ENISA網(wǎng)絡(luò)威脅圖譜2022

2022年11月，歐盟網(wǎng)絡(luò)與信息安全局（ENISA）發(fā)布題為《ENISA Threat Landscape 2022》（ENISA網(wǎng)絡(luò)威脅圖譜2022）的研究報告。這是ENISA第10次發(fā)布年度網(wǎng)絡(luò)威脅圖譜報告。報告分析了當前網(wǎng)絡(luò)空間領(lǐng)域威脅狀態(tài)，識別了主要威脅和攻擊者，并對未來網(wǎng)絡(luò)威脅和攻擊者的趨勢進行了預測。

本文主要內(nèi)容及關(guān)鍵詞

1.八大網(wǎng)絡(luò)威脅：勒索軟件；惡意軟件；社會工程；針對數(shù)據(jù)的威脅；針對可用性的威脅（DoS拒絕服務(wù)攻擊）；針對互聯(lián)網(wǎng)可用性的威脅；虛假信息和錯誤信息；供應鏈攻擊。

2.零信任：①有國家（政府）背景的攻擊者趨勢②以網(wǎng)絡(luò)犯罪為目的的攻擊者③被雇傭的黑客④黑客行動主義者

3.評述

01八大網(wǎng)絡(luò)威脅

報告識別了8個主要的威脅類別，分別是：

勒索軟件；惡意軟件；社會工程；針對數(shù)據(jù)的威脅；針對可用性的威脅（DoS拒絕服務(wù)攻擊）；針對互聯(lián)網(wǎng)可用性的威脅；虛假信息和錯誤信息；供應鏈攻擊。

①勒索軟件

從2021年7月到2022年6月，全球發(fā)生了許多與勒索軟件相關(guān)的網(wǎng)絡(luò)安全事件，表明勒索軟件威脅持續(xù)增長。ENISA監(jiān)測到的2021年7月到2022年6月發(fā)生的主要網(wǎng)絡(luò)安全事件數(shù)量如下所示：

2021年5月到2022年6月期間勒索軟件攻擊活動數(shù)量以及累計竊取的數(shù)據(jù)量如下圖所示：

勒索軟件威脅趨勢：

釣魚郵件成為最常見的攻擊初始向量；

漏洞被快速武器化；

執(zhí)法機構(gòu)開始采取措施應對勒索軟件攻擊活動；

政府下令不允許政府相關(guān)機構(gòu)支付勒索軟件贖金。

②惡意軟件

2021年7月到2022年6月與惡意軟件相關(guān)的網(wǎng)絡(luò)攻擊活動數(shù)量如下所示：

惡意軟件趨勢：

疫情好轉(zhuǎn)后，檢測到的惡意軟件數(shù)量持續(xù)增加；

攻擊物聯(lián)網(wǎng)（IoT）的惡意軟件數(shù)量翻倍；

供應鏈攻擊活動主要針對開源軟件框架；

利用微軟Office宏的惡意軟件數(shù)量減少；

針對移動端（手機、平板）的惡意軟件感染變得更具針對性；

與烏克蘭相關(guān)的惡意軟件數(shù)量增加。

③社會工程

社會工程融合了大量嘗試利用人為錯誤或人的行為來獲取信息或服務(wù)的訪問權(quán)限的活動。常見的社會工程攻擊方法包括：釣魚、魚叉式釣魚、商業(yè)郵件入侵、欺詐、冒充和假冒。2021年7月到2022年6月與社會工程相關(guān)的攻擊活動數(shù)量如下所示：

社會工程攻擊趨勢：

以烏克蘭戰(zhàn)爭為主題的攻擊活動增加；

出現(xiàn)自知名賬戶的釣魚郵件，比如office；

商業(yè)郵件入侵；

惡意二維碼：通過掃描二維碼作為攻擊入口；

知情同意：發(fā)送知情同意相關(guān)的釣魚活動；

自動化：使用社會工程攻擊的攻擊者進一步將其攻擊活動自動化；

針對加密貨幣交易所和加密貨幣所有者的攻擊變多。

④針對數(shù)據(jù)的威脅

針對數(shù)據(jù)的威脅包括攻擊者非授權(quán)訪問數(shù)據(jù)引發(fā)的數(shù)據(jù)泄露，攻擊者利用漏洞、錯誤配置、人為錯誤等引發(fā)的數(shù)據(jù)泄露，對數(shù)據(jù)的惡意操縱修改、數(shù)據(jù)投毒等。

