/技術
ZIRCONIUM APT31 中國政府機構和服務、外事機構、經濟組織
HAFNIUM ––– 中國高等教育機構、國防工業基地、智庫、非政府組織、

律師事務所、醫學研究
NICKEL APT15、Vixen Panda 中國政府機構和服務、外事機構
CHROMIUM ControlX 中國能源業、通訊基礎設施、教育業、政府機構和服務
GADOLINIUM APT40 中國海事、醫療保健業、高等教育機構、地方政府組織
43
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ Microsoft 數位防禦報告 | 2021 年 10 月 60
中國：前五大目標行業中國：鎖定嘗試率與成功入侵率 HAFNIUM：前幾大目標行業/垂直

(2020 年 7 月到 2021 年 6 月) (2020 年 7 月到 2021 年 6 月) (Exchange Server 攻擊增加前)
中國威脅活動最愛以全球的政府機構為目標。在發送的中國的國家威脅行為體有 44% 的時間可成功入侵受害者。然

NSN 中，三個國家 /地區的政府機構目標就佔了一半，另而，因為他們會進一步持續威脅，所以當任務是鎖定某個組
一半則是其他 23 個國家 /地區。織單位收集情報時，他們就會尋找另一個漏洞，以便用來獲
得存取權。
HAFNIUM 利用這些漏洞存取內部佈署 Exchange 伺攻擊分為三個步驟。首先，HAFNIUM 會竊取密碼或

CVE 描述
服器，從而存取電子郵件帳戶，並允許安裝其他惡意利用前述漏洞獲得初始存取權，進而存取 Exchange
軟體，方便長期存取受害者環境。MSTIC 高度確信 Server。其次，在遭到入侵的伺服器上佈署網頁殼層。 CVE-2021-26855 Exchange 的伺服器端偽造要求 (SSRF) 漏洞，允許攻擊者傳送任意 HTTP 要求並驗證
HAFNIUM 應對此活動負責。遭到攻擊的漏洞為 CVE- 網頁殼層可能會允許攻擊者竊取資料，並執行其他以為 Exchange 伺服器。
2021-26855、CVE-2021-26857、CVE-2021-26858 和利進一步入侵的惡意動作。第三，利用通常從美國私
CVE-2021-27065。人伺服器執行的這種遠端存取，從組織網路外洩資料。 CVE-2021-26857 整合通訊服務的不安全還原序列化漏洞。
Microsoft 評估 HAFNIUM 與零時差攻擊的初始活動

CVE-2021-26858 Exchange 的驗證後任意檔案寫入漏洞。
有關，而在漏洞公告後，有多個國家行為體和犯罪集
團迅速藉機利用這些漏洞謀取利益。 CVE-2021-27065 Exchange 的驗證後任意檔案寫入漏洞。

在 2021 年 7 月 19 日，美國政府及其盟國與合作夥在 2021 年 4 月，FireEye 發表部落格文章，感謝 MSTIC 全球情報收集行動業者。除了鎖定鄰近國家/地區之外，還持續不斷地

伴對中國政府提出嚴正抗議，並發表聲明指出中國的發現遭到中國國家威脅行為體利用的 Pulse Secure VPN 在 2020 年 9 月 Microsoft 部落格指出有多個國家威收集拉丁美洲國家/地區及歐洲的情報。除了在網路
惡意網路行動對美國及其盟國的經濟和國家安全構成零時差攻擊。Microsoft 認為 MANGANESE 和 NICKEL
46
脅行為體以美國選舉資訊為目標後，ZIRCONIUM 並行動中入侵 VPN 裝置外，NICKEL 的活動也鎖定整個
44 48
重大威脅。儘管技術細節不足，但相同的聲明中高與此活動有關。美國國土安全部網路安全暨基礎設施未停止其情蒐行動。隨著美國總統大選投票日臨中南美洲國家/地區及一些歐洲國家/地區政府的外交
度確信需究責的 HAFNIUM 為隸屬與中國民間情報機安全局 (CISA) 就同一零時差活動發出警示，指出此活近，ZIRCONIUM 繼續使用包含網路錯誤的電子郵部門。隨著中國持續在此地區及一帶一路倡議合作夥
構國家安全部的網路行為體。這些行為體在一場大規動可能從 2020 年 6 月開始即影響美國政府機構、重要件，鎖定可以存取美國政策潛在變化消息的個人。在伴國家/地區發揮影響力，我們估計，中國的威脅行
模的網路間諜活動中，入侵了全球數萬部電腦和網路，基礎設施單位和其他民間組織。CISA 指出，該威脅 47
2021 年 7 月 19 日，英國國家網路安全中心 (National 為體會繼續鎖定這些組織單位，以了解更多投資、協
受到衝擊的受害者多為民間機構。行為體在攻擊成功後，利用其存取權將網頁殼層放在 Cyber Security Centre) 發佈一則聲明，指出中國民間商和影響。
Pulse Connect Secure 設備上，取得可長期利用的進一情報機構國家安全部應為 APT31 負責 (Microsoft 粗
更多零時差攻擊及其他漏洞攻擊步存取權。略追蹤是由 ZIRCONIUM 發動)49。
在 7 月，SolarWinds 發佈 CVE-2021-35211 資訊安
全諮詢，將此歸功於 Microsoft 通知 45。Microsoft 偵除 MANGANESE 外，MSTIC 還觀察到 ZIRCONIUM 中國的國家網路行動並未忽略鄰國。自 2020 年 7 月
測到有人利用零時差遠端程式碼執行漏洞，攻擊美國和另外兩個攻擊全球小型辦公室或家庭辦公室路由器以來，CHROMIUM 負責的活動鎖定了印度、馬來西亞、
國防工業基地單位和軟體公司的 SolarWinds Serv-U 的威脅行為體。這些威脅行為體可能會入侵路由器，蒙古、巴基斯坦和泰國的組織單位，以及與香港和台
FTP 軟體。根據觀察到的受害者研究、戰術和程序，作為其電腦網路行動的基礎設施。這些遭到入侵的路灣有關的敏感性社會、經濟與政治議題。Microsoft
判斷在中國境外活動的某個組織應為此活動負責。由器可能和他們意圖鎖定的目標位在同一地理區域，認為，CHROMIUM 的活動目標主要是香港和台灣的
因而混淆了對相關活動的審查。各所大學，其次是其他國家/地區的政府機構和電信
44
https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/19/the-united-states-joined-by-allies-and-partners-attributes-malicious-cyber-activity-and-irresponsible-state-behavior-to-the-peoples-republic-
of-china/ ; https://www.ncsc.gov.uk/news/uk-allies-hold-chinese-state-responsible-for-pervasive-pattern-of-hacking 45 SolarWinds 信任中心資訊安全諮詢 | CVE-2021-35211 46 https://www.fireeye.com/blog/threat-
research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html 47 https://us-cert.cisa.gov/ncas/alerts/aa21-110a 48 https://blogs.microsoft.com/on-the-issues/2020/09/10/cyberattacks-us-
elections-trump-biden/ 49 https://www.ncsc.gov.uk/news/uk-allies-hold-chinese-state-responsible-for-pervasive-pattern-of-hacking Microsoft 數位防禦報告 | 2021 年 10 月 62
伊朗在邊境衝突擴大的氛圍中，以新的攻擊工具瞄準自 11 月以來，Microsoft 偵測到有越來越多的伊朗組對美國抱持等待觀望的態度可能有兩個目的

以色列織將更多重心放在攻擊以色列組織單位，並因此發動儘管德黑蘭對美國的態度，相對於區域內的敵對方而
在美國選舉後，伊朗持續對區域內的敵對方施以一連
隨著伊朗和以色列間的祕密戰爭升級，伊朗的網路攻了一連串的勒索軟體攻擊。我們所追蹤到的一個伊朗言較不激進，但美國的組織單位仍然是伊朗威脅行為
串的破壞性網路攻擊，但對美國則抱持「等待觀望」
擊行為體也加強注意以色列，並送上伊朗選擇的最新政府相關威脅行為體是 RUBIDIUM，可能在 2020 年體的最大目標，幾乎佔了我們向雲端服務客戶發送的
的態度，希望能解除核協議制裁。
工具—勒索軟體。伊朗另還對至少一名波斯灣敵對國末和 2021 年初分別發動了 Pay2Key 和 N3tw0rm 勒近一半 NSN。伊朗對美國目標的網路行動，採取了
家發動勒索軟體攻擊 50。雖然目前仍不清楚伊朗的行索軟體活動，這兩個活動的目標幾乎只有以色列。這雙管齊下的方法：獲取可能洞察美國政策觀點的戰略
為體是否使用勒索軟體獲取金錢，但至少在一個案例兩個 RUBIDIUM 勒索軟體活動有一個共同點，那就是情報，以及規劃並取得網路立足點，以防萬一美國不
中，他們利用勒索軟體掩護破壞性攻擊，將 Wiper 惡都以從事海運的以色列物流公司為目標。這些目標顯完全解除制裁，德黑蘭得以應對突發事件。
51 52
意軟體佈署在某家公司的網路上，同時要求贖金。示與報復以色列施壓德黑蘭邊境糾紛有關。
活動組
織名稱
地區
目標行業
伊朗
PHOSPHORUS Charming Kitten 伊朗外交與核政策團體、學術人員以及新聞記者
CURIUM Houseblend、伊朗美國軍事和國防承包商、IT 服務以及中東政府

Tortshell Shell
RUBIDIUM Fox Kitten、Parasite 伊朗以色列物流公司、IT 服務和國防部門
50
https://labs.sentinelone.com/from-wiper-to-ransomware-the-evolution-of-agrius； https://unit42.paloaltonetworks.com/thanos-ransomware/ 51 https://labs.sentinelone.com/from-wiper-to-ransomware-the-evolution-of-agrius； https://www.
clearskysec.com/wp-content/uploads/2020/12/Pay2Kitten.pdf； https://www.flashpoint-intel.com/blog/second-iranian-ransomware-operation-project-signal-emerges/ 52 https://www.aljazeera.com/news/2021/4/25/top-iranian-commander-hints-at-
future-response-to-isreal； https://www.timesofisrael.com/eye-for-an-eye-iran-editorial-urges-retaliatory-attack-on-dimona-reactor/； https://www.al-monitor.com/originals/2021/04/iranian-military-leader-threatens-israel-following-missile-strike-syria Microsoft 數位防禦報告 | 2021 年 10 月 63
在 2020 年末，PHOSPHORUS 開始鎖定 2015 年聯合先前在 2020 年，PHOSPHORUS 就曾偽裝成重大國際伊朗：最容易成為目標的國家/地區
全面行動計畫 (Joint Comprehensive Plan of Action，會議的會議召集人 (詳情請見此部落格) 。Microsoft 54 (2020 年 7 月到 2021 年 6 月)
即伊朗核協議) 締約國的核政策專家，極可能是為偵測到 PHOSPHORUS 向 100 多名預期出席的政策專
取得情報，以在拜登總統大選後的預期協議談判中家寄送了內附認證搜集網站連結的冒名電子郵件邀請
占據談判優勢。PHOSPHORUS 發動認證網路釣魚函，有數位遭到入侵。該組織的認證網路釣魚活動可
活動攻擊，偽裝成外國核政策專家成員，傳送核主能試圖取得情報，以提高自己在國際互動中的地位。
題文章的連結，將受害者導向認證搜集網站。他們自 2021 年 4 月以來，我們追蹤的伊朗行為體也鎖定
鎖定的醫學研究組織資深人員不到 25 名 (詳情請見了一些不太可能是德黑蘭情報目標的美國農業和媒體
Proofpoint) ，但我們偵測到的 100 多個目標中，絕
53
公司 55。這些相同的行動者對其他公司使用了勒索軟
大多數都是美國、英國、法國及俄羅斯的核政策或解體，暗示他們想要取得一個立足點，以備核協議未達
決衝突專家 (與網路釣魚電子郵件主題一致)。4 月在德黑蘭期望時，得有應急方案。
維也納召開核談判時，PHOSPHORUS 即調整目標鎖
定此團體，也鎖定參與的外交人員。在某些案例中，我們偵測到以美國組織單位為目標的
伊朗攻擊，主要是為了收集情報和/或進行應急規劃。
今年年初，CURIUM 發動了一場魚叉式網路釣魚活動攻
擊，目標是為美國國防和情報機關提供 IT 和工程服務
的公司，這可能是供應鏈行動中存取客戶資訊的部分。
53
https://www.proofpoint.com/us/blog/threat-insight/badblood-ta453-targets-us-and-israeli-medical-research-personnel-credential 54 https://blogs.microsoft.com/on-the-issues/2020/10/28/cyberattacks-phosphorus-t20-munich-
security-conference/ 55 以 MSTIC 情報為基礎侵。 Microsoft 數位防禦報告 | 2021 年 10 月 64
PHOSPHORUS 利用魚叉式網路釣魚入侵的一般流程
業界和美國政府無人不
知會議、大型集會和商
展是情報收集活動的溫
床，國內的競爭情報和
外國對手的消息，無所
不包。翻撿垃圾、記錄
演說、試圖竊取產品及
誘導員工出賣敏感性資
訊，都是個人收集情報
的手段。雖然這些活動
許多都因疫情限制而停
辦，但大型集會已逐漸
恢復舉辦。

北韓滿足情報需求的大胃口被鎖定的目標大多位在三個國家/地區：南韓、美國對收集情報的強烈興趣，可能是因為有些關鍵問題迫

Microsoft 發現，北韓鎖定的目標絕大多數是消費和日本。但北韓的行為體也鎖定歐洲，甚至中國及俄切需要解答：國際社會還要繼續對北韓實施嚴厲制裁
與其他主要攻擊國家相比，相對於國家/地區的面積
者帳戶。一般而言，這些目標之所以被選中，可能羅斯的學術人員和智庫官員，而這些一般咸認是親北嗎？新型冠狀病毒 (COVID-19) 如何改變國際動態？
和資源而言，北韓威脅行為體去年的表現極為活躍。
是因為它們有可能幫助北韓取得未公開提供的外交韓的國家/地區。美國新政府的北韓政策為何？美日 (南) 韓三方夥伴關
例如，在 2020 年最後的三個月中，Microsoft 發送
或地緣政治情報。Microsoft 觀察發現，北韓組織係將如何攜手繼續此政策？
的 NSN 逾半數是針對北韓的國家行為體，雖然在
THALLIUM 和 ZINC 持續建立許多目標，但卻和其他對外交或地緣政治情報的重視，可能是因為在波詭雲
Microsoft 追蹤的四個最多產國家行為體中，北韓是
組織聯手，例如 OSMIUM 和 CERIUM。這些組織一譎的國際局勢中，平壤也得了資訊焦慮症。在美國選
最小的。
起瞄準世界各地的外交官員、學術人員和智庫成員。舉期間和之後，鎖定外交目標的情況尤其嚴重。北韓
活動組
織名稱
地區
目標行業
北韓
ZINC Lazarus、北韓公用事業、私人公司、智庫、安全性研究人員
Labyrinth Chzarima
THALLIUM Kimsuky、北韓智庫、外交官員、學術人員

Velvet Chollima
CERIUM Kimsuky 北韓智庫、外交官員、學術人員、國防和航太部門
OSMIUM Konni 北韓外交官員、智庫

全球疫情創造了新的網路攻擊類型全球唯一已知的國家比特幣竊賊以安全性研究人員為目標的複雜社交工程活動

新型冠狀病毒 (COVID-19) 去年也讓北韓轉向另一個在眾多國家行為體中，北韓去年持續鎖定金融公司，最後，北韓也以前所未見的方式使用社交工程。
鎖定重點，那就是製藥公司。如 Microsoft 在 2020 意圖竊取加密貨幣和智慧財產。北韓因制裁而呈現緊 MSTIC 和 Google 在 1 月合作的報告中指出 57，ZINC
年 11 月的報告中指出 56，ZINC 和 CERIUM 鎖定數個張狀態的經濟，在新型冠狀病毒 (COVID-19) 爆發，利用相當複雜的社交工程活動鎖定安全性研究人員。
國家/地區的製藥公司和疫苗研究人員，可能是想加關閉邊界貿易後，面臨更加沉重的壓力。網路行竊提這項活動包括耗費數月建立魚目混珠的安全性公司和
速自己的疫苗研究，或獲得世界各地研究狀況的情報。供了一個彌補財政困境的機會。Microsoft 追蹤到有研究人員設定檔，還有支援這些角色的網站和社交媒
個組織 (尚未命名)，通常鎖定加密貨幣或區塊鏈研究體平台。這種目標鎖定方式除發起立即攻擊外，還追
公司，對其發起魚叉式網路釣魚活動攻擊，同時又冒求長期效果。這也顯示出北韓對西方安全性態勢有充
充加密貨幣或區塊鏈新創公司。分了解，足以融入其中。
北韓：前 5 大目標行業和領域北韓：嘗試失敗率與入侵成功率

(2020 年 7 月到 2021 年 6 月) (2020 年 7 月到 2021 年 6 月)
許多消費者帳戶可能是學術人員、智庫成員和政
THALLIUM 等組織發起的無止盡魚叉式網路
府官員的個人帳戶。
釣魚嘗試通常不會成功，但因其無處不在，
只要偶爾成功一次，就一本萬利。
56
https://blogs.microsoft.com/on-the-issues/2020/11/13/health-care-cyberattacks-covid-19-paris-peace-forum/ 57 https://www.microsoft.com/security/blog/2021/01/28/zinc-attacks-against-security-researchers/ Microsoft 數位防禦報告 | 2021 年 10 月 67
越南 MSTIC 在 2020 年 11 月的報告中指出 58，BISMUTH 仔細計畫的攻擊，會先發動偵察，再建立針對個人獨家設計

的魚叉式網路釣魚電子郵件。有時候，BISMUTH 的行為體 (類似 PHOSPHORUS 的行動者)，會先和目標建立友好
越南的威脅組織 BISMUTH 使用加密貨幣挖礦軟體鎖定法國及越南的民間和政府機構。因為加密貨幣挖礦軟體往
關係，再傳送包含惡意附件的電子郵件。入侵網路之後，BISMUTH 就會積極實現持續監視。其目標包括人權和民
往被安全性系統視為優先順序較低的威脅，所以 BISMUTH 能夠利用其惡意軟體引發的較小警示設定檔，溜入系
權組織。
統而不引起注意。
活動組
織名稱
地區
目標行業
越南
BISMUTH APT32 OceanLotus 越南人權和民間組織
土耳其
SILICON 為土耳其的戰略利益收集許多國家/地區的情報，主要是中東和巴爾幹半島國家/地區。他們的偵察顯示，
該組織最關注符合土耳其戰略利益的國家/地區，包括亞美尼亞、賽普勒斯、希臘、伊拉克和敘利亞。他們定期鎖
定電信和 IT 公司，可能想在預期目標上游建立立足點，並經常透過掃描基礎結構尋找遠端程式碼漏洞來獲取存取權。
活動組
織名稱
地區
目標行業
土耳其
SILICON Sea Turtle、UNC1326 土耳其中東和巴爾幹半島的電信公司
58
https://www.microsoft.com/security/blog/2020/11/30/threat-actor-leverages-coin-miner-techniques-to-stay-under-the-radar-heres-how-to-spot-them/ Microsoft 數位防禦報告 | 2021 年 10 月 68
民間攻擊行為體 PSOA (Microsoft 稱為 SOURGUM 而公民實驗室識別

為 Candiru) 使用惡意軟體 60。SOURGUM 建立了惡意必備的全方位因此，對付國家級敵人的深度防禦策略，應包括教育
員工如何避免成為目標。對公司內的所有資源應用零
一種稱為民間攻擊行為體 (PSOA) 的行業正不斷茁壯

軟體和零時差攻擊 (已於 CVE-2021-31979
2021-33771 62
中修正)，隨駭客即服務套件一起賣給
61
和 CVE-
保護信任原則，以協助更有效地適應現代環境的複雜性、
採用行動工作力，以及保護人員、裝置、應用程式和
成長，這些公司會建立和銷售惡意的網路技術，讓
政府機構和其他惡意行為體。此惡意軟體鎖定了全國家行為體已證明，他們會長期抗戰以達成收集資訊資料，無論所在何處或所面臨的威脅規模為何。
客戶能入侵他人的電腦、電話和網際網路連線裝置。
球各地 100 多名受害者，包括政治人物、人權維護或情報的使命。惡意國家行為體的技能和持續性提高
這些私人公司可能不是國家行為體，但其商業模式
者、新聞記者、學術人員、使領館工作人員和持不同了偵測和抵禦先進威脅的難度。其影響範圍很廣，且雖然國家攻擊通常很複雜，或者會佈署零時差漏洞以
卻為組織、公司和個人消費者帶來危險且迅速壯大
政見者。為限制這些攻擊，Microsoft 建立了對抗這破壞性很高。這些敵人的資金充裕，運用的技術廣泛存取網路，但深度防禦策略和主動監視可大幅縮短這
的挑戰。這些工具也威脅到許多全球人權努力的成
種獨特惡意軟體 (我們稱為 DevilsTongue) 的保護機而複雜，而且受到為國奉獻的高尚目的感召，這可能類行為體在網路中的停留時間，從而有可能在他們達
果，因為觀察結果顯示，這些工具鎖定並監視了持
制，並建置在我們的產品中 63。在調查 SOURGUM 的導致他們為了令人意想不到的目的而入侵網路。國家到目標前就瓦解其活動。除了具備 MFA 等基本概念
不同政見者、人權鬥士、新聞記者、公民社會擁護
客戶如何將 DevilsTongue 傳送到受害者電腦的過程攻擊者比其他敵人更喜歡針對個人，特別熱衷於存取之外，IT 部門還應優先安排步驟以減少攻擊者的橫向
者和其他一般平民。
中，我們發現他們是透過一連串可影響熱門瀏覽器和其連線、通訊和資訊。總結行動時，他們會評估表現移動，具體而言，就是認證檢疫和網路區隔。為限制
Windows 作業系統的漏洞，入侵受害者電腦。我們優劣，然後精進戰術和技術，以期在未來的任務中有資料外洩的損害，檔案可以實施資訊版權管理。建立

