ENISA網(wǎng)絡(luò)威脅圖譜2022

2022年11月，歐盟網(wǎng)絡(luò)與信息安全局（ENISA）發(fā)布題為《ENISA Threat Landscape 2022》（ENISA網(wǎng)絡(luò)威脅圖譜2022）的研究報(bào)告。這是ENISA第10次發(fā)布年度網(wǎng)絡(luò)威脅圖譜報(bào)告。報(bào)告分析了當(dāng)前網(wǎng)絡(luò)空間領(lǐng)域威脅狀態(tài)，識(shí)別了主要威脅和攻擊者，并對(duì)未來(lái)網(wǎng)絡(luò)威脅和攻擊者的趨勢(shì)進(jìn)行了預(yù)測(cè)。

本文主要內(nèi)容及關(guān)鍵詞

1.八大網(wǎng)絡(luò)威脅：勒索軟件；惡意軟件；社會(huì)工程；針對(duì)數(shù)據(jù)的威脅；針對(duì)可用性的威脅（DoS拒絕服務(wù)攻擊）；針對(duì)互聯(lián)網(wǎng)可用性的威脅；虛假信息和錯(cuò)誤信息；供應(yīng)鏈攻擊。

2.零信任：①有國(guó)家（政府）背景的攻擊者趨勢(shì)②以網(wǎng)絡(luò)犯罪為目的的攻擊者③被雇傭的黑客④黑客行動(dòng)主義者

3.評(píng)述

01八大網(wǎng)絡(luò)威脅

報(bào)告識(shí)別了8個(gè)主要的威脅類別，分別是：

勒索軟件；惡意軟件；社會(huì)工程；針對(duì)數(shù)據(jù)的威脅；針對(duì)可用性的威脅（DoS拒絕服務(wù)攻擊）；針對(duì)互聯(lián)網(wǎng)可用性的威脅；虛假信息和錯(cuò)誤信息；供應(yīng)鏈攻擊。

①勒索軟件

從2021年7月到2022年6月，全球發(fā)生了許多與勒索軟件相關(guān)的網(wǎng)絡(luò)安全事件，表明勒索軟件威脅持續(xù)增長(zhǎng)。ENISA監(jiān)測(cè)到的2021年7月到2022年6月發(fā)生的主要網(wǎng)絡(luò)安全事件數(shù)量如下所示：

2021年5月到2022年6月期間勒索軟件攻擊活動(dòng)數(shù)量以及累計(jì)竊取的數(shù)據(jù)量如下圖所示：

勒索軟件威脅趨勢(shì)：

釣魚(yú)郵件成為最常見(jiàn)的攻擊初始向量；

漏洞被快速武器化；

執(zhí)法機(jī)構(gòu)開(kāi)始采取措施應(yīng)對(duì)勒索軟件攻擊活動(dòng)；

政府下令不允許政府相關(guān)機(jī)構(gòu)支付勒索軟件贖金。

②惡意軟件

2021年7月到2022年6月與惡意軟件相關(guān)的網(wǎng)絡(luò)攻擊活動(dòng)數(shù)量如下所示：

惡意軟件趨勢(shì)：

疫情好轉(zhuǎn)后，檢測(cè)到的惡意軟件數(shù)量持續(xù)增加；

攻擊物聯(lián)網(wǎng)（IoT）的惡意軟件數(shù)量翻倍；

供應(yīng)鏈攻擊活動(dòng)主要針對(duì)開(kāi)源軟件框架；

利用微軟Office宏的惡意軟件數(shù)量減少；

針對(duì)移動(dòng)端（手機(jī)、平板）的惡意軟件感染變得更具針對(duì)性；

與烏克蘭相關(guān)的惡意軟件數(shù)量增加。

③社會(huì)工程

社會(huì)工程融合了大量嘗試?yán)萌藶殄e(cuò)誤或人的行為來(lái)獲取信息或服務(wù)的訪問(wèn)權(quán)限的活動(dòng)。常見(jiàn)的社會(huì)工程攻擊方法包括：釣魚(yú)、魚(yú)叉式釣魚(yú)、商業(yè)郵件入侵、欺詐、冒充和假冒。2021年7月到2022年6月與社會(huì)工程相關(guān)的攻擊活動(dòng)數(shù)量如下所示：