針對數(shù)據(jù)的威脅趨勢：

數(shù)據(jù)入侵相關(guān)的攻擊活動數(shù)量不斷增加；

身份竊取和合成身份：隨著越來越多個人敏感數(shù)據(jù)泄露，攻擊者可以利用這些泄露的個人敏感數(shù)據(jù)實現(xiàn)對特定人的身份竊取，也可以利用個人敏感數(shù)據(jù)生成實際上并不存在的身份。

攻擊者更加關(guān)注高回報數(shù)據(jù)類型，比如憑證數(shù)據(jù)。

數(shù)據(jù)投毒和操縱：針對人工智能使用數(shù)據(jù)的攻擊活動越來越多；

從機器學習模型提取數(shù)據(jù)。

⑤針對可用性的威脅：DoS攻擊

從下圖可以看出，有大量與DoS（拒絕服務(wù)）攻擊相關(guān)的網(wǎng)絡(luò)安全事件。針對歐洲用戶的最大規(guī)模DoS攻擊峰值為853.7 Gbps，持續(xù)14小時。

DoS攻擊趨勢：

攻擊變得越來越復雜，攻擊的峰值速率不斷變高；

DDoS（分布式拒絕服務(wù)）攻擊的發(fā)起者轉(zhuǎn)向移動網(wǎng)絡(luò)和IoT網(wǎng)絡(luò)；

DDoS攻擊被應用于網(wǎng)絡(luò)戰(zhàn)；

勒索DoS（RDoS，Ransom Denial of Service）成為DoS攻擊的最新方式。RDoS通過識別有漏洞的系統(tǒng)，并對其發(fā)起DoS攻擊，最終目的是要求受害者支付贖金；

從基于UDP的DoS攻擊轉(zhuǎn)向基于TCP的DoS攻擊；

云服務(wù)被用于DDoS攻擊。

⑥針對互聯(lián)網(wǎng)可用性的威脅

影響互聯(lián)網(wǎng)可用性的威脅主要包括：

對互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的接管和破壞：在接管當?shù)鼗ヂ?lián)網(wǎng)基礎(chǔ)設(shè)施后，蜂窩數(shù)據(jù)網(wǎng)絡(luò)被停止，要求使用新的移動服務(wù)提供商；

網(wǎng)絡(luò)審查：自2022年以來，俄羅斯大約攔截了3000個網(wǎng)站，其中許多網(wǎng)站包含戰(zhàn)爭的內(nèi)容；

國家所有的證書頒發(fā)機構(gòu)（CA）：對金融機構(gòu)的制裁使得用戶無法更新其TLS證書。如果國家擁有CA，就可以對其公民發(fā)起HTTP流量攔截或者中間人攻擊。

⑦虛假信息和錯誤信息

目前，互聯(lián)網(wǎng)上充斥著各種深度偽造、宣傳、錯誤信息和虛假信息，對人們的日常生活和社會都帶來了影響。

錯誤信息和虛假信息趨勢：

錯誤信息是信息戰(zhàn)使用的主要方法之一。

人工智能在虛假信息和深度偽造內(nèi)容的生成和傳播方面起著關(guān)鍵作用。

虛假信息即服務(wù)（Disinformation-as-a-service）: 虛假信息即服務(wù)使得虛假信息攻擊活動變得非常容易實現(xiàn)和管理。

⑧供應鏈攻擊

供應鏈攻擊的目標對象是組織與其供應者之間的關(guān)系。供應鏈攻擊占比從2020年的1%增加到了2021年的17%。

供應鏈攻擊趨勢：

濫用系統(tǒng)的復雜性和不可見性：企業(yè)使用復雜的系統(tǒng)來滿足客戶的需求，而復雜的系統(tǒng)依賴大量的供應商。復雜系統(tǒng)對其他系統(tǒng)的依賴對于軟件管理員來說可能是不可見的。攻擊者可以濫用對系統(tǒng)依賴的不可見性來發(fā)起攻擊；

商業(yè)技術(shù)中的漏洞利用：攻擊者通過研究郵件服務(wù)器、知識管理軟件等常用商業(yè)技術(shù)中的安全漏洞來攻擊企業(yè)組織；

攻擊安全研究人員來獲得目標的訪問權(quán)限：攻擊者開始直接攻擊安全研究人員，然后利用安全研究人員已有的信息來獲取受害者（系統(tǒng)）的訪問權(quán)限；

