《2024年微軟數(shù)字防御報(bào)告》揭示了一個(gè)復(fù)雜的全球網(wǎng)絡(luò)安全格局，每天發(fā)生超過6億次網(wǎng)絡(luò)攻擊。報(bào)告強(qiáng)調(diào)了勒索軟件、網(wǎng)絡(luò)釣魚和身份泄露事件的增加，以及網(wǎng)絡(luò)犯罪團(tuán)伙和國家行為者之間的合作。它強(qiáng)調(diào)了人工智能在攻擊和防御中的重要作用，敦促組織采取主動(dòng)的、多層次的策略來應(yīng)對這些不斷演變的威脅。

 ? 每天有6億次網(wǎng)絡(luò)攻擊針對微軟客戶。

 ? 勒索軟件攻擊比去年增加了2.75倍。

 ? 技術(shù)詐騙激增400%，每天發(fā)生超過10萬起事件。

 ? 網(wǎng)絡(luò)釣魚攻擊增加了58%，利用合法的網(wǎng)絡(luò)服務(wù)。

 ? 網(wǎng)絡(luò)犯罪團(tuán)伙和國家行為者之間的合作日益增加。

 ? 2024年6月，分布式拒絕服務(wù)（DDoS）攻擊每天達(dá)到4500次高峰。

 ? 2023年全球詐騙者竊取了1萬億美元。

 ? 基于身份的攻擊主要利用密碼漏洞。

 ? 人工智能既是攻擊者的工具，也是防御機(jī)制。

網(wǎng)絡(luò)釣魚（T1566）

攻擊者使用復(fù)雜的偽裝技術(shù)欺騙用戶泄露憑據(jù)。

勒索軟件（T1486）

勒索軟件攻擊日益復(fù)雜，如Octo Tempest這樣的團(tuán)體采用混合戰(zhàn)術(shù)。

憑證轉(zhuǎn)儲（T1003）

合法訪問權(quán)限獲得后，諸如令牌盜竊和同意網(wǎng)絡(luò)釣魚之類的后認(rèn)證威脅會危及賬戶。

拒絕服務(wù)（T1498）

DDoS攻擊激增，新的應(yīng)用層威脅不斷出現(xiàn)。

數(shù)據(jù)加密影響（T1486）

Qilin和RansomHub等勒索軟件變種被部署以加密數(shù)據(jù)。

《2024年微軟數(shù)字防御報(bào)告》提供了對日益復(fù)雜的全球網(wǎng)絡(luò)安全格局的詳細(xì)視圖。這家科技巨頭透露，其客戶每天面臨超過6億次網(wǎng)絡(luò)攻擊，包括勒索軟件、網(wǎng)絡(luò)釣魚和身份泄露。該報(bào)告強(qiáng)調(diào)了國家關(guān)聯(lián)威脅行為者不斷擴(kuò)大的影響，其網(wǎng)絡(luò)行動(dòng)通過間諜活動(dòng)、破壞和操縱支持更廣泛的地緣政治沖突。

一個(gè)值得注意的發(fā)現(xiàn)是網(wǎng)絡(luò)犯罪團(tuán)伙和國家團(tuán)體之間日益增長的合作，他們共享工具和技術(shù)以提高攻擊的復(fù)雜性。涵蓋了關(guān)鍵領(lǐng)域，如不斷演變的威脅格局、勒索軟件趨勢、DDoS攻擊和身份安全的關(guān)鍵作用，該報(bào)告還強(qiáng)調(diào)了現(xiàn)代勒索軟件攻擊的復(fù)雜性日益增加，如Octo Tempest（又名Scattered Spider）案例研究揭示了它們的實(shí)際影響。

另一個(gè)主要焦點(diǎn)是人工智能在網(wǎng)絡(luò)安全中的作用——既作為攻擊者的工具，也作為強(qiáng)大的防御機(jī)制。政府和行業(yè)正在取得進(jìn)展，以建立全球人工智能安全標(biāo)準(zhǔn)，確保對這些不斷演變的威脅進(jìn)行多層次防御。

在這篇博客文章中，我們將提供這些關(guān)鍵發(fā)現(xiàn)的概述，分解《2024年微軟數(shù)字防御報(bào)告》中的洞察，幫助組織跟上不斷變化的網(wǎng)絡(luò)安全格局。

國家行為者和勒索軟件趨勢

《2024年微軟數(shù)字防御報(bào)告》強(qiáng)調(diào)了來自國家行為者和以財(cái)務(wù)為動(dòng)機(jī)的犯罪分子的網(wǎng)絡(luò)活動(dòng)的急劇增加。國家威脅行為者越來越多地與網(wǎng)絡(luò)犯罪分子合作，共享工具和技術(shù)。微軟在2023年和2024年觀察到這一趨勢，關(guān)鍵例子包括：