在 2020 年 12 月，Microsoft 為保護客戶免受這種技
發佈了此惡意軟體和零時差攻擊的詳細資料，讓全世更高的成功率。跨受控識別、裝置、應用程式、資料、基礎結構和網
術的威脅，與 Cisco、GitHub、Google、LinkedIn、
界都能更清楚 SOURGUM 的活動，以處理並減輕威路的保護性控制，將可抬高攻擊者的攻擊難度，提高
VMware 和 Internet Association 聯合提交了一份法庭
脅。當他人使用私人公司的網路監視工具違法犯紀，貴組織偵測環境異常活動的能力。
之友意見書，支持 WhatsApp 向以色列 NSO Group
或私人公司蓄意允許他人違法利用其工具時，無論其
Technologies (NSO Group) 提起訴訟 59。此意見書支
客戶是何身分或目的為何，私人公司都應該承擔責任。
持法院駁回 NSO Group 不應為政府使用其監控和間
Microsoft 會繼續識別、追蹤及保護我們的客戶和全
諜產品負責的主張。Microsoft 也與多倫多大學孟克
球數位生態系統，避免遭受 PSOA 技術的無差別攻擊，
學院的公民實驗室 (Citizen Lab) 合作，停止以色列的
並尋求其他方法來瓦解這種對客戶不斷加劇的威脅。
59
法庭之友意見書 12.20.2020 (microsoft.com) 60 連結 Candiru：又發現一個唯利是圖的間諜軟體廠商 - 公民實驗室 (Citizen Lab) 61 CVE-2021-31979 - 安全性更新指南 - Microsoft - Windows 核心權限提高弱點 62
CVE-2021-33771 -
安全性更新指南 - Microsoft - Windows 核心權限提高弱點 63
打擊私人公司製造的網路武器 - Microsoft On the Issues Microsoft 數位防禦報告 | 2021 年 10 月 69
第4章
供應鏈、IOT 及 OT 安全性
簡介
管理與供應商生態系統相關風險的挑戰
Microsoft 對供應鏈的看法
oT 和 OT 威脅環境
高度安全裝置的 7 項特質
將零信任方法應用於 IoT 解決方案
處於網路安全性與永續性交會點的 IOT
IoT 安全性政策考量
簡介管理供應商生態系統風險 Microsoft 對供應鏈的看法 IoT 和 OT 威脅環境安全裝置的 7 項特質將零信任應用於 IoT IoT 與永續性 IoT 政策
簡介：在規模日益增加的攻擊環境中推動創新的機會
副總裁暨雲端和 AI 安全性部門技術長 MICHAL BRAVERMAN-BLUMENSTYK
在過去一年，我們發現大量導致許多組織實體和數位作業中斷的事件。這些事件有時是以實體領域為目標
(例如生產線和能源變電所的中斷)，有時則完全在數位領域中進行 (例如透過勒索軟體活動)。
探討已遭惡意探索的受攻擊面會提供額外的觀點：從舊為惡意探索的目標，這點已從最近越來越明顯且具影響
OT 安全性在家中和工作場所採
版營運技術 (OT) 設備到全新的物聯網 (IoT) 裝置；從看力的 SolarWinds 和 Kaseya 攻擊獲得證明。隨著威脅和
似普通的雲端移轉專案到與 5G IoT 相關的工作；以及攻擊持續加劇，供應鏈複雜性會增加防禦成本，而暴露
OT 裝置 (例如工業控制、醫院監控或水資源管理系統)
用 IOT 及加速推動遠
是許多社會數十年來一直依賴的公共基礎設施。許多裝
從實體供應鏈到數位供應鏈。所有這些都在豐富受攻擊風險可能會為敵人帶來極大的獲利。
置在採用和利用現代安全性標準方面落後。最近對水資端服務，提高了風險
面方面扮演著越來越重要的角色。這些都是我們將在本
章中探討的主題。 IoT 安全性
源、運輸及能源公用事業的攻擊，即證明這些領域的中
實現的可能性。
斷會造成深遠且廣泛的影響
IoT 安全性是一個呈幾何發展的前沿，具有推動創新
供應鏈完整性的機會及規模日益增加的攻擊環境。自新型冠狀病毒本章包含有關組織如何了解及改進其 IoT、OT 和供應
實體和數位供應鏈都明確仰賴信任，而敵人已注意到這 (COVID-19) 疫情爆發以來，在家中和工作場所採用 IoT 鏈安全性態勢的討論。我們將在這些討論中，分享有
點。過去十年來，成功的組織一直都能透過建立廣泛且及加速推動遠端服務，提高了風險實現的可能性。隨著關 IoT 和 OT 威脅環境的資料驅動觀點、適用於 IoT 的
通常複雜的生態系統，滿足規模、效率和速度的需求， 5G 和創新 IoT 應用程式等技術越來越普遍，此趨勢將 Azure Defender 團隊研究結果、全球網路聯盟 (Global
為關係人創造價值。現今的安全性敵人會將這些系統視持續下去。 Cyber Alliance) 等全球計畫及其他內容。

管理與供應商生態系統相關風險的
挑戰
隨著應用程式、基礎結構、裝置和人力資本擴大外包，用於監視多層供應商品質、安全性、完整性和復原力風險我們聽到了什麼
的工具採用也不斷擴大，而且組織現今利用的大量架構和方法也同時持續增加。當架構在組織和供應商間應用不
一致，或有多個架構實際在運作時，就會出現更多複雜性。最近，Microsoft M365 安全性、合規性和管理團隊主辦了一場活動，討論高階主管 (資安長、資訊長、
副總裁 /IT 和治理主管等) 及其組織在更了解更多其安全性和風險管理體驗方面的挑戰和策略性需求。以
在風險評估和管理方面，孤島可能會造成其他問題。不同的團隊有不同的優先考量，進而可能導致完全不同的風下為部分要點：
險偏好、優先順序、做法和文化。這種不一致的情況可能會降低效率，並造成重複工作、風險分析差距，以及無
法有效地在組織中分享風險資訊。 1. 供應商的選擇和管理受到許多因素影響，進而導致缺乏了解和低度信任，因為許多人難以掌握自己的
環境。
我們需要一套一貫且自動化的整合式方法，但目前的孤立的環境會對風險評估和管理帶來挑戰組織必須在自我保護免受人類責任、混合式工作固有的問題、影子 IT (未知或未受管理的應用程式、服務，
流程並不適合演變：以及在標準政策之外開發和管理的基礎結構)、其數位資產的多元化，以及不斷演變的威脅和漏洞之間取
得平衡。在選擇廠商/供應商時，通常都涉及好幾方，而使得情況更顯複雜。安全性只是考量因素之一，
• 供應商的評估和審查流程通常只包含問卷調查。
而且通常不是首要之務，儘管這是需要立即關切的領域。組織最後都有一長串必須管理的供應商 (其中
• 一旦供應商上線，就只有時間點年度審查週期。
一些未知)，且對其安全性做法和態勢常常所知有限。除此之外，在供應商合約的限度內工作，往往會限
• 通常，同一家公司內的不同團隊有不同的流程和制評估。因此，很難對供應商有預期的了解與信任。
職能，且沒有明確的方法可在團隊間互通資訊。
這會使其難以建立整體且自動化的組織風險檢視。 2. 主動管理供應商生態系統雖然理想，卻很困難。指定的關鍵供應商因其造成的潛在風險而需要關注。
組織經常被迫以分離的方法進行供應商風險管理 - 盡可能主動，卻往往更加被動。反應式做法是因資源
和專案規模有限且未考慮安全性所造成。為了確保盡可能受到全面保護，組織會嚴格管控關鍵供應商 (對
組織任務至關重要的供應商)，並給予更少的彈性並加強監督。

3. 領導者在供應商安全性投入更多資源，但近來的入侵情況顯示，傳統模型已無法保證安全。
Microsoft 對供安全供應鏈的九大重點領域
應鏈的看法
以下概述一個可有效率地評估您供應鏈生態系統的架
在 SolarWinds 和 Colonial Pipeline 遭到入侵之後，IT 團隊對於湧進的預算和資源心懷感念。那份感激構，並提供如何進行保護的考量。我們將投資分組為
附帶了相應的恐慌感。這些入侵事件顯示，他們實施的策略可能無法保護他們免受類似的攻擊，而且必九個安全供應鏈工作流，以井然有序地評估和降低每
端對端供應鏈和供應商生態系統複雜難懂，從開發到
須在各供應商層進行持續評估和力求補救。個領域的暴露風險。
建置、晶片到韌體、驅動程式、作業系統、協力廠商
4. 更高的可見度及獨特的解決方案是管理供應商的主要要求。應用程式、製造/工廠，一直延伸到安全更新。政府 1. 硬體和軟體的第一方工程系統

在數位資產的身分識別、應用程式、基礎結構和裝置四大支柱中，供應商的人員是最主要的考量。針對和關鍵基礎設施提供者正在為供應鏈安全性和持續性大型軟體開發公司並非唯一進行工程設計的公司。即
此一風險階層，組織正尋求能提供下列服務的供應商：尋求全新等級的保證。可重複的程序會隨著組織持續使是進行少量開發投資的小型 IT 商店，以及建立在
創新而持續擴展的這件事十分重要。嚴謹的供應鏈安現有基礎結構之上的組織，也有撰寫程式碼的團隊。
• 進一步洞悉安全性以及最終可以存取組織資料的對象。
全性不僅為組織工作方式奠定基礎，也是與組織產品
• 展示其對產業和公司特定需求具備可行知識的自訂解決方案。
和服務互動的合作夥伴和客戶所期望的。
安全端對端供應鏈的九大投資領域
供應商生態系統風險的零信任安全性模型
針對供應商風險管理，首要的優先考量是擁有自訂解決方案，以及進一步洞悉誰最終可以跨領域存取組織資料。
雖然有許多地方可以展開您的零信任之旅，但從供應商生態系統和風險管理觀點來看，首要之務應該是建立多重
要素驗證 (MFA)。
如需零信任策略的詳細資訊，請參閱本報告的混合式工作團隊的安全性一章。

為了製作安全軟體或硬體，組織必須確保第一方工建置：如果沒有適當的保護，建置管線會導致 3. 實體安全性利用機器學習持續監視供應商的安全性

程系統受到保護，以防範攻擊者可能利用的各種威高度有效且難以追蹤的產品入侵風險。雖然原組織必須定義、實施和管理適當的安全性控制，以確 Microsoft 利用機器學習 (ML) 來掃描有效的供應商合
脅媒介。始檔控制通常會有某種形式的變更管理，但在保安全性約。此模型經過訓練，以辨識經常協商的安全性條款，
建置系統中若沒有適當的控制，很難識別建置並判斷條款是否滿足原始需求的意圖。利用此連續掃
開發人員環境：開發人員環境包含開發人員用流程中可能已經插入了哪些項目。 4. 製造安全性描的輸出，即可為在我們環境中營運的協力廠商提供
來撰寫程式碼的工具和平台，例如作業系統、為了能夠偵測網路攻擊、提供保護並從中復原，必須建議，並確保能夠清楚定義他們的期望和權責劃分。
程式碼編輯器、研究工具 (例如瀏覽器和相關網發行：安全軟體供應鏈的最終目標為確保您的定義和實施製造標準。組織也必須確保安全地處理和
站)、本機建置工具，以及其他一般程式碼撰寫發行符合預期。列舉輸入並驗證最終產品需要儲存樣品或原型，並施行適當的監控，以追蹤及維護使用 ML 持續監視安全性
工具。主要目標是開發人員身分識別，因此必全面了解複雜的系統，是確保組織了解發行內所有專利項目或成品的監管鏈。
須準備好解決方案以降低此風險。容不可或缺的最終步驟。
5. 物流安全性
原始程式碼：當開發人員從各種來源 (包括內部 2. 韌體和驅動程式安全性為了防止產品在運輸和儲存設備中遭篡改、遺失或
來源、開放原始碼軟體 (OSS) 或其他組織) 擷取韌體和驅動程式是大多數硬體裝置的基礎。如果遭到遭竊，必須保護物流功能。硬體和裝置團隊應該與
原始程式碼和二進位檔案時，惡意軟體的風險駭客攻擊並嵌入惡意軟體，則會對硬體裝置和依賴該供應商建立適當的操作控制和架構，以確保接收、
可能就會出現。每個來源都需要有確保且已知裝置的組織構成巨大的風險，進而可能導致未經授權運輸、儲存設備及其他物流管理節點都能安全且符
有適當安全供應鏈檢查的信任層級。在 OSS 即的存取，使裝置無法操作或甚至無法開機。組織需要合公司標準。
惡意軟體的大多數回報案例中，惡意軟體旨在確保安裝在伺服器或終端使用者設備上的所有韌體和
竊取開發人員認證及建立環境變數，以將這些驅動程式都符合所需的安全性需求，並擁有必要的文 6. 供應商安全性
認證洩漏給遠端攻擊者控制的伺服器。件來證明其合規性。當組織與供應商互動時，必須確保在整個合作過程中，

供應商能夠遵守定義完善的供應商安全性和隱私權保
證需求。
了解更多：
轉換 Microsoft 與其 58,000 家供應商的聯繫方式 –

Inside Track 部落格 (英文 )

7. 安全性驗證和保證這些動作涵蓋了常見的案例，但也能進行調整以處理美國行政命令和供應鏈安全性及漏洞揭露和管理計畫的最佳做法，並致力於定義

68
由於敵人天性主動，因此必須持續評估端對端供應鏈新的或難以想像的案例。整個產業的做法和共識標準，包括透過 SAFECode 、
2021 年 5 月 12 日頒布了「改善國家網路安全性」(EO 69 70
的安全性態勢，以確定安全性投資並排定優先順序。 ISO 和 NIST。 Microsoft 也與 GitHub 一同致力於
14028) 行政命令 (EO)，其中概述了美國聯邦機構及
結合內部稽核、從最近事件汲取的教訓以及滲透測試，了解更多：開發最佳做法和規格來定義 SBOM 的使用案例並支
其技術提供者在鞏固 IT 現代化、改善事件回應和增
即可保證有適當的控制來偵測、預防和/或減輕這些援其交付，以識別軟體的組成元件，並允許軟體提供
韌體安全性 - Azure 安全性 | Microsoft Docs 強軟體供應鏈安全性方面的重要新步驟。第 4 節著
66
攻擊。這些互動的調查結果有助於確定下一組需要解者將資訊與元件建立關聯。為了能夠檢查漏洞和完整
(機器翻譯 ) (2021/6/24) 重於軟體供應鏈安全性，並列舉要為軟體提供者和軟
決的需求。性，Microsoft 和 GitHub 支援提供 SBOM，而且我們
Microsoft 開放原始碼軟體安全性 (英文 ) 體的聯邦機構使用者開發的需求領域。針對軟體提供
致力於利用 SBOM 做為更廣泛證據存放區的一部分，
者，EO 要求提高抵禦篡改或攻擊的能力，以及提高
8. 信任鏈結治理和復原資料中心安全性概觀 - Microsoft 服務保證 | 以驗證端對端供應鏈完整性。
元件的透明度，包括透過安全軟體開發做法和環境、
客戶信任供應商組織會在他們使用產品和服務時提供 Microsoft Docs (2021/8/23)
使用工具或流程進行軟體驗證和漏洞檢查、提供軟體
保護。第一方信任鏈結會為組織的平台、產品和服務 Azure 資料中心的實體安全性 - Microsoft Azure |
物料清單 (Software Bill of Materials，SBOM) 資訊、
提供身分識別、完整性和不可否認性。信任鏈結的主 Microsoft Docs (機器翻譯 ) (2020/7/10)
參與漏洞揭露計畫，以及其他做法。針對軟體的聯邦
要元素包括公開金鑰基礎結構、密碼編譯演算法、硬
供應鏈安全性 - Microsoft Research (英文 ) 機構使用者 (這類軟體具有特定權限存取或使其特別
體，以及支援團體和設施。協力廠商信任鏈結的有效
Microsoft 安全性開發週期 (英文 ) 重要的其他屬性)，EO 要求以美國國家標準技術研究
治理至關重要。
院 (National Institute of Standards and Technology，
9. 監視和偵測 NIST) 在 7 月發佈的安全性措施來管理營運風險。
上述的每個供應鏈重點領域都需要監視、偵測，並在 Microsoft 長期投資開發安全軟體開發、軟體測試以
發現可疑活動之後採取跟進動作。在現今超大規模的
雲端作業中，監視、偵測和初始回應都已逐漸自動化。了解更多：
Microsoft 與 NIST 在 EO 上協同合作以推動零信任採用 | Microsoft 安全性部落格 (英文 ) (2021/8/17)
網路行政命令 | Microsoft Federal (英文 )
了解您的供應商並理解其供應鏈。 Microsoft - Executive Order - NIST workshop position paper 4- Testing software source code Microsoft Corporation.pdf
Microsoft - Executive Order - NIST workshop position paper 5- Software integrity chains Microsoft Corporation.pdf
Microsoft 如何採用協調性弱點揭露準則
NTIA_RFC_SBOM_Minimum_Elements_MSFT_Response_061721.docx.pdf
66
Executive Order on Improving the Nation’ s Cybersecurity (「改善國家網路安全性」行政命令 ) | 美國白宮 67
Security Measures for EO-Critical
Software Use (行政命令關鍵軟體使用的安全性措施 ) | NIST 68
Fundamental Practices for Secure Software Development, Third Edition (安全軟體開發
的基本做法，第三版 ) - SAFECode 69
ISO - ISO/IEC 27034-1:2011 - Information technology — Security techniques — Application security —
Part 1: Overview and concepts (資訊技術 - 安全性技術 - 應用程式安全性 - 第 1 部分：概觀和概念 ) 70 Secure Software Development Framework
(安全軟體開發架構 ) | CSRC (nist.gov)
IoT 和 OT 威脅所有這些發展都突顯了組織保護其 IoT 和 OT 足跡的

需求。組織間的交流更甚以往，因此更常使用舊有
不斷演變的網路威脅
環境
企業必須與不斷演變的網路威脅和新型惡意軟體相抗
OT 裝置和環境，包括以往相對孤立的裝置和環境也
衡。這些問題包括 HAVEX73 和 SolarWinds74 等供應
是如此。另一方面，OT 和 IT 環境也都採用了最新的
鏈攻擊、Triton75 和 Industroyer76 等零時差工業控制
現今成功的解決方案通常有賴於許多元件的融合，包 IoT 裝置 (例如智慧電視和智慧型感應器)。綜合上述
系統 (ICS) 惡意軟體、無檔案惡意軟體 77，以及使用
括硬體、軟體和雲端服務，而這些元件通常會整合所有一切，再加上隱私關注與法規合規性的情境，更
標準管理員工具的離地攻擊戰術 78，由於這些問題混
到 IoT 解決方案中。IoT 不僅是連線的裝置，更是指突顯了我們需要一個全面性的方式來實現所有 OT 和
合了合法的日常活動，因此較難發現。這些攻擊的頻
這些裝置收集的資訊，以及立即可從該資訊取得的 IoT 裝置之間順暢的安全性和治理。
率和嚴重性在過去一年也有所增加。
強力見解。因此，IoT 及其他嵌入式和 OT 已成為關
了解更多：
鍵的業務、營運和安全性主題。與以往相比，IOT 及從技術觀點來看，對中東石化設施中安全控制器所發
OT 安全性更常作為公司董事會以及州和聯邦議會討 SCADA Hacking: The Most Important SCADA/ICS 動的 Triton 攻擊，是為了對設施造成重大結構性損害，
論的首要議題，部分是因為過去一年內攻擊頻率和嚴 Attacks in History (SCADA 駭客攻擊：史上最重大的並可能導致人員喪生。攻擊者會在 IT 網路中取得最
重性不斷增加。這樣的攻擊激增情況也讓人們更加了 SCADA/ICS 攻擊 ) (hackers-arise.com) (2021/4/12) 初立足點，然後使用離地攻擊戰術從遠端存取 OT 網
解哪些數位領域的網路攻擊會對實體領域造成影響：路，並部署專為 OT 建置的惡意軟體。
Colonial Pipeline 網路攻擊直接導致了美國最大石油
71
管線停擺。Oldsmar 水資源處理廠的入侵造成了危
險的局勢，其中網路行為體取得未經授權的存取權，
並使用 SCADA 系統的軟體來提高水中氫氧化鈉 (一種
腐蝕性化學物質) 的濃度。監視攝影機提供者遭到駭
72
客攻擊，進而暴露了醫院、警察局及其他許多公司
的敏感性影片。
71
Lessons Learned from Oldsmar Water Plant Hack (從 Oldsmar 水資源處理廠駭客攻擊汲取的教訓 ) - Security Today 72 Hackers breach Verkada’ s giant trove of security-camera data collection (駭客入侵 Verkada 的龐大監視攝影機資料收藏 ) |
Fortune 73 https://en.wikipedia.org/wiki/Havex 74
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/ 75 https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-
framework-triton.html 76
https://www.zdnet.com/article/industroyer-an-in-depth-look-at-the-culprit-behind-ukraines-power-grid-blackout/ 77
https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/fileless-threats 78
PowerShell、 Windows Management Instrumentation Microsoft 數位防禦報告 | 2021 年 10 月 76

攻擊者如何透過 IoT 入侵企業

所見所聞：環境中與 IoT 相關的惡意軟體
IoT 命令和控制服務的分佈 (依國家/地區) (2020 年 7 月 - 2021 年 6 月) IoT 惡意軟體 CPU 架構的分佈 (2020 年 7 月 - 2021 年 6 月)
環境中偵測到的前幾名 IoT 惡意軟體 (2020 年 7 月 - 2021 年 6 月)

調查結果：整個產業的 IoT 和 OT 呼叫記憶體配置函式可能會引發記憶體配置漏洞，例以下是 BadAlloc 的範例：

如 malloc(VALUE)，其 VALUE 參數是動態衍生自外部
漏洞
輸入，而且大到足以觸發整數溢位或換行。其概念如
適用於 IoT 的 Microsoft Defender 團隊對各種設備下：傳送此值時，傳回的結果是全新配置的記憶體緩
類型進行研究，從舊版工業控制系統控制器到先進的衝區。雖然配置的記憶體大小由於換行仍然很小，但
IoT 感應器。發現漏洞之後，就會透過 Microsoft 安與記憶體配置相關的承載卻會超過實際配置的緩衝
全回應中心和美國國土安全部 (DHS) 所領導之負責的區，導致堆積溢位。此堆積溢位讓攻擊者可在目標裝
揭露流程，與相關廠商分享調查結果，讓這些廠商可置上執行惡意軟體。
以調查和修補漏洞。
BadAlloc 此一案例說明了這些漏洞可能帶來的廣泛影
在 2021 年 4 月，我們在 IoT 和 OT 裝置中發現了一響，因為此風險存在於所有主要產業的 IoT 和 OT 裝
系列重大的記憶體配置漏洞，敵人可能會惡意探索這置中。此範例更突顯了降低 IT、IoT 和 OT 風險的最
些漏洞來略過安全性控制，並以此執行惡意軟體或造大挑戰之一，就是這些風險都有共同的攻擊面，而且
成系統損毀。這組漏洞稱為 BadAlloc。這些遠端程式攻擊者會探索整個生態系統。
碼執行漏洞影響了多種產業和垂直領域，從消費者和
醫療 IoT，到工業 IoT、OT 和工業控制系統。且涵蓋
範圍超過 25 種常見的漏洞和暴露風險 (CVE)。就 IT
環境而言，這類漏洞的惡意探索可能會導致機密性喪
失。在 OT 環境背景下，則可能用於觸發作業中斷。
這些漏洞源於使用易受攻擊的記憶體函式，例如
malloc、calloc、realloc、memalign、valloc、pvalloc 等。
我們的研究顯示，多年來做為 IoT 裝置和內嵌軟體一
因為這些風險幾乎會帶來相同的結果，所以保護 IoT 確保現代數位環境不會受制於連線到 OT 系統的舊版
部分所撰寫的記憶體配置實作，並未納入適當的輸入
和 OT 裝置免於風險愈發地重要。這些風險往往會嚴技術威脅。必須有一套橫跨整個企業的整合方法才能
驗證。如果沒有這些輸入驗證，攻擊者可能會利用記
格以孤立的方式隔離處理。為了成功對抗攻擊，請以降低風險。組織應該找出強化、修補或分割系統的機
憶體配置函式來執行堆積溢位，藉此在目標裝置上執
整體方式來處理風險，同時在每個區域採用領域專業會，以縮小受攻擊面。
行惡意軟體。
知識。另請務必

BadAlloc 影響矩陣緩解 IoT 和 OT 漏洞，例如 BadAlloc 分割。網路分割對於零信任非常重要，因為這會限制
我們建議具有 IoT 和 OT 裝置的組織使用下列降低風攻擊者在初始入侵後進行橫向移動和入侵資源的能
險策略：力。IoT 裝置和 OT 網路應該使用防火牆與公司 IT 網

路隔離。
修補、修補、再修補。按照廠商指示，將修補程式套
用至受影響的產品。了解更多：
如果無法修補，請進行監控。由於大多數舊版 IoT 和使用 CIS 基準和適用於 IoT 的 Azure Defender 消除
OT 裝置不支援代理程式，因此請使用 IoT/OT 感知網 IoT 漏洞 - Microsoft 技術社群 (英文 ) (2021/8/8)
路偵測及回應 (NDR) 解決方案 79

