立刻註冊 按需型網路研討會,了解 2024 年 Microsoft 數位防禦報告深入解析。
隨著世界變得更加緊密相連和數位化,網路安全變得更加複雜。組織正在將更多基礎設施、資料和應用程式遷移到雲端,支援遠端工作,並與第三方生態系統合作。因此,安全性團隊現在必須防禦的是更廣泛、更動態的環境和更多的受攻擊面。
威脅行為者正在利用這種複雜性,利用組織保護和權限中的漏洞,並執行持續的大量攻擊。攻擊通常是多方面的,跨越組織運作和基礎設施的多個要素。在不斷發展的網路犯罪即服務環境中,攻擊者也變得更加協調。2022 年,Microsoft 數位犯罪部門封鎖了 2,750,000 個網站註冊,領先於打算使用這些資料進行全球網路犯罪的罪犯行為者。1
對威脅的端對端可見度是良好安全性衛生的基礎。正確的威脅情報使安全團隊得以全面了解威脅形勢,使他們能領先於新出現的威脅並不斷完善防禦措施。當威脅行為者確實介入時,整體威脅情報對於了解發生的情況並防止其再次發生至關重要。
以下我們將討論與組織中六個主要受攻擊面相關的威脅趨勢和挑戰:電子郵件、身分識別、端點、物聯網、雲端和外部。最後,我們將回來探討正確的威脅情報如何扭轉競爭環境並為安全團隊提供強大的優勢。
攻擊者現在通常也利用合法資源進行網路釣魚攻擊。這使得使用者更難以區分真實電子郵件和惡意電子郵件,進而增加了威脅漏網的可能性。同意網路釣魚攻擊就是這種趨勢的例子,威脅行為者濫用合法的雲端服務提供者來誘騙使用者授予存取機密資料的權限。
除了 URL 檢查和停用巨集等保護措施之外,員工教育對於防止威脅產生影響也至關重要。模擬網路釣魚電子郵件和關於如何識別惡意內容 (即使它看似合法) 的指導資料是重要的預防性安全措施。我們預計威脅行為者將繼續提升電子郵件攻擊中的社會工程品質,利用 AI 和其他工具來提升惡意電子郵件的說服力和個人化能力。這只是一個例子;隨著組織更好地應對當今的電子郵件威脅,威脅將繼續發展。
在當今的雲端世界中,保護存取變得更加重要,更勝以往。因此,深入了解 整個組織的身分識別 (包括使用者帳戶權限、工作負載身分識別及其潛在漏洞) 是非常重要的事,尤其攻擊頻率和創意不斷地增加。
管理身分識別受攻擊面不僅僅是保護使用者帳戶;它涵蓋雲端存取以及工作負載身分識別。遭入侵的認證可能成為威脅行為者的強大工具,用來對組織的雲端基礎設施造成嚴重破壞。
攻擊者經常獲得與組織連接的第三方帳戶或其他高特權帳戶的存取權限,然後使用這些認證滲透雲端並竊取資料。儘管工作負載身分 (分配給軟體工作負載的身分,例如用於存取其他服務和資源的應用程式) 在權限審核中經常被忽視,但隱藏在工作負載中的身分資訊可以讓威脅參與者存取整個組織的資料。
隨著身分領域的不斷擴大,我們預計針對身分的攻擊在數量和種類上都將繼續增長。這表示保持對身分和存取的全面了解仍將是關鍵任務。
鑑於當今混合式環境中的裝置數量龐大,保護端點變得更具挑戰性。沒有改變的是,保護端點 (尤其是非受控裝置) 對於強大的安全性態勢相當重要,因為即使是一次入侵也可能讓威脅行為者進入您的組織。
隨著組織採用 BYOD (「攜帶您自己的裝置」) 政策,非受控裝置激增。因此,端點受攻擊面現在更大且更暴露。企業中平均有 3,500 個連線裝置不受端點偵測和回應代理程式的保護。11
非受控裝置 (屬於「影子 IT」環境的一部分) 對威脅行為者特別具吸引力,因為安全性團隊缺乏保護它們所需的可見度。在 Microsoft,我們發現使用者在非受控裝置上受感染的可能性高出 71%。12由於非受控裝置連接到公司網路,因此攻擊者也有機會對伺服器和其他基礎結構發起更廣泛的攻擊。
非受控伺服器也是端點攻擊的潛在媒介。2021 年,Microsoft 安全性部門觀察到一次攻擊,威脅行為者利用未修補的伺服器瀏覽目錄,發現了一個提供帳戶認證存取權限的密碼資料夾。
最容易受忽略的其中一個端點攻擊媒介是 IoT (物聯網),其中包括數十億部大大小小的裝置。物聯網安全性涵蓋連接到網路並與網路交換資料的實體裝置,例如路由器、印表機、相機和其他類似裝置。它還能包括作業裝置和感測器 (營運技術或「OT」),例如製造生產線上的智慧型裝置。
隨著物聯網裝置數量的增加,弱點的數量也會增加。IDC 預測,到 2025 年,企業和消費者環境中將出現 410 億部物聯網裝置。15 由於許多組織正在強化路由器和網路,使威脅行為者更難入侵,物聯網裝置正逐漸成為一個更容易、更有吸引力的目標。我們經常看到威脅行為者利用這些弱點將物聯網裝置變成代理;使用暴露的裝置作為網路的立足點。一旦威脅行為者獲得物聯網裝置的存取權限,他們就可以監視其他未受保護資產的網路流量,橫向移動以滲透目標基礎結構的其他部分,或進行偵察以規劃對敏感設備和裝置進行大規模攻擊。在一項研究中,根據 35% 安全性從業人員的報告,在過去 2 年中,物聯網裝置被利用來對組織進行更廣泛的攻擊。16
