深入了解現代受攻擊面的剖析

對於大多數組織來說，電子郵件是日常業務運作的重要組成部分。不幸的是，電子郵件仍然是最大的威脅媒介。2022 年，35% 的勒索軟體事件涉及使用電子郵件。⁴攻擊者發起的電子郵件攻擊比以往任何時候都多；2022 年，網路釣魚攻擊的發生率比 2021 年增加了 61%^。5

攻擊者現在通常也利用合法資源進行網路釣魚攻擊。這使得使用者更難以區分真實電子郵件和惡意電子郵件，進而增加了威脅漏網的可能性。同意網路釣魚攻擊就是這種趨勢的一個例子，其中威脅行為者濫用合法的雲端服務提供者來誘騙使用者授予存取機密資料的權限。

如果無法將電子郵件訊號與更廣泛的事件關聯起來以視覺化攻擊，則可能需要很長時間才能偵測到透過電子郵件進入的威脅行為者。屆時再避免損害可能就為時已晚。攻擊者存取組織私有資料所需的中位數時間只需 72 分鐘。⁶這可能會導致企業層面的嚴重損失。2021 年，商業電子郵件入侵 (BEC) 造成的調整後損失估計為 24 億美元。⁷

在當今的雲端世界中，保護存取變得更加重要，更勝以往。因此，深入了解 整個組織的身分識別 (包括使用者帳戶權限、工作負載身分識別及其潛在漏洞)  至關重要，尤其是隨著攻擊頻率和創意的增加。

2022 年，密碼攻擊數量預計將增加到每秒 921 次，比 2021 年增加了 74%。⁸ 在 Microsoft，我們也看到威脅行為者在規避多重要素驗證 (MFA) 方面變得更有創意，他們使用的技術包括：中間對手網路釣魚攻擊和權杖濫用，以獲取對組織資料的存取權限。網路釣魚套件使威脅行為者更容易竊取憑證。Microsoft 數位犯罪部門觀察到，過去一年中網路釣魚套件的複雜程度有所提高，而且進入門檻非常低，其中一個賣家每天提供的網路釣魚套件價格低至 6 美元。⁹

管理身分受攻擊面不僅僅是保護使用者帳戶；它涵蓋雲端存取以及工作負載身分識別。遭入侵的認證可能成為威脅行為者的強大工具，用來對組織的雲端基礎設施造成嚴重破壞。

鑑於當今混合式環境中的裝置數量龐大，保護端點變得更具挑戰性。沒有改變的是，保護端點 (尤其是非受控裝置) 對於強大的安全態勢至關重要，因為即使是一種入侵也可能讓威脅行為者進入您的組織。

隨著組織採用 BYOD (「自帶裝置」) 政策，非受控裝置激增。因此，端點受攻擊面現在更大、更暴露。企業中平均有 3,500 個連線裝置不受端點偵測和回應代理的保護。¹¹

非受控裝置 (屬於「影子 IT」環境的一部分) 對威脅參與者別具吸引力，因為安全團隊缺乏保護它們所需的可見度。在 Microsoft，我們發現使用者在非受控裝置上受感染的可能性高出 71%。¹²由於非受控裝置連接到公司網路，因此攻擊者也有機會對伺服器和其他基礎設施發起更廣泛的攻擊。

非受控伺服器也是端點攻擊的潛在媒介。2021 年，Microsoft 安全性部門觀察到一次攻擊，威脅行為者利用未修補的伺服器瀏覽目錄，發現了一個提供帳戶認證存取權限的密碼資料夾。

最容易受忽略的其中一個端點攻擊媒介是 IoT (物聯網)，其中包括數十億部大大小小的裝置。物聯網安全性涵蓋連接到網路並與網路交換資料的實體裝置，例如路由器、印表機、相機和其他類似裝置。它還能包括作業裝置和感測器 (營運技術或「OT」)，例如製造生產線上的智慧型裝置。