和 SIEM/SOAR 解決
80
方案，以自動探索及持續監控裝置中是否有異常或
未經授權的行為，例如與陌生的本機或遠端主機通訊。
這些要素對於為 IoT/OT 實施零信任策略至關重要。
縮小受攻擊面。避免與 OT 控制系統的不必要網際網
BadAlloc 是 IoT/OT 系列漏洞的範例，會為所有產業帶來風險。風險的程度和性質取決於特定的裝置使路連線，並只在需要遠端存取時，才透過 MFA 實作虛
用背景。 BadAlloc 不應該僅被視為 OT 或 IT 問題；相反地，組織應該採取整體方式降低風險。
擬私人網路 (VPN) 存取。美國 DHS 警告，VPN 裝置
可能也會有漏洞，並應該更新為目前可用的最新版本。
79
https://azure.microsoft.com/en-us/services/azure-defender-for-iot/ 80 https://azure.microsoft.com/en-us/services/azure-sentinel/ Microsoft 數位防禦報告 | 2021 年 10 月 80
高度安全裝置的裝置身分識別和完整性受到硬體保護。有實體對策可抵禦旁路攻擊。
7 項特質
硬體根信任
裝置是否有與硬體不可分之唯一且不可偽造的身分識別？裝置軟體的完整性是否受到硬體保護？
針對威脅應用了多項降低風險措施。有對策可減輕任一媒介上成功攻擊的後果。
我們建議確保您和供應商裝置的硬體和作業系統經過
安全設計和實作、具有很高的入侵屏障，並納入機制
深度防禦
即使有一個安全性機制遭到入侵，裝置是否仍然安全？
和流程以在必要時持續監視、警示和還原安全性。
私密金鑰會儲存在受硬體保護且軟體無法存取的保存庫中。將軟體分割成多個自我保護層。
經過廣泛的研究和測試，Microsoft 指出所有獨立網
小型受信任的
裝置的安全性強制執行程式碼是否受到保護，不受裝置上其他軟體中的錯誤影響？
際網路連線裝置需具備才能被視為高度安全的七項特計算基礎
質。在許多情況下，這些高度安全的裝置會應用額外
的安全性措施，但在任何情況下裝置都必須具備所有軟體元件之間的硬體強制屏障可防止某個元件的缺口擴散到其他元件。
七項特質。這七項特質會共同為整個裝置的矽晶片、動態區間
裝置的某個元件失敗是否僅限於該元件？現場新增區間是否可以解決新的安全性威脅？
軟體架構和 OS、雲端通訊以及雲端服務，提供安全
性基礎基準。對於某些組織而言，維護所有七項特質已簽署的權杖，經不可偽造的密碼編譯金鑰簽署後，可證明裝置身分識別和真實性。
的複雜度可能是障礙，儘管裝置安全性的不全經常會無密碼驗證
裝置是否使用憑證或其他經硬體根信任簽署的權杖進行自我驗證？
導致成本過高。
軟體錯誤會回報給雲端式失敗分析系統，例如因攻擊者探查安全性而導致的緩衝區溢位。
錯誤報告裝置是否會回報錯誤以供分析，以確認現場裝置執行是否正確並找出新的威脅？
更新會將裝置帶往安全狀態，使得遭入侵資產中的已知漏洞或安全性缺口失效。
可更新的安全性
裝置的軟體是否會自動更新？裝置的安全性 TCB 軟體是否可以快速更新，而無需重新封裝其他裝置程式碼？

將零信任方法應符合基本安全性需求之後，您可以將焦點轉移到 IoT 持續更新，確保裝置狀態良好
用於 IoT 解決
解決方案的特定零信任需求：利用集中式設定與合規性管理解決方案以及健全的更
新機制，確保裝置保持最新狀態且狀態良好。
方案
以強式身分識別驗證裝置
註冊裝置、核發可更新的認證、採用無密碼驗證並使以安全性監視和回應來偵測和應對新興威脅
用硬體根信任，以確保您能夠先信任其身分識別，再採用主動監視來快速找出未經授權或遭入侵的裝置。
使用零信任安全性模型 81
保護 IoT 解決方案會從非
做出決定。
IoT 特定需求開始，也就是確保您已實作基本功能來了解更多：
保護身分識別及其裝置，並限制其存取。這些需求包以最低權限存取縮小波及範圍適用於 IoT 的 Azure Defender | Microsoft Azure (英文 )
括明確驗證使用者、了解使用者在網路上使用的裝置，實作裝置和工作負載存取控制，藉此在已驗證的身分
Azure Sentinel - 雲端原生 SIEM 解決方案 | Microsoft
以及能夠使用即時風險偵測做出動態存取決定。符合識別可能遭入侵，或正在執行未經核准的工作負載時，
Azure (英文 )
這些需求有助於限制使用者未經授權存取雲端或內部限制任何可能的波及範圍。
佈署 IoT 服務和資料的可能波及範圍。否則，您可能 https://aka.ms/7properties
會面臨大量資訊洩漏 (例如工廠的生產資料外洩)，以以裝置健康情況控制存取權，或標示裝置以進行補救 Azure Sphere 中用來實現高度安全裝置七項特質的
及網路實體系統的命令和控制權限可能會提高 (例如檢查安全性設定、評估是否有漏洞和不安全的密碼，十九種網路安全性最佳做法 (microsoft.com) (英文 )
停止工廠生產線)。並監視主動式威脅和異常行為警示，以持續建立風險 (2020 年 7 月 )
設定檔。
適用於物聯網的零信任網路安全性 (英文 ) (2021/4/30)
81
零信任安全性模型和架構 | Microsoft 安全性 Microsoft 數位防禦報告 | 2021 年 10 月 82
處於網路安全性為了大幅改善其對環境的影響，組織必須評估及監視
自身行為，然後使用自動化或遠端控制方法將行為最
這可能會接著為攻擊者提供到達 OT 系統的路徑；此
外，攻擊者也可以進行反向攻擊。在一個範例中，攻
此外，請務必了解不在組織 IT/OT 網路上，但仍影響
作業的供應系統安全性態勢。正如組織想要提高效率
與永續性交會點佳化。擊者利用魚缸系統存取一家賭場的豪賭客資料庫， 84

和永續性，其供應商也是如此。這些供應系統可能會
的 IOT
這顯示任何具有連線能力的裝置都可能存在缺口引發在網路外部連線 (例如行動數據)，以評估和監視裝置
其挑戰在於了解如何安全地評估、監視及自動化這些攻擊。作業、減少到府服務的次數，並提高運作時間。外部
系統。這些系統可能包含敏感性資料、連線到整個組管理的基礎設施元件遭入侵時，可能會直接影響下游
組織通常會部署 IoT 以改善損益底線，包括更好的品織的商務系統，並逐漸影響您企業的實體營運。上述雖然許多組織正在發展其 IT 安全性方法 (從界限型安業務。例如，關閉建築物中的冷卻器可能會停止作業
質、更高的生產力/更短的停機時間、正式環境最佳 Triton82 或 Crash Override83 等攻擊專門以 OT 系統為全性模型轉向零信任模型)，但卻常常忽視和延宕了並破壞庫存、空氣品質感應器可能不會提醒員工環境
化，以及降低營運成本和/或以非線性方式增加輸出。目標，顯示這些系統是吸引國家級和網路罪犯攻擊的 IoT。例如，組織知道要加密應用程式中的敏感性資料，不安全等。
利用這些方式改善營運也會減少浪費，包括使用更少目標，並有可能中斷業務營運及可能造成環境損害。但許多組織未考慮到其控制系統依賴 Modbus 通訊協
的資源就能獲得相同或更高的輸出、更長的運作時間、定，該通訊協定在設計上缺少任何驗證，並會公開傳雖然 IoT 能夠而且將會實現更好的環境做法，但重要
減少報廢等。雖然專門針對永續性的 IoT 投資較不常請務必以與 IT 系統同樣嚴謹和全面的方式來評估 OT 送資料。雖然電腦必須定期取得更新的憑證，但 IoT 的是要安全地設計、評估和操作所有連線的系統 (而
見，但以永續性為計劃不再被視為與商業價值衝突抵系統的安全性。根據我們的觀察，攻擊者會選擇「脆裝置通常會使用原廠預設密碼進行部署。這些系統可能存在十年以上)。隨著全世界都在調整腳
銷的無用功。弱目標」做為進入點。魚叉式網路釣魚或類似攻擊允步以因應疫情期間出現的新優先考量，許多公司都希
許存取 IT 系統，這些 OT 系統的入侵可能會中斷作業，但攻擊者也會望能夠解決未來日益增加的永續性挑戰。安全的 IoT
由於組織在改善對環境的影響時，面臨日益增加的將焦點放在 IoT 和 OT 互動的方式。工業控制系統通將扮演關鍵角色，讓企業在現今和未來都能以永續的
壓力 (這些壓力可能來自關係人的要求及新的政府法常會使用遠端功能進行更新或修改，這會引進新的攻方式使用和保護重要資源和公用設施。
規)，永續性將成為 IoT 營運部署的主要驅動因素。擊媒介，讓虛擬攻擊可以在實體案例中造成傷害。今
年年初，佛羅里達州的一家水資源處理廠遭到攻擊，
攻擊者從遠端存取關鍵系統，並嘗試變更供水中的化
請務必以與 IT 系統同樣嚴謹和全面的方式來評估 OT
學劑量 85。
系統的安全性。
82
Hackers use Triton malware to shut down plant, industrial systems (駭客使用 Triton 惡意軟體關閉工廠的工業系統 ) | ZDNet 83 Crash Override Malware Took Down Ukraine’ s Power Grid Last December (Crash Override 惡
意軟體在去年 12 月中斷了烏克蘭的電網 ) | WIRED 84 A smart fish tank left a casino vulnerable to hackers (智慧型魚缸讓賭場易受駭客攻擊 ) (cnn.com) 85 FBI, Secret Service investigating cyberattack on Florida water treatment
plant (FBI 情報局調查佛羅里達州水資源處理廠的網路攻擊 ) - TechRepublic Microsoft 數位防禦報告 | 2021 年 10 月 83
為了永續性採用 IoT 員和使用者提供指引，以找出裝置安全性的最佳置標記方案 (全都根據 ETSI EN 303 645)。透過利用國

做法，並加以採用。國際標準的主要範例包括際標準和廣泛使用的最佳做法，政策制定者也可以協
2020 年 6 月發佈的歐洲電信標準協會 (European 助確保各地區的強制需求一致並相互承認，以避免分
Telecommunications Standards Institute，ETSI) 消費散對 IoT 創新、互通性和安全性造成不利影響。
相較於為了其他原者 IoT 安全性標準 ETSI EN 303 645。ETSI 標準現在
因採用 IoT，為了永
續性採用 IoT 更有
是一組公開的資源，可讓全球各地的政府和公司用來全球網路聯盟專案：政策和標準如
增強 IoT 裝置的安全性，且其中包含治理和技術建議。
可能出現在 AI 策略何改善 IoT 安全性
的實作階段 86。這是由來自業界、政府和學術界的專家，透過嚴謹且
協作的多方關係人程序建立而成。同樣地，在經過反最低 IoT 裝置安全性基準的標準、法律和建議需求之
覆公眾諮詢過程後，NIST 已於 2020 年 5 月發佈了間有許多共通之經常建議或所需的控制措施。ETSI 消
NISTIR 8259A，其中詳細說明常見網路安全性控制所費者 IoT 安全性標準 (ETSI EN 303 645) 的前三項規定
需的一組基本裝置功能。國際標準組織 (ISO) 和國際是 ETSI 最強烈建議的規定，並出現在數個國家級政
電子電機委員會 (IEC) 也將制定最低安全性基準。策中。其中包括：

1. 無預設密碼
IoT 安全性政策策成為一項複雜的任務。為了應對 IoT 威脅環境，由

IoT 製造商和網路安全性專家組成的全球社群為 IoT
政策可協助製造商一致地採用國際標準，以改善各種 2. 實施漏洞揭露政策
3. 確保軟體更新
考量
消費性產品的安全性，並推動關鍵應用程式的進階安
裝置網路安全性制定了一組最佳做法標準。這些標準
全性狀態。在美國，政策倡議所依據的標準包括 2020
展示了對抗常見攻擊的成效，而業界和政策制定者同
年的《物聯網網路安全促進法》(IoT Cybersecurity
全球各地的政策制定者都承認 IoT 安全性對於隱私樣可以利用這些標準，立即改善消費者、企業和政府
Improvement Act)87，其中參考了 NISTIR 8259A，以
權、安全、關鍵基礎設施保護和一般數位轉型具有深使用者的全球 IoT 裝置安全性狀態。
便管理與美國聯邦機構使用 IoT 裝置相關的風險，並
遠的影響。IoT 安全性政策的實施方法包括自願計畫參考 EO 14028，其所建議的消費者 IoT 裝置標記計
和強制安全性需求。IoT 裝置類型的範圍、不斷增加最低安全性基準畫也可能參考 NISTIR 8259A，並與 ETSI 或 ISO 標準
的裝置數量，以及裝置、實體世界和網際網路之間的最低 IoT 安全性基準標準是改善全球網路安全性健康相容。其他範例還包括對英國消費者智慧型裝置建議
互動量，使制定有效且適當量身打造的網路安全性政情況的一個好起點。這些標準旨在為製造商、開發人的強制安全性需求 88，以及新加坡和芬蘭的自發性裝
86
將於 2021 年 11 月發佈的 Microsoft IOT Signals 報告 87
H.R.1668 (116th): IoT Cybersecurity Improvement Act of 2020 (H.R. 1668 (116th)： 2020 年物聯網
網路安全促進法 ) 原文 (國會通過版本 )) - GovTrack.us 88 New cyber security laws to protect smart devices amid pandemic sales surge (在疫情銷售激增期間用
於保護智慧型裝置的新網路安全法 ) - GOV.UK (www.gov.uk)
加州和奧勒岡州的州法都禁止針對 IoT 裝置使用預設 GCA 使用自有的蜜罐誘捕技術，建立了一個潛在攻擊 • 安全存取控制 (「無預設密碼」) 性漏洞。政策和法規架構可協助推動採用和協調實踐

密碼。同樣地，更新軟體和使用 HTTPS 等安全通訊者極可能攻擊的目標，以盡可能了解攻擊是否存在、 IoT 裝置安全性標準 (例如 NISTIR 8259、ETSI EN 303
• 裝置更新軟體的能力及確保軟體更新的建議
協定的建議或需求也經常出現在全球各地的標準和政以及攻擊來源和普遍程度。GCA 運作一個大型誘捕系 645 和 ISO/IEC 27402) 中的需求，以推廣安全存取控
• 保護傳輸中的資料
策中。統，其中有數百部模擬 IoT 裝置分散在全球各地，提制最佳做法並解決此風險。
GCA 總結摘要
供實際且大規模的長期攻擊資料，以了解 IoT 攻擊方
GCA 對實際攻擊資料的分析顯示，使用者從未變更
Microsoft 支援全球網路聯盟 (GCA) 89
進行一項研究，法中的趨勢和變化。
裝置製造商原廠設定的預設密碼，以及使用者設定弱
以展示經常建議的控制措施在防止攻擊方面的成效。
式密碼，都是 IoT 裝置中最容易遭到惡意探索的安全
此分析可用來協助政策制定者和業界領導者了解最佳此研究測試了 IoT 安全性標準和政策中經常參考的三
做法對取得 IoT 裝置安全性的好處，並可做為製造商種控制措施：
應採用標準及遵守政策的證明點。
GCA 蜜場攻擊者流量 (依通訊協定) 透過活動 (命令和下載) 進行的 GCA 蜜場攻擊 (依通訊協定)
大致和掃描開放連接埠以發動攻擊的攻擊者流量相同。在 IoT 裝置上發動的攻擊中， Telnet 明顯是惡意探索的首選通訊協定
89
https://www.globalcyberalliance.org/ Microsoft 數位防禦報告 | 2021 年 10 月 85
此研究也顯示，在 IoT 裝置軟體堆疊中，惡意探索安 Microsoft 資料和威脅訊號證實了當我們查看對這兩個連接埠的攻擊時，所有一切都是動態的。不同的行為體來來去去，在許多情況下，會使用遭

全性漏洞的嘗試普遍盛行。此調查結果證明了確保軟洩漏的原始程式碼 (例如 MIRAI) 改變 Bot 的用途。這些攻擊通常會複製現有的工作方式，但我們已開始看到 Bot
這些調查結果
體更新，以及使用安全通訊協定來防止攻擊者嘗試入利用新漏洞的更先進使用案例 90。值得一提的是，其中許多攻擊會持續使用不良密碼，做為在受感染主機之間進
侵安全性漏洞，確實有其成效。 GCA 專案調查結果與 Microsoft 在其 IoT 感應器網行橫向移動的基礎。
路中所看到的一致。我們所收到的大部分要求為一
在 IoT 裝置軟體中觀察到對安全性漏洞嘗試攻擊的普般 HTTP 掃描和抓取，接著分別是安全殼層 (SSH) 和 Microsoft 的感應器網路為我們提供有關這些攻擊類型及所使用密碼的原始資料。我們查看了超過 280,000 次攻

遍盛行，也證明了經常建議的非技術控制措施會降低 Telnet。這兩種通訊協定經常出現在 IoT/OT 裝置上，擊，並分析了我們收集的密碼資料。或許您已預料到，我們看到 96% 的攻擊使用不到 10 個字元的密碼，92% 的
攻擊成功可能性的概念。特別是，製造商實施漏洞揭其中 Telnet 特別是 MIRAI 及其他以此為依據之殭屍攻擊使用不到 8 個，而稍微出乎預料的是，在所有攻擊中，72% 的攻擊只需要嘗試 6 個字元或更少字元的密碼。
露和管理政策，以及公開產品的安全性支援狀態等種網路的最愛。這兩種通訊協定也經常與暴力密碼破解在這些密碼嘗試中，只有 2% 包含特殊字元，而 72% 甚至不包含數字。
種需求，都會為消費者提供寶貴的資訊。攻擊有關，搭配在一起會成為我們在 IoT/OT 裝置上
所看到最普遍的攻擊類型。我們在環境中看到的攻擊數與 GCA 資料及其他報告一致。預設密碼通常是一個簡短的英文字，因此攻擊者輕易
了解更多：就能存取組織的基礎結構。如果無法選擇使用組織的 IoT 裝置進行安全身分識別管理，則強烈建議使用較長的密
碼 (尤其是具有特殊字元的密碼)。
Global Cyber Alliance: IoT Policy and Attack Report
對熱門 IoT/OT 通訊協定的攻擊分佈
(全球網路聯盟： IoT 政策和攻擊報告 )
(2020 年 7 月 – 2021 年 6 月)
對 Telnet 和 SSH 連接埠的攻擊數
90
如何主動防禦 Mozi IoT 殭屍網路 | Microsoft 安全性部落格 (英文 ) Microsoft 數位防禦報告 | 2021 年 10 月 86
在 45 天感應器訊號中看到的密碼數
>2,000 萬
我們在 45 天內觀察
到 IOT 裝置中使用密
碼「ADMIN」的次數。

第5章
混合式工作團隊的安全性
簡介
保護混合式辦公的零信任方法
身分識別
裝置/端點
應用程式
網路
基礎結構
資料
人員

簡介保護混合式辦公的零信任方法身分識別裝置/端點應用程式網路基礎結構資料人員
簡介：基礎很重要
資訊安全長 BRET ARSENAULT
不應用或不維持這些
過去這一年來我們仍持續面對深刻的挑戰。雖然大多數的產業因為疫情而轉移到遠端工作，但這也為網路罪犯創造
了新的可利用受攻擊面，例如用於業務用途的家用裝置。在 2021 年上半年，曾發生三件重大的攻擊：NOBELIUM 基本衛生做法的組織
(SolarWinds 供應鏈攻擊)、HAFNIUM (內部佈署 Exchange 伺服器攻擊)，以及 Colonial Pipeline (勒索軟體攻擊)。將會面臨更大的攻擊
我們可以從中汲取許多教訓。首先，電子郵件入侵是持如果遭到入侵的組織應用了基本的安全性衛生，例如修
風險。
開始使用零信任的建議事項：
續存在的威脅媒介。事實上，網路釣魚幾乎占了 70% 補、套用更新或開啟多重要素驗證 (MFA)，這些組織便
91
的資料外洩。其次，網路罪犯會使用偽裝成合法軟體可能逃過一劫或降低受到影響的程度。事實上，令人震 • 身分識別會在任何位置透過 MFA 進行驗證及保護。
更新的惡意軟體，以鎖定毫無戒心的員工。第三，勒索驚的是我們的客戶中只有低於 20% 的客戶使用強而有使用 MFA 有助於消除對密碼的需求。增加使用生
軟體攻擊者提高了賭注，不僅在贖金方面專注於兩倍或力的驗證 (例如 MFA)93 (我們的客戶可以免費使用這項物識別技術 (例如視網膜眼球掃描或指紋) 也可以確
三倍的勒索策略，同時還提供了勒索軟體即服務 (RaaS)，服務，而且可以根據預設開啟)。不應用或不維持這些保能強力地識別使用者的身分。
使用合作夥伴網路進行攻擊，使判斷真正惡意的行為體基本衛生做法的組織將會面臨更大的攻擊風險。 • 裝置會受到管理，且會驗證為健康狀態良好。作為

變得相當困難。最後，敵手會將目標鎖定在內部佈署系存取任何公司資源的條件，所有裝置類型和作業系
統，提高了組織將基礎結構移至雲端的需求，以獲得更除了安全性基礎外，Microsoft 還依賴稱為零信任的方統都必須符合最低的健康狀態良好裝置狀態，才能
難以滲透的安全性。 92 法 94，這種方法會假設網路已遭到入侵。零信任意味著進行驗證。
我們並不假設我們網路上的任何身分識別或裝置是安全
• 監視和威脅訊號非常普遍。請務必收集所有可用的
雖然這些事件讓我們學到了一些慘痛的教訓，但重點是的，因此我們會持續進行驗證。零信任有助於我們取得
記錄、資料和訊號，以了解目前的安全性狀態。這
「基礎很重要」。罪犯入侵的其中一個主要方式是未經過平衡，確保員工在公司網路以外的家中、辦公室或是這
將會協助您識別覆蓋率差距、發現異常，並提供更
鎖定的入口。之間的任何位置都能具備生產力、安全且維持健康。
佳的員工體驗。
91 根據網路防禦公司 Barracuda，尤其是電子郵件詐騙呈現越來越多的趨勢。將近 70% 的資料外洩都歸因於網路釣魚。 https://blog.barracuda.com/2020/03/26/threat-spotlight-coronavirus-related-phishing/

92
到 2024 年時，利用雲端基礎結構的可程式性來改善安全性保護的工作負載，將會提供更佳的合規性，且其安全性事件的數量至少會比傳統資料中心低 60%。 (How to Make Cloud More Secure Than Your Own Data Center (如何讓雲端變得比
你的資料中心更安全 )， Neil MacDonald、 Tom Croll (2021 年 4 月 29 日 )) 93 依據 2021 年 8 月 Azure Active Directory 的保護遙測。 94 零信任安全性模型及架構 | Microsoft 安全性 (英文 ) Microsoft 數位防禦報告 | 2021 年 10 月 89
我們提出這份報告的目標，是分享我們每天都在進行我們能夠提供如疫情爆發前一般的服務，回到近乎全球新型冠狀病毒 (COVID) 前的現場工作及快速移至遠端工作，然後逐漸返回現場

這項工作的內部團隊見解，協助教育其他人並增進其正常的營運。隨著 Microsoft 位於全球的辦公室邀請
網路防禦技術，以保護其員工、公司和我們的線上生更多員工回到工作現場，我們發現每週都有越來越
態系統。多的員工刷卡 (掃描其徽章以進入建築) 進入辦公室。
我們預計這個數字將會隨著更多地點完全重新開放
請記住，如果您無法保護過去的努力，便無法保護未而持續增加。但是，我們並不預期這些數字會回到
來的工作安全。疫情之前的出勤率水準。我們的彈性工作方法表示
我們預期大多數的員工每一週都至少會在遠端工作
Microsoft 邁向混合式工作團隊一些時間，即使是在新型冠狀病毒 (COVID-19) 已不
沒有人知道新型冠狀病毒 (COVID-19) 疫情何時會結再是沉重負擔的地點也一樣。
束，但到了某個時間點，新型冠狀病毒 (COVID-19)
將不再是我們社會的沉重負擔，而比較像是流行性
病毒 (像是流感)。當地的健康形勢和地方政府指引
會決定我們有多少員工可以在工作現場工作，以及全球每週不重複徽章掃描次數 (2021 年 1 月 – 8 月)
哪些服務可供使用。一旦某個地點完全重新開放後，
了解更多：
保護新的混合式辦公世界：該知道的事情及該做的事情 - Microsoft 安全性 (英文 ) (2021/5/12)
工作趨勢指數： Microsoft 對工作方式的最新研究。 (英文 )
下個顛覆性改變是混合式辦公 – 我們準備好了嗎？ (microsoft.com) (英文 )
透過網際網路優先與零信任模型保護 Microsoft 的網路 (英文 ) (2021/4/16)

