欧盟网络安全局(ENISA)于2020年10月6日召开会议,对即将发布的年度报告做最后的修改。10月20日,ENISA发布报告的最终版,文章最后可下载相关文件PDF版。

本报告是ENISA发布的第八份年度报告,相比去年,今年的报告质量得到进一步提升。本次报告主要有以下7个主题:

  • 年度回顾

  • 网络威胁情报概述

  • 部门与主题威胁分析

  • 欧盟及世界范围内的重大安全事件

  • 研究课题

  • 新兴趋势

  • 15大威胁清单

01 年度回顾

报告中包含几个关键部分,我们将相应内容整理为调查期间观察到的“十大趋势”:

  1. 随着数字化转型进度的加快,网络安全攻击面也在持续扩大;

  2. 经历了新冠疫情之后,新的社会与经济秩序将逐步建立,并且对网络空间的安全性与可靠性提出更高要求;

  3. 在针对性攻击中,对社交媒体平台的使用已经成为一种显著趋势,而且涉及诸多不同威胁领域与威胁类型;

  4. 有国家支持背景的攻击者正针对高价值数据(例如知识产权与国家机密)开展精心策划且极具针对性的持续攻击。

  5. 持续时间较短、影响范围极大的分布式攻击活动往往预设有多个目标,例如凭证盗窃;

  6. 大多数网络攻击的基本动机仍然由金钱驱动;

  7. 勒索软件仍然普遍,而且给众多组织带来巨大的经济损失;

  8. 相当一部分网络安全事件仍未被发现,或者时隔甚久才被曝光;

  9. 随着安全自动化程度的提升,组织逐渐将网络威胁情报作为一项主动防御功能并给予持续投资;

  10. 网络钓鱼受害者数量不断增加,这也彰显出人为因素在安全体系内仍然属于薄弱环节。

此外,本报告的另一个重要内容为“趋势预测”,主要从以下三个方面展开:国家、网络进攻与网络犯罪。在国家层面,ENISA认为新一年中将出现“不受控制的网络军备竞赛”,届时所有国家都将争相获取“网络空间战域”中的最佳攻击工具,并借此实施对抗。

在“网络犯罪预测”方面,ENISA预计BEC(企业电子邮件威胁)、BPC(企业流程威胁)、以及针对托管服务供应商恶意软件还将继续肆虐。报告还指出,“用于欺诈的Deep Fakes”趋势可能有所上升。或许Deep Fakes在2021年不会造成巨大的危害,但其确实是一个值得关注的领域。

其他发展趋势包括:随着青少年群体在网络上的活动时间不断延长,加上父母对此类活动的监督能力有限(忙于居家办公),因此青少年遭受网络欺凌事件有可能大大增加。

02 网络威胁情报(CTI)概述

在这一领域中,ENISA提供培训资源链接,不过同时也在报告中提醒了在高效CTI实践和普通用户可用的培训及工具之间存在着巨大差距。在对如MITRE: ATT&CK等现有框架表示高度赞赏的同时,也指出了其在解决特定行业中特定系统、新兴系统以及云计算/托管服务等威胁方面的缺陷。

报告呼吁人们将更多精力投入到预防、检测及响应上,而不应过度痴迷于IOCs及APT命名等华而不实的工作。考虑到设备及实践的特殊性,某些行业在CTI层面表现得尤其落后。所有部门都应大幅提升自身在PDR方面(即预防、检测与响应)的能力。报告还提示关注以下问题:各类组织对于事件追踪部门的信任度往往不高。当一个公司与其他同行间的距离越远时,现有体系发生安全问题的几率就越大。因此,改善信息共享能力正是关键所在。援引报告原文,“应该指出的是,这里描述的缺陷并非组织自身缺乏CTI知识,而是跨部门、跨组织之间漫长的CTI知识交流与交换协调周期。”

ENISA在“全面CTI调查”部分发布了调查结果,相关要点如下:

  • 在大多数组织内,CTI主要通过手动过程实现;

  • 大部分CTI数据仍主要通过电子表格与电子邮件进行传递;

  • CTI要求越来越明确,并开始从实际业务需求与执行人员的建议中汲取经验;

  • 目前,将公共来源的CTI与内部网络及系统监控的观察结果相结合已经成为新的趋势;

  • 由CTI供应商提供的威胁情报极大充实的了开源信息库,这种“显著上升的趋势”表明人们越来越关注内部CTI产出;