社會(huì)工程攻擊趨勢(shì)：

以烏克蘭戰(zhàn)爭(zhēng)為主題的攻擊活動(dòng)增加；

出現(xiàn)自知名賬戶的釣魚(yú)郵件，比如office；

商業(yè)郵件入侵；

惡意二維碼：通過(guò)掃描二維碼作為攻擊入口；

知情同意：發(fā)送知情同意相關(guān)的釣魚(yú)活動(dòng)；

自動(dòng)化：使用社會(huì)工程攻擊的攻擊者進(jìn)一步將其攻擊活動(dòng)自動(dòng)化；

針對(duì)加密貨幣交易所和加密貨幣所有者的攻擊變多。

④針對(duì)數(shù)據(jù)的威脅

針對(duì)數(shù)據(jù)的威脅包括攻擊者非授權(quán)訪問(wèn)數(shù)據(jù)引發(fā)的數(shù)據(jù)泄露，攻擊者利用漏洞、錯(cuò)誤配置、人為錯(cuò)誤等引發(fā)的數(shù)據(jù)泄露，對(duì)數(shù)據(jù)的惡意操縱修改、數(shù)據(jù)投毒等。

針對(duì)數(shù)據(jù)的威脅趨勢(shì)：

數(shù)據(jù)入侵相關(guān)的攻擊活動(dòng)數(shù)量不斷增加；

身份竊取和合成身份：隨著越來(lái)越多個(gè)人敏感數(shù)據(jù)泄露，攻擊者可以利用這些泄露的個(gè)人敏感數(shù)據(jù)實(shí)現(xiàn)對(duì)特定人的身份竊取，也可以利用個(gè)人敏感數(shù)據(jù)生成實(shí)際上并不存在的身份。

攻擊者更加關(guān)注高回報(bào)數(shù)據(jù)類型，比如憑證數(shù)據(jù)。

數(shù)據(jù)投毒和操縱：針對(duì)人工智能使用數(shù)據(jù)的攻擊活動(dòng)越來(lái)越多；

從機(jī)器學(xué)習(xí)模型提取數(shù)據(jù)。

⑤針對(duì)可用性的威脅：DoS攻擊

從下圖可以看出，有大量與DoS（拒絕服務(wù)）攻擊相關(guān)的網(wǎng)絡(luò)安全事件。針對(duì)歐洲用戶的最大規(guī)模DoS攻擊峰值為853.7 Gbps，持續(xù)14小時(shí)。

DoS攻擊趨勢(shì)：

攻擊變得越來(lái)越復(fù)雜，攻擊的峰值速率不斷變高；

DDoS（分布式拒絕服務(wù)）攻擊的發(fā)起者轉(zhuǎn)向移動(dòng)網(wǎng)絡(luò)和IoT網(wǎng)絡(luò)；

DDoS攻擊被應(yīng)用于網(wǎng)絡(luò)戰(zhàn)；

勒索DoS（RDoS，Ransom Denial of Service）成為DoS攻擊的最新方式。RDoS通過(guò)識(shí)別有漏洞的系統(tǒng)，并對(duì)其發(fā)起DoS攻擊，最終目的是要求受害者支付贖金；

從基于UDP的DoS攻擊轉(zhuǎn)向基于TCP的DoS攻擊；

云服務(wù)被用于DDoS攻擊。

⑥針對(duì)互聯(lián)網(wǎng)可用性的威脅

影響互聯(lián)網(wǎng)可用性的威脅主要包括：

對(duì)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的接管和破壞：在接管當(dāng)?shù)鼗ヂ?lián)網(wǎng)基礎(chǔ)設(shè)施后，蜂窩數(shù)據(jù)網(wǎng)絡(luò)被停止，要求使用新的移動(dòng)服務(wù)提供商；

網(wǎng)絡(luò)審查：自2022年以來(lái)，俄羅斯大約攔截了3000個(gè)網(wǎng)站，其中許多網(wǎng)站包含戰(zhàn)爭(zhēng)的內(nèi)容；

國(guó)家所有的證書(shū)頒發(fā)機(jī)構(gòu)（CA）：對(duì)金融機(jī)構(gòu)的制裁使得用戶無(wú)法更新其TLS證書(shū)。如果國(guó)家擁有CA，就可以對(duì)其公民發(fā)起HTTP流量攔截或者中間人攻擊。