保護混合式辦公零信任原則假設有缺口

最小化波及範圍與區段存取。驗證端對端加密及使用
2. 端點
在身分識別取得資源的存取權後，資料便可能流向各
的零信任方法
零信任消除了傳統公司網路內部中所預設的固有信
分析資料以進行了解、管理內部風險、驅動威脅偵測，式各樣不同的端點，從 IoT 裝置到智慧型手機、自備
任。有效的零信任架構旨在掌握數位資產中每一個降
以及改善防禦。裝置到合作夥伴管理的裝置，以及內部佈署工作負載
低風險的機會。實際上，這意味著系統之間的每一項
混合式辦公環境中日益盛行的雲端式服務、行動運算、到裝載在雲端的伺服器。這種多樣性會創造巨大的受
交易都必須經過驗證並證明是值得信賴的，然後才能
物聯網 (IoT) 和攜帶您自己的裝置 (BYOD) 已改變了當
進行交易。為了建立有效的零信任策略，我們建議採
整合式安全性哲學與端對端策略攻擊面區域。監視和強制執行裝置健康情況與合規性，
今企業的技術面貌。依賴網路防火牆和虛擬私人網路以確保安全存取。
用這些指導性原則：零信任控制和技術是部署在六大基礎技術支柱上。每
(VPN) 以隔離和限制公司技術資源及服務存取的安全
個支柱都是訊號來源、強制執行的控制平面，以及要
性架構，已不足以應對需要定期存取傳統公司網路邊明確地驗證維護的關鍵資源。在零信任架構中，這些支柱會經由
界以外應用程式和資源的工作團隊。轉向選擇網際網執行驗證及授權時，一律以提供的所有資料點為依據，安全性原則的自動化強制執行、訊號與安全性自動化
路作為網路及持續不斷進化的威脅，促使 Microsoft 包括使用者身分識別、位置、裝置健康狀態、服務或的相互關聯，以及協調流程來互相連結。
選擇採用零信任安全性模型。零信任已成為全球企業工作負載、資料分類和異常。
安全性領導者的首要任務。 1. 身分識別
使用最低權限存取身分識別可能代表人員、服務或 IoT 裝置。當身分識
隨著全球不斷增加且越趨複雜及廣泛的網路安全性攻使用適時適度 (JIT/JEA)、以風險為基礎的調適性原則別嘗試存取資源時，以強式驗證驗證該身分識別並確
擊，我們正面臨一個抉擇的時刻。這個現實再加上辦和資料保護來限制使用者存取，以協助保護資料和生保存取，對該身分識別而言是合規且典型的。遵循最
公型態進入下一個顛覆性的改變 (即混合式環境)，為產力。低權限存取原則。
世界各地的公司都帶來了採用零信任方法的緊急機
會，並假設所有活動 (即使是受信任的使用者也一樣) 數位資產零信任
都有可能是針對入侵所進行的嘗試。整個產業的訊號
凸顯了每個公司都需要建立安全性文化，並現代化其
方法以確保受到保護。

3. 應用程式 5. 基礎結構採用零信任混合式工作場所意圖

應用程式和應用程式開發介面 (API) 提供取用資料的基礎結構，無論是內部佈署伺服器、雲端式虛擬機器
零信任採用報告 95 揭示了在各行各業中採用零信任的
介面。它們可能是舊版內部佈署、已移至雲端的工作 (VM)、容器還是微服務，都是重大的威脅媒介。評定
途徑。我們希望此研究結果能協助您加速採行自己的
負載，或是現代化軟體即服務 (SaaS) 應用程式。應用版本、設定及 JIT 存取以強化防禦。使用記錄和監視
零信任策略，提攜同業共同進步，並提供有關此快速
控制和技術來探索影子或來路不明的 IT，確保適當的來偵測攻擊與異常，自動封鎖及標示風險行為，並採
發展領域未來發展的見解。
應用程式內權限，根據即時分析控制存取，監視異常取保護動作。
行為，控制使用者動作，以及驗證安全的設定選項。
沒有任何一個單一安全性風險區域是零信任策略的主
6. 資料
要起點，因為其中
4. 網路最後，安全性團隊會保護資料。即使資料離開組織
15% 都是從相同的安全性風險區域開始。組織可能因
所有資料最終都會透過網路基礎結構提供存取。網路控制的裝置、應用程式、基礎結構和網路，資料在
需求和可用的內部資源不同，而從不同的地方開始。
控制可以提供關鍵控制，強化可見度並協助防止攻擊其整個生命週期內也都應該維持在受保護的狀態。
大多數的組織會將零信任作為將隨著時間完成的端對
者在網路間橫向移動。分割網路 (以及進行更深入的使用資料分類和標記作為內容，以加密敏感性資訊、
端策略。最後，他們會試圖在所有安全性風險區域採
網路內微分割) 並部署即時威脅防護、端對端加密、最小化敏感性資訊的存取、控制敏感性資訊的流程，
用這項策略，以確保針對威脅具備更多防護。
監視及分析。或是在敏感性資訊的實用或授權週期結束時進行遮
蓋或刪除。
了解更多：轉向混合式辦公使零信任策略更廣獲採用。 81%

的組織已開始邁向混合式辦公，其中 31% 已全
零信任在保護我們世界中所扮演的關鍵角色 | 面施行。
Microsoft 安全性部落格 (英文 ) (2021/6/30)
95
2021 年零信任採用報告 (英文 ) 根據來自不同業界超過 900 名熟悉零信任的安全性決策者。來自美國、德國、日本、澳洲及紐西蘭的受訪者。 Microsoft 數位防禦報告 | 2021 年 10 月 92
目前的零信任實作概觀 - 安全性風險區域
身分識別幅減少，但同時我們也發現歸因於網路釣魚或其他更
複雜技術 (例如使用惡意軟體進行認證搜集) 的攻擊明
顯增加。資料顯示惡意行為體已對其策略進行調整，
在 Azure Active Directory 中，我們每天觀察到 5000
以繼續入侵帳戶。
萬次密碼攻擊，但只有 20% 的使用者和 30% 的全球
管理員正在使用如 MFA 等強式驗證。96 密碼型攻擊
儘管封鎖舊版驗證和啟用 MFA 仍然是所有組織最重
仍然是身分識別入侵的主要來源。然而，其他類型的
要的防禦措施，網路釣魚保護比以往變得更加重要。
攻擊正在興起，包括同意網路釣魚和非人工身分識別
即使啟用 MFA，使用者的認證仍然可以會遭到即時中
攻擊。間人網路釣魚工具進行網路釣魚，這類工具會複寫登
入頁面，並重播 MFA 提示以收集傳送給使用者的一
次性密碼。為了防範這類攻擊，客戶可以採用 Fido2
密碼型攻擊
型認證 (以公開金鑰密碼編譯金鑰對為基礎)，例如安
Azure AD 是所有 Microsoft 雲端服務的大門。我們的
全性金鑰或 Windows Hello 企業版。97
登入服務每天會收到 900 億個驗證要求，這讓我們可
以了解更多所有雲端中發生的身分識別攻擊。針對使
零信任實作沒有一體適用的方法，只要有授權，任何地方都可以是起點。
用者身分識別所進行的密碼型攻擊仍然是最猖獗的身
分識別入侵媒介。雖然密碼噴灑和認證資訊填充過去
是身分識別入侵的最大媒介，但過去一年來，我們觀
了解更多：
察到惡意行為體生態系統的策略有了明顯的變化。在
零信任採用報告 (英文 ) (2021/7/27) 過去幾年中，特別是在疫情期間，Microsoft 和我們
的客戶都在減少受攻擊面上進行了大量的投資，以避
加速您零信任之旅的資源 – Microsoft 安全性 (英文 ) (2021/5/24)
免惡意行為體入侵以 Azure AD 為基礎的帳戶。安全
零信任安全性模型與架構 | Microsoft 安全性 (英文 )
性態勢 (安全性預設、MFA 採用、密碼保護、舊版驗
證區塊) 的強化，以及我們在偵測 (惡意 IP 位址、密
碼噴灑偵測) 上進行的投資，都減少了使用舊版驗證
身分識別已變得比以往更加重要。通訊協定 (例如 IMAP 或 SMTP) 進行的暴力密碼破解

攻擊。我們歸因於入侵重播和密碼噴灑的攻擊量已大
96
根據截至 2021 年 8 月的 Azure Active Directory 保護遙測資料。 97 您的認證都歸我們所有！ - Microsoft 技術社群 (英文 ) Microsoft 數位防禦報告 | 2021 年 10 月 93
每月遭入侵的使用者 (依攻擊類別) (2020 年 6 月 – 2021 年 6 月) 使用 OAuth 要求 URL 的網路釣魚電子郵件增加
2021 年 7 月發出暴力密碼破解攻擊的 IP 位址地攻擊的新興趨勢存取權杖不需要知道使用者的密碼，而且使用者的密 Microsoft 建議限制使用者同意，只允許使用者同意

理分佈碼永遠不會與攻擊者共用。最重要的是，由於這不是來自經驗證發行者的應用程式。
OAuth 同意網路釣魚
基於認證的攻擊，因此 MFA 等強式驗證需求無法阻
在典型的網路釣魚中，想要竊取認證的攻擊者會製作
止使用這項技術的攻擊。 Microsoft 已部署了數種防禦措施來對抗這個趨勢，
一封令人信服的電子郵件、裝載假登入頁面，並預期
包括特定機器學習型偵測，以識別、隔離和停用惡意
使用者會上當受騙。在成功的網路釣魚嘗試中，使用
在過去六個月中，使用 OAuth URL 的每月平均網路應用程式。有助於防止這類攻擊的策略包括細微的使
者認證會傳遞給攻擊者。同意網路釣魚則稍微不同。
釣魚電子郵件數量幾乎增加了一倍。這些網路釣魚電用者同意政策、封鎖同意網路釣魚電子郵件、異常偵
這種方法會嘗試誘使使用者授與權限給惡意攻擊者所
子郵件的目標是各種合法雲端服務，例如 Microsoft、測和使用者認知訓練。
擁有的應用程式，並使用其取得的存取權杖來擷取使
Google 和 Facebook。我們觀察到使用 OAuth 網路
用者的帳戶資料。這是一個非常複雜的攻擊，因為
釣魚連結的不重複電子郵件數量呈現上升趨勢。

非人工帳戶的攻擊程式碼中的認證挑戰並不是新的挑戰。雖然大多數的
我們觀察到對應用程式和服務主體身分識別的攻擊廠商 (包括 Azure DevOps 和 GitHub) 都提供保護措
98
數量大幅上升。與使用者不同，這些身分識別通施來標記這些認證以進行移除，但這種做法仍然存在。
常更容易受到攻擊，因為組織並未一致地將許多典這些認證會為攻擊者提供進入組織環境的直接路徑，
型的保護措施 (例如強式驗證、嚴格的生命週期管理同時不會受到 Azure AD 稽核記錄偵測。Microsoft 建
和安全性監視) 套用到這類帳戶。因此，我們觀察到議客戶稽核其工程成品，包括認證的程式碼存放庫。
攻擊者會利用已具備特殊權限角色或更大權限範圍
的應用程式識別。與典型的「初始存取 -> 取得特殊安全性態勢的採用
權限」攻擊鏈不同，這種攻擊媒介會透過遭到入侵
採用強式驗證
的使用者或洩露的應用程式取得初始存取。
針對身分識別，明確驗證表示確保身分識別在存取資
源時使用強式驗證。Microsoft 研究顯示，要求強式
我們觀察到透過遭入侵使用者取得初始存取的攻擊
驗證可以保護 99.9% 的身分識別攻擊，因為大多數的
者，會使用其提升的權限進行偵察，以使用現有權限
攻擊都與密碼有關。雖然增強密碼有助於抵禦這些攻
來辨識應用程式，視需要新增一組應用程式認證，甚
擊，但使用無密碼驗證方法來完全消除密碼可提供最
至是將特殊權限角色指派給應用程式。因此，應用程
實用且最安全的驗證體驗。
式會在環境中正常執行，但同時也會作為攻擊者的工
具執行。客戶應檢閱應用程式角色和權限，以符合最
正因為有了這些對抗措施，相較於 2020 年 7 月到如需網路釣魚趨勢和降低風險的詳細資訊，請參閱本隨著公司開始針對遠端工作和混合式工作團隊調整其
低權限原則，並監視其 Azure AD 稽核記錄中，應用
12 月期間，2021 年 1 月至 6 月期間停用的應用程式報告的網路犯罪現況章節。安全性態勢，我們在過去 18 個月中觀察到強式驗證
程式和服務主體是否有不熟悉的活動。
增加了 89%。經過詳細調查後，我們觀察到主要惡的使用量增加了 220%。
意攻擊媒介已從多租用戶網路釣魚攻擊轉變為濫用式了解更多：
攻擊。
Microsoft 提高全方位解決方案以對抗同意網路釣
魚電子郵件的崛起 | Microsoft 安全性部落格 (英文 )
(2021/7/14)
駭客不會入侵，他們會
登入。
98
Azure AD 中的應用程式與服務主體 - Microsoft 身分識別平台 | Microsoft Docs (英文 ) Microsoft 數位防禦報告 | 2021 年 10 月 95
Azure AD 中的強式驗證使用量零信任存取原則使用量的成長

Azure AD 條件式存取是一種安全性原則引擎，用於明確驗證及授與最低權限存取。在過去一年來，隨著組織改造
其安全性態勢以因應遠端工作團隊，已部署的條件式存取原則數量增加了超過一倍。
當使用者存取應用程式時，管理員可以使用條件式存取來設定要強制實行哪些額外的需求以授與存取。隨著組織
擁抱零信任安全性原則，除了 MFA 之外，我們還觀察到了受控裝置和受控應用程式需求獲得了更廣泛的採用。
Azure AD 中最常用的存取控制 (2020 年 7 月 – 2021 年 6 月)
Microsoft 讓所有新客戶都可使用安全性預設，確保每個人至少都擁有基本的保護層級，包括適用於管理員的
MFA 等控制。99
啟用安全性預設的租用戶
99
Azure Active Directory 安全性預設 | Microsoft Docs Microsoft 數位防禦報告 | 2021 年 10 月 96
舊版通訊協定：敵手的首選進入點
幸運的是，終端使用者和管理員已經開始在組織中使用現代化驗證。
組織入侵的其中一個主要來源是來自舊版通訊協定 (例如 IMAP、SMTP、POP 和 MAPI) 的驗證。這些通訊協定不
支援 MFA，因此成為敵手的首選進入點。事實上，根據 Azure AD 的驗證資料，99% 的密碼噴灑和 97% 的認證填
混合式世界基本上是「無周邊」，因此在身分識別和裝置周圍加上保護層非常重要。作為零信任的一部分，我們也
充攻擊都使用舊版驗證。來自 Azure AD 的資料顯示，使用 IMAP 用戶端進行驗證的入侵率比瀏覽器驗證的入侵
認為未來是無密碼的，100 而我們在今年已開始觀察到這項轉變。
率高 22 倍。
帳戶入侵率 (依驗證通訊協定) (2020 年 7 月 – 2021 年 6 月) 每月 Azure Active Directory 有效使用者中的舊版驗證百分比
在過去一年中，我們觀察到 Azure AD 中使用舊版驗證用戶端的使用者百分比減少了近 30%，達到約 10%。
100
準備為您的企業消除密碼 (英文 ) (microsoft.com) Microsoft 數位防禦報告 | 2021 年 10 月 97
降低 BYOD 風險的建議
裝置/端點為了降低所有增加的 BYOD 模型風險，重要的是確保持續驗證指定的安全性標準，以及驗證裝置和使用者的身分
識別，以對關鍵公司資源進行門控。例如，您可以封鎖已遭越獄 (經過修改以移除製造商或電信業者所施加的限制)
所見所聞
的個人裝置，確保企業應用程式不會暴露在已知的弱點中。
隨著全球轉移到遠端或混合式工作模型驅動了大多數的需求，使用者會從任何地方及使用任何裝置工作，且其時
間比歷史上任何一個時代都要來得更長。因此，攻擊者正在快速調整其策略，以利用這項變化。企業必須衡量啟如需保護裝置的詳細資訊，請參閱本報告的供應鏈、IoT 及 OT 安全性章節。
用 BYOD (允許其終端使用者存取傳統上需要 VPN 或內部佈署存取的公司資源) 所提高的風險，因為相同的使用者
可能會在於個人裝置上執行與工作無關的功能時，不經意地安裝勒索軟體或其他惡意軟體。透過使用零信任模型了解更多：
啟用 BYOD，企業可以減少佈建成本，避免針對在家辦公購買額外硬體，但其需要能夠在這些裝置上保護公司資產，
使用 Intune 保護資料和裝置 | Microsoft Docs (英文 )
同時允許使用者在相同的裝置上執行非工作功能。
Microsoft Intune - Azure 中的裝置合規性原則 | Microsoft Docs (英文 ) (2021/4/29)
Azure Active Directory 中的條件式存取是什麼？ | Microsoft Docs (英文 ) (2021/1/27)
行動裝置管理 (Intune 資料)
隨著員工從辦公室移至 BYOD 和家用 PC，行動裝置管理有了大幅度的成長

應用程式機密資料。若要了解這個領域最近的攻擊趨勢，請
參閱本報告的舊版通訊協定和 OAuth 同意網路釣魚
了解更多：
Build 2021：使用 Microsoft 身分識別平台打造零信任應用

小節。
程式 - Microsoft 技術社群 (英文 ) (2021/5/26)
從舊版應用程式移向零信任就緒
整合式威脅防護 | Microsoft 安全性 (英文 )
應用程式使用現代化應用程式和資料解決
保護您的多重雲端資源 | Microsoft 雲端安全性 (英文 )
雖著我們從聚焦於公司網路的安全性模型移向以身分方案
識別為基礎的安全性模型，上千個具備面向內部態勢
在以雲端為中心的架構中，我們會以不同方式處理應
的應用程式和服務仍然相當依賴網路防火牆和 VPN
用程式及資料。隨著越來越多使用者設計模型開始提
來隔離及限制存取。這些網路防火牆和 VPN 都是以
供使用，工程師不再只是組織中唯一的開發人員。使
現代化的應用程式
舊版驗證機制為基礎建置，致使其只能運用於公司網
用者會利用提供無程式碼或低程式碼開發方法的平台和服務需要使用者
路內部。這些為舊版應用程式建置的傳統架構，其設
和工具，建立商務解決方案。
計旨在進行橫向連線，而非微分割。其違反了最低權
組織應進行投資，為這些新的典範建立正確的護欄。先進行驗證，才能
限存取的基礎原則，且更容易受到敵手透過網路進行
橫向移動，而這可能會洩露
追蹤雲端資源及應用正確的原則和範本，有助於確保
進行存取。
現代化解決方案立即使用正確的控制。
如何現代化您的應用程式？成功部署下列三個解決方案之一：

網路客戶會使用網路細分來組織工作負載及部署防火牆，
以保護子網路與 VNET 間的流量，以及連向內部佈署
最常見的網路攻擊類型
Azure 防火牆每天會阻擋數以百萬計的入侵嘗試。我
網路入侵嘗試中最常使用的 5 大通訊協定
(2021 年 7 月)
和網際網路的流量。客戶會使用防火牆來控制及增強
零信任方法鼓勵組織假設持續受到攻擊，而且可能隨們的訊號顯示，攻擊者在 2021 年 7 月的網路攻擊嘗
所有網路流量的可見度。
時發生安全性事件。為了準備將這類事件影響範圍降試中最常使用惡意軟體、網路釣魚、Web 應用程式
至最低的設定，在設計配置時應細分網路。提高細微和行動惡意軟體。同樣在 7 月，挖礦軟體的使用量也
控制程度以實作這些軟體定義的參數，會增加攻擊者
Web 應用程式防火牆有了顯著的提升，這是一種使用網路來挖取加密貨幣
透過網路傳播的「成本」，進而大幅減少威脅的橫向 Web 應用程式防火牆 (WAF) 的重點已從一開始的插的惡意軟體。
移動。入式攻擊 (例如 SQL 插入式攻擊和跨網站指令碼) 演

變為包含來自惡意機器人和濫用 API 的攻擊。與分散攻擊中最常遭到利用的通訊協定是 HTTP、TCP 和
我們在 Azure 防火牆訊號中觀察式拒絕服務的攻擊 (DDoS) 保護合併時，WAF 會成為 DNS，因為這些通訊協定會向網際網路開放。
深度防禦策略的一部分，以保護 Web 和 API 資產。

到的內容
隨著移轉至雲端持續加速，我們觀察到大多數的新部過去一年來，WAF 已成長到每週觸發 250 億條規則。
前 10 大網路威脅 (2021 年 7 月)
署都是混合式部署，具備連線回內部佈署的能力，並平均有約 4% 到 5% 的傳入流量被視為是惡意流量，
已針對從 Azure 連出到網際網路 (微周邊) 進行設定。並根據設定 WAF 的位置，在網路邊緣或區域資料中
所有資料最終都會透過網路基礎結構提供存取心遭到封鎖。

DDoS 攻擊每日攻擊和數量攻擊持續時間涉及的攻擊媒介、應用程式和區域

與 2020 年下半年相比，2021 年上半年的每日平均攻 Microsoft 的 DDoS 保護團隊持續觀察到大多數攻擊超過 35% 的攻擊量都以 HTTPS 為目標，10% 則
在我們的 2020 DDoS 回顧中 101，我們凸顯了活躍網
擊緩解次數增加了 25%，而每個公用 IP 的平均攻擊頻的持續時間都很短，其中 75.35% 的攻擊時間小於 30 以 HTTP 為目標。UDP 攻擊占了整體攻擊媒介中的
路攻擊形勢的轉變。隨著新型冠狀病毒 (COVID-19)
寬則增加了 30%。Azure DDoS 保護在 2021 年上半年分鐘，87.60% 的攻擊則為一小時以下。這個趨勢與 43%，強化攻擊則占了 11%。除了 DNS 和 NTP 反射
疫情及網際網路流量的增加，面向網際網路端點的
每天都緩解了 1,200 至 1,400 次不重複的 DDoS 攻擊。我們在 2020 年所觀察到的趨勢相似。攻擊外，遠端桌面通訊協定 (RDP) 和資料包傳輸層安
DDoS 攻擊也大幅增加。我們在 2021 年上半年也持
截至 2021 年 7 月，相較於 2020 年的大小 (250 Gbps)，全性 (DTLS) 反射攻擊也有激增的情況。
續觀察到類似的趨勢。此趨勢的特點是大型 TCP 攻擊，
2021 年的平均攻擊大小增加了 25% (325 Gbps)。
主要是 SYN、SYN ACK 和 ACK 洪水和使用者資料包
通訊協定 (UDP) 反射攻擊。線上遊戲和遊戲垂直仍然
是非常誘人的 DDoS 攻擊目標。大多數對遊戲垂直進
行的攻擊是 MIRAI 殭屍網路的變種和低流量 UDP 通
訊協定攻擊。今年針對 IPv6 的 DDoS 攻擊也有增加
的趨勢。這表示隨著企業網路逐漸採用 IPv6，IPv6 的
DDoS 攻擊風險將持續增加。
DDoS 攻擊緩解攻擊持續時間 (2020 年 7 月 – 2021 年 6 月) DDoS 攻擊類型 (2020 年 7 月 – 2021 年 6 月)
超過 96% 的攻擊持續時間都很短 (<4 小時 )
Microsoft 每天緩解的不重複 DDoS 攻擊數
101
Azure DDoS 保護 – 2020 年回顧 | Azure 部落格與更新 | Microsoft Azure (英文 ) Microsoft 數位防禦報告 | 2021 年 10 月 101
TCP 洪水的平均封包大小遠比 UDP 攻擊封包小。了解更多：前 10 大 DDoS 攻擊目的地區域

