近日,欧盟网络安全局发布《2022年网络安全威胁全景》对年度网络安全状况进行了报告及总结,本报告为ENISA威胁全景(ETL)报告的第十版。报告中确认了勒索软件、恶意软件、社会工程威胁、数据安全威胁、可用性威胁:拒绝服务、可用性的威胁:互联网威胁、虚假信息和供应链攻击八大领域威胁;以及国家支持的行为者、网络犯罪行为者、雇佣黑客的行为者、黑客行动主义者四大网络安全威胁行为体。
ENISA威胁全景(ETL)报告提供了网络安全威胁全景的总体概述。多年来,ETL一直被用作了解整个欧盟网络安全现状的关键工具,并在趋势和模式方面提供洞察力,导致相关的决定、行动的优先顺序和建议。ETL报告部分是战略性的,部分是技术性的,其信息与技术性和非技术性的读者都相关。2022年ETL报告得到了ENISA网络安全威胁全景特设工作组(CTL)和ENISA国家联络官网络的验证和支持。2021年下半年和2022年,网络安全攻击继续增加,不仅在载体和数量上,而且在其影响上。俄乌危机为网络战和黑客主义、其作用及其对冲突的影响定义了一个新的时代。国家和其他网络行动很可能会适应这一新的事态,并利用其对冲突的影响。国家和其他网络行动很可能适应这种新的状态,并利用这场战争带来的新机遇和挑战。
威胁概览
1 主要趋势
下面总结了报告期内观察到的网络威胁形势的主要趋势:
1.地缘政治对网络安全威胁形势的影响
俄乌冲突重塑了报告期内的威胁格局,黑客活动显著增加、网络攻击者与动能军事行动配合;
地缘政治继续对网络行动的影响持续加剧;
破坏性攻击是国家行为者行动的突出组成部分;
俄乌危机开始以来,黑客开始了新一轮活动;
虚假信息是网络战的工具,甚至在 "实体 "战争开始之前就被用作战前的准备活动;
2.攻击者能力提升
攻击者利用0-day漏洞来实现其行动及战略目标;组织越是提高其防御和网络安全的方案成熟度越高,对手的攻击成本就越高,因为深度防御战略减少了漏洞的可用性;
勒索软件集团采取"退休 "和改头换面的方式逃避法律的制裁了;
黑客即服务的商业模式越来越受重视,自2021年以来这种商业模式持续增长;
针对供应链攻击和针对管理服务提供商的攻击越来越多,攻击能力也持续提升;
3.报告期间,勒索软件和针对可用性的攻击排名最高
针对可用性的攻击大幅增加,特别是DDoS,正在进行的战争是此类攻击的主要原因。
网络钓鱼再次成为初始访问的最常见载体。网络钓鱼的复杂性、用户疲劳和针对性、基于环境的网络钓鱼的进步导致了这种上升;
恶意软件在被注意到与新冠疫情相关联后,活动频率先下降而后又逐步上升;
伴随着泄密网站的流行,勒索技术正进一步发展;
DDoS攻击的规模逐步扩大,复杂程度逐步提升,同时向移动网络和物联网发展,并应用于网络战;
4.新型、混合式和新出现的威胁正在成为具有高度影响力的威胁全景的标志
Pegasus案件引发了媒体报道和政府行动,这也反映在其他有关监视和针对民间社会的案件中。
愿者上钩式网络钓鱼:攻击者利用愿者上钩式网络钓鱼方式向用户发送链接,如果用户点击,则会授予攻击者对应用程序的访问和权限;
数据泄露事件逐年递增;
机器学习(ML)模型是现代分布式系统的核心,因此正日益成为被攻击的对象;
由人工智能促成的虚假信息和深层假象。机器人建模角色可以轻松干扰 “通知和评论”的规则制定过程,以及社区的互动。
2 欧洲主要威胁的邻近性
在ENISA威胁全景的背景下,需要考虑的一个重要方面是威胁与欧洲联盟(EU)的接近程度。这对于帮助分析人员评估网络威胁的重要性,将其与潜在的威胁行为者和载体联系起来,甚至指导选择适当的目标缓解载体尤为重要。根据欧盟共同安全与防御政策(CSDP)的拟议分类,将网络威胁分为四个类别,如表1所示。
表1. 网络威胁的邻近性分类
图1显示了与ETL2022年报告的主要威胁类别相关的事件的时间序列。需要注意的是,图中的信息是基于OSINT(开源情报),是ENISA在态势感知领域的工作成果。
图1:观察到的与ETL主要威胁有关的事件(基于OSINT的态势感知),以其接近程度为标准F
