英国国家网络安全中心发布《2021年度审查报告》

2021年11月17日，英国国家网络安全中心（NCSC）发布了最新的2021年度审查报告，详细介绍了过去12个月的网络威胁趋势及其为保护英国而开展的工作。概述了NCSC在2021年处理的777起网络攻击，以及专业、有组织的勒索软件活动对英国组织的破坏性影响，并强调了勒索软件即服务（RaaS）商业模式的持续演变。

摘译 | 韩昱/赛博研究院实习研究员

来源 | 英国NCSC

NCSC工作概述

NCSC成立于2016年，旨在满足政府对网络安全的需求，改善英国国防，使英国成为最安全的在线生活和工作场所。

过去12个月，NCSC开创性的主动网络防御计划已经摧毁了230万个网络恶意活动，包括442个使用NHS品牌的网络钓鱼活动和80个在官方应用商店之外托管和下载的非法NHS应用。同时，NCSC为777起重大事件提供了支持，比前一年的723起有所增加，大约20%受支持的组织与卫生部门和疫苗有关。此外，NCSC收到了540万份来自公众的潜在恶意电子邮件报告，删除了50500多个欺诈和90100多个恶意URL。通过NCSC的保护域名系统服务，卫生部门和疫苗生产部门的工作人员受到保护，阻止了44亿潜在有害的访问交互。

NCSC这一年度的工作不仅仅针对疫情相关安全威胁，还与大约5000家组织进行了接触，并向80家公司和14所大学发布了安全指导和威胁评估。

2021年网络威胁

在2021年网络威胁中，勒索软件和供应链攻击极为突出。

勒索软件

2020年，犯罪分子试图在加密受害者网络之前进行数据渗透，然后威胁数据泄露与索要赎金（所谓的双重勒索）。过去一年，美国输油管道勒索攻击等事件受到了广泛的关注。

后续，勒索攻击导致数据泄露威胁肯定会继续增加。极有可能有更多的英国人受到双重勒索的威胁。

供应链攻击

供应链是托管服务提供商基于信任关系运行的，这种关系帮助了多个部门更好地保护易受攻击目标。

尽管这类攻击并不新鲜，但其造成了巨大影响，例如SolarWinds和微软Exchange服务器供应链漏洞，波及了多个美国政府部门、英国云和电子邮件安全公司Mimecast以及其他受害者。开源报告显示，仅在美国就有30000家组织因Microsoft Exchange服务器中的零日漏洞而受到威胁。

对SolarWinds和微软Exchange服务器的漏洞利用突出了供应链攻击的威胁。这些复杂的攻击是NCSC观察到的最严重的两起网络入侵事件，参与者攻击的目标是经济、政府和国家安全机构供应链中较不安全的要素，如托管服务提供商或商业软件平台。

供应链事件突出了供应链运营的可行性、有效性和全球覆盖范围。在未来一年内，几乎可以肯定，还会有进一步的此类攻击行动。

基于主动网络防御（ACD）对抗不断演变的勒索软件威胁

1.防止勒索软件进入

NCSC为符合条件的组织提供一系列免费网络安全工具和服务，作为主动网络防御（ACD）计划的一部分。这些举措有助于组织发现和修复漏洞、管理事件或自动中断网络攻击。NCSC的一些服务主要是为公共部门设计的，而其他服务则更广泛地提供给私营部门或公民，这取决于它们的适用性和可行性。ACD帮助组织保护其IT的安全，并且警惕经常被用来传递勒索软的以下载体：

A.网络钓鱼和远程桌面协议端口暴露是勒索软件的主要载体。

B.邮件检查帮助用户配置DMARC安全协议。NCSC的综合DMARC服务对不存在的gov.uk域名也有同样的作用。

C.Web检查和早期警告扫描用户的Web服务以查找暴露的端口，例如用于远程桌面协议的端口3390。

D.勒索软件的另一个常见载体是软件漏洞，HBC、预警、Web检查、漏洞披露服务和漏洞披露工具包试图解决这些漏洞。

2.防止勒索软件工作

ACD有助于破坏勒索软件。

A.保护域名系统（PDNS）可以通过阻止与已知勒索软件域的连接来防止勒索软件运行。

B.可疑电子邮件报告服务（SERS）允许公众向NCSC报告可疑电子邮件。Takedown服务还从其他来源接收恶意域的提要，并向托管恶意域的公司发送请求删除恶意域的通知。该删除服务还将恶意域名添加到安全浏览列表中，以便浏览器阻止对其的访问。

C.演习服务可以帮助组织实践其对网络安全场景和事件的响应。这些演习帮助组织准备限制网络攻击的影响，包括勒索软件。

3.启用调查和事件响应

ACD提供数据和工具，以调查可疑勒索软件并作出回应。

A.在可疑查询时，即使PDNS的拒绝列表不知道勒索软件域，服务也会记录客户组织试图连接到该域的事实。一旦域名被认定为可疑，这些记录可用于在事件发生后识别组织中是否存在勒索软件。

B.HBC可以检测客户网络上的威胁。该软件代理广泛安装在官方政府的设备上，并向NCSC的专家分析师发送技术元数据，这些专家分析师使用专业技术识别可疑活动。

C.HBC和PDNS是互补的。PDNS提供了哪些组织可能受到勒索软件影响的估计，而HBC完全有能力对特定设备上的活动进行更详细的调查。

D.通过将各种来源的威胁情报映射到客户IP范围、ASN和域名，早期预警可以识别客户网络上的主动危害。该服务会提醒用户注意事件、可疑网络活动、漏洞和不需要的开放端口。

恢复网络弹性的10个步骤

1.风险管理

采取基于风险的方法保护数据和系统。

2.参与和培训

协作构建适用于组织内部人员的安全性。

3.资产管理

了解拥有哪些数据和系统以及它们需要支持哪些业务。

4.架构和配置

安全地设计、构建、维护和管理系统。

5.脆弱性管理

在系统的整个生命周期中保护系统。

6.身份和访问

管理层控制谁和什么可以访问系统和数据。

7.数据安全

保护易受攻击的数据。

8.记录和监测

将系统设计为能够检测和调查事件。

9.事件管理

提前计划应对网络事件。

10.供应链安全

与供应商和合作伙伴达成合作。

构建安全生态系统

NCSC致力于应对威胁，增强英国抵御威胁的能力，而加强英国蓬勃发展的网络安全生态系统发挥着关键作用。

NCSC通过培养年轻人才到创造进一步的教育机会、支持网络初创企业、测试和认证安全行业的标准、推动增长和创新到与行业分享最佳实践，NCSC通过构建安全生态体系对增强其国家安全能力带来积极的现实影响。

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。