UDP 片段攻擊平均每個封包 1145 位元組，TCP 無
DDoS 保護和緩解風險服務 | Microsoft Azure (英文 )
效 SYN 的平均則為 512 位元組。TCP 攻擊媒介 (例如
Azure DDoS 保護標準文件 | Microsoft Docs (英文 )
SYN ACK、TCP Zero Seq、FIN-ACK 和 RST) 洪水平
均每個封包低於 100 位元組。
歐洲、亞洲和美國仍然是最常受到攻擊的區域，因為
金融服務和遊戲產業都集中在這些區域。阿拉伯聯合
大公國在政府、石油與天然氣、電信和醫療產業/部
門方面受到 DDos 攻擊的次數則越來越多。
DDoS 攻擊的主要來源區域包括俄羅斯、羅馬尼亞、
土耳其、印尼、越南和菲律賓，因為這些區域的受雇
DDoS 攻擊服務相當盛行。

網路罪犯 DDoS 服務 • 有些防毒產品使用輸出 DDoS 攻擊來偵測惡意軟需求不足，DDoS 服務利潤受到擠壓，導致一些進階了解更多：

體。因此，DDoS 攻擊中使用的機器人生命週期的 DDoS 服務從網路罪犯論壇的「公開可用服務」轉
2020 年 11 月至 2021 年 5 月期間，DDoS 攻擊的分享 Microsoft 現在如何以零信任模型保護網路 –
比過去更短，使 DDoS 服務需要持續購買新載運移到較不進行宣傳的私人服務。
平均價格提高了超過 500%。價格上升的原因是多面 Inside Track 部落格 (英文 ) (2021/4/22)
以維持其功能。
向的：零信任網路：適用於領導者的經驗分享 (英文 )
• 改進的 DDoS 緩解風險策略，使執行品質攻擊變
(microsoft.com) (2021/1/5)
為 DDoS 服務銷售的商品成本不斷上升，使其更加昂得更加複雜。
零信任網路工程中的經驗教訓 (英文 ) (microsoft.com)
貴，並且導致供給相對於需求而有所減少。
想要進行 DDoS 攻擊的行為體越來越常依賴這些 (2021/1/5)
• 當所有貨幣化策略的載運需求超過供給時，轉化
DDoS 服務進行攻擊。因此，許多攻擊者不再具備自
成 DDoS 機器人的載運價格也提高了。(載運是
行進行 DDoS 攻擊的技能或基礎結構。換句話說，由
新感染的裝置，這些裝置會賣給協力廠商，在裝
於缺乏其他手法，成本正在上升。
置上安裝其惡意軟體。) 攻擊者已找到更有效的
從 6 月底開始，DDoS 服務的廣告成本已回到 2020
策略來貨幣化載運，這些載運提供的價值高於用
年 11 月觀察到的平衡狀態。這種轉變很可能是由兩
來進行 DDoS 攻擊的價值。其中包括購買載運以
個因素所造成的。首先，最近可向 DDoS 服務購買的
執行勒索軟體、間諜軟體、廣告軟體和銀行竊取
新載運供給增加了。其次，進階 DDoS 服務的廣告減
貨幣化策略。
少了。由於高價格 DDoS 服務的成本增加以及對其的
DDoS 攻擊服務的平均價格

基礎結構也應考慮在內。因此，了解容器化環境中，尤其是
Kubernetes 中可能存在的各種安全性風險至關重要。
了解更多：
矩陣的演變：適用於容器 ATT&CK 的建置方式 |

雲端儲存體的威脅矩陣
隨著移向雲端使混合式工作團隊更加安全，組織也越
基礎結構是一個關鍵的威脅媒介。IT 和應用程式基礎 Microsoft 安全性部落格 (英文 ) (2021/7/21) 來越依賴雲端儲存體服務。他們需要有效的威脅防護、

MITRE ATT&CK 架構是網路攻擊已知戰術與技術的
結構 (無論是內部佈署、雲端或多雲端) 的定義是所有 Kubernetes 威脅矩陣 (英文 ) (microsoft.com) 降低風險策略和工具，以管理對雲端儲存體的存取。
知識庫。從涵蓋 Windows 和 Linux 開始，MITRE
硬體 (實體、虛擬、容器化)、軟體 (開放原始碼、第 (2021/5/10) 例如，Azure Defender 將以資料為中心的服務 (例如
ATT&CK 的矩陣涵蓋了網路攻擊 (戰術) 的各個階段，
一方和協力廠商、平台即服務 (PaaS)、SaaS、函式和雲端儲存體帳戶和巨量資料分析平台) 視為安全性周
並詳述其中每個階段的已知方法 (技術)。這些矩陣可使用針對 Kubernetes 的更新威脅矩陣保護容器化環
API)、微服務、網路基礎結構，以及開發、測試、傳邊的一部分，並提供優先處理資料儲存體及降低資料
協助組織了解其環境中的受攻擊面，確保其具備充分境 | Microsoft 安全性部落格 (英文 ) (2021/3/23)
遞、監視、控制或支援 IT 服務和應用程式所需的設施。儲存體的風險。Microsoft 雲端安全性研究人員在檢
偵測和降低各種風險的措施。
透過 Kubeflow 執行個體攻擊 Kubernetes 叢集的加密
Microsoft 已在這個領域投資了大量資源，以開發一查儲存體服務的受攻擊面時，指出在部署、設定或監
採礦攻擊 (英文 ) (2021/6/9)
套全方位的功能組，確保未來的雲端和內部佈署基礎視儲存體工作負載時應注意的潛在風險。我們已為儲
當 Azure 資訊安全中心團隊開始規劃 Kubernetes
結構安全。更新：協助塑造適用於容器的 ATT&CK (英文 ) 存體 102 製作了威脅矩陣，協助組織找出其防禦的缺
的安全性環境時，他們注意到雖然攻擊技術與鎖定
(2021/2/18) 口。我們預期矩陣會隨著發現更多威脅及更多威脅遭
Linux 或 Windows 的攻擊技術不同，但戰術卻相當類
與 MITRE 在 ATT&CK 式矩陣上似。例如，從 OS 轉換到容器叢集就是「對電腦的初
到利用而動態演進，而隨著雲端基礎結構在保護其服
務方面持續進步，技術也可能會遭到淘汰。
合作始存取」，而變成「對叢集的初始存取」。因此，團隊
建立了第一個 Kubernetes 攻擊矩陣：類似 ATT&CK
容器的彈性和可擴縮性鼓勵許多開發人員將其工作負了解更多：
的矩陣，包含與容器協調流程安全性相關的主要技術。
載移至 Kubernetes，這是一個開放原始碼系統，用
保護您的多重雲端資源 | Microsoft 雲端安全性 (英文 )
於自動化部署、縮放和管理容器化應用程式。雖然
儲存體服務的威脅矩陣 - Microsoft 安全性 (英文 )
Kubernetes 有許多優點，但其伴隨的新安全性挑戰
(2021/4/8)
基礎結構是一個關鍵的威脅媒介。
102
儲存體服務的威脅矩陣 | Microsoft 安全性部落格 (英文 ) Microsoft 數位防禦報告 | 2021 年 10 月 104
資料雖然資料對組織而言相當有價值，但資料價值隨著時
間的下降速度可能會快於與其相關聯的風險。104 因管
降低與資料相關聯的風險不僅在於去除舊資料並保護
現在保存資料的位置。其還與重新評估組織如何使用
了解更多
適用於統一資料治理平台的 Azure Purview | Microsoft

理疏失而累積的敏感性資料，不僅從儲存體的角度而敏感性資料進行業務有關，確保適當的儲存體、存取、
數位轉型和科技密集度 103 使資料呈指數成長，而組 Azure (英文 )
言相當浪費，還可能成為累積風險的因素。在資料快流動和生命週期，使這項敏感性資料不會以未受控制
織處理的資料量、速度及種類更是空前未有。這種資訊保護與治理 | Microsoft 365 (英文 )
速成長的環境中，我們並不難想像資料治理對安全性的方式保存或傳播。
成長，加上越來越多遠端工作團隊及雲端移轉，創
的影響越來越大。 Microsoft 365 中的 Microsoft 資訊保護 – Microsoft
造了複雜的資料蔓生，往往使安全性和法規要求與
隨著時間的推移，這意味著隨著組織發展其應用程式 365 合規性 | Microsoft Docs (英文 )(2021/8/26)
企業從該資料創造價值時所需要的存取互相衝突。我們可以從最近的隱私權計劃了解及重複使用許多內和基礎結構或進行新的商務投資，組織必須重新設計
Microsoft 資訊保護與 Microsoft Azure Purview：相得
容。擁有成熟隱私權流程的成功組織原本必須結合資高風險的業務流程，並遵循資料治理和安全性原則。
益彰 – Microsoft 技術社群 (英文 ) (2020/12/7)
資料治理是資料安全性的重要部分料治理和安全性，將其隱私權資料的使用量和受攻擊
面降到最低，以實現永續的合規性。這些安全性和合
在業務營運中有效管理敏感性資料生命週期和流動的
規性優點也可以透過使用與其他敏感性或受監管資料
組織，可讓資料安全性和合規性團隊得以更輕鬆地減
集相似的方法實現。
少暴露與管理風險。
統一資料治理和安全性對敏感性資料風險的累積影響
資訊權管理使用 (2020 年 7 月 - 2021 年 6 月)
圖表中的下滑與主要假期期間的使用量減少有關資料治理可以將資料的商務價值最大化，同時有助於將資料的安全性和合規性風險降到最低。
103
技術密集度如何加速商業價值 – Microsoft 產業部落格 (英文 ) 104
透過 5 個務實步驟實作您的資料和分析治理。 2020 年 7
月 6 日出版 – ID G00729295 – 作者： Guido De Simoni、 Saul Judah Microsoft 數位防禦報告 | 2021 年 10 月 105
人員混合式工作場所中內部風險的一
些指引
部威脅攻擊路徑中所有階段的風險。一般而言，我們
應該假設，隨著攻擊在路徑上進展，對組織或其關係
項計劃。隨著組織在預防性控制領域朝日益先進的能
力邁進，其始終應諮詢整個組織中適當的關係人。例
人造成的損失威脅會有所增加。預防性控制 (例如指如，在實作任何預防性控制之前，請向企業確認保護
協助人們適應新的工作方式是任何成功轉型的關鍵。如本報告針對零信任的章節所述，在為員工提供順暢示組織在何處報告內部威脅擔憂的認知訓練)，或旨在措施仍然可讓員工和承包商執行其合法的業務活動。
雖然組織正在賦予人們隨時、隨地及透過各種形式安資訊存取的同時降低意外洩露的風險是可能的。針對限制風險行為的控制 (例如限制離開組織的人員共用
全工作的能力，但我們發現最成功的是那些對終端使更多惡意內部威脅，使用常見因素的架構和經常看到檔案的能力) 是 Microsoft 為了降低風險而採取的兩
用者體驗感同身受的組織。的模式有助於實現主動偵測。Microsoft 的內部風險
計劃已結合了多種預防性控制和偵測性控制，減少內
本章前幾節介紹了零信任六大基礎支柱的威脅形勢，
以及我們建議保護這些支柱的關鍵步驟。然而，重要
內部威脅攻擊路徑 105
的是我們實施零信任策略的每一個步驟都會影響組織
人員，而成功的實作不僅取決於人員，也同樣取決於
我們建立的系統和工具。公司與工作團隊針對遠端工
作和安全性的互動方式很重要。為了替本章做結，我
們將會討論關於人、任何企業的人類要素，以及最終
到我們最大的資產。
內部威脅攻擊有幾個常見的要素和模式，可透過關鍵路徑的方法描述。識別關鍵路徑中各個階段的指標，
有助於建立更主動的偵測。
105
改編自 Eric Shaw 和 Laura Sellers 的 Application of the Critical-Path Method to Evaluate Insider Risks (應用關鍵路徑方法來評估內部風險 )， Studies in Intelligence (情報研究 )， 59,2。 2021 年 Microsoft 數位防禦報告 | 2021 年 10 月 106
內部風險計劃利用各種人工智慧 (AI) 和機器學習 (ML) 內部威脅偵測的主要考量事項

以及簽章或規則型偵測 (包括來自我們內部風險管理
解決方案的偵測)，來完成偵測目標。雖然 AI 和 ML AI 和 ML 不一定永遠都規則和簽章型偵測更適合用於某些使用案例
是絕佳的工具，有助於減少與傳統規則型警示相關聯是答案
的一些雜訊，但組織必須具備適當的人員，且這些人
資料是關鍵有效的 AI 或 ML 方案需要了解和取得資料來開發、訓練和充實解決方案，以及
員必須擁有正確角色中在業務上可接受行為的「部落
追蹤性能計量
知識」，才能建立值得信賴的 AI 和 ML 模型。這項人
為輸入可讓標準監督或未受監督的 ML 更進一步預測您仍然需要人員對警示進行人為審查並找出微調機會至關重要 – 繼續「左移」
哪些警示是事件回應團隊最能付諸行動的警示。缺乏
網路安全性人才庫不斷雖然安全性專家仍然很重要，但資料科學家的寶貴技能也能派上用場
這項知識可能會建立各種雜亂的警示，且其調查價值
進化
有限。
AI 和 ML 不一定永遠都是答案

同理心非常重要為了支援員工的福祉，必須建立聆聽員工擔憂的管道了解更多：

和機制，提供賦予及回饋的機會，並擁抱合作。以整
彈性工作不會消失，而這也帶來了一些挑戰和壓力要若要在混合式辦公中蓬勃發展，必須支援彈性工作形
體、目的性的方法，將訊號整合到整個組織具凝聚力
素。團隊今年變得更加孤立，而數位疲勞是真實且不式 (英文 ) (microsoft.com)(2021/9/9)
的視野中，可讓組織更深入地了解組織中的相關趨勢，
容存續的威脅。五分之一的全球調查受訪者表示，其 Insider risk: Protect company data with insider
並進一步降低風險。因此，組織開始轉向 ML 來發掘
雇主不關心工作與生活的平衡。10654% 的人覺得工作 goodwill (內部風險：以內部商譽保護公司資料 ) –
工作場隱藏的徵兆，例如不適當通訊、威脅行為，或
過度。39% 的人感到疲憊不堪。而 Microsoft 365 數兆 Quartz (qz.com) (2021 年 6 月 )
會對員工和業務造成負面影響的動作。透過識別模式
的生產力訊號則量化了員工感受到的精確數位疲勞。
和違規行為，技術可在仍然能夠進行介入時標記風險， Data security: Eliminating insider risk in the hybrid
同時延續我們對使用者隱私權的承諾。 workplace (資料安全性：消除混合式工作場所中的內

正面的企業文化可降低風險
部風險 ) – Quartz (qz.com)
卡內基美隆大學安全性與隱私權機構 CyLab 最近的研
究顯示，約束員工、監視及處罰等負面嚇阻動作無法了解內部風險管理 - Microsoft 365 合規性 | Microsoft
降低內部風險。107 能夠降低風險的措施：重視且關注 Docs (英文 ) (2021/3/17)
員工參與度、聯繫及福祉。減少違反管理辦法與法規的風險 – Microsoft 技術社群

(英文 ) (2021/5/12)
Fostering safe communication at work – The

Washington Post (促進安全的工作溝通 - 華盛頓郵報 )
(2020/11/17)
Microsoft 客戶案例 – Avanade 使用輕鬆協調 (以

及 Microsoft 內部風險管理 ) 以降低內部風險 (英文 )
(2021/3/24)
假設正面意圖；假設會發生錯誤。
106
工作趨勢指數： Microsoft 針對工作方式的最新研究 (英文 ) 107 混合式工作文化如何協助您降低內部風險 - Microsoft 安全性 (英文 ) (2021/5/17) Microsoft 數位防禦報告 | 2021 年 10 月 108
第6章
假資訊
簡介
假資訊是一種新興威脅
借助媒體素養釐清事實
假資訊會為企業製造混亂
活動的安全性與選舉的公正性

簡介假資訊是一種新興威脅借助媒體素養釐清事實假資訊會為企業製造混亂活動的安全性與選舉的公正性
簡介：假資訊愈來愈周密，範圍愈來愈大，亟需嚴密關注
首席科學長 ERIC HORVITZ
假資訊是指蓄意使用假資訊，意圖影響輿論。編造假設來操控大眾的行為由來已久。然而，由於運算方法及基礎結
構的改進，改變了假資訊活動的力量、範圍和效率，讓假訊息在過去十年中出現了許多種新型態。這些方法為假資訊活
動注入了新的說服力。
廣泛使用的消費者平台及服務 (例如社交媒體、創作者平台、搜尋引擎及訊息服務)，現在為國家及非國家行為體提
供了有力的管道來散布假資訊。除了管道之外，這些服務也為惡意行為體提供現成的工具，讓他們可以實驗、監視、
反覆運用及最佳化假資訊活動的影響。
這些行為體利用商業線上平台作為假資訊的引擎，推動再者，國家和非國家行為體可以透過人工智慧 (AI) 方法，

以政治影響、極端化和造成混亂為目標的傳訊計劃。假利用人類認知的見解和資料，規劃及發動強大的心理戰。
資訊策略日益複雜，包括一致使用多種服務 108
來增援 ML 和推理可用來描繪個人和群體，也可用來針對個人
平台之間的訊息。產生假資訊計劃，藉此影響信念、意見和行動。
其次，機器學習 (ML) 和圖形的進步，也提供了大量的挪用消費者運算基礎結構、使用工具產生合成媒體，以

工具，讓他們可以用來偽造足以以假亂真的視聽內容，及利用 AI 引導心理戰，不管是個別運用或是配合使用，
這類內容稱為合成媒體和深偽。數十年來，政治領袖的全都令人感到憂心。當這幾項配合使用時，會大幅強化
照片和評論不停地遭到變造或斷章取義用為假資訊，而假資訊，並可能會對重度依賴受過教育和具備認知能力
且通常都會帶來引人注目的效果。然而，用以產生深偽之公民的民主健康和活力，造成嚴重的影響。
的技術，剛好為惡意行為體提供強大、通用的工具，可
以用來偽造行為及事件。這些方法為假資訊活動注入了
新的說服力。
108
Characterizing Search-Engine Traffic to Internet Research Agency Web Properties | Proceedings of The Web Conference 2020 (詳論 Internet Research Agency 網路資產中的搜尋引擎流量 ) (acm.org) Microsoft 數位防禦報告 | 2021 年 10 月 110
面對這樣的發展，我們可以做些什麼？方面，可以著重在辨識假資訊的主要位置和組織來源。
目前有一些技術的發展前景十分看好。這些技術在生假資訊是一種新散播假資訊的一般動機是損害實體的名譽，誤導消費
者對資訊的了解，或是影響特定事件的結果。這是對
我們亟需注意假資訊愈來愈周密，範圍也愈來愈大，
然後從多方面因應。首先最重要的是，我們必須深化
產工具及管線中使用了加密、安全性及資料庫等技術，
以驗證線上媒體內容的來源和編輯記錄，也就是內容
興威脅民主、公開討論和現代社會最大的威脅之一。
對現代媒體素養的投資，教導人們如何理解、預期和的出處 109

。跨組織堅實的合作，為媒體出處和真實性商用雲端運算、開放原始碼研究、AI 工具和演算法，
假資訊是一種不斷進化的資訊戰方法，於美國 2016
認識假資訊和錯誤資訊。媒體素養工作超越教育的範帶來令人振奮的進展。以及社交媒體的速度和規模，為假資訊和人們稱為深
年選舉之後聲名大噪，但自冷戰以來就廣為人知。這
疇，需要努力提供新型工具，協助人們鑑定新聞與資偽的惡意合成媒體，打造了完美的風暴。110 AI 技術
種方法風險極高，在造成社會分歧、極端化方面非常
訊的來源和真實性。其次，我們需要提供高品質的新我們正面臨國家和非國家行為體所展開前所未有的假可創造超逼真數位假象 (又稱為深偽)，包括經過操縱
有效，甚至在某些情況下還會影響選舉的結果。具有
聞，包括值得信賴的新聞組織。我們也需要現場的記資訊活動與相關網路行動。這類活動鎖定公共意識和的音訊、視訊、影像和文字，這些內容將會嚴重挑戰
地緣政治展望的國家行為體、極端意識形態的擁護者、
者盡心盡力清楚地了解、聽取及報導事件。此外還必知識作為假資訊，其他活動則鎖定企業營運和信任。我們區分真偽的能力。在這份報告中，我們使用「深偽」
暴力極端主義者，以及因為經濟利益而行動的企業，
須確保地方新聞的健全和活力。充分了解其發展十分重要，並一起透過意識、技術和一詞稱呼由 AI 產生經過操縱，並應用於惡意用途的
可以輕鬆以前所未有的規模，操縱網路上的敘事，造
政策來應對挑戰。面對不斷進化的新挑戰，需要在多媒體。
成嚴重的社會影響。
在技術方面，應用 AI 模式識別技術，偵測暗藏欺騙個領域上持續投資、創新和行動。我們在此一重要的
意圖的通訊模式和內容，相當值得期待。這類工作包章節中，回顧了其中的一些挑戰，並提供後續方向的
找出問題
括辨識視聽和文字媒體是否為偽造。此外在網路技術見解。
109
面對假資訊令人期待的一步 – Microsoft 面對問題 110
不同於一般常見的用法，這個詞彙在技術上是指特定類型的 ML (一種處理序，會公開大量多
元的資料，讓電腦提高自己的效能 )，這種 ML 會使用分層神經網路 (模擬人類大腦之資訊傳遞方式互相連線的電腦處理器 )，增強 ML 演算法的正確性。
深偽使用兩種演算法：第一種演算法先建立一部影片，再由第二種演算法嘗試判斷影片的真偽。若第二種演算法分辨出影片是假的，第一種演算法
會再次嘗試，直到結果呈現的樣貌充滿可信度為止。 Microsoft 數位防禦報告 | 2021 年 10 月 111
在注意力經濟中，網站和平台從使用者花在這些網站網路安全性中的平行性敵手會利用假資訊和網路攻擊進行破壞。一個協調的深偽