⑦虛假信息和錯(cuò)誤信息

目前，互聯(lián)網(wǎng)上充斥著各種深度偽造、宣傳、錯(cuò)誤信息和虛假信息，對(duì)人們的日常生活和社會(huì)都帶來(lái)了影響。

錯(cuò)誤信息和虛假信息趨勢(shì)：

錯(cuò)誤信息是信息戰(zhàn)使用的主要方法之一。

人工智能在虛假信息和深度偽造內(nèi)容的生成和傳播方面起著關(guān)鍵作用。

虛假信息即服務(wù)（Disinformation-as-a-service）: 虛假信息即服務(wù)使得虛假信息攻擊活動(dòng)變得非常容易實(shí)現(xiàn)和管理。

⑧供應(yīng)鏈攻擊

供應(yīng)鏈攻擊的目標(biāo)對(duì)象是組織與其供應(yīng)者之間的關(guān)系。供應(yīng)鏈攻擊占比從2020年的1%增加到了2021年的17%。

供應(yīng)鏈攻擊趨勢(shì)：

濫用系統(tǒng)的復(fù)雜性和不可見(jiàn)性：企業(yè)使用復(fù)雜的系統(tǒng)來(lái)滿足客戶的需求，而復(fù)雜的系統(tǒng)依賴大量的供應(yīng)商。復(fù)雜系統(tǒng)對(duì)其他系統(tǒng)的依賴對(duì)于軟件管理員來(lái)說(shuō)可能是不可見(jiàn)的。攻擊者可以濫用對(duì)系統(tǒng)依賴的不可見(jiàn)性來(lái)發(fā)起攻擊；

商業(yè)技術(shù)中的漏洞利用：攻擊者通過(guò)研究郵件服務(wù)器、知識(shí)管理軟件等常用商業(yè)技術(shù)中的安全漏洞來(lái)攻擊企業(yè)組織；

攻擊安全研究人員來(lái)獲得目標(biāo)的訪問(wèn)權(quán)限：攻擊者開(kāi)始直接攻擊安全研究人員，然后利用安全研究人員已有的信息來(lái)獲取受害者（系統(tǒng)）的訪問(wèn)權(quán)限；

越多越多的網(wǎng)絡(luò)威脅組織開(kāi)始關(guān)注供應(yīng)鏈攻擊；

攻擊源碼和開(kāi)發(fā)者：軟件供應(yīng)鏈依賴的容器基礎(chǔ)設(shè)施等逐漸成為軟件供應(yīng)鏈攻擊的新攻擊面；

供應(yīng)鏈加密貨幣劫持以獲得經(jīng)濟(jì)利益。攻擊者使用受害者的計(jì)算資源通過(guò)挖礦生成加密貨幣來(lái)獲得經(jīng)濟(jì)利益。

02四類網(wǎng)絡(luò)威脅者

報(bào)告共識(shí)別出了4類主要的網(wǎng)絡(luò)安全威脅者，包括有國(guó)家（政府）背景的攻擊者、以網(wǎng)絡(luò)犯罪為目的的攻擊者、被雇傭的黑客、黑客行動(dòng)主義者。

2.1有國(guó)家（政府）背景的攻擊者趨勢(shì)

利用更多的0 day漏洞（未發(fā)布安全補(bǔ)丁的漏洞）和其他關(guān)鍵漏洞。漏洞利用是入侵網(wǎng)絡(luò)最常用的攻擊方式。2021年，歐盟范圍內(nèi)公開(kāi)的0 day漏洞利用達(dá)到歷史最高值——66個(gè)。

破壞性攻擊是有政府背景的攻擊活動(dòng)的主要組成。在國(guó)家沖突中，有政府背景的網(wǎng)絡(luò)攻擊者發(fā)起網(wǎng)絡(luò)攻擊以配合軍事行動(dòng)。其中包括使用數(shù)據(jù)擦除軟件來(lái)破壞和攻擊政府機(jī)構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施所有者（運(yùn)營(yíng)者）網(wǎng)絡(luò)。目的是破壞特定機(jī)構(gòu)的正常運(yùn)行，降低民眾對(duì)國(guó)家的信任，傳播恐懼、懷疑的情緒。

