2021 年全球威胁情报报告

单击此处或按 Enter 键可访问性优化版本2021 年全球威胁情报报告执行指南加速网络安全 ： 智能驱动和设计安全 在今年的报告中 ， 我们继续强调 “网络弹性 ” 和“ 设计安全 ” 的主题解决方案，但也包括与信任相关的讨论。组织不能再简单地将盲目信任分配给新的联盟，合作伙伴或供应商。允许未经审查地访问您组织的数据也是不明智的。与往年一样，我们继续分析针对多个行业的攻击。这包括对金融，医疗保健，教育，制造和技术的深入研究。我们分享我们对每个行业的调查结果，并密切关注我们观察到的恶意网络攻击活动的变化。本《执行指南》分享了一些重要见解，以帮助网络安全领导者和捍卫者决定将其投资和改进安全能力的重点放在哪里。它还将使他们能够评估可能影响其环境的威胁并帮助他们识别。风险可以降低 ， 检测和响应能力可以提高。如果您希望对本指南的调查结果进行更深入的分析 ，在这里阅读我们的技术报告。前言我们设计和实施创新的网络安全解决方案以应对影响许多行业客户的挑战。在我们的2021 年全球威胁情报报告， 我们确定了过去一年全球组织面临的威胁 ， 以及提供作战、战术和战略建议他们应该考虑实施来管理风险。 在 LINKEDIN 上跟随 KAZULINKEDIN 上的跟随标记Kazu 在 ICT 领域拥有 40 多年的经验 ， 在管理安全服务领域拥有 12 年的经验。他于 2021 年 4 月被任命为 NTT Security 首席执行官。在被任命为首席执行官之前 ， Kazu 担任 NTT 更广泛的网络安全团队的首席技术官。在过去的 20 年中，Mar 一直在网络安全领域工作，建立务实的，与业务相关的风险最小化策略，并开发以智能为主导的计算机网络防御。他广泛的知识和深入的专业知识是与金融、政府、公用事业、零售和教育等众多行业的大型企业广泛合作的结果。Mar 领导全球威胁情报中心 （ GTIC ），负责构建和集成威胁情报，以增强 NTT 的安全服务，全球威胁研究，出版物和共享联盟。四个洞察力来源我们的见解和分析来自四个专有的 NTT 资源。 单击此处或按 Enter 键可访问性优化版本聚光灯 ： COVID - 19 的影响 在整个 2020 年 ， COVID - 19 大流行造成了严重破坏 ， 并引起了许多行业的关注。为减轻疾病的传播而反复进行的全球封锁继续对企业产生重大影响。六分之一的组织(83%)根据最近的研究 ， 他们完全重新考虑了他们的 IT 安全 ， 以适应大流行带来的新的工作方式。图 1 ：NTT 2020 智能工作场所报告 （ 8 月 20 日 ）远程工作已成为商业环境的支柱有些员工可能永远不会回到办公室工作环境。这在NTT 2020 智能工作场所报告， 这表明超过一半的组织(54%) 永远不会回到大流行前的运营模式 ， 也不会追求扩大灵活工作的混合运营模式。通过这种新方法 ， 组织必须更加重视 ：风险管理解决与支持他们的在线存在相关的网络安全问题 ， 优化和保护在家工作安排准备抵御供应链攻击聚光灯 ： COVID - 19 的影响 分布式劳动力或远程工作是一种商业模式 ， 一些组织的经验有限。它创造了对员工设备、额外网络和 VPN 支持的需求 ， 以及对提供有限员工动手管理的文化的支持。无论工作地点如何，员工都必须能够完成任务并与同事进行有效沟通，同时遵守旨在保护所有数据安全的组织政策和程序。组织必须调整和维护安全网络，以实现不间断的业务连续性。这变得越来越困难，因为安保专业人员经常被重新定向，以满足对更一般信通技术支持的额外需求，有效地降低了安保举措的优先次序。防范供应链攻击已迫在眉睫根据威胁行为者的目标，对 COVID - 19 疫苗制造和冷藏设施的供应链攻击可能会阻止疫苗生产和分销。这将影响治疗并可能导致患者死亡。渗透疫苗配方和制造工艺将使民族国家的威胁行为者受益，这些国家尚未生产出针对该病毒的高效治疗方法。通过疫苗延迟造成的不和谐也可能为攻击者提供额外的攻击媒介以进行后续攻击。