 ? 俄羅斯威脅行為者將網(wǎng)絡(luò)間諜活動(dòng)外包給犯罪團(tuán)體，特別是針對烏克蘭。在一起事件中，惡意軟件至少破壞了50臺軍事設(shè)備。

 ? 伊朗行為者使用勒索軟件開展活動(dòng)，利用從以色列網(wǎng)站竊取的數(shù)據(jù)，出售移除資料以獲利。

 ? 朝鮮利用勒索軟件，定制變種FakePenny針對航空航天和國防組織。

 ? 地緣政治沖突在塑造這些攻擊中發(fā)揮了關(guān)鍵作用。大約75%的俄羅斯網(wǎng)絡(luò)活動(dòng)集中在烏克蘭和北約成員國，而中國和伊朗則針對像臺灣、以色列和與以色列關(guān)系正?；暮硣业饶繕?biāo)。

此外，特別是來自俄羅斯、伊朗和中國的國家行為者，正在積極努力影響美國選舉，使用網(wǎng)絡(luò)工具傳播虛假信息，降低對民主進(jìn)程的信心。

在網(wǎng)絡(luò)犯罪方面，以財(cái)務(wù)為動(dòng)機(jī)的攻擊也在增加：

 ? 勒索軟件攻擊增加了2.75倍，盡管達(dá)到加密階段的攻擊較少。

 ? 技術(shù)詐騙激增400%，惡意基礎(chǔ)設(shè)施通常在不到兩小時(shí)內(nèi)消失，展示了這些威脅的靈活性。

盡管指出2024年達(dá)到加密階段的勒索軟件攻擊較少，但它們每天都在變得越來越復(fù)雜。例如，Octo Tempest團(tuán)體展示了勒索軟件策略的演變。也稱為Scattered Spider，這個(gè)團(tuán)體因?qū)υ坪捅镜刭Y產(chǎn)的混合攻擊而聲名鵲起。值得注意的是，他們使用社交工程、SIM交換和中間人（AiTM）技術(shù)滲透網(wǎng)絡(luò)，最終部署Qilin和RansomHub等勒索軟件有效載荷。

SOCRadar的暗網(wǎng)監(jiān)控密切關(guān)注地下論壇和市場，幫助您在潛在威脅造成影響之前發(fā)現(xiàn)它們。通過實(shí)時(shí)洞察勒索軟件行為者的戰(zhàn)術(shù)，您可以探索他們的攻擊方法、工具和潛在目標(biāo)，以保持領(lǐng)先。

此外，SOCRadar的威脅行為者情報(bào)提供了對威脅行為者和惡意軟件行動(dòng)的深入分析，包括他們的行為模式和新興活動(dòng)，使您能夠加強(qiáng)防御并有效應(yīng)對它們。

通過安全未來計(jì)劃加強(qiáng)網(wǎng)絡(luò)安全

《2024年微軟數(shù)字防御報(bào)告》強(qiáng)調(diào)了網(wǎng)絡(luò)安全的戰(zhàn)略方法的重要性，突出了安全未來計(jì)劃和威脅通知防御策略的必要性。

數(shù)據(jù)安全解決方案和人工智能的影響

微軟同意，組織必須主動(dòng)管理其數(shù)字環(huán)境，將數(shù)據(jù)安全放在首位。這包括了解數(shù)據(jù)流向、識別風(fēng)險(xiǎn)，并根據(jù)用戶角色定制安全策略。強(qiáng)大的數(shù)據(jù)安全策略包括持續(xù)可見性，通過監(jiān)控?cái)?shù)據(jù)訪問和使用，以及允許低風(fēng)險(xiǎn)用戶更多自由的動(dòng)態(tài)策略，同時(shí)對高風(fēng)險(xiǎn)個(gè)人實(shí)施更嚴(yán)格的控制。

為了管理現(xiàn)代數(shù)據(jù)生態(tài)系統(tǒng)的復(fù)雜性，組織應(yīng)該采用集成的安全解決方案，減少警報(bào)疲勞并提高響應(yīng)時(shí)間?；窘M成部分包括：

 ? 數(shù)據(jù)分類和標(biāo)記：正確識別和保護(hù)敏感數(shù)據(jù)。

 ? 數(shù)據(jù)丟失預(yù)防（DLP）：實(shí)施DLP策略，防止未經(jīng)授權(quán)的訪問，特別是隨著人工智能技術(shù)的進(jìn)步。