越多越多的網(wǎng)絡(luò)威脅組織開始關(guān)注供應鏈攻擊；

攻擊源碼和開發(fā)者：軟件供應鏈依賴的容器基礎(chǔ)設(shè)施等逐漸成為軟件供應鏈攻擊的新攻擊面；

供應鏈加密貨幣劫持以獲得經(jīng)濟利益。攻擊者使用受害者的計算資源通過挖礦生成加密貨幣來獲得經(jīng)濟利益。

02四類網(wǎng)絡(luò)威脅者

報告共識別出了4類主要的網(wǎng)絡(luò)安全威脅者，包括有國家（政府）背景的攻擊者、以網(wǎng)絡(luò)犯罪為目的的攻擊者、被雇傭的黑客、黑客行動主義者。

2.1有國家（政府）背景的攻擊者趨勢

利用更多的0 day漏洞（未發(fā)布安全補丁的漏洞）和其他關(guān)鍵漏洞。漏洞利用是入侵網(wǎng)絡(luò)最常用的攻擊方式。2021年，歐盟范圍內(nèi)公開的0 day漏洞利用達到歷史最高值——66個。

破壞性攻擊是有政府背景的攻擊活動的主要組成。在國家沖突中，有政府背景的網(wǎng)絡(luò)攻擊者發(fā)起網(wǎng)絡(luò)攻擊以配合軍事行動。其中包括使用數(shù)據(jù)擦除軟件來破壞和攻擊政府機構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施所有者（運營者）網(wǎng)絡(luò)。目的是破壞特定機構(gòu)的正常運行，降低民眾對國家的信任，傳播恐懼、懷疑的情緒。

越來越關(guān)注供應鏈攻擊。供應鏈的入侵占入侵總數(shù)的17%，而2020年只占不到1%。通過2020年的SolarWinds供應鏈攻擊，有政府背景的攻擊者意識到供應鏈攻擊帶來的巨大影響，并越來越多的通過攻擊第三方來擴大網(wǎng)絡(luò)攻擊帶來的影響。

地緣政治影響網(wǎng)絡(luò)攻擊活動。許多針對烏克蘭機構(gòu)的網(wǎng)絡(luò)攻擊活動都是由于持續(xù)的軍事沖突。攻擊者在入侵烏克蘭相關(guān)機構(gòu)網(wǎng)絡(luò)后，收集相關(guān)的情報以為軍事機構(gòu)帶來戰(zhàn)術(shù)或戰(zhàn)略優(yōu)勢。有政府背景的攻擊者還攻擊了支持烏克蘭的42個國家的128個政府機構(gòu)，包括美國、歐盟、波蘭和俄羅斯周邊國家等。

網(wǎng)絡(luò)志愿者組成的IT網(wǎng)軍。2022年2月，烏克蘭公開招募網(wǎng)絡(luò)志愿者組建IT網(wǎng)軍，以應對網(wǎng)絡(luò)攻擊活動。IT網(wǎng)軍由于組成復雜，所以很難分類，應該是由志愿者、政府背景的黑客組織組成的混合體。

科技公司越來越多地參與網(wǎng)絡(luò)活動。在軍事沖突發(fā)生后，許多科技公司站隊并在網(wǎng)絡(luò)空間實施支持。比如，微軟向烏克蘭網(wǎng)絡(luò)安全機構(gòu)提供應對惡意軟件方面的支持，以及提供網(wǎng)絡(luò)作戰(zhàn)相關(guān)的感知和情報內(nèi)容。

2.2以網(wǎng)絡(luò)犯罪為目的的攻擊者

網(wǎng)絡(luò)犯罪分子展示出對供應鏈攻擊的興趣。供應鏈攻擊主要與有國家背景的攻擊者有關(guān)，但網(wǎng)絡(luò)犯罪分子也開始對供應鏈感興趣。2021-2022年，越來越多的供應鏈攻擊與勒索軟件攻擊活動相關(guān)聯(lián)，使得攻擊者可以擴大攻擊的范圍。此類供應鏈攻擊一般會引發(fā)勒索軟件部署、加密貨幣挖礦、加密貨幣竊取、憑證竊取。當前，供應鏈攻擊與投毒的開發(fā)者庫和軟件平臺入侵有關(guān)。軟件供應鏈攻擊的影響很大，不僅會影響關(guān)鍵服務(wù)甚至還能夠?qū)]有直接影響的服務(wù)產(chǎn)生影響。