和平台上的時間獲取收益。這種以廣告為主的商業模假資訊活動，可以讓廣播和社會頻道充滿假資訊和謠
網路攻擊會損害數位系統的機密性、完整性和可用性。深偽是 AI 應用難以偵測的方式操控的照片、影片或
式，促成了建議引擎及策劃時間軸來誘使人點擊的頭言，打造玩弄情感的敘事內容，以埋沒真實的敘事。
假資訊攻擊和網路攻擊二者的差異在於目標；假資訊音訊檔案。將深偽當成武器使用，會對經濟和國家
條和醜聞、意見及虛假內容。時間軸策劃演算法促成這種控制方式與拒絕服務攻擊 (DDoS) 相似，會向目
也是一種攻擊，並會損害我們的認知能力。網路攻擊安全造成巨大影響。藉由侵蝕公眾對媒體的信任，
了同溫層、過濾泡泡和無意識的部落制度。同溫層和標服務和網路發送過剩的連線要求，形成網路超載，
利用電腦基礎結構進行擾亂，而假資訊則會利用人類深偽會破壞媒體的可信度。隨著這種可信度的削弱，
過濾泡泡讓使用者主要看到的，都是與其信念、偏見導致服務和網路無法處理正常的要求。假資訊也可以
的基礎結構 (我們固有的認知偏見、邏輯謬誤和心理深偽也促成了「說謊者紅利」的現象。在不清楚真
和需求相符的內容，更進一步強化了他們的信念偏差，大規模應用在社交工程威脅。一如釣魚攻擊會入侵 IT
上的弱點)，損害邏輯、分析和批判性思考能力。偽的環境下，駁斥任何不便或不受歡迎的真相變得
也篩選掉了相反的觀點。邪惡行為體會濫用注意力經系統擷取資料一樣，假資訊活動會玩弄情緒，為網路
較為容易。例如，深偽讓公眾人物可以聲稱他們的
濟，並利用廣告商業模式來操縱社交媒體的敘事，製罪犯提供另一種可行的詐騙手法。深偽影片和音訊可
我們因此可以將假資訊和計算性宣傳帶來的威脅視為真實行為是假的。
造分歧和動亂。能會誘使員工交出或提供可以用來存取商業網路的登
認知攻擊。認知攻擊會使用假資訊操控群眾感知現實
入認證。
的方式，試圖改變目標群眾的想法和行動。邪惡行為深偽技術的擴散會直接傷害個人。深偽色情內容已被
「過濾泡泡」和「同溫層」體利用像是操控、錯誤脈絡化或濫用資訊等各種技術用來在人們毫不知情的情況下，物化及傷害人們，尤

達成認知攻擊。最終，這些攻擊會製造社會動盪、惡其是女性或自我意識為女性的人。這種報復性色情內
化極端化、影響選舉結果、干擾民主原則、助長金融容，現在已成為一個重大問題：佔深偽影片的 96%
詐欺，以及威脅生命與財產。以上
在注意力經濟中，使用者愈來愈只會接觸到符合他們偏好的資訊 (圖中的藍色區域 )。
過濾泡泡代表的演算法，會根據使用者先前的搜尋歷程記錄及其他線上活動選擇內容。

都是未經當事人同意的色情內容。111 個人的名譽可能
會因張貼在社交媒體上的一部深偽影片，遭致損害到借助媒體素養釐大學和社交媒體公司，都已經開始進行媒體素養工作，
包括標記、情境化、提供進一步的閱讀或資源，甚至
的對象時，政府引進了多種平台的資訊素養及強而有
力的批判性思考，作為國家課程核心的一環。117
無法修補的地步。
罪犯可以並會利用 AI 和深偽，提高詐騙和其他惡意
清事實是運用像是線上測驗等的遊戲化工具。
媒體素養課程應能該個人了解其收到的資訊，評估其
活動的有效性。我們最近看到了利用音訊深偽的商業提高媒體素養對於處理假資訊至關重要。干預行動應可信程度，驗證來源，以及搜尋其他與主題相關，而

Pew Center Research 指出，人們愈來愈關切他們區
112
和愛情 113 詐欺。即使在有效地揭穿深偽之後，損從年輕時開始，並加以情境化，同時針對目標受眾量且信譽良好的來源，進而詮釋內容。在當今包含無限
分假資訊的能力，並會針對他們每天收到的資訊量進
害仍然存在。深偽也為社會帶來直接的威脅。邪惡的身打造，以將負責任的數位公民意識，融入標準公民資訊的網路世界裡，這些技能可能無法憑直覺，但可
行篩選。114 媒體素養是提升個人分辨假資訊之能力最
國家行為體全天候工作來傳播假資訊活動，這類假資教育中。美國一些州 (尤其是佛羅里達州和俄亥俄州) 以隨著時間學習而加以磨練。此外，媒體素養教育無
有效的工具之一。從協助人們了解細微的編輯改正，
116
訊活動包含的深偽內容愈來愈多，在世界各地的民主已經開始在教室中，試驗和發展媒體素養課程。在須侷限在教室裡：這些技能普遍相關，尤其是針對非
到防止假新聞獲得認同，以及降低外國勢力破壞選舉
中，製造意識形態衝突。他們有效地利用了假資訊，芬蘭，當國家於 2014 年成為外國勢力活動的目標，數位原生世代，或經常在線上取用新聞和資訊的群眾。
的可能性，媒體素養可透過協助個人批判思考其收到
並賦予國內行為體干擾選舉的能力，同時也破壞了控以及俄羅斯假資訊活動
的資訊，為個人先打上預防針。
制新冠病毒 (COVID-19) 疫情的工作。將視訊轉碼器
對抗假資訊的方法
改換成深度神經網路等創新技術，使得在即時視訊通即使只是對媒體素養教育的簡短干預，也能在了解假
話中製造深偽，變得更加容易。資訊、分辨動機和內容，以及減少相信不真實內容等
方面展現巨大的差異。115 新聞媒體組織、科技公司、
Microsoft Research 與 Microsoft 的 Responsible AI
團隊及 Microsoft AI, Ethics and Effects in Engineering
and Research (AETHER) Committee 互相協調，持續
開發用於訓練和測試深偽偵測技術的技術。
111
The State of Deepfakes: 2019 Landscape, Threats, and Impact | Sensity AI (深偽現況： 2019 情勢、威脅和影響 | Sensity AI) 112 Thieves are now using AI deepfakes to trick companies into sending them money – The Verge (竊賊們正在使用 AI 深
偽，向公司詐取金錢 ‒ The Verge) 113 Romance Scammer Used Deepfakes to Impersonate a Navy Admiral and Bilk Widow Out of Nearly $300,000 (愛情詐欺犯使用深偽假冒海軍將軍，騙取寡婦將近美金 300,000 元 ) (msn.com) 114 Many Americans
Believe Fake News Is Sowing Confusion | Pew Research Center (許多美國人相信深偽新聞正在製造混亂 ) ( journalism.org) 115 A digital media literacy intervention increases discernment between mainstream and false news in the United States and
India. (在美國和印度，數位媒體素養干預行動提升了區別主流與假新聞的能力 )(2020) 116 Media Literacy Around the States | Media Literacy Now (美國的媒體素養 | Media Literacy Now) 117 https://www.theguardian.com/world/2020/jan/28/fact-
from-fiction-finlands-new-lessons-in-combating-fake-news Microsoft 數位防禦報告 | 2021 年 10 月 113
Microsoft 不間斷地開發媒體素養資源，協助消費者辨
別資訊。在美國 2020 年選舉之前，我們發行了 "Spot 假資訊會為企業潛力。下列三個領域提供一些比較平常，企業可以優
先考慮的考慮事項，確保企業準備好應戰，降低假資
要施行復原力更強的做法。有哪些轉折點或資
訊交換點或解譯點，需要更加嚴謹、更多控制，
the Deepfake" (找出深偽)
解我的新聞) 119
118
和 "Know My News" (了
兩個網路測驗，期能藉此提高對合成
製造混亂訊帶來的負面影響。或是其他形式的檢查和平衡？根據此項分析導
入控制，甚至是頻外交叉檢查和驗證，以緩解
1. 假資訊和社交媒體帶來的效果一樣，都是依賴
媒體技術的認知，以及了解新聞來源。我們也發行了假資訊經由蓄意和毫無戒心之中間人組成的傳播鏈傳遭到汙染或描述錯誤的資訊所帶來的威脅，這
資料收集、彙總和散布等做法，滲透到企業的
"VaxFacts Quiz" (疫苗事實測驗)120，以在疫苗愈來愈普遞。蓄意行為體包括駭客、破壞分子，以及其他產生類資訊可能會破壞資料串流，以及從其衍生而
工作流程中。這些工作流程和資料施做本質，
遍施打同時，加強對新冠病毒 (COVID-19) 錯誤資訊的出的見解。
或傳播假資訊的中間人。這些中間人可能包括以社會、可能是自動或手動，甚至更先進的做法 (例如
認知。Microsoft 還開發了混合式威脅訓練課程，凸顯產業或社會領域為目標的國家行為體。其中也可能包利用 AI 功能)，也都可能發生資料外洩。複雜 2. 企業中的訊號和資料可能會透過安全弱點或攻
威脅份子愈來愈常使用網路安全和假資訊攻擊，以達括參與企業反間諜活動或反競爭破壞的中間人。員工、的 AI 演算法可能會遭到愚弄，其底層的模型也擊遭到入侵，從而注入假資訊。企業復原能力
成其目標。這些訓練課程模組針對了政治社群 (包括政廠商與供應商、其他合作夥伴與利害關係人、客戶，可能會因為過量的假資訊和其他類型的資訊攻檢測和威脅訊號的重要性常被輕忽，因而審查
治活動、政黨和政府機構)、記者和其他人權組織專門甚至是競爭對手，都可能是毫無戒心的中間人。這些擊而不堪負荷，導致錯誤或異常的見解與結果。程度不會與核心或主要服務或應用程式相同。
設計。人員會持續散播假資訊而不自知，既是不知情的受害一般而言，在缺乏適當偵測、及時通知、隔離資料和訊號收集有時會被歸類到附屬環境中的
者，也是毫無戒心的假資訊中間人。透過這些中間人和收回，以及深入防禦的情況下，自動化會面支援應用程式和系統。攻擊者和破壞人士了解
了解更多：
和其他資訊傳播方式，平行和並行的假資訊浪潮會阻臨資料外洩和損毀的威脅。反之，像是複製/貼這一點，因此會攻擊其認為是弱點的所在之處。
我們在保存和保護新聞業上的最新工作進展 ‒ Microsoft 礙或吞噬企業。這些浪潮可能如潮汐般容易預測，也上、旋轉椅 (將資料輸入一個系統，再將相同他們的主要偵查區域，包括營運安全性和控制
問題焦點 (英文 ) (2021/6/16) 可能會帶來像無法預期的海嘯，壓垮岸邊毫無戒心的資料輸入另一個系統)、螢幕截取，以及透過人系統，以及程式碼探索和設定的弱點，尤其是
村莊這類效果。在此案例中，岸邊的村莊就是企業資力評估和自動化方式彙總公用資訊等手動作業，次要系統或支援系統。若攻擊者可以繞過入侵
訊社群。如同其對社會言論造成的破壞性影響，這類也可能面臨破壞、損毀或細微修改的風險。為偵測而攻擊成功，可能會破壞威脅訊號，或是注
假資訊很可能具有破壞企業決策過程、製造商業混亂因應這項日益增長的威脅，企業決策者應評估入誤導的資訊。企業決策者應重新評估他們所保
和動盪，以及在員工、客戶和市場中埋下懷疑種子的企業的關鍵資訊收集和散發流程中，有哪些需
118
https://www.spotdeepfakes.org/en-US (與華盛頓大學知情公眾中心合作 ) 119 https://www.knowmynews.com/en-us (與 NewsGuard 合作 ) 120 Do you know the Facts about the COVID-19 Vax? (你
了解新冠病毒 (COVID-19) 疫苗的真相嗎？ )– NewsGuard (newsguardtech.com) Microsoft 數位防禦報告 | 2021 年 10 月 114
護的資產範圍和安全性，以及相關聯的檢測及訊其他媒體平台、公共網站和入口網站，以及鎖心。依賴外部情報來源，提供關鍵功能的企業，

號，將這些區域也加入核心或關鍵資產周邊的入定企業或其複雜供應鏈為目標的其他類型活動。需要對收到或取用的資訊保持警惕。資訊收集
侵偵測。這項審核包括評估測量網路區隔功效的破壞人士有時候會製造大量頻外假資訊，埋沒者和決策者必須驗證來源，並有方法可以交叉
控制、確認是否遵守資料和訊號分類架構、輸入事實和其他正確的資料。這種破壞手法常會越檢查情報。使用分級系統和架構有其必要性，
和輸出流量的特徵和模式、資料分類及相依性，過企業及其直接資訊，延伸至供應商和協力廠而且必須個別確認情報的真實性和出處。
以及確保資料在系統、待用狀態和備份中移動時商關係企業。他們的目標是在決策者和 (或) 前
之完整性的檢測。用以評估和指出關鍵系統性能線人員心中造成懷疑。假資訊可能會干擾供應
的檢測與訊號應加以編目，並針對弱點及入侵和商、物流、交貨、訂單，而假冒完成的威脅則
注入假資訊的可能原因，進行安全性和營運審查。會影響供應鏈和對產品及資源供應的信心。信
3. 情境情報可能遭替換成假資訊，或以細微的方心降低的影響可能會促成定價升高，並影響生
式遭到更改，藉此在決策者或前線人員的心中產成本。懷疑企業控制價格、供貨和供應商的
製造偏見或懷疑。情境情報包括威脅情報、危能力，可能會加劇破壞，迫使時間表加快，或
機情報、災害資料，以及其他有助於提高企業是造成決策不精確或不正確。又或者是造成復
對營運或競爭環境理解的資訊類型。破壞人士原、容錯移轉或後援等決策延遲，或是對決策
的關鍵策略之一，就是以假資訊替換情境情報。產生懷疑。破壞人士也可能會透過侵蝕信任感，
這種策略的部署環境，通常是被視為企業頻外或是呈現假的或不正確的資訊，以及領先或落
管理或超出企業控制範圍的環境，包括社交和後的指標，嘗試削弱前線人員對領導階層的信

建議：給企業主管的四點建議 • 分類並記錄遭到操控或導入的內容，以判斷或偵 3. 量化破壞的結果。上及離線備份，或是主動 - 主動模型的備援或並行。

測其模式。企業領導階層可以檢查資料流程、分析和人力及系統資訊破壞人士及攻擊者會積極搜尋備份設施、休眠資
隨著企業發展及其應變資訊破壞和假資訊的能力成
受影響點的相依性圖，估算假資訊和破壞造成的後果料存放區，或預計要淘汰而無人照看的資料和資料服
熟，在安全性控制、威脅分類和分析等領域，也衍生 • 判斷這些資訊在企業中散佈及傳播的方法。
及附帶損失。這類檢查的目標，在量化潛在破壞的爆務。當他們找到安全性控制的弱點時，不僅會造成資
出一些新的注意事項，必須立刻處理。為支援和增強 • 竭盡您當下所能，找出行為者與中間人的特性。
破範圍，評定其對企業營運、功能和聲譽的嚴重性。料外洩的威脅，其動作也可能會引發可能會帶來影響
企業改善其應變、優先處理等級最高的風險，以及投
• 公正、客觀地找出取用假資訊，或是遭假資訊影這類破壞的可能性和影響，應用來為降低風險和控制的隱私權事件。企業隱私權和安全性團隊必須仔細查
資推動或加速其達成企業目標的項目，可以從下列幾
響的企業功能、流程和系統。方面的投資提供資訊，並協助優先處理必須實作來為看主要資料來源，以及任何備份或備用資料存放區的
種做法著手，制定具永續性的風險緩解與改善措施，
必須評估破壞或資訊滲透的影響，並在之後加企業提供最適當之保護，以抵抗破壞和假資訊的保護控制，包括安全性措施、待用加密和傳輸中加密。這
以對抗資訊破壞和假資訊的影響。
入公司責任的考量事項中。措施。些環境和控制方面的差距，必須回報給企業領導階層
及時優先處理。
1. 將企業暴露於破壞、操控和假資訊的情況造冊。
2. 評定操控或假資訊的影響。 4. 評定破壞對隱私權的影響。
企業應該從困難的造冊工作，或追蹤針對其資訊系統
分析破壞和假資訊的影響，是企業管理和人力資源的假資訊和資訊破壞活動有時候會攻擊或威脅客戶及其
和資料發動的假資訊攻擊開始。這項造冊可以加入威
新興領域。經理人與人力資源部門應研究企業員工、他受保護的資料，這可能會為企業帶來嚴重的隱私權
脅與攻擊目錄中，作為企業安全性控制的一部分。
合作夥伴和客戶在面對假資訊的破壞，以及和假資訊問題。由於這些資料位於控制、入侵偵測，以及驗證
• 分類資訊操控和假資訊，並清楚指出目標結果和
互動時的行為反應。安全性和資料科學團隊應對 AI 和授權層防禦網路的深層，所以很難鎖定其主要來源
攻擊所造成的影響。
和完成訓練的演算法執行 A/B 測試，確保其或其模型或存放區。現代企業的控制，包括零信任的方法，以
• 若已知曉，請留意攻擊來源，或是可以導向其來未遭篡改。財務團隊和經濟學家可以研究破壞的成本，及依照隱私權法規、控制和指導方針，嚴格控管或限
源和動機的資訊。包括機會成本，以及與市場信心、收益、成長相關聯制資料存取。此外也可能套用主權規則與義務。在這
的負債，還有因為假資訊而增加的營運成本。種約束和限制下，企業應具備資料復原能力，包括線

活動的安全性與政治活動安全性特有的網路安全
性挑戰
溝通管道，確保發生問題時能夠找到連絡點一樣。候
選人在活動期間建立網路安全性文化也勢在必行，而
Microsoft 安全分數平均都增加了 18%。除了政治客
戶之外，其他高風險團體，包括人權組織、記者和媒
選舉的公正性政治活動因為本身的結構和生命週期，而有其獨特的
且不只有 IT 人員，還須包括與活動互動的每個人。
像是開啟多重要素驗證 (MFA)，利用密碼管理員提供
體組織，以及醫療保健組織，也都可以使用這項服務。
網路安全性挑戰。由工作人員、志工和顧問組成的活強式專用密碼，以及使用安全通訊管道進行活動通訊
從網路干預民主進程的威脅是一項重大的問題。 AccountGuard 的分布
動組織，通常會在個人宣布參選之後建立，然後快速這些相對容易的動作，就能在提高整個組織的復原能
Microsoft 已經關閉了數十個網站，因為這些網站遭
擴展。因此在整個活動中，團隊成員經常會被要求使力上產生巨大的差異。
到了國家行為體利用，並以勝選的政府人員及候選人、
用自己的個人裝置，包括手機或膝上型電腦。此外，
提倡民主的組織、維權者及媒體為目標。我們也看到
由於預算及 IT 專業知識有限，在決定要使用哪一種 Microsoft 開發了一項服務，處理活動工作人員使
一些國家試圖鎖定民主系統的重要基石進行攻擊，包
電子郵件和檔案共用提供者時，通常取決於個人的偏用個人裝置，以及活動業務所用之帳戶相關的挑
括投票系統與政治活動。我們也經歷過了精心操控社
好，而不是廣泛的安全性和風險評估。由於人們經常戰。Microsoft AccountGuard121 這項安全性服務整
交媒體平台，以傳播錯誤資訊和假資訊的情事。
加入和離開活動，並利用各種個人裝置來執行活動業合了所有帳戶的威脅偵測和通知，免費提供給使用
Microsoft 的捍衛民主計劃是為了進一步推動技術、
務，因此很難管理和施行強而有力的網路安全性做法。 Microsoft 365 產品的活動使用。當在 AccountGuard
提高網路復原能力，並和政府、活動及民主利害關係中註冊活動之後，就能將其涵蓋範圍延伸至和活動互
這些現實狀況導致政治活動面臨嚴重的網路安全性威動的任何人員，包括工作人員、志工、實習生、顧問
人互動，以因應網路干預為民主進程帶來的威脅。捍
脅，而惡意分子在複雜性、資源和容量方面所維持的等等。當活動相關的帳戶面臨國家行為體的威脅或遭
Account 目前在全球 32 個民主國家皆有提供。
衛民主團隊與 Microsoft 安全性社群的其餘部門合作
非對稱優勢，讓局勢更進一步加劇。政治活動是高價到入侵時，此服務便會提供通知及補救指引。這項服
之後，已在美國兩次重大的選舉，以及全世界數十場
值、高可見度的目標，但可能只有一個人專門負責組務目前為政治客戶保護超過 40,000 個帳戶，其中包
全國選舉中發揮保護的作用。這個獨特且重要的問題了解更多：
織的網路安全性。括政治活動、政黨、技術廠商和選舉部門。
空間，衍生出一套令人關注的網路安全性見解、挑戰
在 31 個民主國家為高風險客戶展開 AccountGuard
和解決方案，而我們必須正視網路安全性見解、挑戰
重要的是，身為安全性社群的一份子，我們持續提高在進入美國 2020 年選舉期間之後，AccountGuard 保護 ‒ Microsoft 問題焦點 (英文 ) (2021/3/9)
和解決方案，才能確保我們的民主機制安全。
對政治活動中網路安全性問題及其最佳做法的意識。計劃也為參與選舉的客戶，提供了更強大的身分識別
其簡單程度，和在活動人員與私部門之間建立良好的保護功能和復原能力審查。使用這些資源的組織在
121
https://www.microsoftaccountguard.com/en-us/ Microsoft 數位防禦報告 | 2021 年 10 月 117
對選舉基礎結構的威脅遠端威脅行為者所帶來的風險。雖然某些形式的連。此次事件可以提醒大家，弱點可能會在不適當的時

線或線上投票系統愈來愈受到歡迎，但這些系統仍機宣布，而環境的安全性則仰賴快速套用修補程式的
隨著 Microsoft 安全性社群合作夥伴遍布於公部門和
佔少數。能力。針對這項弱點，使用雲端基礎結構的客戶，常
私部門保護選舉基礎結構，可以明顯察覺到在選舉中
可以自動立即受到保護，免遭弱點的攻擊，遠比執行
使用雲端和內部佈署系統的差異，以及各式各樣必須
保護選舉系統
加以保護的選舉技術類型。我們的威脅模型環繞三大
需要修補之內部佈署伺服器的客戶快上許多。
選舉中有許多構成要素
更新和修補
系統分類，其中每個系統都有獨特的安全性考量事項共用服務彼此相連，而不光只是
和風險狀況。對於選舉官方及支援選舉 IT 運作的非官方廠商，主
不同於負責整個 IT 部門的非官方公司，地方政府常
要會建議制定全方位的策略定期修補系統，以將軟投票而已，從資料完整
會和他們的州/省、地區和國家層級機關共用 IT 系統。
整體而言，投票系統必須依法不得連線到網際網路環體維持在最新狀態，同時使用 MFA。這特別適合連
從管理觀點來看，這種做法提供了成本效益及優點，性考量到假資訊，乃至
境，亦即「實體隔離」系統。雖然這為維護和更新裝線到網際網路的系統，例如選舉支援技術和後台 IT
系統。2020 年美國選舉前不到三個月時，宣布了
但也會將網路入侵風險，從不相關的政府組織，擴散於保護選務人員的線上
置帶來了一些挑戰，但可以非常有效地降低
到選舉部門。例如，若某家州立大學的研究實驗室
ZeroLogon 弱點 (CVE-2020-1472122) 身分識別。
遭到入侵，由於共用 IT 系統，攻擊者可以橫向移動，
攻擊郡選舉的選民資訊入口網站。此外，維護和安全
性的責任，往往會由非官方服務提供者和地方政府分這其中有很多事一般選
投票系統 • 投票系統 (電子記票裝置、「投票機器」) 別承擔。共用服務突顯了盡可能區隔網路的重要性，
• 投票表裝置 (紙本投票用紙掃描機)
民看不到，但每一件都
可以限制從內部或雲端開始影響到選舉組織之網路事
件的影響。足以成為敵手攻擊選舉
連線的選舉支援系 • 選民註冊資料庫
統 • 選舉之夜結果報告網站公正性的潛在途徑。
• 電子投票名冊 (選民簽到平板電腦)
• 資訊入口網站
• 未受監管、連線到網際網路、共享擁有權風險最高
選舉後台 IT • 選民資訊入口網站
• 例行事務工作站和伺服器基礎結構
• 電子郵件和檔案
122
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472 Microsoft 數位防禦報告 | 2021 年 10 月 118
小型團隊和少量預算選舉的公正性 • 確保不會公開任何一個特定個人的選票。從理論轉向真正的選舉
在包括美國在內的一些國家/地區中，選舉不由聯邦 • 保證系統會正確地記錄選票，而不會「變更選票」。 ElectionGuard 在 2020 年 2 月，在威斯康辛州福頓

