正如《2023 年 Microsoft 數位防禦報告》所揭示的,網路威脅的複雜性、速度和規模繼續增長,損害了不斷增長的服務、裝置和使用者集區。當我們面對這些挑戰併為人工智慧有助於創造公平競爭環境的未來做好應對時,必須根據這十項深入解析中的每一項採取果斷行動。
直接從 Microsoft 威脅情報播客上的專家那裡獲得見解。 立即收聽.
深入了解 2023 年《Microsoft 數位防禦報告》的 10 個基本解析
Microsoft 公司致力維護世界各地用戶的安全,在安全性研究、創新以及全球安全性社群上均投入重金。我們可存取各種不同的安全性資料,這讓我們取得獨有優勢,可藉此了解網路安全性狀態,並識別能夠協助預測攻擊者下一步動作的指標。
作為我們創建更安全世界的長期承諾的一部分,Microsoft 在安全研究、創新和全球安全社區方面的投入包括:
如需詳細了解此圖片,請參閱完整報告的第 6 頁
大部分成功的網路攻擊,都可能透過實作一些 基本安全性檢疫措施進行阻擋。使用超大規模雲可以使其更輕鬆地實現,方法是對其予以預設啟用或抽象化客戶實作的需求。
網路衛生鍾形曲線取自 2023 年《Microsoft 數位防禦報告》(MDDR)。如需詳細瞭解此圖片,請參閱完整報告的第 7 頁
網路檢疫的基本概念
啟用 MFA: 這麼做可避免使用者密碼遭到入侵,並協助提供額外的身分識別復原能力。
套用零信任準則:任何復原性計劃的基石均為限制攻擊的影響。這些準則包含:(1)明確地驗證。在允許存取資源之前,確保使用者和裝置處於良好狀態。(2)使用最低權限存取權。僅允許訪問資源所需的許可權,而不允許其他許可權。(3)假設存在缺口。假設系統防禦存在缺口,則系統可能遭入侵。這代表需要持續監控環境以防範可能受到的攻擊。
使用延伸偵測及回應 (XDR) 與反惡意程式碼軟體:實作軟體以偵測並自動封鎖攻擊,然後提供安全性作業軟體的深入解析。監控來自威脅偵測系統的深入解析,對於能夠及時回應威脅至關重要。
保持在最新狀態:攻擊者利用未修補和過時的系統。確保所有系統都保持在最新狀態,包括韌體、作業系統和應用程式。
保護資料:了解哪些是您的重要資料、其所在位置,以及是否實作適當的防禦措施,這對於實施合適的保護非常重要。
Microsoft 的遙測指出,與去年相比,組織面臨勒索軟體攻擊的速率增加,從 2022 年 9 月開始,人為操作勒索軟體攻擊次數已增加三倍。展望未來,我們預計勒索軟體運營商將尋求利用自動化、人工智慧和超大規模雲系統來擴展和最大限度地提高其攻擊的有效性。
勒索軟體環境
如需詳細了解此圖片,請參閱完整報告的第 2 頁
勒索軟體消除和五大基礎
我們已找出五個我們認為每個企業都應該實作為防範勒索軟體的基礎原則,以防禦橫掃身份、數據和端點的勒索軟體。
- 具有防網路釣魚認證的現代化驗證
- 已在整個技術堆疊上套用最低權限存取權
- 無威脅和無風險的環境
- 裝置、服務和資產的合規性與健康情況態勢管理
- 使用者和商務關鍵資料的自動雲端備份和檔案同步處理
Microsoft Entra 資料顯示,與一年前同期相比,嘗試的密碼攻擊增加了十倍以上。阻止潛在攻擊者的一種方法是使用非網路釣魚憑據,例如 Windows Hello 企業版或 FIDO 金鑰。
與去年同期相比,顯示密碼攻擊次數的圖表。如需詳細瞭解此圖片,請參閱完整報告的第 16 頁
您是否了解?
密碼攻擊如此普遍的一大原因是由於安全態勢低。許多組織尚未為其使用者啟用 MFA,使他們容易受到網路釣魚、撞庫和暴力攻擊。
威脅行為者正在調整其社交工程技術,並使用技術來執行更複雜且昂貴的 BEC 攻擊。Microsoft 的數位犯罪部門認為,公共和私營部門之間增加情報共用,這將能夠更快、更有影響力地應對 BEC。
# 2022 年 4 月至 2023 年 4 月觀察到的每日 BED 嘗試次數。如需詳細瞭解此圖片,請參閱完整報告的第 33 頁
您是否了解?
Microsoft 數位犯罪部門採取了積極主動的立場,大力跟蹤和監控 14 個 DDoS 出租網站,其中包括一個位於暗網中的網站,作為其識別潛在網路威脅並搶占網路犯罪分子先機之承諾的一部分。
作為資訊收集的一部分,民族國家執行者已經擴大了其網路行動的全域範圍。參與關鍵基礎設施、教育和政策制定的組織是最受到攻擊的組織之一,這與許多團體的地緣政治目標和以間諜活動為重點的職權範圍相一致。檢測可能的間諜相關缺口行為的步驟包括監視郵箱和許可權的更改。
按地區劃分,最受到攻擊的國家是:
在報告中可找到全球民族國家威脅行為者的快照、更全面的數據細分。如需詳細瞭解此圖片,請參閱完整報告的第 12 頁
您是否了解?
