《2024年微软数字防御报告》揭示了一个复杂的全球网络安全格局,每天发生超过6亿次网络攻击。报告强调了勒索软件、网络钓鱼和身份泄露事件的增加,以及网络犯罪团伙和国家行为者之间的合作。它强调了人工智能在攻击和防御中的重要作用,敦促组织采取主动的、多层次的策略来应对这些不断演变的威胁。
核心观点
- 每天有6亿次网络攻击针对微软客户。
- 勒索软件攻击比去年增加了2.75倍。
- 技术诈骗激增400%,每天发生超过10万起事件。
- 网络钓鱼攻击增加了58%,利用合法的网络服务。
- 网络犯罪团伙和国家行为者之间的合作日益增加。
- 2024年6月,分布式拒绝服务(DDoS)攻击每天达到4500次高峰。
- 2023年全球诈骗者窃取了1万亿美元。
- 基于身份的攻击主要利用密码漏洞。
- 人工智能既是攻击者的工具,也是防御机制。
由人工智能创建的MITRE ATT&CK战术
网络钓鱼(T1566)
攻击者使用复杂的伪装技术欺骗用户泄露凭据。
勒索软件(T1486)
勒索软件攻击日益复杂,如Octo Tempest这样的团体采用混合战术。
凭证转储(T1003)
合法访问权限获得后,诸如令牌盗窃和同意网络钓鱼之类的后认证威胁会危及账户。
拒绝服务(T1498)
DDoS攻击激增,新的应用层威胁不断出现。
数据加密影响(T1486)
Qilin和RansomHub等勒索软件变种被部署以加密数据。
《2024年微软数字防御报告》提供了对日益复杂的全球网络安全格局的详细视图。这家科技巨头透露,其客户每天面临超过6亿次网络攻击,包括勒索软件、网络钓鱼和身份泄露。该报告强调了国家关联威胁行为者不断扩大的影响,其网络行动通过间谍活动、破坏和操纵支持更广泛的地缘政治冲突。
一个值得注意的发现是网络犯罪团伙和国家团体之间日益增长的合作,他们共享工具和技术以提高攻击的复杂性。涵盖了关键领域,如不断演变的威胁格局、勒索软件趋势、DDoS攻击和身份安全的关键作用,该报告还强调了现代勒索软件攻击的复杂性日益增加,如Octo Tempest(又名Scattered Spider)案例研究揭示了它们的实际影响。
另一个主要焦点是人工智能在网络安全中的作用——既作为攻击者的工具,也作为强大的防御机制。政府和行业正在取得进展,以建立全球人工智能安全标准,确保对这些不断演变的威胁进行多层次防御。
在这篇博客文章中,我们将提供这些关键发现的概述,分解《2024年微软数字防御报告》中的洞察,帮助组织跟上不断变化的网络安全格局。
《2024年微软数字防御报告》关键内容
国家行为者和勒索软件趋势
《2024年微软数字防御报告》强调了来自国家行为者和以财务为动机的犯罪分子的网络活动的急剧增加。国家威胁行为者越来越多地与网络犯罪分子合作,共享工具和技术。微软在2023年和2024年观察到这一趋势,关键例子包括:
- 俄罗斯威胁行为者将网络间谍活动外包给犯罪团体,特别是针对乌克兰。在一起事件中,恶意软件至少破坏了50台军事设备。
- 伊朗行为者使用勒索软件开展活动,利用从以色列网站窃取的数据,出售移除资料以获利。
- 朝鲜利用勒索软件,定制变种FakePenny针对航空航天和国防组织。
- 地缘政治冲突在塑造这些攻击中发挥了关键作用。大约75%的俄罗斯网络活动集中在乌克兰和北约成员国,而中国和伊朗则针对像台湾、以色列和与以色列关系正常化的海湾国家等目标。
此外,特别是来自俄罗斯、伊朗和中国的国家行为者,正在积极努力影响美国选举,使用网络工具传播虚假信息,降低对民主进程的信心。
在网络犯罪方面,以财务为动机的攻击也在增加:
