信息來源：安全內參

近日，歐盟網絡安全局發(fā)布《2022年網絡安全威脅全景》對年度網絡安全狀況進行了報告及總結，本報告為ENISA威脅全景（ETL）報告的第十版。報告中確認了勒索軟件、惡意軟件、社會工程威脅、數(shù)據(jù)安全威脅、可用性威脅：拒絕服務、可用性的威脅：互聯(lián)網威脅、虛假信息和供應鏈攻擊八大領域威脅；以及國家支持的行為者、網絡犯罪行為者、雇傭黑客的行為者、黑客行動主義者四大網絡安全威脅行為體。

ENISA威脅全景（ETL）報告提供了網絡安全威脅全景的總體概述。多年來，ETL一直被用作了解整個歐盟網絡安全現(xiàn)狀的關鍵工具，并在趨勢和模式方面提供洞察力，導致相關的決定、行動的優(yōu)先順序和建議。ETL報告部分是戰(zhàn)略性的，部分是技術性的，其信息與技術性和非技術性的讀者都相關。2022年ETL報告得到了ENISA網絡安全威脅全景特設工作組（CTL）和ENISA國家聯(lián)絡官網絡的驗證和支持。2021年下半年和2022年，網絡安全攻擊繼續(xù)增加，不僅在載體和數(shù)量上，而且在其影響上。俄烏危機為網絡戰(zhàn)和黑客主義、其作用及其對沖突的影響定義了一個新的時代。國家和其他網絡行動很可能會適應這一新的事態(tài)，并利用其對沖突的影響。國家和其他網絡行動很可能適應這種新的狀態(tài)，并利用這場戰(zhàn)爭帶來的新機遇和挑戰(zhàn)。

威脅概覽

1 主要趨勢

下面總結了報告期內觀察到的網絡威脅形勢的主要趨勢：

1.地緣政治對網絡安全威脅形勢的影響

• 俄烏沖突重塑了報告期內的威脅格局，黑客活動顯著增加、網絡攻擊者與動能軍事行動配合；

• 地緣政治繼續(xù)對網絡行動的影響持續(xù)加?。?

• 破壞性攻擊是國家行為者行動的突出組成部分；

• 俄烏危機開始以來，黑客開始了新一輪活動；

• 虛假信息是網絡戰(zhàn)的工具，甚至在 "實體 "戰(zhàn)爭開始之前就被用作戰(zhàn)前的準備活動；

2.攻擊者能力提升

• 攻擊者利用0-day漏洞來實現(xiàn)其行動及戰(zhàn)略目標；組織越是提高其防御和網絡安全的方案成熟度越高，對手的攻擊成本就越高，因為深度防御戰(zhàn)略減少了漏洞的可用性；