隨著物聯網裝置數量的增加，漏洞的數量也會增加。IDC 預測，到 2025 年，企業和消費者環境中將出現 410 億部物聯網裝置。¹⁵ 由於許多組織正在強化路由器和網路，使威脅行為者更難入侵，物聯網裝置正逐漸成為一個更容易、更有吸引力的目標。我們經常看到威脅行為者利用這些漏洞將物聯網裝置變成代理；使用暴露的裝置作為網路的立足點。一旦威脅行為者獲得物聯網裝置的存取權限，他們就可以監控其他未受保護資產的網路流量，橫向移動以滲透目標基礎設施的其他部分，或進行偵察以規劃對敏感設備和裝置進行大規模攻擊。在一項研究中，35% 的安全性從業者提報說，在過去 2 年中，物聯網裝置被用來對其組織進行更廣泛的攻擊。¹⁶

不幸的是，在可見性方面，物聯網對於組織來說通常是一個黑盒子，而且許多組織缺乏適當的物聯網安全措施。60% 的安全性從業人員將 物聯網和營運技術 安全性視為其 IT 和 OT 基礎設施中最不安全的方面之一。¹⁷

如今，組織的外部受攻擊面跨越多個雲端、複雜的數位供應鏈和龐大的第三方生態系統。網際網路如今是網路的一部分，儘管其規模幾乎深不可測，但安全性團隊必須像保護防火牆背後的一切一樣，保護其組織在網際網路上的存在狀態。並且隨著越來越多的組織採用 零信任原則，保護內部和外部受攻擊面已成為網際網路規模的挑戰。

全球受攻擊面隨著網路的發展而增長，而且每天都在擴大。在 Microsoft，我們已見到許多威脅類型 (例如網路釣魚攻擊) 的增加證據。2021 年，Microsoft 數位犯罪部門指示刪除超過 96,000 個獨特的網路釣魚 URL 和 7,700 個網路釣魚套件，導致識別並關閉了 2,200 多個用於收集被盜客戶認證的惡意電子郵件帳戶。²⁴

外部受攻擊面遠遠超出組織本身的資產。它往往包括供應商、合作夥伴、連接到公司網路或資產的非受控個人員工裝置，以及新收購的組織。因此，了解外部連接和暴露對於減少潛在威脅至關重要。2020 年 Ponemon 報告顯示，53% 的組織在過去 2 年內至少經歷過一次由第三方造成的資料外洩，平均補救成本為 750 萬美元。²⁵

隨著網路攻擊背後的基礎設施增加，了解威脅基礎設施並盤點網路暴露的資產變得更加緊迫，更勝以往。我們發現，組織經常難以了解其外部暴露的範圍，進而導致嚴重的盲點。這些盲點可能會產生災難性的後果。2021 年，61% 的企業遭到勒索軟體攻擊，導致業務營運至少部分中斷。²⁶

在 Microsoft，我們經常告訴客戶在評估安全性態勢時從外到內檢視其組織。除了 VAPT (漏洞評估和滲透測試) 之外，深入了解外部受攻擊面也很重要，這樣您就可以識別整個環境和擴展生態系統中的漏洞。如果您是試圖進入的攻擊者，您可以利用什麼？ 了解組織外部攻擊面的全部範圍是保護其安全的基礎。

Microsoft 提供協助的方式

當今的威脅情勢不斷變化，組織需要能跟上的安全性策略。組織複雜性和暴露度的增加，以及網路犯罪經濟中大量的威脅和進入門檻的降低，使得保護每個攻擊面內部和之間的每道接縫變得更加緊迫，更勝以往。

安全性團隊需要強大的威脅情報來防禦當今無數且不斷變化的威脅。正確的威脅情報將來自不同地方的訊號關聯起來，為目前的攻擊行為和趨勢提供及時且相關的背景脈絡，以便安全性團隊能成功識別漏洞、排定警報優先順序並中斷攻擊。如果確實發生入侵行為，威脅情報對於防止進一步的損害和改善防禦至關重要，這樣類似的攻擊便不會再次發生。簡而言之，利用更多威脅情報的組織將更加安全且成功。

Microsoft 對不斷變化的威脅情勢擁有無與倫比的洞察力，每天分析 65 兆個訊號。透過在各種攻擊面即時關聯這些訊號，Microsoft 安全性解決方案中內建的威脅情報得以深入了解不斷增長的勒索軟體和威脅環境，使您可以發現並阻止更多攻擊。透過  Microsoft 安全性 Copilot 等先進的 AI 功能，您可以領先於不斷變化的威脅，並以機器速度保護您的組織；使您的安全性團隊能簡化複雜情況，捕捉到其他人錯過的情況並保護一切。