報告概述了NCSC在2021年處理的777起網絡攻擊，以及專業、有組織的勒索軟件活動對英國組織的破壞性影響，并強調了勒索軟件即服務商業模式的持續演變。

　　2021年11月17日，英國國家網絡安全中心（NCSC）發布了最新的2021年度審查報告，詳細介紹了過去12個月的網絡威脅趨勢及其為保護英國而開展的工作。概述了NCSC在2021年處理的777起網絡攻擊，以及專業、有組織的勒索軟件活動對英國組織的破壞性影響，并強調了勒索軟件即服務（RaaS）商業模式的持續演變。

　　摘譯 | 韓昱/賽博研究院實習研究員

　　來源 | 英國NCSC

　　NCSC工作概述

　　NCSC成立于2016年，旨在滿足政府對網絡安全的需求，改善英國國防，使英國成為最安全的在線生活和工作場所。

　　過去12個月，NCSC開創性的主動網絡防御計劃已經摧毀了230萬個網絡惡意活動，包括442個使用NHS品牌的網絡釣魚活動和80個在官方應用商店之外托管和下載的非法NHS應用。同時，NCSC為777起重大事件提供了支持，比前一年的723起有所增加，大約20%受支持的組織與衛生部門和疫苗有關。此外，NCSC收到了540萬份來自公眾的潛在惡意電子郵件報告，刪除了50500多個欺詐和90100多個惡意URL。通過NCSC的保護域名系統服務，衛生部門和疫苗生產部門的工作人員受到保護，阻止了44億潛在有害的訪問交互。

　　NCSC這一年度的工作不僅僅針對疫情相關安全威脅，還與大約5000家組織進行了接觸，并向80家公司和14所大學發布了安全指導和威脅評估。

　　2021年網絡威脅

　　在2021年網絡威脅中，勒索軟件和供應鏈攻擊極為突出。

　　勒索軟件

　　2020年，犯罪分子試圖在加密受害者網絡之前進行數據滲透，然后威脅數據泄露與索要贖金（所謂的雙重勒索）。過去一年，美國輸油管道勒索攻擊等事件受到了廣泛的關注。

　　后續，勒索攻擊導致數據泄露威脅肯定會繼續增加。極有可能有更多的英國人受到雙重勒索的威脅。

　　供應鏈攻擊

　　供應鏈是托管服務提供商基于信任關系運行的，這種關系幫助了多個部門更好地保護易受攻擊目標。

　　盡管這類攻擊并不新鮮，但其造成了巨大影響，例如SolarWinds和微軟Exchange服務器供應鏈漏洞，波及了多個美國政府部門、英國云和電子郵件安全公司Mimecast以及其他受害者。開源報告顯示，僅在美國就有30000家組織因Microsoft Exchange服務器中的零日漏洞而受到威脅。

　　對SolarWinds和微軟Exchange服務器的漏洞利用突出了供應鏈攻擊的威脅。這些復雜的攻擊是NCSC觀察到的最嚴重的兩起網絡入侵事件，參與者攻擊的目標是經濟、政府和國家安全機構供應鏈中較不安全的要素，如托管服務提供商或商業軟件平臺。

　　供應鏈事件突出了供應鏈運營的可行性、有效性和全球覆蓋范圍。在未來一年內，幾乎可以肯定，還會有進一步的此類攻擊行動。

　　基于主動網絡防御（ACD）對抗不斷演變的勒索軟件威脅

　　1.防止勒索軟件進入

　　NCSC為符合條件的組織提供一系列免費網絡安全工具和服務，作為主動網絡防御（ACD）計劃的一部分。這些舉措有助于組織發現和修復漏洞、管理事件或自動中斷網絡攻擊。NCSC的一些服務主要是為公共部門設計的，而其他服務則更廣泛地提供給私營部門或公民，這取決于它們的適用性和可行性。ACD幫助組織保護其IT的安全，并且警惕經常被用來傳遞勒索軟的以下載體：

　　A.網絡釣魚和遠程桌面協議端口暴露是勒索軟件的主要載體。

　　B.郵件檢查幫助用戶配置DMARC安全協議。NCSC的綜合DMARC服務對不存在的gov.uk域名也有同樣的作用。

　　C.Web檢查和早期警告掃描用戶的Web服務以查找暴露的端口，例如用于遠程桌面協議的端口3390。

　　D.勒索軟件的另一個常見載體是軟件漏洞，HBC、預警、Web檢查、漏洞披露服務和漏洞披露工具包試圖解決這些漏洞。

　　2.防止勒索軟件工作

　　ACD有助于破壞勒索軟件。

　　A.保護域名系統（PDNS）可以通過阻止與已知勒索軟件域的連接來防止勒索軟件運行。

　　B.可疑電子郵件報告服務（SERS）允許公眾向NCSC報告可疑電子郵件。Takedown服務還從其他來源接收惡意域的提要，并向托管惡意域的公司發送請求刪除惡意域的通知。該刪除服務還將惡意域名添加到安全瀏覽列表中，以便瀏覽器阻止對其的訪問。

　　C.演習服務可以幫助組織實踐其對網絡安全場景和事件的響應。這些演習幫助組織準備限制網絡攻擊的影響，包括勒索軟件。

　　3.啟用調查和事件響應

　　ACD提供數據和工具，以調查可疑勒索軟件并作出回應。

　　A.在可疑查詢時，即使PDNS的拒絕列表不知道勒索軟件域，服務也會記錄客戶組織試圖連接到該域的事實。一旦域名被認定為可疑，這些記錄可用于在事件發生后識別組織中是否存在勒索軟件。

　　B.HBC可以檢測客戶網絡上的威脅。該軟件代理廣泛安裝在官方政府的設備上，并向NCSC的專家分析師發送技術元數據，這些專家分析師使用專業技術識別可疑活動。

　　C.HBC和PDNS是互補的。PDNS提供了哪些組織可能受到勒索軟件影響的估計，而HBC完全有能力對特定設備上的活動進行更詳細的調查。

　　D.通過將各種來源的威脅情報映射到客戶IP范圍、ASN和域名，早期預警可以識別客戶網絡上的主動危害。該服務會提醒用戶注意事件、可疑網絡活動、漏洞和不需要的開放端口。

　　恢復網絡彈性的10個步驟

　　1.風險管理

　　采取基于風險的方法保護數據和系統。

　　2.參與和培訓

　　協作構建適用于組織內部人員的安全性。

　　3.資產管理

　　了解擁有哪些數據和系統以及它們需要支持哪些業務。

　　4.架構和配置

　　安全地設計、構建、維護和管理系統。

　　5.脆弱性管理

　　在系統的整個生命周期中保護系統。

　　6.身份和訪問

　　管理層控制誰和什么可以訪問系統和數據。

　　7.數據安全

　　保護易受攻擊的數據。

　　8.記錄和監測

　　將系統設計為能夠檢測和調查事件。

　　9.事件管理

　　提前計劃應對網絡事件。

　　10.供應鏈安全

　　與供應商和合作伙伴達成合作。

　　構建安全生態系統

　　NCSC致力于應對威脅，增強英國抵御威脅的能力，而加強英國蓬勃發展的網絡安全生態系統發揮著關鍵作用。

　　NCSC通過培養年輕人才到創造進一步的教育機會、支持網絡初創企業、測試和認證安全行業的標準、推動增長和創新到與行業分享最佳實踐，NCSC通過構建安全生態體系對增強其國家安全能力帶來積極的現實影響。