• 勒索軟件集團采取"退休 "和改頭換面的方式逃避法律的制裁了；

• 黑客即服務的商業(yè)模式越來越受重視，自2021年以來這種商業(yè)模式持續(xù)增長；

• 針對供應鏈攻擊和針對管理服務提供商的攻擊越來越多，攻擊能力也持續(xù)提升；

3.報告期間，勒索軟件和針對可用性的攻擊排名最高

• 針對可用性的攻擊大幅增加，特別是DDoS，正在進行的戰(zhàn)爭是此類攻擊的主要原因。

• 網絡釣魚再次成為初始訪問的最常見載體。網絡釣魚的復雜性、用戶疲勞和針對性、基于環(huán)境的網絡釣魚的進步導致了這種上升；

• 惡意軟件在被注意到與新冠疫情相關聯(lián)后，活動頻率先下降而后又逐步上升；

• 伴隨著泄密網站的流行，勒索技術正進一步發(fā)展；

• DDoS攻擊的規(guī)模逐步擴大，復雜程度逐步提升，同時向移動網絡和物聯(lián)網發(fā)展，并應用于網絡戰(zhàn)；

4.新型、混合式和新出現(xiàn)的威脅正在成為具有高度影響力的威脅全景的標志

• Pegasus案件引發(fā)了媒體報道和政府行動，這也反映在其他有關監(jiān)視和針對民間社會的案件中。

• 愿者上鉤式網絡釣魚：攻擊者利用愿者上鉤式網絡釣魚方式向用戶發(fā)送鏈接，如果用戶點擊，則會授予攻擊者對應用程序的訪問和權限；

• 數(shù)據(jù)泄露事件逐年遞增；

• 機器學習（ML）模型是現(xiàn)代分布式系統(tǒng)的核心，因此正日益成為被攻擊的對象；

• 由人工智能促成的虛假信息和深層假象。機器人建模角色可以輕松干擾 “通知和評論”的規(guī)則制定過程，以及社區(qū)的互動。

2 歐洲主要威脅的鄰近性

在ENISA威脅全景的背景下，需要考慮的一個重要方面是威脅與歐洲聯(lián)盟（EU）的接近程度。這對于幫助分析人員評估網絡威脅的重要性，將其與潛在的威脅行為者和載體聯(lián)系起來，甚至指導選擇適當?shù)哪繕司徑廨d體尤為重要。根據(jù)歐盟共同安全與防御政策（CSDP）的擬議分類，將網絡威脅分為四個類別，如表1所示。

表1. 網絡威脅的鄰近性分類

圖1顯示了與ETL2022年報告的主要威脅類別相關的事件的時間序列。需要注意的是，圖中的信息是基于OSINT（開源情報），是ENISA在態(tài)勢感知領域的工作成果。

圖1：觀察到的與ETL主要威脅有關的事件（基于OSINT的態(tài)勢感知），以其接近程度為標準F

從上圖可以看出，與2021年相比，2022年的事件數(shù)量總體上有所減少。這部分是由于事件處理和分析正在進行，報告也隨之而來，以及ETL中信息收集的開源性質，這可能會在無意中給結果帶來偏差。特別是，NEAR類別中觀察到的與主要威脅有關的事件數(shù)量一直很高。

3 各部門的主要威脅

網絡威脅通常不局限于任何特定的部門，在大多數(shù)情況下會影響多個部門。多數(shù)情況下，威脅通過利用各部門正在使用的基礎信息和通信技術系統(tǒng)的漏洞表現(xiàn)。然而，有針對性的攻擊以及利用各部門網絡安全成熟度的差異和某些部門的受歡迎程度或突出地位的攻擊，都是需要考慮的因素，特別是在優(yōu)先考慮有針對性的緩解行動時。

圖2和圖3強調了根據(jù)OSINT（開放源碼情報）觀察到的受影響部門，是ENISA在態(tài)勢感知領域的工作成果。它們指的是與2022年ETL的主要威脅有關的事件。

圖2. 觀察到的與主要ETL威脅有關的事件（按受影響部門劃分）

圖3. 按事件數(shù)量劃分的目標部門（2021年7月-2022年6月）

在本報告期內，我們再次觀察到大量針對公共管理和政府以及數(shù)字服務提供商的事件。后者是可以預期的，因為這個部門的服務是橫向提供的，因此它對許多其他部門的影響也是如此。我們還觀察到大量針對最終用戶的事件，而不一定是針對某個特定部門。有趣的是，在整個報告期間，金融部門面臨的事件數(shù)量一直很穩(wěn)定，衛(wèi)生部門緊隨其后。

4 影響評估

在 ENISA威脅狀況的這一迭代中，對報告期內觀察到的事件的影響進行了評估。通過這種定性的影響分析過程，ENISA試圖通過定義五種類型的潛在影響并指定各自的影響水平或程度，即高、中、低或未知，來確定破壞性網絡事件的后果。由于與網絡安全攻擊的影響有關的信息往往由于明顯的原因而無法獲得或公開，確定和評估事件發(fā)生后的影響需要一定程度的假設，其中一定程度的主觀性無法避免。這本身就說明了要改進歐盟的事件報告程序，這一點在NIS指令中得到了體現(xiàn)，也是ENISA在未來幾年將繼續(xù)努力的一個領域。

在這個ETL的背景下，定義了以下類型的影響:

• 聲譽影響指的是潛在的負面宣傳或公眾對成為網絡事件受害者的實體的不利看法；

• 數(shù)字影響是指系統(tǒng)損壞或不可用，數(shù)據(jù)文件損壞或數(shù)據(jù)外流；

• 經濟影響是指發(fā)生的直接經濟損失，由于重要材料的損失或要求的贖金，可能對國家安全造成的損害；

• 物理影響是指對雇員、客戶或病人的任何形式的傷害或損害；

• 社會影響是指對公眾的任何影響或可能對社會產生影響的大范圍破壞（例如，破壞一個國家的國家衛(wèi)生系統(tǒng)的事件）；

通過運用ENISA的內部經驗和專業(yè)知識，將收集到的事件按照這五種類型的影響進行分類。

圖4中，可以看到，根據(jù)分析，公共管理部門在成為網絡攻擊的目標時，受到的影響最大當它成為網絡攻擊的目標時。這可能是由于對目標實體失去了信任。第二個對其聲譽有很大影響的部門是金融部門。

圖4. 聲譽影響（按部門劃分）

數(shù)字化影響（圖5）在大多數(shù)部門被設定為中等至低，但公共管理部門除外。

金融和數(shù)字服務提供商顯示出高影響的事件。造成這種情況的原因通常是勒索軟件事件。

圖5. 數(shù)字影響（按部門劃分）

在談到經濟損失時（圖6），我們發(fā)現(xiàn)公共管理和金融部門的影響最大。這可能與許多與竊取銀行數(shù)據(jù)或細節(jié)有關的違規(guī)行為和許多有關個人數(shù)據(jù)的違規(guī)行為有關，同時公共部門也是今年勒索軟件攻擊的主要目標。今年，勒索軟件攻擊的主要目標。

圖6. 經濟影響（按部門劃分）

由于缺乏公開信息或可靠的數(shù)據(jù)，物理影響（圖7）仍然是最不為人知的影響。

圖7. 物理影響（按部門劃分）

在社會影響方面，公共管理部門是事件數(shù)量最多的部門。多數(shù)情況下，這涉及到服務的中斷或個人數(shù)據(jù)的泄露。此外，據(jù)觀察，衛(wèi)生部門也有大量的"高"影響事件，原因是敏感數(shù)據(jù)被泄露或衛(wèi)生服務無法使用。

圖8. 社會影響（按部門劃分)

5 按動機劃分的主要威脅

了解敵人和網絡安全事件或有針對性的攻擊背后的動機是很重要的，因為它可以確定對手的目標是什么。了解動機可以幫助組織確定并優(yōu)先考慮保護什么以及如何保護。ETL2022定義了四種不同的動機，可以與威脅者相關聯(lián)。

• 貨幣化：由網絡犯罪集團實施與經濟有關的行動；

• 地緣政治/間諜活動：獲取知識產權（Intellectual Property）、敏感數(shù)據(jù)、機密數(shù)據(jù)的信息（主要由國家支持的團體執(zhí)行）；

• 地緣政治/破壞：以地緣政治的名義進行的任何破壞性行動；意識形態(tài)：任何有意識形態(tài)支持的行動。

在大多數(shù)情況下，主要的威脅都相當平均地屬于一種或多種動機。

圖9. 各類威脅者動機

八大主要威脅

在2021年和2022年期間，出現(xiàn)了一系列的網絡威脅，并將其具體化。基于本報告中的分析，ENISA2022年的威脅形勢確定并關注以下八個主要威脅群（見圖1）。之所以強調這八個威脅群，是因為它們在報告期內的突出地位、它們的流行程度以及由于這些威脅的實現(xiàn)而產生的影響。

• 勒索軟件

根據(jù)ENISA的勒索軟件攻擊威脅狀況報告，勒索軟件被定義為一種攻擊類型，威脅者控制目標的資產并要求贖金以換取資產的可用性。需要這種與行動無關的定義，以涵蓋不斷變化的勒索軟件威脅狀況、多種勒索技術的普遍性以及犯罪者的各種目標，而不僅僅是經濟收益。在本報告所述期間，勒索軟件再次成為主要威脅之一，發(fā)生了幾起備受關注和高度公開的事件。

• 惡意軟件

惡意軟件也被稱為惡意代碼和惡意邏輯，是一個總的術語，用來描述任何軟件或固件，旨在執(zhí)行未經授權的程序，對系統(tǒng)的保密性、完整性或可用性產生不利影響。傳統(tǒng)上，惡意代碼類型的例子包括病毒、蠕蟲、木馬或其他感染主機的代碼實體。間諜軟件和某些形式的廣告軟件也是惡意代碼的例子。

