信息來源：安全內(nèi)參

近日，歐盟網(wǎng)絡(luò)安全局發(fā)布《2022年網(wǎng)絡(luò)安全威脅全景》對年度網(wǎng)絡(luò)安全狀況進行了報告及總結(jié)，本報告為ENISA威脅全景（ETL）報告的第十版。報告中確認了勒索軟件、惡意軟件、社會工程威脅、數(shù)據(jù)安全威脅、可用性威脅：拒絕服務(wù)、可用性的威脅：互聯(lián)網(wǎng)威脅、虛假信息和供應鏈攻擊八大領(lǐng)域威脅；以及國家支持的行為者、網(wǎng)絡(luò)犯罪行為者、雇傭黑客的行為者、黑客行動主義者四大網(wǎng)絡(luò)安全威脅行為體。

ENISA威脅全景（ETL）報告提供了網(wǎng)絡(luò)安全威脅全景的總體概述。多年來，ETL一直被用作了解整個歐盟網(wǎng)絡(luò)安全現(xiàn)狀的關(guān)鍵工具，并在趨勢和模式方面提供洞察力，導致相關(guān)的決定、行動的優(yōu)先順序和建議。ETL報告部分是戰(zhàn)略性的，部分是技術(shù)性的，其信息與技術(shù)性和非技術(shù)性的讀者都相關(guān)。2022年ETL報告得到了ENISA網(wǎng)絡(luò)安全威脅全景特設(shè)工作組（CTL）和ENISA國家聯(lián)絡(luò)官網(wǎng)絡(luò)的驗證和支持。2021年下半年和2022年，網(wǎng)絡(luò)安全攻擊繼續(xù)增加，不僅在載體和數(shù)量上，而且在其影響上。俄烏危機為網(wǎng)絡(luò)戰(zhàn)和黑客主義、其作用及其對沖突的影響定義了一個新的時代。國家和其他網(wǎng)絡(luò)行動很可能會適應這一新的事態(tài)，并利用其對沖突的影響。國家和其他網(wǎng)絡(luò)行動很可能適應這種新的狀態(tài)，并利用這場戰(zhàn)爭帶來的新機遇和挑戰(zhàn)。

威脅概覽

1 主要趨勢

下面總結(jié)了報告期內(nèi)觀察到的網(wǎng)絡(luò)威脅形勢的主要趨勢：

1.地緣政治對網(wǎng)絡(luò)安全威脅形勢的影響

• 俄烏沖突重塑了報告期內(nèi)的威脅格局，黑客活動顯著增加、網(wǎng)絡(luò)攻擊者與動能軍事行動配合；

• 地緣政治繼續(xù)對網(wǎng)絡(luò)行動的影響持續(xù)加劇；

• 破壞性攻擊是國家行為者行動的突出組成部分；

• 俄烏危機開始以來，黑客開始了新一輪活動；

• 虛假信息是網(wǎng)絡(luò)戰(zhàn)的工具，甚至在 "實體 "戰(zhàn)爭開始之前就被用作戰(zhàn)前的準備活動；

2.攻擊者能力提升

• 攻擊者利用0-day漏洞來實現(xiàn)其行動及戰(zhàn)略目標；組織越是提高其防御和網(wǎng)絡(luò)安全的方案成熟度越高，對手的攻擊成本就越高，因為深度防御戰(zhàn)略減少了漏洞的可用性；

• 勒索軟件集團采取"退休 "和改頭換面的方式逃避法律的制裁了；

• 黑客即服務(wù)的商業(yè)模式越來越受重視，自2021年以來這種商業(yè)模式持續(xù)增長；

• 針對供應鏈攻擊和針對管理服務(wù)提供商的攻擊越來越多，攻擊能力也持續(xù)提升；

3.報告期間，勒索軟件和針對可用性的攻擊排名最高

• 針對可用性的攻擊大幅增加，特別是DDoS，正在進行的戰(zhàn)爭是此類攻擊的主要原因。

• 網(wǎng)絡(luò)釣魚再次成為初始訪問的最常見載體。網(wǎng)絡(luò)釣魚的復雜性、用戶疲勞和針對性、基于環(huán)境的網(wǎng)絡(luò)釣魚的進步導致了這種上升；