从上图可以看出,与2021年相比,2022年的事件数量总体上有所减少。这部分是由于事件处理和分析正在进行,报告也随之而来,以及ETL中信息收集的开源性质,这可能会在无意中给结果带来偏差。特别是,NEAR类别中观察到的与主要威胁有关的事件数量一直很高。
3 各部门的主要威胁
网络威胁通常不局限于任何特定的部门,在大多数情况下会影响多个部门。多数情况下,威胁通过利用各部门正在使用的基础信息和通信技术系统的漏洞表现。然而,有针对性的攻击以及利用各部门网络安全成熟度的差异和某些部门的受欢迎程度或突出地位的攻击,都是需要考虑的因素,特别是在优先考虑有针对性的缓解行动时。
图2和图3强调了根据OSINT(开放源码情报)观察到的受影响部门,是ENISA在态势感知领域的工作成果。它们指的是与2022年ETL的主要威胁有关的事件。
图2. 观察到的与主要ETL威胁有关的事件(按受影响部门划分)
图3. 按事件数量划分的目标部门(2021年7月-2022年6月)
在本报告期内,我们再次观察到大量针对公共管理和政府以及数字服务提供商的事件。后者是可以预期的,因为这个部门的服务是横向提供的,因此它对许多其他部门的影响也是如此。我们还观察到大量针对最终用户的事件,而不一定是针对某个特定部门。有趣的是,在整个报告期间,金融部门面临的事件数量一直很稳定,卫生部门紧随其后。
4 影响评估
在 ENISA威胁状况的这一迭代中,对报告期内观察到的事件的影响进行了评估。通过这种定性的影响分析过程,ENISA试图通过定义五种类型的潜在影响并指定各自的影响水平或程度,即高、中、低或未知,来确定破坏性网络事件的后果。由于与网络安全攻击的影响有关的信息往往由于明显的原因而无法获得或公开,确定和评估事件发生后的影响需要一定程度的假设,其中一定程度的主观性无法避免。这本身就说明了要改进欧盟的事件报告程序,这一点在NIS指令中得到了体现,也是ENISA在未来几年将继续努力的一个领域。
在这个ETL的背景下,定义了以下类型的影响:
声誉影响指的是潜在的负面宣传或公众对成为网络事件受害者的实体的不利看法;
数字影响是指系统损坏或不可用,数据文件损坏或数据外流;
经济影响是指发生的直接经济损失,由于重要材料的损失或要求的赎金,可能对国家安全造成的损害;
物理影响是指对雇员、客户或病人的任何形式的伤害或损害;
社会影响是指对公众的任何影响或可能对社会产生影响的大范围破坏(例如,破坏一个国家的国家卫生系统的事件);
通过运用ENISA的内部经验和专业知识,将收集到的事件按照这五种类型的影响进行分类。
图4中,可以看到,根据分析,公共管理部门在成为网络攻击的目标时,受到的影响最大当它成为网络攻击的目标时。这可能是由于对目标实体失去了信任。第二个对其声誉有很大影响的部门是金融部门。
图4. 声誉影响(按部门划分)
数字化影响(图5)在大多数部门被设定为中等至低,但公共管理部门除外。
金融和数字服务提供商显示出高影响的事件。造成这种情况的原因通常是勒索软件事件。
图5. 数字影响(按部门划分)
在谈到经济损失时(图6),我们发现公共管理和金融部门的影响最大。这可能与许多与窃取银行数据或细节有关的违规行为和许多有关个人数据的违规行为有关,同时公共部门也是今年勒索软件攻击的主要目标。今年,勒索软件攻击的主要目标。
图6. 经济影响(按部门划分)
由于缺乏公开信息或可靠的数据,物理影响(图7)仍然是最不为人知的影响。
图7. 物理影响(按部门划分)
在社会影响方面,公共管理部门是事件数量最多的部门。多数情况下,这涉及到服务的中断或个人数据的泄露。此外,据观察,卫生部门也有大量的"高"影响事件,原因是敏感数据被泄露或卫生服务无法使用。
图8. 社会影响(按部门划分)
5 按动机划分的主要威胁
了解敌人和网络安全事件或有针对性的攻击背后的动机是很重要的,因为它可以确定对手的目标是什么。了解动机可以帮助组织确定并优先考虑保护什么以及如何保护。ETL2022定义了四种不同的动机,可以与威胁者相关联。