• 社會工程

社會工程包括一系列廣泛的活動，試圖利用人類錯誤或人類行為，以獲得信息或服務。它使用各種形式的操縱來欺騙受害者犯錯或交出敏感或秘密信息。在網絡安全方面，社會工程引誘用戶打開文件、檔案或電子郵件，訪問網站或授予未經授權的人訪問系統(tǒng)或服務的權利。盡管這些伎倆可以濫用技術，但它們總是依賴于人的因素才能成功。這種威脅主要包括以下載體：網絡釣魚、魚叉式釣魚、捕鯨、smishing、vishing、商業(yè)電子郵件泄露（BEC）、欺詐等方式。

• 數(shù)據(jù)安全威脅

數(shù)據(jù)安全威脅以數(shù)據(jù)源為目標，旨在獲得未經授權的訪問和披露，以及操縱數(shù)據(jù)以干擾系統(tǒng)的行為。這些威脅也是許多其他威脅的基礎，也在本報告中討論。例如，勒索軟件、勒索軟件拒絕服務（RDoS）、分布式拒絕服務（DDoS）旨在拒絕對數(shù)據(jù)的訪問，并可能收取費用以恢復這種訪問。從技術上講，針對數(shù)據(jù)的威脅主要可分為數(shù)據(jù)泄露和數(shù)據(jù)泄漏。數(shù)據(jù)泄露是由網絡犯罪分子帶來的蓄意攻擊，目的是獲得未經授權的訪問，并釋放敏感、保密或受保護的數(shù)據(jù)。數(shù)據(jù)泄露是指由于錯誤配置、漏洞或人為錯誤等原因，可能導致敏感、機密或受保護的數(shù)據(jù)被無意中泄露的事件。

• 可用性威脅：拒絕服務

可用性是大量威脅和攻擊的目標，其中DDoS最為突出。DDoS的目標是系統(tǒng)和數(shù)據(jù)的可用性，雖然不是新型威脅，但在網絡安全威脅中具有重要作用。當一個系統(tǒng)或服務的用戶無法訪問相關數(shù)據(jù)、服務或其他資源時，就會發(fā)生攻擊。這可以通過耗盡服務及其資源或使網絡基礎設施的組件過載來實現(xiàn)。在報告期內，針對可用性的威脅和勒索軟件在主要威脅中排名最高，這預示著與ETL2021年勒索軟件明顯居于首位的情況發(fā)生了變化。

• 可用性威脅：互聯(lián)網威脅

互聯(lián)網的使用和信息的流動影響著每個人的生活，互聯(lián)網已經成為了人們工作學習必不可少的一部分。這一組包括對互聯(lián)網可用性有影響的威脅，如BGP（邊界網關協(xié)議）劫持。拒絕服務（DoS）因其在威脅中的個別影響而被單獨列出。

• 虛假信息：錯誤信息

在社交媒體平臺和網絡媒體使用量增加的刺激下，虛假和錯誤信息數(shù)量仍在攀升。數(shù)字平臺如今已成為新聞和媒體的主要平臺。社交網站、新聞和媒體機構，甚至搜索引擎，都是人們的信息來源。由于這些網站運作的性質，是通過吸引眼球來產生流量。很多推廣信息，并未得到驗證。俄烏戰(zhàn)爭利用這種新威脅方法，利用人們對戰(zhàn)爭狀況和有關各方的責任的關注。摻雜虛假信息，繼而操控輿論。

• 供應鏈攻擊

供應鏈攻擊的目標是組織和其供應商之間的關系。本ETL報告中，采用了ENISA供應鏈威脅全景中的定義，當一個攻擊由至少兩個攻擊組合而成時，就被認為具有供應鏈的成分。要將攻擊歸類為供應鏈攻擊，供應商和客戶都必須是目標。SolarWinds是最早揭示這種攻擊的公司之一，并顯示了供應鏈攻擊的潛在影響。攻擊者似乎繼續(xù)利用這一來源開展行動，并在組織內獲得立足點，試圖從這種攻擊的廣泛影響和潛在的受害者基礎中獲益。