• 惡意軟件在被注意到與新冠疫情相關(guān)聯(lián)后，活動頻率先下降而后又逐步上升；

• 伴隨著泄密網(wǎng)站的流行，勒索技術(shù)正進一步發(fā)展；

• DDoS攻擊的規(guī)模逐步擴大，復雜程度逐步提升，同時向移動網(wǎng)絡(luò)和物聯(lián)網(wǎng)發(fā)展，并應用于網(wǎng)絡(luò)戰(zhàn)；

4.新型、混合式和新出現(xiàn)的威脅正在成為具有高度影響力的威脅全景的標志

• Pegasus案件引發(fā)了媒體報道和政府行動，這也反映在其他有關(guān)監(jiān)視和針對民間社會的案件中。

• 愿者上鉤式網(wǎng)絡(luò)釣魚：攻擊者利用愿者上鉤式網(wǎng)絡(luò)釣魚方式向用戶發(fā)送鏈接，如果用戶點擊，則會授予攻擊者對應用程序的訪問和權(quán)限；

• 數(shù)據(jù)泄露事件逐年遞增；

• 機器學習（ML）模型是現(xiàn)代分布式系統(tǒng)的核心，因此正日益成為被攻擊的對象；

• 由人工智能促成的虛假信息和深層假象。機器人建模角色可以輕松干擾 “通知和評論”的規(guī)則制定過程，以及社區(qū)的互動。

2 歐洲主要威脅的鄰近性

在ENISA威脅全景的背景下，需要考慮的一個重要方面是威脅與歐洲聯(lián)盟（EU）的接近程度。這對于幫助分析人員評估網(wǎng)絡(luò)威脅的重要性，將其與潛在的威脅行為者和載體聯(lián)系起來，甚至指導選擇適當?shù)哪繕司徑廨d體尤為重要。根據(jù)歐盟共同安全與防御政策（CSDP）的擬議分類，將網(wǎng)絡(luò)威脅分為四個類別，如表1所示。

表1. 網(wǎng)絡(luò)威脅的鄰近性分類

圖1顯示了與ETL2022年報告的主要威脅類別相關(guān)的事件的時間序列。需要注意的是，圖中的信息是基于OSINT（開源情報），是ENISA在態(tài)勢感知領(lǐng)域的工作成果。

圖1：觀察到的與ETL主要威脅有關(guān)的事件（基于OSINT的態(tài)勢感知），以其接近程度為標準F

從上圖可以看出，與2021年相比，2022年的事件數(shù)量總體上有所減少。這部分是由于事件處理和分析正在進行，報告也隨之而來，以及ETL中信息收集的開源性質(zhì)，這可能會在無意中給結(jié)果帶來偏差。特別是，NEAR類別中觀察到的與主要威脅有關(guān)的事件數(shù)量一直很高。

3 各部門的主要威脅

網(wǎng)絡(luò)威脅通常不局限于任何特定的部門，在大多數(shù)情況下會影響多個部門。多數(shù)情況下，威脅通過利用各部門正在使用的基礎(chǔ)信息和通信技術(shù)系統(tǒng)的漏洞表現(xiàn)。然而，有針對性的攻擊以及利用各部門網(wǎng)絡(luò)安全成熟度的差異和某些部門的受歡迎程度或突出地位的攻擊，都是需要考慮的因素，特別是在優(yōu)先考慮有針對性的緩解行動時。

圖2和圖3強調(diào)了根據(jù)OSINT（開放源碼情報）觀察到的受影響部門，是ENISA在態(tài)勢感知領(lǐng)域的工作成果。它們指的是與2022年ETL的主要威脅有關(guān)的事件。

圖2. 觀察到的與主要ETL威脅有關(guān)的事件（按受影響部門劃分）

圖3. 按事件數(shù)量劃分的目標部門（2021年7月-2022年6月）

在本報告期內(nèi)，我們再次觀察到大量針對公共管理和政府以及數(shù)字服務(wù)提供商的事件。后者是可以預期的，因為這個部門的服務(wù)是橫向提供的，因此它對許多其他部門的影響也是如此。我們還觀察到大量針對最終用戶的事件，而不一定是針對某個特定部門。有趣的是，在整個報告期間，金融部門面臨的事件數(shù)量一直很穩(wěn)定，衛(wèi)生部門緊隨其后。