随着威胁行为者的战术 ， 技术和程序的发展 ， 组织需要确保他们及其同事能够承受违约并及时从攻击中恢复过来。违约事件公开后 ， 再多的保险也无法对冲声誉损失。 COVID - 19 网络钓鱼活动已遍及全球，并针对研究病毒影响的组织，研究疫苗的组织以及可能的疫苗联盟的冷链设备优化平台计划。温控储存设施或运输车辆的任何中断都会危及具有冷藏要求的疫苗的完整性，如果人们无法接种疫苗，可能会增加感染率，从而危及生命。我们一直在积极跟踪许多网络犯罪和高级持续威胁 (APT) 团体活动 ， 这些活动一直在利用大流行来推进其活动。虽然网络犯罪集团利用大流行传播恶意软件来获取经济利益 ， 但 APT 团体利用大流行相关的问题来定义目标并在受害者系统中建立立足点。攻击者有:分布式恶意 PDF 、 RTF 和 Word 文档传播的间谍软件、键盘记录器和其他恶意软件使用了特定的 COVID - 19 相关网络钓鱼诱饵参与 COVID - 19 患者护理和疫苗研究、开发和分销的目标教育或医疗机构与所有灾难一样 ， 威胁行为者利用机会发动攻击。工业化的网络犯罪分子有很长的机会发动各种与 COVID - 19 相关的攻击 ， 特别是以大流行为主题的网络钓鱼攻击和疫苗网络钓鱼活动。COVID - 19 继续发展，影响着全球的行业、企业和人类互动。我们必须继续寻求方法来管理与大流行有关的各种形式的风险，并调整我们的战略，重点是改变业务，为客户和员工提供持续的支持，以及与 COVID - 19 相关的研究和疫苗分销。这些都是非常复杂的问题，只会使受影响组织的运营和安全概况复杂化。因此，所有组织都必须继续创新，为更安全的人类和网络环境创造有弹性的解决方案。威胁行为者和网络钓鱼活动加剧了努力 单击此处或按 Enter 键可访问性优化版本网络安全领域的 6 个关键见解 网络安全领域的 6 个关键见解 单击此处或按 Enter 键可访问性优化版本全球分析 Cryptominers 在欧洲 ， 中东和非洲 （ EMEA ） 和美洲占主导地位 ， 但在亚太地区 （ APAC ） 相对罕见。OpenSSL 是美洲最具针对性的技术 ， 但甚至没有进入亚太地区的前十名。分析技术和工具的差异可以深入了解敌对威胁行为者如何针对不同地理区域和国家的组织。行业准备金融虽然在网络安全成熟度或整体准备方面名列前茅 ， 但仍然是受攻击最严重的行业之一。最令人担忧的是 ， 医疗保健和制造业的成熟度得分相对较低。在对这些行业的攻击加剧之际 ， 他们缩小所需成熟度差距的能力有所下降。Figure 2 shows comparations between 2018, 2019 and 2020 's benchmark scoring using NTT' s Cybersecurity Advisory (CA) consulting service. The CA score is based on a 0 - 6 scale which defines the maturity of the organization 's security program in several (with a更成熟程序 ） 。图 2 ：2018 年、 2019 年和 2020 年基准网络安全咨询分数之间的比较全球分析在全球范围内可以看到一些趋势 ， 例如特定应用程序和 Web 应用程序攻击的数量不断增加。但是 ， 有关敌对活动的某些细节因其发生的地理区域而异 ： 基线分数（ 根据组织当前的成熟度衡量 ） 基本上保持在与上一年相同的范围内。Finance继续连续第三年显示最高基准得分。基线分数的小幅下降可能是由于优先排序方面的挑战 ， 这可能会影响资源分配 ， 并且不允许组织的计划成熟。这在医疗保健领域并不意外。在大流行期间 ， 该行业在应对基础设施问题方面面临挑战。Manufacturing组织的得分下降了三年 ， 这很可能是由于运营环境的变化 ， 攻击的演变以及对其整体网络安全态势进行基准测试的更大倾向。