為了解決選民對於選舉系統日益高漲的信任問題，並
政府管理，而是由每個自治體負責執行和管理自己的 (Fulton) 社區舉辦的真實世界選舉中，進行了第一次
協助推動軟體獨立、選舉稽核性、以及安全性和加密 • 允許相關第三方監督員組織，驗證票匭已正確匯
選舉基礎結構。一些技術更高超，專以時間和資源有的試驗，其加入了 VotingWorks 的觸控式記票裝置，
原則，Microsoft 推動一個名為 ElectionGuard 的專案。總，且系統運作正確無誤。
限制之當地選舉辦公室為目標的敵手，其不對稱威脅以進行羅克郡 (Rock County) 的市政選舉。好幾百位
Microsoft ElectionGuard 是免費的開放原始碼軟體開
值得令人關注。如此報告先前所述，這些技術高超、市民第一次在執行 ElectionGuard 的裝置上投票。在
發套件，目的在打造一個更安全、可稽核、可驗證且了解更多：
堅持不懈的威脅行為體擁有的 IT 知識與金源，都超投票結果公布後，每位選民都收到了一組驗證碼，讓
效率更好的投票系統。其實作了端對端的可驗證性原
LinkedIn 貼文： ElectionGuard 是什麼？ (英文 )
過地方自治體的年度預算。因此，私部門和公部門都他們可以在家連線查看自己的投票，是否包含在最終
則，並為「我如果擔心軟體、硬體、傳輸基礎結構或
(Microsoft 問題焦點 ) (英文 ) (2020/3/27)
必須採取步驟，專注在網路安全性人才和資源，才能票匭中。
選務人員不值得信任，我要如何相信選舉結果的正確
抵銷和平衡這種不對稱的情況。
性？」這個問題解套。
ElectionGuard 是免費的開放原始碼軟體，不收任何
為了協助選舉組織處理這些問題，捍衛民主團隊著重權利金，而且所有原始程式碼都可在 GitHub 上公開
與銀行軟體或其他高安全性產業不同，不記名投票選
在保護及支援使用雲端服務支援其選舉的客戶，其中檢視。123 Microsoft 相信選舉的安全性
舉要求不得向他人揭露個人資料 (選票)，且除了確認
包括私部門與公部門。我們的目標是利用 Microsoft
選民已經投票之外，個人身分識別與其選票之間不得
的網路安全性專業知識，抵銷地方選舉或小型選舉廠
有直接關係。
商所面臨的不對稱威脅。
ElectionGuard 實作了下列端對端可驗證功能：
了解更多：
• 每個人都有專屬的驗證碼，可以驗證自己的選票
保護您的投票安全： 2020 年選舉案例 – 問題焦點已包含在最終票匭中。
(英文 ) (microsoft.com)
• 確保不會公開任何一個特定個人的選票。
保護政治活動免於駭客攻擊 – Microsoft 問題焦點
• 加密可以保證不會有任何選票可以在不被偵測到
(英文 ) (2019/5/6)
的情況下，於投票之後遭到更改。
123
https://github.com/microsoft/electionguard Microsoft 數位防禦報告 | 2021 年 10 月 119
不應淪為空談，獨立的安全性研究人員應能驗證軟體訓練以降低風險需要對策技術性的對策並不簡單。合成媒體的技術發展，仍持

的完整性。為此，我們實施了一個錯誤懸賞計劃，對續超越演算法和其他技術可能實現的內容。深偽的技
時至今日，Microsoft 已針對橫跨網路安全性和假資為確保能夠取得可信的資訊，並維護言論自由，我們
於在 ElectionGuard 軟體中找到弱點的安全性社群，術解決方案可以歸類成 (1) 偵測及驗證，以及 (2) 出
訊威脅的主題，訓練了 1,500 名來自政治、公民社會、需要一種多利害關係人和多模型的方法。任何對策的
Microsoft 將會提供奬勵。自 2019 年 10 月推出以來，處。偵測深偽和假資訊相當困難。人類與 AI 合作可
媒體和人權部門的參與者。這些訓練專為世界各地的主要目標，都是降低假資訊對社會的負面影響。
該計劃已頒發了數萬元的錯誤懸賞給世界各洲的研究提供協助，但背景、文化上的差異及意圖，使得客觀
群眾量身打造，包括政治活動工作人員、政黨和其
人員。透過這種方式，社群會找出安全性問題，然後地破解假資訊相當困難。從長期來看，出處解決方案
他在民主國家中的政府機構。在美國 2020 年選舉之具體而言，當涉及惡意合成媒體時，方法必須是雙重
負責任地回報，所有修補程式會在報告後的 90 天內將能提供協助。媒體必須發展媒體驗證、權威內容，
前，Microsoft 與紐約大學的布列寧司法中心 (Brennan 的：(1) 降低暴露於惡意深偽的風險，以及 (2) 將其可
發行，選民在實際的選舉系統中，永遠不會用到可能以及類似於網路流量之 SSL/HTTPS 的標準。協助「簽
Center for Justice) 及 CISA 合作，針對勒索軟體、疫能造成的損害降至最低。
含有弱點的程式碼。對選舉的公開信任部分，仰賴於署」媒體，以尋找媒體發行者的技術、可供機器閱讀
情準備、威脅情報和選舉日模擬演練等主題，訓練了
支援我們選舉系統與流程的獨立稽核能力。我們持續媒體素養的努力可以進一步提升，培養具識別力的群的指紋，以及防止篡改媒體的浮水印技術，也能減少
超過 400 名美國選舉官方人員。此外，Microsoft 也
歡迎世界各地經過訓練的安全性研究人員，提出對服眾。若媒體消費者都能使用邏輯思維和常識來區別虛媒體操控，有效地對抗深偽的擴散。
與波因特 (Poynter) 學院的 PolitiFact 合作開發混合式
務的改進建議，並獨立測試 ElectionGuard 的安全性構和真實，深偽造成的負面影響就有限。因為許多人
威脅訓練課程，探索網路安全性和假資訊的交集，因
和加密。只要內容與其偏見相符，便會假設一段影片、一張照
為這些威脅面正逐漸互相重疊，特別是對政治和媒體
組織的攻擊上。片或一段音訊是真的，以致於深偽能夠具備如此潛在
了解更多：
的破壞力。又或者，人們通常會認為，只要內容與其
Hart 與 Microsoft 宣布合作打造更為安全並可驗證的了解更多：信念相衝突，該內容便是偽造的。
選舉 – Microsoft 問題焦點 (英文 ) (2021/6/3)
捍衛民主計劃 ‒ 問題焦點 (英文 ) (microsoft.com)
我們需要有意義的法規和適當的法律來治理假資訊和
Microsoft wants to make voting more trustworthy.
深偽，以至少讓罪犯負起責任。若沒有立法及法律補
Its partnership with Hart InterCivic will help –
救措施，人們便會很容易受到假資訊活動，以及深偽
CNN (Microsoft 希望提高選舉的可信任度，而與
Hart InterCivic 的合作，將有助其達成目標 – CNN)
報復性色情內容、詐欺和其他型態的傷害。當然，立我們並非認為 ElectionGuard 能
(2021/6/3)
法必須以平衡的方式對待言論與意見自由。
夠完全遏止投票機器遭駭，但
Microsof t hopes this technology can help fix 期許 ElectionGuard 讓駭入投票
America’ s elections (cnn.com) (Microsoft 希望這項
機器變得毫無意義。
技術能協助矯正美國選舉 ) (2020/2/22)

第7章
可付諸行動的見解
簡介
報告結果摘要
總結
簡介報告結果摘要總結
簡介：五項網路安全性典範轉移
ANN JOHNSON、CVP、安全性、合規性和身分識別
在與世界各地的組織合作時，我們了解到，讓人們安全有效率地從各種非傳統地點及使用各種裝置工作的必要性。
從這些互動中，我們也深刻了解到，網路安全性在我們適應混合式工作環境時，對組織維持業務續航力上所扮演的
角色。因此，我們預期會有五項網路安全性典範轉移，以人和資料為中心，協助工作的演化。
我們知道，一個全
1. 數位同理心的崛起同理心不只是人與人之間的互動而已。將同理心 2. 零信任變得愈來愈重要方位的營運復原方
零信任是一種「假設缺口存在」的安全性態勢 124。
當我們考慮將安全性納入生產力體驗時，可能會應用在數位解決方案上，可以讓這些解決方案更
法必須包含網路復
從單純的技術觀點，轉變成關注安全性。然而，具包容性。在網路安全性方面，這意味著建置各這種態勢將人們在網路中的每一步和每一個資源
身處在干擾及變化不斷的時代，當人們經常要面種工具，以滿足不同人們及其不斷變化的環境、存取要求，都視為一個獨特的風險，需要加以評原能力。
對壓力上升後的反應時，數位同理心便相形重要多元的觀點及各種能力。例如，與其要求人們不估和驗證。這種模型從每一處都需要強式身分識
了。數位同理心需要思考人們的行為，以及人們自然地採取安全性措施，讓他們忙碌時感到綁手別驗證開始。多重要素驗證 (MFA) (已知可以預防
與技術互動的方式。這種方式中對於社會學和人綁腳，不如納入數位同理心，一方面可以廣納各 99% 的認證竊取) 及 125 其他智慧型驗證方法 126 相
性的思考，大大地影響了技術和網路安全性的種能力、技能和觀點的安全性專業人員，一方面較於傳統密碼，存取應用程式變得更容易，而且
進化。還能提升安全性解決方案的面相及效率。這也表更安全。
示開發的技術應能容許錯誤。隨著疫情之後勞力和預算回升，零信任將成為網
數位同理心對於產業的前進關重要。無論組織或路安全性中最需要投資的領域。這表示無論知不
個人，同理心的能力讓我們能夠理解及順應這多知道，當今的每一個人都在使用零信任。
變的時代。
124
零信任安全性模型及架構 | Microsoft 安全性 125
只要一個簡單的動作，就能保護您的帳戶免於遭受 99.9% 的攻擊 (microsoft.com) 126 Azure Active Directory 無密碼登入 | Microsoft Docs Microsoft 數位防禦報告 | 2021 年 10 月 122
3. 資料多元性相當重要
Microsoft 每天追蹤超過 24 兆個信號，各來自
事件 (例如天氣事件)、無法規劃的事件 (例如地
震)、法律事件 (例如網路攻擊) 及疫情 (例如新報告結果摘要
全球各地各式各樣的產品、服務和摘要。我們冠病毒 (COVID-19))。雲端技術可協助組織制定
我們在撰寫這份報告時，清楚地了解到技術融入我們
能夠在客戶面臨威脅前，先識別新的新冠病毒全方位的網路復原策略，加上其靈活的擴縮性，
所有工作的程度之深。我們無法個別看待技術和網路
(COVID-19) 題材威脅 (有時候一秒鐘不到)。這可以為各式各樣複雜程度較低的應變計劃進行
風險，並放心地交由 IT 和安全性團隊自行管理。這
只是雲端的力量和規模，在對抗威脅時具備明準備。
份報告中的範例顯示，罪犯將會嘗試攻擊我們所開發
顯優勢的其中一例。
5. 更注重完整的安全性
和引進的技術，而我們的挑戰是推斷他們如何攻擊。
另一個範例是去年，資料多元性也同樣讓我們 2021 年上半年，我們的敵手變得更加靈敏和麻
由於我們無法一直預測技術遭受攻擊的方法，因此必
了解到新冠病毒 (COVID-19) 題材威脅，在更多木不仁。為了偵測不斷改變的攻擊者技術，並
須假設我們所建立或使用的項目，都是可能的目標，
環境中的攻擊。Microsoft 網路防禦人員判斷敵在對方造成真正的傷害之前加以阻止，組織必
並盡可能地準備好自身的復原能力。
手主要是將疫情題材相關的誘餌，新增到熟悉須能夠查看其應用程式、端點、網路和使用者。
的惡意軟體中。127 面對新的經濟現實，組織也被迫降低成本，在我們從此報告的所有要素了解到可付諸行動的重點
4. 企業的復原能力與其網路復原能力密切相關其所選雲端及生產力平台上採用更多的安全性是，若想要將攻擊的影響降至最低，必須真正實踐良
網路攻擊的頻率和複雜程度愈來愈高，而且這功能。為能充分發揮安全性組織的效率，必須好的網路衛生，實作支援零信任原則的架構，並確保
些攻擊都刻意將目標鎖定在核心商務系統，以完全整合各種工具，以改善效能，同時提供端將網路風險管理，整合到營運的每一個層面。
最大化攻擊造成的影響，或是取得勒索軟體對端的可見度。
贖金的可能性。因此我們了解到，一個全方下節摘錄一些我們從報告中的發現及見解，獲得更進
雖然數位加速將繼續影響塑造我們產業的典範一步確認的要點。
位的復原運作方法，必須包含網路復原能力。
轉移，但有一件事不會改變；從根本而言，安
128
Microsoft 的策略是聚焦在四個基本威脅情
全性技術就是透過安全和包容性兼具的使用者
境，並且獲益良多。這四個情境包括可規劃的
體驗來改善生產力和共同作業。
127
利用危機：網路罪犯在疫情期間的行為 – Microsoft 安全性 128
遠端工作世界的營運復原能力 (microsoft.com) Microsoft 數位防禦報告 | 2021 年 10 月 123
網路安全性的鐘形曲線：
基本安全性衛生仍能抵禦 98% 的攻擊
啟用多重要素驗證套用最低權限存取保持在最新狀態利用反惡意程式碼軟體保護資料

啟用多重要素驗證，讓惡意行為體更難利套用最低權限存取原則，利用限時存取和確保組織的裝置、基礎結構和應用程式全在端點和裝置上安裝及啟用反惡意程式碼確知敏感性資料的儲存位置，以及誰能存
用竊取或網路釣魚得來的認證。執行驗證限制權限 (JIT/JEA)、風險型自適性原則及都保持在最新狀態，而且設定正確，將軟解決方案，以阻止惡意程式碼執行。利用取這些資料。實作資訊保護最佳做法，例
及授權時，一律以提供的所有資料點為依資料保護協助保護資料和生產力，阻止攻體弱點的風險降至最低。端點管理解決方連線到雲端的反惡意程式碼軟體服務，以如套用敏感度標籤和資料外洩防護原則。
據，包括使用者身分識別、位置、裝置健擊者擴張到整個網路案允許將原則推送到電腦，以確保其設定使用最新而且精確的偵測功能。萬一發生外洩，安全性團隊必須知道最敏
康狀態、服務或工作負載、資料分類和異常。正確，以及系統執行最新的版本。感資料的儲存位置，以及存取這些資料的
位置。

網路衛生套用最低權限的存取權，以及保護最敏感和具備特殊保護和管理裝置 (隨時保持最新狀態) 如此操作的系統，應禁止其他系統存取，同時詳加監

權限的認證良好網路衛生的條件之一，就是能確保裝置維持在最視，以偵測未預期的流量或入侵系統的意圖。
採取基本的安全性預防措施，可協助您的組織做好準
當攻擊者入侵組織時，會尋找具備特殊權限的認證，新狀態，而且設定正確。使用端點管理軟體施行原則，
備面對現今大多數的網路威脅，降低其負面影響，並
以便能存取敏感性資訊和系統。除了使用 MFA 保護以部署正確的組態設定，並確保系統執行最新的軟體。使用反惡意程式碼軟體和工作負載保護工具
能夠隨著技術進步的腳步，妥為面對威脅。「網路安
登入身分識別，也必須確定這些身分識別只具備了存盡可能將所有元件保持在最新的狀態，以確保所有裝整個生態系統皆應部署反惡意程式碼軟體及偵測和回
全性鐘形曲線」顯示了對減少威脅影響程度最大的活
取系統所需的最低權限，並保護支援該身分識別及提置時時執行最新版本的軟體。這包括確定更新軟體或應技術來防止攻擊，並針對可能嘗試入侵環境的任何
動。下列顯示這當中一些動作、這些動作的影響，以
供存取之認證的安全。除此之外，萬一惡意程式碼已應用程式各項元件的方法，避免有任何相依性會妨礙異常或威脅發出警告。這包括 OT 和 IoT 環境。雲端
及實作這些項目時的建議。
在本機電腦或網路上執行，這也有助於將雜湊傳遞式實作最新的更新和修補程式。對於缺少關鍵修補程式系統的所有系統則應部署工作負載保護，從虛擬機器、
攻擊造成的影響和廣度降至最低。這包括保護硬體 (例的裝置，應限制其存取敏感性資源。容器，到機器學習 (ML) 演算法、資料庫和應用程式。

啟用多重要素驗證
如使用信賴平台模組或硬體安全模組)，或是使用雲
一如過往，此項目仍為建議之首。MFA 可在認證型攻
端驗證服務來提供認證保護。雲端服務也應採取相同的措施，使用雲端安全性態勢保護資料
擊發動之初，便加以阻止。因為攻擊者無法存取其他
管理，確保系統的設定正確。雲端上的軟體和系統可上述四個步驟中概述的良好網路衛生雖然可以保護資
要素，所以無法存取帳戶或受保護的資源。引進無密
和一般的網際網路和電子郵件存取權不同，特殊權限能比較容易時時保持在最新狀態，因為可以將更新領料，但組織也必須熟悉他們擁有的敏感性資料，確保
碼技術和架構，可讓員工和客戶更容易使用多重要素
存取權應個別授與帳戶。特殊權限帳戶及執行特殊權域移轉到更新後的基礎結構進行測試，以便在發生問已經採取適當的措施來保護這些資料。事實上大多會
驗證，而且相較於傳統的文字 (簡訊) 或語音方法，安
限工作時，應使用專用的強化工作站，以防止一般網題時，能夠選擇復原成原來的狀態。有法規要求採取這類措施。例如，一般資料保護規定
全性更高。只要帳戶支援 MFA，便應加以啟用，以方
路活動和電子郵件帶來的感染。使用 JIT/JEA 系統， (GDPR) 要求採用制定風險等級的方法來保護歐洲經
便所有使用者使用。許多人在收到快顯時，都會不假
可確保這些帳戶只獲得執行工作所需的權利，而且設對於更新軟體不易的系統 (例如 OT)，便需要強大的濟區域 (EEA) 居民的資料。若要使用制定風險等級的
思索地直接核准，因此應確定眾人了解，只有在自己
有使用期限。此作法應搭配依照風險等級制定的自適系統清查功能，才能了解到底有些什麼設備，以及這方法，您必須熟悉您的資料，才知道哪些是敏感性資
嘗試登入或存取系統時，才應核准 MFA 要求也很重
性原則一起執行，後者可以在懷疑帳戶或裝置的衛生些設備易遭受特定攻擊的風險有多高。加入附加模組料，哪些必須符合法規要求。雖然資料治理與資料保
要。在了解這項行為，以及協助推動人們採取風險較
時，拒絕其存取資源。或更換硬體來達成受保護裝置的七項屬性。對於無法護的標準已存在超過 30 年，但仍有許多組織無法實
低的決策時，可以應用數位同理心。

作這些標準。當未來的世界需要共同作業和共用資料隔離舊版系統將網路安全性整合到營運決策中問責，仍會回歸到營運。一如此報告中的各章節指出，

的機會愈來愈高時，熟知我們所擁有的資料、正確地處理我們所面臨的威脅和制定營運決策一樣，技術、
並不是每個系統都能執行工具來啟用零信任。例如，技術是當今企業營運不可或缺的一環，其重要性在過
加以分類，並適當地應用敏感性標籤便相形重要。這原則和人員的專業知識要混合運用。
許多營運技術 (OT) 系統的技術生命週期很長，而且去的 18 個月更是快速提升，連帶網路安全性必須成
套作法可讓我們利用資訊保護和資料外洩防護技術保
執行的作業系統和軟體常都無法更新。為整體營運決策的一個要項，而不再只是留給技術部
護資料，而且更加放心。組織中的每一位領導者，都應考慮如何讓員工和客戶
門處理的課題。
擁有更好的數位體驗，以及如何降低相關的風險。這
分割網路，以限制這些系統的存取。這可確保營運
當發生資料外洩時，這些作法也能協助安全性小組知包括諮詢網路安全小組，了解如何管理數位轉型期間
技術不會暴露在混合式工作所帶來的風險，而 IoT 將網路視為營運風險
道敏感性資料所在的位置，以及這些資料是否已洩露出現的風險。一如此報告所示，我們採用的所有新技
裝置和感應器都只能存取和連線到其所支援的智慧
給攻擊者。在看待網路安全性時，我們不應再將其視為只會在 IT 術和營運實務都有其既有的風險，在制定有關於技術、
生態系統。
部門範圍內發生的特有風險。這項專門技術仍然屬於原則或營運實務的決策時，必須一併考量這些風險。
採用零信任原則 IT 部門的範疇，就像財務風險管理專業知識一般會歸
這表示與其嘗試讓新舊系統並行，不如讓這些系統各
屬財務部門一樣，但風險最終的責任與
從這份報告中，我們看到了許多攻擊的精細度和複雜自獨立執行，不僅可避免連線到新式基礎結構所帶來
度，以及愈來愈難對抗這些攻擊的原因。零信任因為的風險，也能避免舊版技術阻礙了新式架構。此外也
網路安全性在數位轉型中的角色
可以限制組織內可能遭受攻擊的固有信任，因此對減可監視裝載營運技術和物聯網 (IoT) 裝置的環境，並
少敏感性資料外洩而言十分重要，特別是當人們正從聚焦無法在系統上安裝軟體的環境，偵測其中不尋常
四處進行連線，而且不一定會從「信任」的位置進行的活動，並採取相應措施。
連線時。正因如此，對大多數的組織而言，採用零信
任方法是目前的首要任務。當攻擊愈來愈難以預測或
預防時，假設攻擊者會入侵，並降低其暴露風險相當
重要。

安全性決策制定者在考量他們採取的措施要如何保護建立第三方風險計劃使用數位同理心實作安全性控制將安全性融入生產力。

組織，同時達成營運目標時，應正視風險管理。當您實作安全性控制時，請思考這些控制對員工或客
合作夥伴、供應商和承包商隨時會和連線到我們公司雖然連線的系統愈多，安全性可能變得愈複雜，但我
戶的使用體驗會有什麼影響。他們的背景、專業知識
的資料及應用程式互動。攻擊者愈來愈常將目標鎖定們重視技能、專業領域、工作和學習風格，以及背景
復原能力包括網路安全性在第三方提供者，先獲取其系統和網路的存取權，再等的多元性不會改變。切勿為了達成保護系統的目的，
和文化經驗是什麼？您要實施的任何控制，都應考慮
不具備技術背景的人員經歷。要實作控制是否直覺易
身處於時下事事需要網路連線的世代，我們在做任何進一步獲取其客戶的存取權。而期望或要求每個人都是傳統意義上的技術專家。
於理解？是否能自然貼合其工作流程？因為不了解施
事時，都必須將復原能力視成功的關鍵因素。數位轉
行控制的原因所引發的大量摩擦，反而會導致人們為
型讓我們的安全性解決方案日趨複雜，包括與第三方了解您供應商暴露在網路攻擊的風險高低、其設定的當您實作安全性控制時，應發揮數位同理心，確保您
了完成工作，而規避技術或不理會流程。
廠商的合作變得更多，而且期待系統全年無休地運作。系統保護程度如何，以及他們如何保護您提供給他們提供的控制考慮到系統使用者的工作環境，讓他們很
為輔助營運而建置的平台，必須具備從攻擊中完全復的資訊，以確保組織的供應鏈保證流程夠強健。運用快就能融入環境中。例如：