今年,Microsoft Corporation 推出了一個 新的威脅行為者命名分類法。新的分類法將為客戶和安全研究人員帶來更佳的清晰度,為威脅參與者提供更有條理和易於使用的參考系統。
民族國家執行者更頻繁地將影響作業與網路行動相結合,以傳播受青睞的宣傳敘事,煽動社會緊張局勢,並放大懷疑和混亂。這些行動往往是在武裝衝突和全國選舉的背景下進行的。
運營方執行者類別
俄羅斯國家執行者 將其活動範圍擴大到烏克蘭以外,以基輔的盟友為目標,主要是北約成員國。
Typhoon 執行者類別
中國 不斷擴大和複雜的活動 反映了其對全球影響力和情報收集的雙重角逐。其目標包括美國國防和關鍵基礎設施、南中國海國家以及「一帶一路」倡議夥伴。
運營方執行者類別
伊朗已將其網路活動 擴展到非洲、拉丁美洲和亞洲。其嚴重依賴影響作業,推進旨在煽動海灣阿拉伯國家什葉派騷亂並反對阿以關係正常化的言論。
Sleet 執行者類別
去年,朝鮮提高了其網路行動的複雜性,特別是在加密貨幣盜竊和供應鏈攻擊方面。
您是否了解?
雖然人工智慧生成的個人資料圖片長期以來一直是國家支持的影響作業的一個特徵,但使用更複雜的人工智慧工具來創建更引人注目的多媒體內容,我們預計將是伴隨此類技術的廣泛使用而持續下去的趨勢。
攻擊者越來越多地將目標鎖定在資訊技術和運營技術 (IT-OT) 的高度弱點上,而這些漏洞可能難以防禦。例如,在客戶網路上存在已知漏洞的 78% 的 物聯網 (IoT) 裝置 中,有 46% 無法修補。因此,強大的 OT 補丁管理系統是網路安全策略的重要組成部分,而 OT 環境中的網路監控可能有助於檢測惡意活動。
深入了解此圖片請參閱完整報告的第 61 頁
您是否了解?
客戶網路上 25% 的 OT 設備使用不受支援的作業系統,由於缺乏必要的更新和針對不斷變化的網路威脅的保護,因此更容易受到網路攻擊。
人工智慧可以通過自動化和增強網路安全任務來增強網路安全,使防禦者能夠檢測隱藏的模式和行為。LLM 可做出下述貢獻:威脅情報;事件回應和復原;監測和檢測;測試和驗證;教育;以及安全性、治理、風險和合規性。
Microsoft 的研究人員和應用科學家正在探索 LLM 在網路防禦中的應用,例如:
如需詳細瞭解此圖片,請參閱完整報告的第 98 頁
您是否了解?
Microsoft 的跨學科專家 AI Red 團隊正在幫助構建更安全的 AI 未來。我們的 AI Red 團隊模擬現實世界敵對方的戰術、技術和程式 (TTP),以識別風險、發現盲點、驗證假設並改善 AI 系統的整體安全態勢。 在 Microsoft AI Red 團隊構建更安全的 AI 未來中,深入了解有關 Microsoft AI 紅色團隊的更多資訊 | Microsoft 安全性部落格。
隨著網路威脅的發展,公私合作將成為提高集體知識、推動復原性並為整個安全生態系統的緩解指導提供資訊的關鍵。例如,今年,Microsoft、Fortra LLC 和 Health-ISAC 攜手 ,減少非法使用 Cobalt Strike 的網路犯罪基礎設施。這已使在美國的基礎設施減少了 50%。
圖表顯示在美國破解的 Cobalt Strike 伺服器減少了 50%。如需詳細瞭解此圖片,請參閱完整報告的第 115 頁
您是否了解?
全球網路犯罪地圖集彙集了由 40 多個私營和公共部門成員組成的多元化社區,以集中對網路犯罪的知識共用、協作和研究。其目標是通過提供情報來瓦解網路犯罪分子,促進執法部門和私營部門的行動,從而抓捕並摧毀犯罪基礎設施。
全球網路安全和人工智慧專業人員的短缺只能通過教育機構、非營利組織、政府和企業之間的戰略夥伴關係來解決。由於人工智慧可能有助於減輕一些負擔,因此人工智慧技能的發展是公司培訓策略的重中之重。
在過去一年中,對網路安全專家的需求增長了 35%。如需詳細瞭解此圖片,請參閱完整報告的第 120 頁
您是否了解?
Microsoft 人工智慧技能交付項目 包括與 LinkedIn 合作開發的新免費課程。這使員工能夠學習入門的人工智慧概念,包括負責任的人工智慧框架,並在完成後獲得職業基礎證書。
關注 Microsoft