- 勒索软件攻击增加了2.75倍,尽管达到加密阶段的攻击较少。
- 技术诈骗激增400%,恶意基础设施通常在不到两小时内消失,展示了这些威胁的灵活性。
尽管指出2024年达到加密阶段的勒索软件攻击较少,但它们每天都在变得越来越复杂。例如,Octo Tempest团体展示了勒索软件策略的演变。也称为Scattered Spider,这个团体因对云和本地资产的混合攻击而声名鹊起。值得注意的是,他们使用社交工程、SIM交换和中间人(AiTM)技术渗透网络,最终部署Qilin和RansomHub等勒索软件有效载荷。
SOCRadar的暗网监控密切关注地下论坛和市场,帮助您在潜在威胁造成影响之前发现它们。通过实时洞察勒索软件行为者的战术,您可以探索他们的攻击方法、工具和潜在目标,以保持领先。
此外,SOCRadar的威胁行为者情报提供了对威胁行为者和恶意软件行动的深入分析,包括他们的行为模式和新兴活动,使您能够加强防御并有效应对它们。
通过安全未来计划加强网络安全
《2024年微软数字防御报告》强调了网络安全的战略方法的重要性,突出了安全未来计划和威胁通知防御策略的必要性。
数据安全解决方案和人工智能的影响
微软同意,组织必须主动管理其数字环境,将数据安全放在首位。这包括了解数据流向、识别风险,并根据用户角色定制安全策略。强大的数据安全策略包括持续可见性,通过监控数据访问和使用,以及允许低风险用户更多自由的动态策略,同时对高风险个人实施更严格的控制。
为了管理现代数据生态系统的复杂性,组织应该采用集成的安全解决方案,减少警报疲劳并提高响应时间。基本组成部分包括:
- 数据分类和标记:正确识别和保护敏感数据。
- 数据丢失预防(DLP):实施DLP策略,防止未经授权的访问,特别是随着人工智能技术的进步。
人工智能的兴起也引入了数据治理方面的挑战,特别是围绕敏感信息的识别和保护。组织必须确保关键数据得到适当的标记和保护,以防止在使用人工智能驱动的应用程序时意外暴露。此外,人工智能可以被利用来自动化分类过程,使其更容易识别和保护系统内的敏感信息。
总的来说,生成式人工智能正成为网络犯罪分子和国家的工具,中国使用人工智能生成的图像,俄罗斯利用人工智能生成的音频进行影响行动。尽管这些努力尚未显示出显著的成功,但人工智能在网络攻击中的作用正在增长。在防御方面,人工智能对网络安全专业人员来说非常有价值,可以加快响应速度并更有效地分析威胁。
威胁通知防御和问责制的作用
威胁通知防御使组织能够采取攻击者的视角,提高保护关键资产的能力。通过识别潜在的攻击路径和漏洞,这一策略帮助组织领先于不断演变的威胁。
统一的威胁可见性将所有资产的洞察——基于云的、本地的和与身份相关的——整合到一个视图中,允许专注于保护最常被攻击的资产,同时不断解决漏洞。
强大的网络安全策略还取决于组织内的问责制。领导层必须促进以安全为先的文化,并提供清晰、可适应的指导方针。通过促进合作并避免以指责为重点的环境,组织可以更有效地管理风险并建立对不断演变的网络威胁的抵御能力。
新兴的DDoS威胁和应用循环攻击
DDoS攻击是一个日益增长的威胁,它们的频率和复杂性都在增加。这些攻击用过多的流量淹没网站或服务,导致中断、停机、财务损失和声誉损害。
根据《2024年微软数字防御报告》,自2024年3月中旬以来,DDoS攻击激增,在6月份每天达到大约4500次高峰。更令人担忧的是隐蔽的应用层DDoS攻击的增加,这些攻击直接针对网络应用程序而不是网络。与传统的网络级攻击相比,这些攻击更难以检测和缓解。