除了訓練人員之外，若實施的安全性也能貼合其工作
原的能力。強固的服務等級協定、證明和共用評鑑 (像是 SSAE
實務，而不只是適合技術或網路安全性專業人員而已，
網路安全性與復原能力應一併考慮。規劃營運復原能 18 SOC 1 和 SOC 2、PCI-DSS、GDPR 及 ISO 20001)，舉辦教育訓練教導使用者和提供相關資訊。
則人員了解風險並採取適當動作的機會便能相對提
力時，應同時了解系統的網路安全性威脅，然後施以管理第三方廠商的風險。實作安全性訓練，協助員工認知其面臨的風險，並建
高。除非需要協助用者採取適當動作管理風險，否則
適當的投資，確保永續的成功。議他們能夠協助保護組織的最佳方式。這項訓練應該
應盡可能地讓使用者感受不到網路安全性的存在。
第三方廠商在存取系統時，也應比照您的組織，遵循持續進行，並在設計中增加參與的程度。使用者訓練
實作良好的備份和強而有力的復原解決方案非常重零信任原則，以降低因為供應商系統遭到入侵而受到不僅只是合規性活動，也是能夠早期發現攻擊，進而
要，但組織也必須規劃發生網路攻擊時，營運該如何攻擊的風險。採取相應措施的重要一環。在舉辦訓練時，務必向員
應變，並就這些決策實施危機管理及其因應措施，以工解釋其工作環境中的風險，並提供適當的情境和工
及事件發生時的技術處理方式。具，協助其了解適當行為、認識攻擊，以及回報不尋
常的活動。培養其能力，加上信任和參與，將能大幅
提升回報率，預早獲得攻擊警報。

總結此報告不同章節中出現的一些關鍵主題，建議您在思
考改善安全性態勢時，能夠一起併入考量：
• 任何元素都可以用為攻擊媒介。
攻擊者會尋找組織生態系統中最脆弱的環節，因
• 零信任是一種架構主體。
我們看到的威脅，突顯了零信任在設計和管理組
• 打好基礎。此我們必須全面進行管理。最脆弱的環結有可能織風險方面的重要性。過去一年更是突顯了不具

隨著技術成為社會愈來愈不可或缺的一部分，攻擊者
雖然攻擊者的手段變得愈來愈精巧，良好的網路是連線的冰箱或大樓管理系統，藉此獲取公司網存取限制的信任應用程式、信任使用者或信任裝
也愈來愈常利用這種文化轉變進行攻擊。從網路罪犯
衛生和實作基本安全性措施，常都是瓦解、預防路的存取權；也可能是受到網路釣魚電子郵件侵置根本不應該存在。在允許存取資源之前，必須
到國家隊，無一不是精細而周密的組織，擁有資源、
和偵測其攻擊最佳的方式，此一主題貫穿了許多害的使用者或裝置，從其獲取工廠或生產工廠營先考慮每個連線的風險和背景。零信任不是一項
投資和研究，可以對組織部署複雜精密的攻擊。他們
章節。運技術的存取權。我們需要考慮和管理組織的整技術，而是一種管理風險的方法。若施行得宜，
是專業的公司，有自己的複雜供應鏈，以及經過他們
體受攻擊面。可以讓我們發揮現代化技術的潛力，同時降低我
精心研究和設計的誘餌，試圖攻擊您組織的運作。 • 全面觀點。
• 考慮人。們暴露在超連結世界中的風險。
我們組織安全性和風險的方式，往往從自己組織
這些罪犯和國家攻擊隊也和我們一樣，愈來愈常在線的結構和部門出發。攻擊者會從這些部門尋找弱人們使用技術，也可被利用成為存取數位環境的
上工作。當您在規劃數位活動時，請務必將這項事實點，因此我們必須思考風險及其最佳應變措施，媒介。思考該運用何種方法，協助他們了解其所
納入考量。在進行任何新的投資之前，請一併考慮威從組織層級將風險的降至最低。這些方法可能需面對的風險。了解、接觸並教育人們，協助他們
脅和機會，並思考如何為整個組織管理風險。要先加以標準化或轉化，然後再應用到組織中不成為抵禦現代威脅的關鍵防護線，對抗像是試圖
同的小組。這也突顯了當我們希望各家公司採取影響人們決策及破壞民主的假資訊，或是意圖存
我們需要從根本改變我們的思考方式，才能達成這種一致作法時，制定標準的重要性。取和入侵組織數位資產的網路釣魚電子郵件。
思維。我們必須考慮整體風險和整個組織，而不是從
部門或個人的觀點出發。我們必須檢視哪些地方需要
改變，以及哪些地方可以做得更好。

Microsoft 的參與團隊
參與團隊
Microsoft 的參與團隊
本報告中的見解及以上可付諸行動的學習內容，是由一群具有多元背景並以安全性為重點的人所提供，這些人
任職於 Microsoft 並來自數十個不同的團隊。他們的共同目標是保護 Microsoft、Microsoft 客戶和全世界免受
網路攻擊的威脅。我們很自豪能以透明的精神分享這些見解，共同目標是讓數位世界成為一個對所有人來說都
更安全的地方。
Azure 網路，核心
一個專注於 Microsoft WAN、資料中心網路及 Azure 軟體定義網路基礎結構的雲端網路團隊。這包括 DDoS 平台、
網路邊緣平台，以及 Azure 防火牆和 Azure WAF 等網路安全性產品。
雲端安全性研究團隊
一個致力於保護 Microsoft 雲端及建置安全性產品的團隊，其使命是保護客戶並讓客戶能夠安全地使組織轉型。
該團隊專注於 Azure Defender、資訊安全中心和 Azure Sentinel 的研究與功能產品化。
客戶安全性與信任 (CST)
一個跨領域團隊，推動我們產品和線上服務的客戶安全性持續提升。CST 與公司內的工程和安全性團隊合作，其使
命是確保合規性、增強安全性和透明度以保護我們的客戶，以及促進全球對 Microsoft 的信任。他們在全球制定及
宣導網路安全性政策，包括透過多方關係人協作來推動數位和平、著重於數位安全以保護客戶遠離有害的線上內容，
以及與公私組織協作以瓦解網路攻擊和支援反制行動。

參與團隊
網路防禦作業中心 (CDOC)
Microsoft 的網路安全性和防禦設施是一個融合中心，彙集了公司內的安全性專業人員，以保護我們的企業基礎結
構及客戶有權存取的雲端基礎結構。事件回應人員與來自 Microsoft 服務、產品和裝置群組的資料科學家和資訊安
全工程師合作，協助全天候保護、偵測及回應威脅。
捍衛民主團隊
一個與全球民主國家/地區關係人 (包括政府、非政府組織、學術團體和業界) 合作的 Microsoft 團隊，旨在保護活
動免受駭客攻擊、提高線上政治廣告透明度、探索技術解決方案以保護選舉過程，以及防範假資訊活動。
偵測及回應團隊 (DART)
一個 Microsoft 團隊，其使命是回應安全性事件，並協助 Microsoft 客戶更有能力應付網路攻擊。DART 利用
Microsoft 與全球各地安全性組織和內部 Microsoft 產品團隊的策略性合作關係，盡可能提供最完整和徹底的調查。
全球各地的政府和商業實體利用 DART 的專業知識，協助保護其最敏感、關鍵的環境。
數位安全性與復原能力 (DSR)
一個 Microsoft 組織，其使命是讓 Microsoft 能夠建置最值得信賴的裝置和服務，同時確保我們的公司安全且資料
受到保護。在公司內，DSR 將持續改進安全性策略，並採取行動以保護 Microsoft 資產及我們客戶的資料。
數位安全性部門 (DSU)
一個由網路安全性律師和策略性網路情報分析師組成的團隊，提供法律、營運、地緣政治和技術主題專業知識，以
保護 Microsoft 及我們的客戶。DSU 針對複雜數位安全性問題所做的分析及提議的解決方案，有助於讓人們信任
Microsoft 的企業安全性功能及防禦全球先進網路敵手的能力。

參與團隊
企業風險管理 (ERM)
一個專注於 Microsoft 商務目標主要風險的團隊。ERM 團隊會跨營業單位運作，以便與 Microsoft 的高層領導 (最終
與董事會) 就優先關注的風險進行討論。該團隊會管理公司的 NIST 網路安全性架構內部評估及關係到多個營運風險
團隊的企業風險架構，並與公司的內部稽核部門協調。
GitHub 安全性實驗室
一個以開放原始碼軟體為重點的安全性研究團隊。其使命是透過安全性研究、工具配置和會議等貢獻，協助保護
全球的程式碼，並搭建安全性研究與軟體開發社群之間的橋樑。
全球網路安全性政策
一個與政府、非政府組織和產業夥伴合作的團隊，旨在推廣網路安全性公共政策，讓客戶能夠在採納和使用
Microsoft 技術時，增強安全性和復原能力。
Microsoft 工程與研究中的 AI、道德和影響 (AETHER) 委員會

一個 Microsoft 諮詢委員會，協助確保以負責任的方式開發及佈署新技術。
Microsoft 客戶與合作夥伴解決方案
Microsoft 整合的商業上市組織，負責現場角色，例如安全性和技術銷售專家和顧問。
適用於 IoT 的 Microsoft Defender

一個由領域專家反向工程師和資料科學家組成的團隊。該團隊會持續對與 IoT 威脅和威脅行為體相關的大量資料執
行反向工程和分析，以更清楚地了解 IoT 環境並發掘相關趨勢和活動。

參與團隊
Microsoft Defender 團隊
Microsoft 最大的全球組織，成員包括以產品為重點的安全性研究人員、應用科學家和威脅情報分析師。Defender
團隊提供 M365 安全性解決方案和 Microsoft 威脅專家中的創新偵測及回應功能。
Microsoft 數位犯罪部門 (DCU)

一個由律師、調查人員、資料科學家、工程師、分析師和商務人士組成的團隊，透過技術、鑑定、民事訴訟、刑事
轉介及公私合作關係的創新應用，在全球打擊網路犯罪，同時保護我們客戶的安全性和隱私權。
Microsoft 安全回應中心 (MSRC)

屬於安全回應進化前線防禦者社群的一部分。20 多年來，MSRC 一直與安全性研究人員合作，致力於保護客戶和
更廣泛的生態系統。MSRC 是 Microsoft 網路防禦作業中心 (CDOC) 不可或缺的一部分，彙集了公司內的安全性回
應專家，以協助即時保護、偵測及回應威脅。
Microsoft 威脅情報中心 (MSTIC)

Microsoft 的集中化團隊，專注於識別影響 Microsoft 客戶的最複雜、先進的敵手，並追蹤和收集相關情報，包括
國家威脅、惡意軟體、網路釣魚等。MSTIC 中的威脅情報分析師和工程團隊與 Microsoft 安全性產品團隊密切合作，
開發及精簡我們安全性產品組合中的高品質偵測和防禦功能。
安全性、合規性和身分識別業務開發團隊
一個支援 Microsoft 安全性產品團隊的團隊，旨在提供最新網路安全性趨勢的市場見解，以做出明智的產品開發決
策。該團隊致力於與使用 Microsoft 安全性生態系統的獨立軟體廠商建立合作關係。

© 2021 Microsoft. 著作權所有，並保留一切權利。

Microsoft 數位防禦報告

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Microsoft 數位防禦報告

Uploaded by

Copyright:

Available Formats

Microsoft 數位防禦報告 2021 年 10 月

目錄 簡介 網路犯罪現況 國家威脅 供應鏈、IOT 及 OT 安全性 混合式工作團隊的安全性 假資訊 可付諸行動的見解 團隊

第1章 第4章 第6章

簡介 供應鏈、IOT 及 OT 安全性 假資訊

Microsoft 數位防禦報告 | 2021 年 10 月 2

Microsoft 數位防禦報告 | 2021 年 10 月 4

Microsoft 數位防禦報告 | 2021 年 10 月 5

混合式工作團隊的安全性 假資訊 可付諸行動的見解

Microsoft 數位防禦報告 | 2021 年 10 月 6

Microsoft 數位防禦報告 | 2021 年 10 月 7

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

將打擊網路犯罪視為首要任務。世界各地的政府通過了 合與成熟。以前，網路罪犯必須開發攻擊所需的所有 其他例子還包括販售可能透過網路釣魚取得的盜用認

有關呈報、建立跨政府任務小組、分配資源及尋求民間 技術。現在，他們依賴成熟的供應鏈，其中專家會建 證、抓取殭屍網路記錄或其他認證搜集技術、偽造

機構協助的新法。 立網路犯罪套件和服務，供其他行為體購買和納入其 網域名稱、網路釣魚即服務、客製的潛在客戶生成

Microsoft 數位防禦報告 | 2021 年 10 月 8

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

於更新受感染電腦上惡意程式碼的惡意軟體)、拒 雖然有時可能會有不同地區的行為體提供特定服務， 網路犯罪服務的平均交易價格

Microsoft 數位防禦報告 | 2021 年 10 月 9

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

勒索軟體基礎知識與分類 織的預算 (這甚至還未計入未見報的攻擊獲利)。 路安全性架構概況 。

管理/操作 團體 (例如 MAZE 聯盟會員) 的領導權和/或提供協調的功能 (例如管理或操作中央勒

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

例如，如右圖所示，威脅行為體可能會開發和佈署惡 根據受害者的管轄地，受害者可能必須通報資料外洩。 勒索軟體生態系統中實體之間角色和關係的範例分析

Microsoft 數位防禦報告 | 2021 年 10 月 11

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

Microsoft 數位防禦報告 | 2021 年 10 月 12

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

Microsoft 數位防禦報告 | 2021 年 10 月 13

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

此犯罪集團的進入門檻很低。網路罪犯不需要專精的 無論勒索軟體佈署在何處，威脅行為體通常會要求透 相關主題：要付還是不付？ 入之後，會使用其中一部分進行研發 (R&D) 以改

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

在決定是否要支付贖金時，請注意下列重要詳細資料： 支付贖金會助長勒索軟體犯罪集團 例證：CONTI 勒索軟體

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

Microsoft 數位防禦報告 | 2021 年 10 月 16

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

勒索軟體遭遇率 (電腦計數)：企業客戶 勒索軟體遭遇率 (電腦計數)：所有客戶

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

受勒索軟體影響的電腦計數 (依國家/地區) (2020 年 7 月 - 2021 年 6 月) DART 資料

DART 勒索軟體佔各產業的百分比 (2020 年 7 月 - 2021 年 6 月)

Microsoft 數位防禦報告 | 2021 年 10 月 18

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

預防勒索軟體及從中復原的 3 個步驟 (英文 ) | Microsoft 安全性部落格 (9/7/2021)

快速防範勒索軟體與勒索 (機器翻譯 ) | Microsoft Docs (8/24/2021)

Azure Sentinel 的勒索軟體融合偵測 (英文 ) (microsoft.com) (8/9/2021)

勒索軟體的威脅日益嚴重 (英文 ) - Microsoft On the Issues (7/20/2021)

人為操作的勒索軟體 (機器翻譯 ) | Microsoft Docs (5/27/2021)

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

網路釣魚及其他 根據我們對涉及商務電子郵件入侵 (BEC) 之線上犯罪

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

確定為網路釣魚的電子郵件 所見所聞 攻擊者也會使用同意網路釣魚來傳送使用者連結，

Microsoft 數位防禦報告 | 2021 年 10 月 21

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

每週的惡意軟體電子郵件數量 惡意軟體傳遞 有趣的是，在 2020 年 7 月到 2021 年 6 月期間，我

Microsoft 數位防禦報告 | 2021 年 10 月 22

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

HTML/Phish 偵測，僅包含使用 HTML 附件的網路釣 員的生日禮物或員工獎勵。攻擊者通常會要求收件者 偵測 Web 型網路釣魚 專為攻擊建立的網域相較於濫用合法基礎結構的攻

的電子郵件服務 (例如 Hotmail 或 Gmail) 來假裝成合 融交易，並要求收件者調整銀行帳戶資訊的對外電 攻擊。新式套件十分複雜，在拼寫、文法和影像使用 各個層面，使其電子郵件更有可能規避偵測和保護。

法的商業帳戶，然後傳送電子郵件來誘使收件者執行 匯部分。行為體會假裝成預期的收款人，讓受害者 方面，都足以假裝成合法內容。 防禦者除了必須保護公司，還有責任維護商務流程，

一些財務動作、交出敏感性資訊或提供資產 (例如禮 不覺得這有何異常。一旦受害者匯款到新帳戶，行 而攻擊者正是仰賴這點侵門踏戶。去年，Microsoft

品卡) 給攻擊者時，就會發生 BEC。 為體就會提款而可能很難追回。公司可以確保財務 越來越多的網路釣魚者利用合法基礎結構，但此模 安全性研究人員觀察到攻擊者在多個惡意電子郵件活

政策要求驗證才能變更帳戶，來協助避免這類詐騙。 式在偵測到的網路釣魚攻擊中仍佔少數。Microsoft 動中使用許多技術，使電子郵件對終端使用者和保護

簡介 網路犯罪經濟與服務 勒索軟體與勒索 網路釣魚及其他惡意電子郵件 惡意軟體 惡意網域 對抗式機器學習

Microsoft 數位防禦報告 | 2021 年 10 月 24

目錄簡介網路犯罪現況國家威脅供應鏈、IOT 及 OT 安全性混合式工作團隊的安全性假資訊可付諸行動的見解團隊

第1章第4章第6章

簡介供應鏈、IOT 及 OT 安全性假資訊

混合式工作團隊的安全性假資訊可付諸行動的見解

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

將打擊網路犯罪視為首要任務。世界各地的政府通過了合與成熟。以前，網路罪犯必須開發攻擊所需的所有其他例子還包括販售可能透過網路釣魚取得的盜用認

有關呈報、建立跨政府任務小組、分配資源及尋求民間技術。現在，他們依賴成熟的供應鏈，其中專家會建證、抓取殭屍網路記錄或其他認證搜集技術、偽造

機構協助的新法。立網路犯罪套件和服務，供其他行為體購買和納入其網域名稱、網路釣魚即服務、客製的潛在客戶生成

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

於更新受感染電腦上惡意程式碼的惡意軟體)、拒雖然有時可能會有不同地區的行為體提供特定服務，網路犯罪服務的平均交易價格

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

勒索軟體基礎知識與分類織的預算 (這甚至還未計入未見報的攻擊獲利)。路安全性架構概況。

管理/操作團體 (例如 MAZE 聯盟會員) 的領導權和/或提供協調的功能 (例如管理或操作中央勒

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

例如，如右圖所示，威脅行為體可能會開發和佈署惡根據受害者的管轄地，受害者可能必須通報資料外洩。勒索軟體生態系統中實體之間角色和關係的範例分析

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

此犯罪集團的進入門檻很低。網路罪犯不需要專精的無論勒索軟體佈署在何處，威脅行為體通常會要求透相關主題：要付還是不付？入之後，會使用其中一部分進行研發 (R&D) 以改

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

在決定是否要支付贖金時，請注意下列重要詳細資料：支付贖金會助長勒索軟體犯罪集團例證：CONTI 勒索軟體

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

勒索軟體遭遇率 (電腦計數)：企業客戶勒索軟體遭遇率 (電腦計數)：所有客戶

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

網路釣魚及其他根據我們對涉及商務電子郵件入侵 (BEC) 之線上犯罪

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

確定為網路釣魚的電子郵件所見所聞攻擊者也會使用同意網路釣魚來傳送使用者連結，

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

每週的惡意軟體電子郵件數量惡意軟體傳遞有趣的是，在 2020 年 7 月到 2021 年 6 月期間，我

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

HTML/Phish 偵測，僅包含使用 HTML 附件的網路釣員的生日禮物或員工獎勵。攻擊者通常會要求收件者偵測 Web 型網路釣魚專為攻擊建立的網域相較於濫用合法基礎結構的攻

的電子郵件服務 (例如 Hotmail 或 Gmail) 來假裝成合融交易，並要求收件者調整銀行帳戶資訊的對外電攻擊。新式套件十分複雜，在拼寫、文法和影像使用各個層面，使其電子郵件更有可能規避偵測和保護。

法的商業帳戶，然後傳送電子郵件來誘使收件者執行匯部分。行為體會假裝成預期的收款人，讓受害者方面，都足以假裝成合法內容。防禦者除了必須保護公司，還有責任維護商務流程，

一些財務動作、交出敏感性資訊或提供資產 (例如禮不覺得這有何異常。一旦受害者匯款到新帳戶，行而攻擊者正是仰賴這點侵門踏戶。去年，Microsoft

品卡) 給攻擊者時，就會發生 BEC。為體就會提款而可能很難追回。公司可以確保財務越來越多的網路釣魚者利用合法基礎結構，但此模安全性研究人員觀察到攻擊者在多個惡意電子郵件活

政策要求驗證才能變更帳戶，來協助避免這類詐騙。式在偵測到的網路釣魚攻擊中仍佔少數。Microsoft 動中使用許多技術，使電子郵件對終端使用者和保護

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

神秘的網路釣魚者：複雜網路釣這種網路犯罪世界分層會對商務基礎結構造成更大但相較於經驗更豐富的網路釣魚套件作者和整體行

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

無論我們準備了多少保護控制，降低風險仍然是打擊網路釣魚的一個關鍵要素，因為威脅行為體會透過增加複雜除了偵測和保護之外，我們還必須培養安全意識的文化，讓員工 (我們的最後一道防線) 具備識別網路釣魚的技能，

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

網路釣魚在過去一年持續成長，而支援攻擊的惡意軟意軟體之間使用 (不論複雜度為何)，因此特別醒目，

Defender 威脅情報觀察到幾個關鍵惡意軟體領域近體戰術。

中，Microsoft 在感染期間所使用的個別戰術中觀察性，讓惡意軟體不需要在檔案系統中保持為靜態項目。

到許多趨勢。儘管存在勒索、資料遺失、認證竊取和免費或容易取得的遠端存取特洛伊木馬程式 (RAT)、

間諜活動等多種結果，但大多數惡意軟體都依賴在網銀行特洛伊木馬程式及 Cobalt Strike 等攻擊工具組，

碼值透過惡意軟體處理序啟動 Windows PowerShell，會濫用遭竊的系統管理權限，將惡意程式碼移入執行

是 Microsoft 在最近幾個月所觀察到最常見的行為。中的良性處理序 (而不是在靜態檔案中)，使其無法輕

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

瀏覽器搜尋結果操縱網頁殼層深入探索根據我們在 2020 年 2 月的報告，網頁殼層用在

JSP) 撰寫，攻擊者會將程式碼植入網頁伺服器以提供遇 180,000 次。在 2021 年 3 月，我們看到網頁殼層

遠端存取和程式碼執行來使用伺服器功能。網頁殼層遭遇數突然大幅增加，我們將此歸因於以 Exchange

可讓敵手執行命令並從網頁伺服器竊取資料，或使用伺服器為目標發動零時差惡意探索的 HAFNIUM 國家

網頁殼層越來越普遍，這可能歸因於攻擊者輕易就在 2021 年 3 月到 4 月，隨著惡意探索程式碼變成可

能發動有效的攻擊。安裝在伺服器之後，網頁殼層用於網路對向的內部佈署 Exchange 伺服器，我們看

未受保護之電腦與執行 Adrozek 之電腦上的搜尋結果頁面比較。建立初始據點之後會留下惡意植入程式。如果未被

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

戶，或提供平台進行詐騙，例如詐騙技術支援網站。規定，以及註冊機構制定其專屬反濫用政策以及監視通訊基礎結構的網域，可以有效地隱藏網路罪犯的真

和處理濫用活動的需求。實位置。網路罪犯將網域設定為 Proxy 或「墊腳石」，

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

中斷惡意網域基礎結構透過法律行動中斷協力廠商託管的網域追求適當的救濟是有效中斷的法律行動不可或缺的組下一個巨大威脅：

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

不同於向網際網路註冊機構購買的傳統網域是透過區塊鏈網域的運作方式不同，從使用和干擾的觀點來使用區塊鏈網域的巨大威脅調查區塊鏈網域提供了一項獨特的挑戰，因為沒有

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

簡介網路犯罪經濟與服務勒索軟體與勒索網路釣魚及其他惡意電子郵件惡意軟體惡意網域對抗式機器學習

中新型漏洞的攻擊，這類攻擊統稱為「對抗式 ML」。讓安全性分析師能夠在這些新興和即將出現的伯克曼網際網路與社會研究中心 (Berkman Klein Center

敵人可能會惡意探索這些漏洞來操作 AI 系統並更改威脅中調整自己的方向。該矩陣的結構方式類 for Internet and Society) 共同開發的術語。其中包括可