4 影響評估

在 ENISA威脅狀況的這一迭代中，對報告期內(nèi)觀察到的事件的影響進行了評估。通過這種定性的影響分析過程，ENISA試圖通過定義五種類型的潛在影響并指定各自的影響水平或程度，即高、中、低或未知，來確定破壞性網(wǎng)絡(luò)事件的后果。由于與網(wǎng)絡(luò)安全攻擊的影響有關(guān)的信息往往由于明顯的原因而無法獲得或公開，確定和評估事件發(fā)生后的影響需要一定程度的假設(shè)，其中一定程度的主觀性無法避免。這本身就說明了要改進歐盟的事件報告程序，這一點在NIS指令中得到了體現(xiàn)，也是ENISA在未來幾年將繼續(xù)努力的一個領(lǐng)域。

在這個ETL的背景下，定義了以下類型的影響:

• 聲譽影響指的是潛在的負面宣傳或公眾對成為網(wǎng)絡(luò)事件受害者的實體的不利看法；

• 數(shù)字影響是指系統(tǒng)損壞或不可用，數(shù)據(jù)文件損壞或數(shù)據(jù)外流；

• 經(jīng)濟影響是指發(fā)生的直接經(jīng)濟損失，由于重要材料的損失或要求的贖金，可能對國家安全造成的損害；

• 物理影響是指對雇員、客戶或病人的任何形式的傷害或損害；

• 社會影響是指對公眾的任何影響或可能對社會產(chǎn)生影響的大范圍破壞（例如，破壞一個國家的國家衛(wèi)生系統(tǒng)的事件）；

通過運用ENISA的內(nèi)部經(jīng)驗和專業(yè)知識，將收集到的事件按照這五種類型的影響進行分類。

圖4中，可以看到，根據(jù)分析，公共管理部門在成為網(wǎng)絡(luò)攻擊的目標時，受到的影響最大當它成為網(wǎng)絡(luò)攻擊的目標時。這可能是由于對目標實體失去了信任。第二個對其聲譽有很大影響的部門是金融部門。

圖4. 聲譽影響（按部門劃分）

數(shù)字化影響（圖5）在大多數(shù)部門被設(shè)定為中等至低，但公共管理部門除外。

金融和數(shù)字服務(wù)提供商顯示出高影響的事件。造成這種情況的原因通常是勒索軟件事件。

圖5. 數(shù)字影響（按部門劃分）

在談到經(jīng)濟損失時（圖6），我們發(fā)現(xiàn)公共管理和金融部門的影響最大。這可能與許多與竊取銀行數(shù)據(jù)或細節(jié)有關(guān)的違規(guī)行為和許多有關(guān)個人數(shù)據(jù)的違規(guī)行為有關(guān)，同時公共部門也是今年勒索軟件攻擊的主要目標。今年，勒索軟件攻擊的主要目標。

圖6. 經(jīng)濟影響（按部門劃分）

由于缺乏公開信息或可靠的數(shù)據(jù)，物理影響（圖7）仍然是最不為人知的影響。

圖7. 物理影響（按部門劃分）

在社會影響方面，公共管理部門是事件數(shù)量最多的部門。多數(shù)情況下，這涉及到服務(wù)的中斷或個人數(shù)據(jù)的泄露。此外，據(jù)觀察，衛(wèi)生部門也有大量的"高"影響事件，原因是敏感數(shù)據(jù)被泄露或衛(wèi)生服務(wù)無法使用。

圖8. 社會影響（按部門劃分)

5 按動機劃分的主要威脅

了解敵人和網(wǎng)絡(luò)安全事件或有針對性的攻擊背后的動機是很重要的，因為它可以確定對手的目標是什么。了解動機可以幫助組織確定并優(yōu)先考慮保護什么以及如何保護。ETL2022定義了四種不同的動機，可以與威脅者相關(guān)聯(lián)。