人工智能的興起也引入了數(shù)據(jù)治理方面的挑戰(zhàn)，特別是圍繞敏感信息的識別和保護(hù)。組織必須確保關(guān)鍵數(shù)據(jù)得到適當(dāng)?shù)臉?biāo)記和保護(hù)，以防止在使用人工智能驅(qū)動(dòng)的應(yīng)用程序時(shí)意外暴露。此外，人工智能可以被利用來自動(dòng)化分類過程，使其更容易識別和保護(hù)系統(tǒng)內(nèi)的敏感信息。

總的來說，生成式人工智能正成為網(wǎng)絡(luò)犯罪分子和國家的工具，中國使用人工智能生成的圖像，俄羅斯利用人工智能生成的音頻進(jìn)行影響行動(dòng)。盡管這些努力尚未顯示出顯著的成功，但人工智能在網(wǎng)絡(luò)攻擊中的作用正在增長。在防御方面，人工智能對網(wǎng)絡(luò)安全專業(yè)人員來說非常有價(jià)值，可以加快響應(yīng)速度并更有效地分析威脅。

威脅通知防御和問責(zé)制的作用

威脅通知防御使組織能夠采取攻擊者的視角，提高保護(hù)關(guān)鍵資產(chǎn)的能力。通過識別潛在的攻擊路徑和漏洞，這一策略幫助組織領(lǐng)先于不斷演變的威脅。

統(tǒng)一的威脅可見性將所有資產(chǎn)的洞察——基于云的、本地的和與身份相關(guān)的——整合到一個(gè)視圖中，允許專注于保護(hù)最常被攻擊的資產(chǎn)，同時(shí)不斷解決漏洞。

強(qiáng)大的網(wǎng)絡(luò)安全策略還取決于組織內(nèi)的問責(zé)制。領(lǐng)導(dǎo)層必須促進(jìn)以安全為先的文化，并提供清晰、可適應(yīng)的指導(dǎo)方針。通過促進(jìn)合作并避免以指責(zé)為重點(diǎn)的環(huán)境，組織可以更有效地管理風(fēng)險(xiǎn)并建立對不斷演變的網(wǎng)絡(luò)威脅的抵御能力。

新興的DDoS威脅和應(yīng)用循環(huán)攻擊

DDoS攻擊是一個(gè)日益增長的威脅，它們的頻率和復(fù)雜性都在增加。這些攻擊用過多的流量淹沒網(wǎng)站或服務(wù)，導(dǎo)致中斷、停機(jī)、財(cái)務(wù)損失和聲譽(yù)損害。

根據(jù)《2024年微軟數(shù)字防御報(bào)告》，自2024年3月中旬以來，DDoS攻擊激增，在6月份每天達(dá)到大約4500次高峰。更令人擔(dān)憂的是隱蔽的應(yīng)用層DDoS攻擊的增加，這些攻擊直接針對網(wǎng)絡(luò)應(yīng)用程序而不是網(wǎng)絡(luò)。與傳統(tǒng)的網(wǎng)絡(luò)級攻擊相比，這些攻擊更難以檢測和緩解。

還有一種新的更復(fù)雜的威脅是應(yīng)用循環(huán)攻擊。這種類型的DDoS攻擊利用DNS和NTP等核心互聯(lián)網(wǎng)協(xié)議中的漏洞，導(dǎo)致服務(wù)器交換無盡的錯(cuò)誤消息。與傳統(tǒng)的體積攻擊不同，循環(huán)攻擊可以用極小的數(shù)據(jù)量使系統(tǒng)癱瘓，嚴(yán)重影響服務(wù)器和網(wǎng)絡(luò)性能。

印度的游戲行業(yè)已成為主要目標(biāo)，全球金融和技術(shù)行業(yè)的DDoS攻擊急劇上升，主要由黑客活動(dòng)家驅(qū)動(dòng)。

為了抵御DDoS攻擊，組織應(yīng)限制其應(yīng)用程序?qū)不ヂ?lián)網(wǎng)的暴露，并實(shí)施縱深防御策略。這包括將網(wǎng)絡(luò)層DDoS保護(hù)與Web應(yīng)用程序防火墻結(jié)合起來。定期進(jìn)行DDoS模擬也可以幫助確保系統(tǒng)得到充分保護(hù)。

SOCRadar Labs的DoS彈性模塊可以幫助您的組織加強(qiáng)對拒絕服務(wù)（DoS）威脅的防御，讓您評估您的域或子網(wǎng)承受DoS攻擊的能力。此外，您還可以查看我們的博客，了解2024年第一季度全球DDoS攻擊格局的洞察。

