Microsoft Digital Defense Report でサイバーセキュリティの動向を知る
2020年9月,微软发布了年度《Microsoft Digital Defense Report》,该报告整合了微软每日收集的超过8万亿条安全信号及全球77个国家数千名安全专家的洞察,围绕三大主题解析威胁态势并提出应对建议。本文面向IT管理员概述报告内容及微软推荐的对策。
(1) 网络犯罪态势
网络犯罪分子不断进化攻击技术以提高成功率。近年来攻击焦点从恶意软件转向以窃取用户凭据为目的的网络钓鱼攻击,尤其是针对企业的邮件钓鱼持续扩张:
- 云服务与受侵基础设施的滥用:攻击者利用主流云服务、邮件发送服务及文件共享服务隐藏行踪
- 快速变化的攻击活动:通过频繁更换域名、邮箱地址、内容模板和URL组合规避检测
- 载荷投递机制持续进化:包括操纵搜索引擎结果、利用正规URL链接、定制404页面托管钓鱼载荷,以及使用验证码等规避工具
COVID-19大流行的影响
攻击者利用社会热点话题(如疫情)开展攻击。2020年上半年,虽然恶意软件总量稳定,但以COVID-19为主题的钓鱼攻击在3月11日WHO宣布 pandemic 后显著增加,5月各州重启经济活动后有所减少。
勒索软件成为重大威胁
2019年10月至2020年7月间,微软企业客户事件响应团队(DART)处理最多的是勒索软件相关事件。攻击常使用Cobalt Strike、MimiKatz等开源工具,通过鱼叉钓鱼或已知应用漏洞投递载荷。多数大规模勒索攻击通过互联网扫描寻找脆弱入口,而非针对特定组织。攻击模式通常包含横向移动和权限提升,域管理员账户常被用于部署勒索载荷。
(2) 国家级别威胁态势
微软跟踪国家级别威胁活动以保护客户。过去两年中发送超过13,000次国家通知(NSN),俄罗斯来源占比最高,其次为伊朗、中国、朝鲜。尽管关键基础设施常被视为目标,但90%以上NSN发送给非关键部门。国家级别攻击者的战术常被网络犯罪组织效仿,因此相关防护对所有组织至关重要。
(3) 远程办公与安全
COVID-19大流行推动远程办公需求增长。微软基于零信任架构实施MFA、设备管理和条件访问等措施成功支持了全员远程办公:
- MFA请求量翻倍:疫情后远程办公政策使MFA启用请求增长约两倍
- 暴力破解攻击增加:2020年上半年Azure AD账户遭遇更多密码暴力破解
- DDoS攻击上升:云迁移客户面临更多DDoS攻击,推荐使用Azure DDoS Protection等防护方案
(4) 最佳实践建议
报告提出20项可短期实施的动作,重点包括:
- 启用多因素认证(MFA):强烈建议所有管理员账户启用,推荐使用认证应用而非SMS/语音
- 改善邮件安全状况:启用邮件过滤和安全链接检查,防范钓鱼攻击(含Vishing/SMiShing)
- 及时安装安全更新:重点关注VPN和远程桌面服务的漏洞修补
- 实施最小权限原则:保护特权账户凭据,阻止传统认证协议,限制本地管理员权限
- 网络分段:通过分段限制攻击传播速度
微软持续分享这些洞察以帮助组织深化对威胁态势的理解并改善网络安全状况。完整报告可通过官方渠道获取。