越來(lái)越關(guān)注供應(yīng)鏈攻擊。供應(yīng)鏈的入侵占入侵總數(shù)的17%，而2020年只占不到1%。通過(guò)2020年的SolarWinds供應(yīng)鏈攻擊，有政府背景的攻擊者意識(shí)到供應(yīng)鏈攻擊帶來(lái)的巨大影響，并越來(lái)越多的通過(guò)攻擊第三方來(lái)擴(kuò)大網(wǎng)絡(luò)攻擊帶來(lái)的影響。

地緣政治影響網(wǎng)絡(luò)攻擊活動(dòng)。許多針對(duì)烏克蘭機(jī)構(gòu)的網(wǎng)絡(luò)攻擊活動(dòng)都是由于持續(xù)的軍事沖突。攻擊者在入侵烏克蘭相關(guān)機(jī)構(gòu)網(wǎng)絡(luò)后，收集相關(guān)的情報(bào)以為軍事機(jī)構(gòu)帶來(lái)戰(zhàn)術(shù)或戰(zhàn)略優(yōu)勢(shì)。有政府背景的攻擊者還攻擊了支持烏克蘭的42個(gè)國(guó)家的128個(gè)政府機(jī)構(gòu)，包括美國(guó)、歐盟、波蘭和俄羅斯周邊國(guó)家等。

網(wǎng)絡(luò)志愿者組成的IT網(wǎng)軍。2022年2月，烏克蘭公開(kāi)招募網(wǎng)絡(luò)志愿者組建IT網(wǎng)軍，以應(yīng)對(duì)網(wǎng)絡(luò)攻擊活動(dòng)。IT網(wǎng)軍由于組成復(fù)雜，所以很難分類，應(yīng)該是由志愿者、政府背景的黑客組織組成的混合體。

科技公司越來(lái)越多地參與網(wǎng)絡(luò)活動(dòng)。在軍事沖突發(fā)生后，許多科技公司站隊(duì)并在網(wǎng)絡(luò)空間實(shí)施支持。比如，微軟向?yàn)蹩颂m網(wǎng)絡(luò)安全機(jī)構(gòu)提供應(yīng)對(duì)惡意軟件方面的支持，以及提供網(wǎng)絡(luò)作戰(zhàn)相關(guān)的感知和情報(bào)內(nèi)容。

2.2以網(wǎng)絡(luò)犯罪為目的的攻擊者

網(wǎng)絡(luò)犯罪分子展示出對(duì)供應(yīng)鏈攻擊的興趣。供應(yīng)鏈攻擊主要與有國(guó)家背景的攻擊者有關(guān)，但網(wǎng)絡(luò)犯罪分子也開(kāi)始對(duì)供應(yīng)鏈感興趣。2021-2022年，越來(lái)越多的供應(yīng)鏈攻擊與勒索軟件攻擊活動(dòng)相關(guān)聯(lián)，使得攻擊者可以擴(kuò)大攻擊的范圍。此類供應(yīng)鏈攻擊一般會(huì)引發(fā)勒索軟件部署、加密貨幣挖礦、加密貨幣竊取、憑證竊取。當(dāng)前，供應(yīng)鏈攻擊與投毒的開(kāi)發(fā)者庫(kù)和軟件平臺(tái)入侵有關(guān)。軟件供應(yīng)鏈攻擊的影響很大，不僅會(huì)影響關(guān)鍵服務(wù)甚至還能夠?qū)](méi)有直接影響的服務(wù)產(chǎn)生影響。

云的大規(guī)模采用為網(wǎng)絡(luò)犯罪分子帶來(lái)新的機(jī)會(huì)。新冠疫情加速了基于云服務(wù)的采用，來(lái)支持企業(yè)商業(yè)流程。網(wǎng)絡(luò)犯罪分子也順應(yīng)這一趨勢(shì)來(lái)攻擊云環(huán)境。網(wǎng)絡(luò)犯罪分子主要通過(guò)以下方式攻擊云服務(wù)：