身份攻擊和趨勢的洞察

基于身份的攻擊在威脅格局中仍然是主導(dǎo)力量，以密碼為基礎(chǔ)的方法最為突出。超過99%的這些攻擊，如違規(guī)重放、密碼噴灑和網(wǎng)絡(luò)釣魚，利用可預(yù)測的人類行為，如弱密碼和重復(fù)使用憑據(jù)。

盡管多因素認(rèn)證（MFA）可以提供強(qiáng)大的防御，但攻擊者正在發(fā)展SIM交換、MFA疲勞和網(wǎng)絡(luò)釣魚等策略來繞過這些保護(hù)。此外，令牌盜竊和同意網(wǎng)絡(luò)釣魚等認(rèn)證后威脅在合法訪問權(quán)限獲得后會進(jìn)一步危及賬戶?；A(chǔ)設(shè)施受到損害，通常涉及復(fù)雜的、難以檢測的方法，尤其是來自國家行為者的威脅。

特別是網(wǎng)絡(luò)釣魚活動(dòng)，仍然是攻擊者用來竊取敏感信息、破壞用戶賬戶和獲得對系統(tǒng)的未經(jīng)授權(quán)訪問的普遍方法。攻擊者使用復(fù)雜的偽裝技術(shù)，偽裝成合法實(shí)體，誘騙用戶泄露他們的憑據(jù)或點(diǎn)擊惡意鏈接。這些策略通常很成功，因?yàn)樗鼈兝昧送ㄐ徘纼?nèi)的信任，尤其是電子郵件和社交平臺。

為了應(yīng)對這些挑戰(zhàn)，組織必須采取更強(qiáng)的身份保護(hù)策略，確保執(zhí)行MFA，實(shí)施零信任原則，并教育用戶了解網(wǎng)絡(luò)釣魚的危險(xiǎn)。通過將身份視為關(guān)鍵的安全邊界，公司可以更好地保護(hù)他們最脆弱的資產(chǎn)——用戶憑據(jù)——并降低成功攻擊的可能性。

日益增長的欺詐格局

全球欺詐事件正在上升，越來越復(fù)雜的方法針對消費(fèi)者和企業(yè)。

《2024年微軟數(shù)字防御報(bào)告》指出，在2023年，詐騙者竊取了超過1萬億美元，導(dǎo)致企業(yè)平均損失1.5%的利潤，消費(fèi)者損失88億美元——比2022年增加了30%。常見的欺詐類型包括支付欺詐、商業(yè)電子郵件泄露（BEC）、投資詐騙和深度偽造偽裝的興起。

網(wǎng)絡(luò)支持的金融欺詐也在擴(kuò)大，僅投資詐騙就占去年損失的超過45億美元。微軟一直在積極打擊這種上升，暫停了超過6400萬個(gè)濫用賬戶，并與執(zhí)法部門合作進(jìn)行重大打擊，包括在印度成功的突襲。

網(wǎng)絡(luò)釣魚仍然是一個(gè)關(guān)鍵的威脅，在2023年攻擊增加了58%。二維碼網(wǎng)絡(luò)釣魚，惡意鏈接隱藏在二維碼后面，變得更加普遍，使得攻擊更難以檢測。與此同時(shí)，BEC攻擊繼續(xù)演變，新的技術(shù)如收件箱規(guī)則操縱和橫向網(wǎng)絡(luò)釣魚提高了成功率。

為了應(yīng)對這些威脅，組織必須采取多層次的防御策略。這包括使用人工智能和機(jī)器學(xué)習(xí)來檢測不尋常的交易模式，實(shí)施先進(jìn)的認(rèn)證方法，并促進(jìn)全行業(yè)合作以加強(qiáng)欺詐預(yù)防。《2024年微軟數(shù)字防御報(bào)告》強(qiáng)調(diào)了公共和私營部門之間統(tǒng)一努力的重要性，以應(yīng)對日益增長的網(wǎng)絡(luò)支持欺詐浪潮。

每天超過6億次網(wǎng)絡(luò)攻擊，包括來自國家行為者和以財(cái)務(wù)為動(dòng)機(jī)的網(wǎng)絡(luò)犯罪分子的威脅，很明顯，網(wǎng)絡(luò)安全的賭注正在變得越來越高。

此外，《2024年微軟數(shù)字防御報(bào)告》揭示了勒索軟件、DDoS攻擊和欺詐的不斷擴(kuò)大的威脅，敦促組織采取主動(dòng)的、多層次的防御策略。無論是打擊基于身份的威脅還是應(yīng)對金融欺詐的激增，企業(yè)都必須通過先進(jìn)的安全工具、威脅情報(bào)和與行業(yè)同行的合作來加強(qiáng)防御。

來源： FreeBuf