  • 以IOC为基础的威胁检测被视为CTI的主要用途;而在威胁行为与敌对方战术领域,TTP得到的关注度更高。

  • 只有4%的受访者表示他们有能力衡量CTI计划的有效性!其中机器学习的排名极低,大多数受访者认为分析师技能仍是决定预测效能的关键所在。

“未来展望”部分有以下几点内容值得关注:

  • 强调对CTI要求加以协调。虽然报告主要呼吁各欧盟成员国开展协调,但这应该是一项覆盖全球网络安全领域,共同确定适当CTI要求、并通过全面协同推动整个行业实现改进的共同性目标。

  • 开发CTI成熟度模型与威胁层级结构模型。

  • 确保CTI充分考虑到全球地缘政治状态,而不仅仅是比特与字节层面的安全状态。

03 部门与主题威胁分析

本报告首先探讨了按行业来衡量与分类差异性因素的难度。但也必须承认,这份报告中关于此部分的表述显得十分空洞。随着新冠疫情期间众多部门逐步转移至云端,以主管部门为受众的“目标”逐步减少、各方将更多关注“机会目标”。

尽管大多数攻击趋势仍将保持“稳定”,但也有部分“跨部门”攻击类型有所增加……主要体现在Web应用程序攻击、网络钓鱼以及恶意软件方面。

根据以往安全事件趋势,“健康医疗”遭受的风险水平远超其他行业,该领域中的恶意软件、内部威胁以及Web应用程序攻击都被标记为“上升中”。

经过满满两页乏善可陈的“趋势性”报告之后,接下来的内容主要关注新兴技术威胁,其中包括对5G移动通信、物联网以及智能汽车的一些有趣观察。

这里建议读者参阅完整报告以了解更多详细信息。

04 欧盟及世界范围内的重大安全事件

遗憾的是,本份报告的正式编撰时间为2019年1月至2020年4月,所以其中涉及的不少“重大安全事件”已经过时。虽然这部分事件能够较好地反映历史趋势,但继续作为第一手材料进行分析已经缺乏价值。报告中提及的重大数据泄露事件包括从MEGA(新西兰「Kim.com」运营的云数据存储服务)流出的7.7亿个电子邮件地址。其中还提到了ElasticSearch、Canva、Dream Market、Verifications.io以及几次有关MongoDB的重大违规案例。

根据这份报告,目前网络攻击事件的主要目标集中在数字服务、政府管理、科技行业、金融机构以及医疗保健实体。在数字服务领域,攻击者的主要手段在于窃取电子邮件地址/密码对,随后发动密码重放攻击,即利用掌握的凭证对其他在线平台进行“撞库”。ENISA表示“企业平均每月遭受12次凭证撞库攻击!”

报告还指出,84%的网络攻击“依赖于社会工程方法”;而且在遭遇恶意软件侵扰的组织中,有71%出现了恶意软件在员工之间往来传播的状况。

与我们从其他来源处看到的结论不符,ENISA将以下团伙描述为“最活跃的网络攻击组织”:

  • TURLA-攻击微软Exchange服务器;

  • APT27-针对中东政府SharePoint服务器发动攻击;

  • Vicious Panda-针对蒙古政府发动攻击;

  • Gamaredon-于2019年12月对乌克兰国防部发动鱼叉式钓鱼攻击。

报告还提到,ENISA认定大部分网络攻击都来自于有组织犯罪集团。

攻击者的五大动机是:财务、间谍、破坏、政治与报复。

网络犯罪活动中的五大“目标资产”分别为:

  • 工业知识产权与商业机密

  • 国家/军事机密信息

  • 服务器基础设施

  • 身份验证数据

  • 财务数据

受篇幅所限,这里无法展开叙述。但报告中也提到了关于“新冠疫情在未来可能引发变化”的相关建议。相关内容,请参考ENISA之前就此主题发表的几篇出版物。

05 研究主题

ENISA表示,“除了基本的网络安全卫生与培训之外,研究与创新已经成为防御方最具可行性的方案选项。”他们鼓励推动研究的几个关键领域包括:

  • 深入剖析人为因素的安全影响;

  • 网络安全研究与创新——侧重于建立能够更好反映实际部署的“测试实验室与网络范围”;

  • 5G安全;

  • 欧盟网络安全研究与创新项目;