图 3 ：网络安全咨询中定义的成熟度级别商业和专业服务行业的安全计划的成熟度连续第三年增加。 2020 年的改进可能反映了该行业继续管理优先事项并在应对 COVID - 19 的战略和实施方面进行良好投资的能力。网络安全咨询中定义的成熟度级别 图 4 说明了几个行业的当前状态和期望状态之间的差距。寻求缩小差距的行业必须始终关注工具，执行支持和基础流程的成熟度。然而，成本、合规性和资源可用性等各种因素可能导致行业无法实现其预期目标。我们的研究发现，组织对其网络安全态势的感知与实际得分之间存在差距。虽然研究结果表明组织认为他们的网络安全态势平均3.16(17%的组织认为他们的态势得到了优化 ， 而首席执行官们认为他们的网络安全态势更高 ， 在3.44)所有初始网络安全咨询分数的平均值为1.35， 表明组织可能对其安全计划的强度没有真正的了解。图 4 ：按部门划分的当前和目标成熟度水平以及它们之间的差距成熟度级别差距目标 vs 目标状态目标状态不一定表示一个行业需要在哪里 ， 它表示每个行业中的组织定义的目标状态。通常 ， 积极遵守更严格的法规以及保护更敏感的公共或客户信息的动机可以帮助鼓励组织努力实现更高的成熟度目标。在执行利益相关者的支持下 ， 对更高目标的承诺可以直接导致安全计划的优先级提高和更好的结果。 我们的研究表明 ， 将重点放在保护云服务上 ， 将其作为未来网络安全的首要重点18 months， 紧随其后的是保护网络(49%) 保护数据和应用程序(49%)。确保房地产在设计上是安全的(47%) 并考虑到数据隐私和 GRC(47%)是我们采访的受访者的密切竞争者。图 5 ：未来 18 个月的网络安全重点Note:问卷中更全面地描述了 “设计安全 ” ：“ 确保安全性是我们的流程和技术中设计的。 ”定义的攻击类型:僵尸网络:包括用于执行协调操作的多个受感染的互联网连接设备 ， 例如发送垃圾邮件或进行分布式拒绝服务 （ DDoS ） 攻击 ； Mirai ， Echobot 和 IoTroop 是僵尸网络的示例。特定于应用程序的攻击 ：针对应用程序中的漏洞 ， 包括中断的身份验证和会话管理、不安全的直接对象引用、对静态和传输中的数据缺乏加密、权限提升以及特洛伊木马化或未打补丁的第三方组件。Web 攻击和 Web 应用程序攻击 ：针对支持 Web 存在的服务和应用程序的攻击 ， 如命令注入、 SQL 注入和跨站点脚本。侦察:与攻击者识别可能是有价值目标的系统和服务相关的活动。暴力攻击 ：系统地使用用户名和密码组合来猜测和识别凭据 ， 以访问系统或资源。未来 18 个月的五大网络安全重点领域 在 2020 年 ， 我们观察到攻击类型与目标行业之间的相关性较小。但是在每个地区和国家 / 地区 ， 我们都观察到所使用的恶意软件 ， 目标技术和感兴趣的行业之间的相关性更大。行业有一系列值得关注的技术 ， 他们将网络安全计划集中在这些技术上。同时 ， 攻击者有自己的优先事项 ， 他们关注的技术几乎是可预测的 ， 前几项技术经常占50%或更多的攻击。风险最高的领域考虑到组织最不准备应对的威胁 ， 我们的研究揭示了威胁格局的广度和深度 ， 从有组织的网络犯罪到内部威胁。组织承认他们最不准备的最大威胁 ， 可以被解释为最高风险 ， 来自民族国家 ， 国家赞助和有组织的网络犯罪集团(76%). The is complexed by the second - ranking risk of failing to meet compliance obligations(76%)和内部威胁(73%).图 6 ：组织没有准备好应对的威胁行业亮点 单击此处或按 Enter 键可访问性优化版本区域热点 美洲攻击类型与其他地区以及全球一样 ， 美洲的前两种攻击类型是特定于应用程序的攻击和 Web 应用程序攻击。但是美洲在这些联合攻击类型中的总数最