• 貨幣化：由網(wǎng)絡(luò)犯罪集團實施與經(jīng)濟有關(guān)的行動；

• 地緣政治/間諜活動：獲取知識產(chǎn)權(quán)（Intellectual Property）、敏感數(shù)據(jù)、機密數(shù)據(jù)的信息（主要由國家支持的團體執(zhí)行）；

• 地緣政治/破壞：以地緣政治的名義進行的任何破壞性行動；意識形態(tài)：任何有意識形態(tài)支持的行動。

在大多數(shù)情況下，主要的威脅都相當平均地屬于一種或多種動機。

圖9. 各類威脅者動機

八大主要威脅

在2021年和2022年期間，出現(xiàn)了一系列的網(wǎng)絡(luò)威脅，并將其具體化?；诒緢蟾嬷械姆治觯珽NISA2022年的威脅形勢確定并關(guān)注以下八個主要威脅群（見圖1）。之所以強調(diào)這八個威脅群，是因為它們在報告期內(nèi)的突出地位、它們的流行程度以及由于這些威脅的實現(xiàn)而產(chǎn)生的影響。

• 勒索軟件

根據(jù)ENISA的勒索軟件攻擊威脅狀況報告，勒索軟件被定義為一種攻擊類型，威脅者控制目標的資產(chǎn)并要求贖金以換取資產(chǎn)的可用性。需要這種與行動無關(guān)的定義，以涵蓋不斷變化的勒索軟件威脅狀況、多種勒索技術(shù)的普遍性以及犯罪者的各種目標，而不僅僅是經(jīng)濟收益。在本報告所述期間，勒索軟件再次成為主要威脅之一，發(fā)生了幾起備受關(guān)注和高度公開的事件。

• 惡意軟件

惡意軟件也被稱為惡意代碼和惡意邏輯，是一個總的術(shù)語，用來描述任何軟件或固件，旨在執(zhí)行未經(jīng)授權(quán)的程序，對系統(tǒng)的保密性、完整性或可用性產(chǎn)生不利影響。傳統(tǒng)上，惡意代碼類型的例子包括病毒、蠕蟲、木馬或其他感染主機的代碼實體。間諜軟件和某些形式的廣告軟件也是惡意代碼的例子。

• 社會工程

社會工程包括一系列廣泛的活動，試圖利用人類錯誤或人類行為，以獲得信息或服務(wù)。它使用各種形式的操縱來欺騙受害者犯錯或交出敏感或秘密信息。在網(wǎng)絡(luò)安全方面，社會工程引誘用戶打開文件、檔案或電子郵件，訪問網(wǎng)站或授予未經(jīng)授權(quán)的人訪問系統(tǒng)或服務(wù)的權(quán)利。盡管這些伎倆可以濫用技術(shù)，但它們總是依賴于人的因素才能成功。這種威脅主要包括以下載體：網(wǎng)絡(luò)釣魚、魚叉式釣魚、捕鯨、smishing、vishing、商業(yè)電子郵件泄露（BEC）、欺詐等方式。

• 數(shù)據(jù)安全威脅

數(shù)據(jù)安全威脅以數(shù)據(jù)源為目標，旨在獲得未經(jīng)授權(quán)的訪問和披露，以及操縱數(shù)據(jù)以干擾系統(tǒng)的行為。這些威脅也是許多其他威脅的基礎(chǔ)，也在本報告中討論。例如，勒索軟件、勒索軟件拒絕服務(wù)（RDoS）、分布式拒絕服務(wù)（DDoS）旨在拒絕對數(shù)據(jù)的訪問，并可能收取費用以恢復這種訪問。從技術(shù)上講，針對數(shù)據(jù)的威脅主要可分為數(shù)據(jù)泄露和數(shù)據(jù)泄漏。數(shù)據(jù)泄露是由網(wǎng)絡(luò)犯罪分子帶來的蓄意攻擊，目的是獲得未經(jīng)授權(quán)的訪問，并釋放敏感、保密或受保護的數(shù)據(jù)。數(shù)據(jù)泄露是指由于錯誤配置、漏洞或人為錯誤等原因，可能導致敏感、機密或受保護的數(shù)據(jù)被無意中泄露的事件。

