影响零售业的安全事件——NCSC建议

普遍存在的威胁

网络犯罪（包括勒索和勒索软件）是英国组织面临的最普遍网络威胁之一。它影响各种规模的组织，从最大到最小。没有人能免受这种威胁。它既是机会主义的，也是不加选择的。

犯罪分子不断调整其商业模式以提高效率并最大化利润，包括明显转向“勒索软件即服务”模式——即使技术知识和技能相对匮乏的犯罪分子也能使用预先开发的工具发起攻击。这包括根据最有可能获得最大收益的情况来调整攻击方法。

我们都亲身经历过攻击对受害者造成的毁灭性影响，对社会、企业和个人造成实际影响。恢复可能漫长且成本高昂。

近期零售业遭受的攻击

NCSC正与受近期事件影响的组织合作，了解攻击性质并尽量减少其造成的损害，同时向更广泛的行业和经济体提供建议。

虽然我们掌握一些信息，但尚不能确定这些攻击是否相互关联，是单一行为者的协同行动，还是彼此毫无联系。我们正与受害者和执法部门同事共同确认这一点。

我们还在与相关公司和更广泛的行业（通过NCSC运营的行业信任小组）分享已知信息，并鼓励公司相互分享经验和缓解措施。

仍存在许多未知因素，但也有许多我们已知的信息。

那么该怎么办？

准备和韧性不仅仅意味着拥有良好的防御来阻挡攻击者。无论你的防御有多好，攻击者有时都会成功。

它还意味着在威胁行为者使用员工合法访问权限（或进入你的网络或云服务）时能够检测到他们，同时能够遏制攻击者以防止损害，并在攻击突破防御时进行响应和恢复。

有媒体推测，其中一些事件是由名为“Scattered Spider”的组织实施的，并讨论了威胁行为者是否针对IT服务台使用社会工程来执行密码和MFA（多因素认证）重置——据报道该组织过去曾使用此技术。

我们已向该行业提供了具体指导。但我们相信，通过遵循最佳实践，所有公司和组织都可以最大限度地减少成为此类行为者受害者的机会。

除了遵循NCSC关于缓解恶意软件和勒索软件攻击的指导外，强烈建议组织：

• 确保全面部署两步验证（多因素认证）
• 加强对未经授权账户滥用的监控；例如，在Microsoft Entra ID Protection中查找“风险登录”，其中登录尝试因可疑活动或不寻常行为而被标记为可能已泄露，特别是检测类型为“Microsoft Entra威胁情报”时
• 特别关注域管理员、企业管理员、云管理员账户，并检查访问是否合法
• 审查服务台密码重置流程，包括服务台在重置密码（尤其是具有提升权限的账户）前如何验证员工凭据
• 确保安全运营中心能够通过源丰富化和类似方法识别来自非典型来源（如住宅范围的VPN服务）的登录
• 确保能够快速消化来自威胁情报的技术、战术和程序，并能够做出相应响应

在线犯罪活动——包括但不限于勒索软件和数据勒索——十分猖獗。此类攻击变得越来越普遍。所有规模的组织都需要做好准备。

与国际合作伙伴一起，NCSC共同发布了一份网络安全公告，重点介绍了Scattered Spider威胁行为者针对多个行业使用的战术、技术和程序（TTP）。该公告可在CISA网站上阅读：https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a