云的大規(guī)模采用為網(wǎng)絡(luò)犯罪分子帶來新的機會。新冠疫情加速了基于云服務(wù)的采用，來支持企業(yè)商業(yè)流程。網(wǎng)絡(luò)犯罪分子也順應這一趨勢來攻擊云環(huán)境。網(wǎng)絡(luò)犯罪分子主要通過以下方式攻擊云服務(wù)：

利用云安全漏洞；

攻擊云憑證；

利用錯誤配置的鏡像容器；

攻擊云實例來進行加密貨幣挖礦；

攻擊云基礎(chǔ)設(shè)施、云API、云備份來入侵云環(huán)境。

網(wǎng)絡(luò)犯罪分子繼續(xù)破壞工業(yè)行業(yè)。今年，工業(yè)領(lǐng)域網(wǎng)絡(luò)攻擊主要是勒索軟件。制造業(yè)是被攻擊最多的行業(yè)。破壞性攻擊對食品、醫(yī)療健康、交通和能源行業(yè)帶來的影響最大。

軍事沖突影響網(wǎng)絡(luò)犯罪生態(tài)。軍事沖突為網(wǎng)絡(luò)犯罪行為獲得經(jīng)濟收益提供了新的機會。許多網(wǎng)絡(luò)黑客組織在沖突中都表示了對某國的支持。有的黑客組織還對敵對國的關(guān)鍵基礎(chǔ)設(shè)施進行了威脅。在軍事沖突后，許多網(wǎng)絡(luò)犯罪分子通過支持社會工程郵件來獲利。

數(shù)據(jù)泄露和數(shù)據(jù)勒索（不使用勒索軟件）。2021年-2022年發(fā)生了更多的數(shù)據(jù)竊取與數(shù)據(jù)勒索事件。數(shù)據(jù)泄露事件中有許多企業(yè)沒有使用數(shù)據(jù)加密。此外，網(wǎng)絡(luò)犯罪分子意識到可以在無需部署勒索軟件的情況下對數(shù)據(jù)要求贖金。因為沒有加密，攻擊者在獲取了數(shù)據(jù)的訪問權(quán)限后就能夠以大范圍公開數(shù)據(jù)為條件要求其支付贖金。

2.3被雇傭的黑客

訪問即服務(wù)（Access as a service）市場持續(xù)發(fā)展。被雇傭的黑客是指訪問即服務(wù)市場中的攻擊者，主要由提供網(wǎng)絡(luò)防護能力的企業(yè)組成。其客戶主要是政府，一般是以包含多個服務(wù)的單一服務(wù)包的形式出現(xiàn)。

針對公民的監(jiān)控。訪問即服務(wù)企業(yè)提供的工具可被用來監(jiān)控持不同政見者、人權(quán)活動家、記者和其他公民。

2.4黑客行動主義者

黑客行動主義者（Hacktivists）是指因政治或社團目的而產(chǎn)生的黑客行為，或者是入侵計算機系統(tǒng)的個人。

新一代黑客行動主義攻擊活動。軍事沖突爆發(fā)后，黑客行動主義者發(fā)起的攻擊活動明顯增加，包括DDoS（分布式拒絕服務(wù)攻擊）、數(shù)據(jù)竊取等。從戰(zhàn)略角度看，軍事沖突為黑客行動主義、其角色和其對沖突的影響定義了一個新時代。

03評述

ENISA發(fā)布的《網(wǎng)絡(luò)威脅圖譜2022》對2021年7月到2022年6月之間網(wǎng)絡(luò)安全事件進行了分析，共識別出了勒索軟件、惡意軟件、社會工程、針對數(shù)據(jù)的威脅、針對可用性的威脅、針對互聯(lián)網(wǎng)可用性的威脅、虛假信息和錯誤信息、供應鏈攻擊等8個主要的網(wǎng)絡(luò)威脅類別，以及有國家（政府）背景的攻擊者、以網(wǎng)絡(luò)犯罪為目的的攻擊者、被雇傭的黑客、黑客行動主義者4類主要的網(wǎng)絡(luò)安全威脅者。雖然分析的相關(guān)安全事件主要集中在歐洲，但識別出的網(wǎng)絡(luò)威脅與網(wǎng)絡(luò)威脅攻擊者趨勢同樣適用于其他國家和地區(qū)。

審核編輯 ：李倩