• 可用性威脅：拒絕服務(wù)

可用性是大量威脅和攻擊的目標，其中DDoS最為突出。DDoS的目標是系統(tǒng)和數(shù)據(jù)的可用性，雖然不是新型威脅，但在網(wǎng)絡(luò)安全威脅中具有重要作用。當一個系統(tǒng)或服務(wù)的用戶無法訪問相關(guān)數(shù)據(jù)、服務(wù)或其他資源時，就會發(fā)生攻擊。這可以通過耗盡服務(wù)及其資源或使網(wǎng)絡(luò)基礎(chǔ)設(shè)施的組件過載來實現(xiàn)。在報告期內(nèi)，針對可用性的威脅和勒索軟件在主要威脅中排名最高，這預示著與ETL2021年勒索軟件明顯居于首位的情況發(fā)生了變化。

• 可用性威脅：互聯(lián)網(wǎng)威脅

互聯(lián)網(wǎng)的使用和信息的流動影響著每個人的生活，互聯(lián)網(wǎng)已經(jīng)成為了人們工作學習必不可少的一部分。這一組包括對互聯(lián)網(wǎng)可用性有影響的威脅，如BGP（邊界網(wǎng)關(guān)協(xié)議）劫持。拒絕服務(wù)（DoS）因其在威脅中的個別影響而被單獨列出。

• 虛假信息：錯誤信息

在社交媒體平臺和網(wǎng)絡(luò)媒體使用量增加的刺激下，虛假和錯誤信息數(shù)量仍在攀升。數(shù)字平臺如今已成為新聞和媒體的主要平臺。社交網(wǎng)站、新聞和媒體機構(gòu)，甚至搜索引擎，都是人們的信息來源。由于這些網(wǎng)站運作的性質(zhì)，是通過吸引眼球來產(chǎn)生流量。很多推廣信息，并未得到驗證。俄烏戰(zhàn)爭利用這種新威脅方法，利用人們對戰(zhàn)爭狀況和有關(guān)各方的責任的關(guān)注。摻雜虛假信息，繼而操控輿論。

• 供應鏈攻擊

供應鏈攻擊的目標是組織和其供應商之間的關(guān)系。本ETL報告中，采用了ENISA供應鏈威脅全景中的定義，當一個攻擊由至少兩個攻擊組合而成時，就被認為具有供應鏈的成分。要將攻擊歸類為供應鏈攻擊，供應商和客戶都必須是目標。SolarWinds是最早揭示這種攻擊的公司之一，并顯示了供應鏈攻擊的潛在影響。攻擊者似乎繼續(xù)利用這一來源開展行動，并在組織內(nèi)獲得立足點，試圖從這種攻擊的廣泛影響和潛在的受害者基礎(chǔ)中獲益。

圖1. 2022年ENISA的威脅形勢

四大威脅行為者

在ETL2022報告期內(nèi)國家支持的行為者、網(wǎng)絡(luò)犯罪行為者、雇傭黑客的行為者、黑客行為主義者這四大行為主義相對突出。網(wǎng)絡(luò)威脅行為者是威脅環(huán)境中的一個組成部分，旨在通過利用現(xiàn)有的漏洞來實施惡意行為的實體，了解威脅者如何思考和行動，以及其動機和目標，對于更有力的網(wǎng)絡(luò)威脅管理和事件響應至關(guān)重要；可以根據(jù)潛在的影響和威脅發(fā)生的可能性來確定安全控制的優(yōu)先次序和專門的戰(zhàn)略。

國家支持的行為者趨勢

• 對0-day和其他關(guān)鍵漏洞的利用增加。根據(jù)公開報告，最經(jīng)常被發(fā)現(xiàn)的入侵載體是對漏洞的利用，而在2021年期間，披露的0-day漏洞數(shù)量達到了66個，創(chuàng)歷史新高；