組織正逐漸將基礎設施、應用程式開發、工作負載和大量資料轉移到雲端。保護雲端環境表示保護分布在多個雲端中的一系列服務,包括 SaaS、IaaS 和 PaaS。鑑於所涉及服務的廣度和分布,可能難以在每一層級獲得適當的可見度和保護。
許多組織都在努力獲得整個雲端生態系統的端對端可見度,尤其資料逐漸駐留在多個雲端和混合式環境。缺乏可見度往往表示存在安全性漏洞。在 Microsoft,我們發現 84% 遭受勒索軟體攻擊的組織並未將多雲端資產與其安全性工具整合,這是一個嚴重的疏忽。21
向雲端的廣泛遷移也增加了網路犯罪分子可利用的新攻擊媒介數量,許多攻擊媒介透過權限安全性的漏洞而獲得存取權限。雲端中開發的應用程式中未知的程式碼型漏洞大幅增加了入侵風險。因此,我們在各個組織中看到的首要雲端攻擊媒介如今是雲端應用程式開發。
採用「左移」安全性方法 (在應用程式開發的最早階段納入安全性思維) 可協助組織加強安全性態勢,並從一開始就避免造成一些弱點。
雲端儲存空間是另一個日益常見的攻擊媒介,因為不正確的權限可能會讓使用者資料面臨風險。此外,雲端服務提供者本身也可能遭入侵。2021 年,Midnight Blizzard (與俄羅斯相關的威脅組織,前身為 NOBELIUM) 對一家雲端服務提供者發動了網路釣魚攻擊,試圖入侵和利用特權政府客戶帳戶。22 這只是現代雲端威脅的一個案例,我們預計未來會看到更多的跨雲端攻擊。
如今,組織的外部受攻擊面跨越多個雲端、複雜的數位供應鏈和龐大的第三方生態系統。網際網路如今是網路的一部分,儘管其規模幾乎深不可測,但安全性團隊必須像保護防火牆背後的一切一樣,保護其組織在網際網路上的存在狀態。並且隨著越來越多的組織採用 零信任原則,保護內部和外部受攻擊面已成為網際網路規模的挑戰。
全球受攻擊面隨著網際網路的發展而增長,而且每天都在擴大。在 Microsoft,我們已看到許多威脅類型 (例如網路釣魚攻擊) 的增加證據。2021 年,Microsoft 數位犯罪部門指示刪除超過 96,000 個獨特的網路釣魚 URL 和 7,700 個網路釣魚套件,因此識別並關閉了 2,200 多個用於收集被盜客戶認證的惡意電子郵件帳戶。24
外部受攻擊面遠遠超出組織本身的資產。它往往包括供應商、合作夥伴、連接到公司網路或資產的非受控個人員工裝置,以及新收購的組織。因此,了解外部連接和暴露對於減少潛在威脅非常重要。2020 年 Ponemon 報告顯示,53% 的組織在過去 2 年內至少經歷過一次由第三方造成的資料外洩,平均補救成本為 750 萬美元。25
隨著網路攻擊背後基礎結構的增加,了解威脅基礎結構並盤點網際網路暴露的資產變得比以往任何時候都更加緊迫。我們發現,組織經常難以了解其外部暴露的範圍,進而導致嚴重的盲點。這些盲點可能會產生災難性的後果。2021 年,61% 的企業遭到勒索軟體攻擊,導致商務營運至少部分中斷。26
在 Microsoft,我們經常告訴客戶在評估安全性態勢時從外到內來檢視組織。除了 VAPT (漏洞評估和滲透測試) 之外,深入了解外部受攻擊面也很重要,這樣您就可以識別整個環境和擴展生態系統中的漏洞。如果您是試圖進入的攻擊者,您可以利用什麼? 了解組織外部攻擊面的全部範圍是保護其安全的基礎。
Microsoft 提供協助的方式
當今的威脅情勢不斷變化,組織需要能跟上的安全性策略。組織複雜性和暴露度的增加,以及網路犯罪經濟中大量的威脅和進入門檻的降低,使得保護每個攻擊面內部和之間的每道接縫變得更加緊迫,更勝以往。
安全性團隊需要強大的威脅情報來防禦當今無數且不斷變化的威脅。正確的威脅情報將來自不同地方的訊號關聯起來,為目前的攻擊行為和趨勢提供及時且相關的背景脈絡,以便安全性團隊能成功識別漏洞、排定警報優先順序並中斷攻擊。如果確實發生入侵行為,威脅情報對於防止進一步的損害和改善防禦至關重要,這樣類似的攻擊便不會再次發生。簡而言之,利用更多威脅情報的組織將更加安全且成功。
Microsoft 對不斷變化的威脅情勢擁有無與倫比的洞察力,每天分析 65 兆個訊號。透過在各種攻擊面即時關聯這些訊號,Microsoft 安全性解決方案中內建的威脅情報得以深入了解不斷增長的勒索軟體和威脅環境,使您可以發現並阻止更多攻擊。透過 Microsoft 安全性 Copilot 等先進的 AI 功能,您可以領先於不斷變化的威脅,並以機器速度保護您的組織;使您的安全性團隊能簡化複雜情況,捕捉到其他人錯過的情況並保護一切。
關注 Microsoft 安全性