圖1. 2022年ENISA的威脅形勢

四大威脅行為者

在ETL2022報告期內國家支持的行為者、網絡犯罪行為者、雇傭黑客的行為者、黑客行為主義者這四大行為主義相對突出。網絡威脅行為者是威脅環(huán)境中的一個組成部分，旨在通過利用現(xiàn)有的漏洞來實施惡意行為的實體，了解威脅者如何思考和行動，以及其動機和目標，對于更有力的網絡威脅管理和事件響應至關重要；可以根據(jù)潛在的影響和威脅發(fā)生的可能性來確定安全控制的優(yōu)先次序和專門的戰(zhàn)略。

國家支持的行為者趨勢

• 對0-day和其他關鍵漏洞的利用增加。根據(jù)公開報告，最經常被發(fā)現(xiàn)的入侵載體是對漏洞的利用，而在2021年期間，披露的0-day漏洞數(shù)量達到了66個，創(chuàng)歷史新高；

• 運營技術網絡的風險增加；

• 破壞性攻擊是國家行為者行動的一個重要組成部分。在俄烏沖突期間，網絡行為者與動能軍事行動相配合的行動。威脅者使用惡意軟件的目的主要是為了削弱目標實體的功能，但也是為了破壞公眾對國家領導層的信任，傳播不良情緒，并促進虛假信息行動；

• 國家支持的威脅行為者越來越關注供應鏈的破壞。自2020年12月SolarWinds的供應鏈活動被揭露以來，國家支持的威脅行為者已經意識到其潛力，并越來越多地以第三方為目標，將其網絡行動擴展到其客戶的下游；

• 同時科技公司在沖突期間的網絡行動中的防御性作用越來越大；

• 虛假信息的復雜性和范圍也持續(xù)擴大。

網絡犯罪行為者的趨勢

• 網絡犯罪分子對供應鏈攻擊的能力和興趣不斷提升；

• 云的廣泛采用為網絡犯罪分子提供了攻擊機會。新冠疫情的蔓延加速了支持組織業(yè)務流程的基于云的服務的采用；

• 對勒索軟件威脅者施加成本。在報告期內，一些政府將勒索軟件作為國家安全威脅的優(yōu)先事項；通過采取法律和監(jiān)管對策試圖改變網絡犯罪分子的成本效益計算，同時推出了一系列反勒索軟件的舉措；

• 網絡犯罪分子繼續(xù)擾亂工業(yè)部門，在報告期內，勒索軟件是工業(yè)部門遭受破壞的主要原因，而制造業(yè)則是迄今為止最受攻擊的部門；

• 不斷 "退休 "和重塑品牌，以避免執(zhí)法和制裁；

• 俄烏沖突對網絡犯罪生態(tài)系統(tǒng)的影響。在沖突期間，展現(xiàn)了地緣政治事件對網絡犯罪集團的推動作用，揭示網絡犯罪和國家行為者間的聯(lián)系，并為網絡犯罪分子提供獲得經濟利益的機會；

• 網絡犯罪分子偏愛CVE。在2021年，有66個零日漏洞的披露被發(fā)現(xiàn)；

• 在不使用勒索軟件的情況下進行數(shù)據(jù)滲透和勒索；

• 網絡犯罪生態(tài)系統(tǒng)仍在蓬勃發(fā)展并進一步演變。是網上犯罪生態(tài)系統(tǒng)的協(xié)作和專業(yè)化程度逐步提高。

雇傭黑客的行為者的趨勢

• 訪問即服務 "市場繼續(xù)為國家行為者提供便利。雇傭黑客的威脅行為者類別是指 "訪問即服務"（AaaS）市場中的實體，主要由提供攻擊性網絡能力的公司組成；

• Pegasus案件引發(fā)了媒體的報道和政府的行動。在報告期內，最大的新聞是關于總部設在以色列的NSO集團和飛馬項目，全世界超過30,000名人權活動家、記者和律師以及14位世界領導人成為目標；

• 瞄準、監(jiān)控民眾；一方面，商業(yè)威脅情報報告忽視了對民眾的網絡威脅。另一方面，"接入即服務 "公司的工具正逐步針對持不同政見者、人權活動家、記者、民間社會倡導者和其他公民個人。

黑客行為主義者趨勢

• 新一輪的黑客攻擊主義來襲，在報告期內，特別是自俄烏危機以來，黑客活動顯著增加；

• 黑客主義勒索軟件持續(xù)發(fā)力，在報告期內，一個名為 "網絡游擊隊 "的黑客組織開展了幾次引人注目的網絡行動。