• 運營技術(shù)網(wǎng)絡(luò)的風險增加；

• 破壞性攻擊是國家行為者行動的一個重要組成部分。在俄烏沖突期間，網(wǎng)絡(luò)行為者與動能軍事行動相配合的行動。威脅者使用惡意軟件的目的主要是為了削弱目標實體的功能，但也是為了破壞公眾對國家領(lǐng)導層的信任，傳播不良情緒，并促進虛假信息行動；

• 國家支持的威脅行為者越來越關(guān)注供應鏈的破壞。自2020年12月SolarWinds的供應鏈活動被揭露以來，國家支持的威脅行為者已經(jīng)意識到其潛力，并越來越多地以第三方為目標，將其網(wǎng)絡(luò)行動擴展到其客戶的下游；

• 同時科技公司在沖突期間的網(wǎng)絡(luò)行動中的防御性作用越來越大；

• 虛假信息的復雜性和范圍也持續(xù)擴大。

網(wǎng)絡(luò)犯罪行為者的趨勢

• 網(wǎng)絡(luò)犯罪分子對供應鏈攻擊的能力和興趣不斷提升；

• 云的廣泛采用為網(wǎng)絡(luò)犯罪分子提供了攻擊機會。新冠疫情的蔓延加速了支持組織業(yè)務(wù)流程的基于云的服務(wù)的采用；

• 對勒索軟件威脅者施加成本。在報告期內(nèi)，一些政府將勒索軟件作為國家安全威脅的優(yōu)先事項；通過采取法律和監(jiān)管對策試圖改變網(wǎng)絡(luò)犯罪分子的成本效益計算，同時推出了一系列反勒索軟件的舉措；

• 網(wǎng)絡(luò)犯罪分子繼續(xù)擾亂工業(yè)部門，在報告期內(nèi)，勒索軟件是工業(yè)部門遭受破壞的主要原因，而制造業(yè)則是迄今為止最受攻擊的部門；

• 不斷 "退休 "和重塑品牌，以避免執(zhí)法和制裁；

• 俄烏沖突對網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)的影響。在沖突期間，展現(xiàn)了地緣政治事件對網(wǎng)絡(luò)犯罪集團的推動作用，揭示網(wǎng)絡(luò)犯罪和國家行為者間的聯(lián)系，并為網(wǎng)絡(luò)犯罪分子提供獲得經(jīng)濟利益的機會；

• 網(wǎng)絡(luò)犯罪分子偏愛CVE。在2021年，有66個零日漏洞的披露被發(fā)現(xiàn)；

• 在不使用勒索軟件的情況下進行數(shù)據(jù)滲透和勒索；

• 網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)仍在蓬勃發(fā)展并進一步演變。是網(wǎng)上犯罪生態(tài)系統(tǒng)的協(xié)作和專業(yè)化程度逐步提高。

雇傭黑客的行為者的趨勢

• 訪問即服務(wù) "市場繼續(xù)為國家行為者提供便利。雇傭黑客的威脅行為者類別是指 "訪問即服務(wù)"（AaaS）市場中的實體，主要由提供攻擊性網(wǎng)絡(luò)能力的公司組成；

• Pegasus案件引發(fā)了媒體的報道和政府的行動。在報告期內(nèi)，最大的新聞是關(guān)于總部設(shè)在以色列的NSO集團和飛馬項目，全世界超過30,000名人權(quán)活動家、記者和律師以及14位世界領(lǐng)導人成為目標；

• 瞄準、監(jiān)控民眾；一方面，商業(yè)威脅情報報告忽視了對民眾的網(wǎng)絡(luò)威脅。另一方面，"接入即服務(wù) "公司的工具正逐步針對持不同政見者、人權(quán)活動家、記者、民間社會倡導者和其他公民個人。

黑客行為主義者趨勢

• 新一輪的黑客攻擊主義來襲，在報告期內(nèi)，特別是自俄烏危機以來，黑客活動顯著增加；

• 黑客主義勒索軟件持續(xù)發(fā)力，在報告期內(nèi)，一個名為 "網(wǎng)絡(luò)游擊隊 "的黑客組織開展了幾次引人注目的網(wǎng)絡(luò)行動。