利用云安全漏洞；

攻擊云憑證；

利用錯(cuò)誤配置的鏡像容器；

攻擊云實(shí)例來(lái)進(jìn)行加密貨幣挖礦；

攻擊云基礎(chǔ)設(shè)施、云API、云備份來(lái)入侵云環(huán)境。

網(wǎng)絡(luò)犯罪分子繼續(xù)破壞工業(yè)行業(yè)。今年，工業(yè)領(lǐng)域網(wǎng)絡(luò)攻擊主要是勒索軟件。制造業(yè)是被攻擊最多的行業(yè)。破壞性攻擊對(duì)食品、醫(yī)療健康、交通和能源行業(yè)帶來(lái)的影響最大。

軍事沖突影響網(wǎng)絡(luò)犯罪生態(tài)。軍事沖突為網(wǎng)絡(luò)犯罪行為獲得經(jīng)濟(jì)收益提供了新的機(jī)會(huì)。許多網(wǎng)絡(luò)黑客組織在沖突中都表示了對(duì)某國(guó)的支持。有的黑客組織還對(duì)敵對(duì)國(guó)的關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行了威脅。在軍事沖突后，許多網(wǎng)絡(luò)犯罪分子通過(guò)支持社會(huì)工程郵件來(lái)獲利。

數(shù)據(jù)泄露和數(shù)據(jù)勒索（不使用勒索軟件）。2021年-2022年發(fā)生了更多的數(shù)據(jù)竊取與數(shù)據(jù)勒索事件。數(shù)據(jù)泄露事件中有許多企業(yè)沒(méi)有使用數(shù)據(jù)加密。此外，網(wǎng)絡(luò)犯罪分子意識(shí)到可以在無(wú)需部署勒索軟件的情況下對(duì)數(shù)據(jù)要求贖金。因?yàn)闆](méi)有加密，攻擊者在獲取了數(shù)據(jù)的訪問(wèn)權(quán)限后就能夠以大范圍公開(kāi)數(shù)據(jù)為條件要求其支付贖金。

2.3被雇傭的黑客

訪問(wèn)即服務(wù)（Access as a service）市場(chǎng)持續(xù)發(fā)展。被雇傭的黑客是指訪問(wèn)即服務(wù)市場(chǎng)中的攻擊者，主要由提供網(wǎng)絡(luò)防護(hù)能力的企業(yè)組成。其客戶主要是政府，一般是以包含多個(gè)服務(wù)的單一服務(wù)包的形式出現(xiàn)。

針對(duì)公民的監(jiān)控。訪問(wèn)即服務(wù)企業(yè)提供的工具可被用來(lái)監(jiān)控持不同政見(jiàn)者、人權(quán)活動(dòng)家、記者和其他公民。

2.4黑客行動(dòng)主義者

黑客行動(dòng)主義者（Hacktivists）是指因政治或社團(tuán)目的而產(chǎn)生的黑客行為，或者是入侵計(jì)算機(jī)系統(tǒng)的個(gè)人。

新一代黑客行動(dòng)主義攻擊活動(dòng)。軍事沖突爆發(fā)后，黑客行動(dòng)主義者發(fā)起的攻擊活動(dòng)明顯增加，包括DDoS（分布式拒絕服務(wù)攻擊）、數(shù)據(jù)竊取等。從戰(zhàn)略角度看，軍事沖突為黑客行動(dòng)主義、其角色和其對(duì)沖突的影響定義了一個(gè)新時(shí)代。

03評(píng)述

ENISA發(fā)布的《網(wǎng)絡(luò)威脅圖譜2022》對(duì)2021年7月到2022年6月之間網(wǎng)絡(luò)安全事件進(jìn)行了分析，共識(shí)別出了勒索軟件、惡意軟件、社會(huì)工程、針對(duì)數(shù)據(jù)的威脅、針對(duì)可用性的威脅、針對(duì)互聯(lián)網(wǎng)可用性的威脅、虛假信息和錯(cuò)誤信息、供應(yīng)鏈攻擊等8個(gè)主要的網(wǎng)絡(luò)威脅類別，以及有國(guó)家（政府）背景的攻擊者、以網(wǎng)絡(luò)犯罪為目的的攻擊者、被雇傭的黑客、黑客行動(dòng)主義者4類主要的網(wǎng)絡(luò)安全威脅者。雖然分析的相關(guān)安全事件主要集中在歐洲，但識(shí)別出的網(wǎng)絡(luò)威脅與網(wǎng)絡(luò)威脅攻擊者趨勢(shì)同樣適用于其他國(guó)家和地區(qū)。

審核編輯 ：李倩