还有一种新的更复杂的威胁是应用循环攻击。这种类型的DDoS攻击利用DNS和NTP等核心互联网协议中的漏洞,导致服务器交换无尽的错误消息。与传统的体积攻击不同,循环攻击可以用极小的数据量使系统瘫痪,严重影响服务器和网络性能。
印度的游戏行业已成为主要目标,全球金融和技术行业的DDoS攻击急剧上升,主要由黑客活动家驱动。
为了抵御DDoS攻击,组织应限制其应用程序对公共互联网的暴露,并实施纵深防御策略。这包括将网络层DDoS保护与Web应用程序防火墙结合起来。定期进行DDoS模拟也可以帮助确保系统得到充分保护。
SOCRadar Labs的DoS弹性模块可以帮助您的组织加强对拒绝服务(DoS)威胁的防御,让您评估您的域或子网承受DoS攻击的能力。此外,您还可以查看我们的博客,了解2024年第一季度全球DDoS攻击格局的洞察。
身份攻击和趋势的洞察
基于身份的攻击在威胁格局中仍然是主导力量,以密码为基础的方法最为突出。超过99%的这些攻击,如违规重放、密码喷洒和网络钓鱼,利用可预测的人类行为,如弱密码和重复使用凭据。
尽管多因素认证(MFA)可以提供强大的防御,但攻击者正在发展SIM交换、MFA疲劳和网络钓鱼等策略来绕过这些保护。此外,令牌盗窃和同意网络钓鱼等认证后威胁在合法访问权限获得后会进一步危及账户。基础设施受到损害,通常涉及复杂的、难以检测的方法,尤其是来自国家行为者的威胁。
特别是网络钓鱼活动,仍然是攻击者用来窃取敏感信息、破坏用户账户和获得对系统的未经授权访问的普遍方法。攻击者使用复杂的伪装技术,伪装成合法实体,诱骗用户泄露他们的凭据或点击恶意链接。这些策略通常很成功,因为它们利用了通信渠道内的信任,尤其是电子邮件和社交平台。
为了应对这些挑战,组织必须采取更强的身份保护策略,确保执行MFA,实施零信任原则,并教育用户了解网络钓鱼的危险。通过将身份视为关键的安全边界,公司可以更好地保护他们最脆弱的资产——用户凭据——并降低成功攻击的可能性。
日益增长的欺诈格局
全球欺诈事件正在上升,越来越复杂的方法针对消费者和企业。
《2024年微软数字防御报告》指出,在2023年,诈骗者窃取了超过1万亿美元,导致企业平均损失1.5%的利润,消费者损失88亿美元——比2022年增加了30%。常见的欺诈类型包括支付欺诈、商业电子邮件泄露(BEC)、投资诈骗和深度伪造伪装的兴起。
网络支持的金融欺诈也在扩大,仅投资诈骗就占去年损失的超过45亿美元。微软一直在积极打击这种上升,暂停了超过6400万个滥用账户,并与执法部门合作进行重大打击,包括在印度成功的突袭。
网络钓鱼仍然是一个关键的威胁,在2023年攻击增加了58%。二维码网络钓鱼,恶意链接隐藏在二维码后面,变得更加普遍,使得攻击更难以检测。与此同时,BEC攻击继续演变,新的技术如收件箱规则操纵和横向网络钓鱼提高了成功率。
为了应对这些威胁,组织必须采取多层次的防御策略。这包括使用人工智能和机器学习来检测不寻常的交易模式,实施先进的认证方法,并促进全行业合作以加强欺诈预防。《2024年微软数字防御报告》强调了公共和私营部门之间统一努力的重要性,以应对日益增长的网络支持欺诈浪潮。
结论
《2024年微软数字防御报告》生动地描绘了迅速演变的网络威胁格局,突出了针对全球组织的攻击的复杂性和数量。
每天超过6亿次网络攻击,包括来自国家行为者和以财务为动机的网络犯罪分子的威胁,很明显,网络安全的赌注正在变得越来越高。
此外,《2024年微软数字防御报告》揭示了勒索软件、DDoS攻击和欺诈的不断扩大的威胁,敦促组织采取主动的、多层次的防御策略。无论是打击基于身份的威胁还是应对金融欺诈的激增,企业都必须通过先进的安全工具、威胁情报和与行业同行的合作来加强防御。