  • 快速传播CTI方法与内容。

06 新兴趋势

报告首先指出,新冠疫情已经引发“物理世界与网络空间中一波新型深远变化”,并指出“由于威胁态势与对抗关系的日益复杂,网络安全风险已经变得更加难以评估与解释。对抗生态系统与攻击面也在持续扩大。”

新兴趋势具体分为三份趋势性清单:十大网络安全挑战;五大网络威胁趋势;以及攻击向量层面的十大新兴趋势。再次强调,请参阅完整报告以获取全部详细信息。下面是我个人认为比较重要的几点内容:

网络安全挑战1——处理系统性与复杂风险。系统与网络之间的互联,意味着驻留在环境中特定部分的风险可能迅速扩散到整个组织当中。遗憾的是,为了降低复杂性并缓解管理难度,大部分组织建立起扁平化的网络结构,其中单一活动目录域可能会触及环境内的所有资源,且几乎不存在网络分段机制。

另外,报告在网络安全挑战领域提出的一些其他“新兴趋势”并不能算是真正的趋势,而更多是种片面看法。减少意外错误、实现CTI摄取自动化、减少警报倦怠/误报以及保护云迁移流程都是我们的努力目标,而绝不能算是什么“新兴趋势”。当然,我对报告中强调的CTI重要作用、以及目前市场上缺乏熟练劳动力等结论表示十分赞同。

网络威胁情报(CTI)需要有能力解决为什么、如何做以及是什么几个核心问题。报告指出,“任何CTI功能或计划的价值主张,都在于提高组织的安全防范能力,借此保证关键资产免受未知威胁的侵害。”要想预知未知,我们必须对威胁及攻击方都建立起更深刻的理解——不仅是以特定威胁指标(IOC)的形式,更应该以TTP的形式(即基于战术、技术与程序),通过公开观察得出实证公开来源情报(OSINT)与同部门/跨部门间情报共享,帮助组织加强并准备应对即将出现的攻击活动(而非单纯针对已知攻击做出反应)。

正如我们看到像美国那样,网络安全技能的短缺正给欧盟带来沉重打击。70%的受访企业表示,缺乏技能已经成为新兴技术正常发展中的严重阻碍;46%的企业表示,由于缺乏技能娴熟的求职者,他们一直难以填补网络安全方面的职位空缺。在美国,我经常向学生们推荐由Cyberseek.org网站维护的网络安全供求热图。目前,单在美国一地,就存在521617个网络安全职位空缺!

最后一个“新兴趋势”为攻击向量层面的十大新兴趋势。在这方面,我认为以下几点需要高度关注:

  1. 攻击将在短时间内大规模传播,且影响范围更广;

  2. 将出现精心策划、极具针对性的持续攻击,并辅以明确的长期攻击目标;

  3. 恶意攻击者将在针对性攻击中使用数字化平台;

  4. 对业务流程的恶意利用将持续增加;

  5. 攻击面将持续扩大;

  6. 远程办公的普及将导致家用设备成为新的攻击目标;

  7. 攻击者的准备工作将更加完备;

  8. 模糊技术将更加复杂;

  9. 对修复系统及非连续应用程序的自动化入侵将持续增加;

  10. 网络威胁正逐步走向边缘。

贯穿以上趋势中的一条关键线索,在于攻击将转移到防御较为薄弱的新“软肋”之上。报告还提到,从Google Play商店下载到的银行木马可能针对路由器、交换机及防火墙(而非服务器)开展攻击;并可能通过个人及企业应用(例如短信、WhatsApp、SnapChat以及各类消息传递平台)进行往来传播,最终感染“居家办公”设备上的各类游戏及流媒体应用。

07 15大威胁清单

安全内参将在下一篇文章讨论ENISA的“ 15大威胁”。

相关报告下载链接:

  • https://www.enisa.europa.eu/publications/year-in-review/at_download/fullReport

  • https://www.enisa.europa.eu/publications/cyberthreat-intelligence-overview/at_download/fullReport

  • https://www.enisa.europa.eu/publications/sectoral-thematic-threat-analysis/at_download/fullReport

  • https://www.enisa.europa.eu/publications/enisa-threat-landscape-2020-research-topics/at_download/fullReport

  • https://www.enisa.europa.eu/publications/emerging-trends/at_download/fullReport

原文链接:

  • http://garwarner.blogspot.com/2020/11/the-enisa-cybersecurity-threat-landscape.html

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。