查看原文
其他

英国国家网络安全中心发布《2021年度审查报告》

赛博研究院 赛博研究院 2022-07-02
2021年11月17日,英国国家网络安全中心(NCSC)发布了最新的2021年度审查报告,详细介绍了过去12个月的网络威胁趋势及其为保护英国而开展的工作。概述了NCSC在2021年处理的777起网络攻击,以及专业、有组织的勒索软件活动对英国组织的破坏性影响,并强调了勒索软件即服务(RaaS)商业模式的持续演变。

摘译 | 韩昱/赛博研究院实习研究员

来源 | 英国NCSC



NCSC工作概述

NCSC成立于2016年,旨在满足政府对网络安全的需求,改善英国国防,使英国成为最安全的在线生活和工作场所。

过去12个月,NCSC开创性的主动网络防御计划已经摧毁了230万个网络恶意活动,包括442个使用NHS品牌的网络钓鱼活动和80个在官方应用商店之外托管和下载的非法NHS应用。同时,NCSC为777起重大事件提供了支持,比前一年的723起有所增加,大约20%受支持的组织与卫生部门和疫苗有关。此外,NCSC收到了540万份来自公众的潜在恶意电子邮件报告,删除了50500多个欺诈和90100多个恶意URL。通过NCSC的保护域名系统服务,卫生部门和疫苗生产部门的工作人员受到保护,阻止了44亿潜在有害的访问交互。

NCSC这一年度的工作不仅仅针对疫情相关安全威胁,还与大约5000家组织进行了接触,并向80家公司和14所大学发布了安全指导和威胁评估。


2021年网络威胁

在2021年网络威胁中,勒索软件和供应链攻击极为突出。



勒索软件


2020年,犯罪分子试图在加密受害者网络之前进行数据渗透,然后威胁数据泄露与索要赎金(所谓的双重勒索)。过去一年,国输油管道勒索攻击等事件受到了广泛的关注。

后续,勒索攻击导致数据泄露威胁肯定会继续增加。极有可能有更多的英国人受到双重勒索的威胁。

供应链攻击


供应链是托管服务提供商基于信任关系运行的,这种关系帮助了多个部门更好地保护易受攻击目标。

尽管这类攻击并不新鲜,但其造成了巨大影响,例如SolarWinds和微软Exchange服务器供应链漏洞,波及了多个美国政府部门、英国云和电子邮件安全公司Mimecast以及其他受害者。开源报告显示,仅在美国就有30000家组织因Microsoft Exchange服务器中的零日漏洞而受到威胁。

对SolarWinds和微软Exchange服务器的漏洞利用突出了供应链攻击的威胁。这些复杂的攻击是NCSC观察到的最严重的两起网络入侵事件,参与者攻击的目标是经济、政府和国家安全机构供应链中较不安全的要素,如托管服务提供商或商业软件平台。

供应链事件突出了供应链运营的可行性、有效性和全球覆盖范围。在未来一年内,几乎可以肯定,还会有进一步的此类攻击行动。


基于主动网络防御(ACD)对抗不断演变的勒索软件威胁

1.防止勒索软件进入


NCSC为符合条件的组织提供一系列免费网络安全工具和服务,作为主动网络防御(ACD)计划的一部分。这些举措有助于组织发现和修复漏洞、管理事件或自动中断网络攻击。NCSC的一些服务主要是为公共部门设计的,而其他服务则更广泛地提供给私营部门或公民,这取决于它们的适用性和可行性。ACD帮助组织保护其IT的安全,并且警惕经常被用来传递勒索软的以下载体:

A.网络钓鱼和远程桌面协议端口暴露是勒索软件的主要载体。

B.邮件检查帮助用户配置DMARC安全协议。NCSC的综合DMARC服务对不存在的gov.uk域名也有同样的作用。

C.Web检查和早期警告扫描用户的Web服务以查找暴露的端口,例如用于远程桌面协议的端口3390。

D.勒索软件的另一个常见载体是软件漏洞,HBC、预警、Web检查、漏洞披露服务和漏洞披露工具包试图解决这些漏洞。

2.防止勒索软件工作


ACD有助于破坏勒索软件。

A.保护域名系统(PDNS)可以通过阻止与已知勒索软件域的连接来防止勒索软件运行。

B.可疑电子邮件报告服务(SERS)允许公众向NCSC报告可疑电子邮件。Takedown服务还从其他来源接收恶意域的提要,并向托管恶意域的公司发送请求删除恶意域的通知。该删除服务还将恶意域名添加到安全浏览列表中,以便浏览器阻止对其的访问。

C.演习服务可以帮助组织实践其对网络安全场景和事件的响应。这些演习帮助组织准备限制网络攻击的影响,包括勒索软件。

3.启用调查和事件响应


ACD提供数据和工具,以调查可疑勒索软件并作出回应。

A.在可疑查询时,即使PDNS的拒绝列表不知道勒索软件域,服务也会记录客户组织试图连接到该域的事实。一旦域名被认定为可疑,这些记录可用于在事件发生后识别组织中是否存在勒索软件。

B.HBC可以检测客户网络上的威胁。该软件代理广泛安装在官方政府的设备上,并向NCSC的专家分析师发送技术元数据,这些专家分析师使用专业技术识别可疑活动。

C.HBC和PDNS是互补的。PDNS提供了哪些组织可能受到勒索软件影响的估计,而HBC完全有能力对特定设备上的活动进行更详细的调查。

D.通过将各种来源的威胁情报映射到客户IP范围、ASN和域名,早期预警可以识别客户网络上的主动危害。该服务会提醒用户注意事件、可疑网络活动、漏洞和不需要的开放端口。


恢复网络弹性的10个步骤

1.风险管理


采取基于风险的方法保护数据和系统。

2.参与和培训


协作构建适用于组织内部人员的安全性。

3.资产管理


了解拥有哪些数据和系统以及它们需要支持哪些业务。

4.架构和配置


安全地设计、构建、维护和管理系统。

5.脆弱性管理


在系统的整个生命周期中保护系统。

6.身份和访问


管理层控制谁和什么可以访问系统和数据。

7.数据安全


保护易受攻击的数据。

8.记录和监测


将系统设计为能够检测和调查事件。

9.事件管理


提前计划应对网络事件。

10.供应链安全


与供应商和合作伙伴达成合作。


构建安全生态系统

NCSC致力于应对威胁,增强英国抵御威胁的能力,而加强英国蓬勃发展的网络安全生态系统发挥着关键作用。

NCSC通过培养年轻人才到创造进一步的教育机会、支持网络初创企业、测试和认证安全行业的标准、推动增长和创新到与行业分享最佳实践,NCSC通过构建安全生态体系对增强其国家安全能力带来积极的现实影响



「国内+国际」隐私保护人员权威认证培训


赛博研究院是国内个人信息保护专业人员权威认证品牌CISP-PIP的官方指定授权培训机构,BSI中国是国际隐私专业协会(IAPP)独家授权的中国区官方培训合作伙伴,双方就CISP-PIP与IAPP两大培训认证课程体系展开重磅合作,共同推进数据隐私专业人才培养,提升各类企业数据安全合规能力。



扫描下方二维码立即报名,关于CISP-PIP、IAPP认证培训更多信息,请联系专属顾问:


咨询电话:021-61432696
丁老师 15601773140
陈老师 17821177889


推荐阅读



CYBER RESEARCH INSTITUTE


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存