货币化:由网络犯罪集团实施与经济有关的行动;
地缘政治/间谍活动:获取知识产权(Intellectual Property)、敏感数据、机密数据的信息(主要由国家支持的团体执行);
地缘政治/破坏:以地缘政治的名义进行的任何破坏性行动;意识形态:任何有意识形态支持的行动。
在大多数情况下,主要的威胁都相当平均地属于一种或多种动机。
图9. 各类威胁者动机
八大主要威胁
在2021年和2022年期间,出现了一系列的网络威胁,并将其具体化。基于本报告中的分析,ENISA2022年的威胁形势确定并关注以下八个主要威胁群(见图1)。之所以强调这八个威胁群,是因为它们在报告期内的突出地位、它们的流行程度以及由于这些威胁的实现而产生的影响。
勒索软件
根据ENISA的勒索软件攻击威胁状况报告,勒索软件被定义为一种攻击类型,威胁者控制目标的资产并要求赎金以换取资产的可用性。需要这种与行动无关的定义,以涵盖不断变化的勒索软件威胁状况、多种勒索技术的普遍性以及犯罪者的各种目标,而不仅仅是经济收益。在本报告所述期间,勒索软件再次成为主要威胁之一,发生了几起备受关注和高度公开的事件。
恶意软件
恶意软件也被称为恶意代码和恶意逻辑,是一个总的术语,用来描述任何软件或固件,旨在执行未经授权的程序,对系统的保密性、完整性或可用性产生不利影响。传统上,恶意代码类型的例子包括病毒、蠕虫、木马或其他感染主机的代码实体。间谍软件和某些形式的广告软件也是恶意代码的例子。
社会工程
社会工程包括一系列广泛的活动,试图利用人类错误或人类行为,以获得信息或服务。它使用各种形式的操纵来欺骗受害者犯错或交出敏感或秘密信息。在网络安全方面,社会工程引诱用户打开文件、档案或电子邮件,访问网站或授予未经授权的人访问系统或服务的权利。尽管这些伎俩可以滥用技术,但它们总是依赖于人的因素才能成功。这种威胁主要包括以下载体:网络钓鱼、鱼叉式钓鱼、捕鲸、smishing、vishing、商业电子邮件泄露(BEC)、欺诈等方式。
数据安全威胁
数据安全威胁以数据源为目标,旨在获得未经授权的访问和披露,以及操纵数据以干扰系统的行为。这些威胁也是许多其他威胁的基础,也在本报告中讨论。例如,勒索软件、勒索软件拒绝服务(RDoS)、分布式拒绝服务(DDoS)旨在拒绝对数据的访问,并可能收取费用以恢复这种访问。从技术上讲,针对数据的威胁主要可分为数据泄露和数据泄漏。数据泄露是由网络犯罪分子带来的蓄意攻击,目的是获得未经授权的访问,并释放敏感、保密或受保护的数据。数据泄露是指由于错误配置、漏洞或人为错误等原因,可能导致敏感、机密或受保护的数据被无意中泄露的事件。
可用性威胁:拒绝服务
可用性是大量威胁和攻击的目标,其中DDoS最为突出。DDoS的目标是系统和数据的可用性,虽然不是新型威胁,但在网络安全威胁中具有重要作用。当一个系统或服务的用户无法访问相关数据、服务或其他资源时,就会发生攻击。这可以通过耗尽服务及其资源或使网络基础设施的组件过载来实现。在报告期内,针对可用性的威胁和勒索软件在主要威胁中排名最高,这预示着与ETL2021年勒索软件明显居于首位的情况发生了变化。
可用性威胁:互联网威胁
互联网的使用和信息的流动影响着每个人的生活,互联网已经成为了人们工作学习必不可少的一部分。这一组包括对互联网可用性有影响的威胁,如BGP(边界网关协议)劫持。拒绝服务(DoS)因其在威胁中的个别影响而被单独列出。
虚假信息:错误信息
在社交媒体平台和网络媒体使用量增加的刺激下,虚假和错误信息数量仍在攀升。数字平台如今已成为新闻和媒体的主要平台。社交网站、新闻和媒体机构,甚至搜索引擎,都是人们的信息来源。由于这些网站运作的性质,是通过吸引眼球来产生流量。很多推广信息,并未得到验证。俄乌战争利用这种新威胁方法,利用人们对战争状况和有关各方的责任的关注。掺杂虚假信息,继而操控舆论。
供应链攻击
供应链攻击的目标是组织和其供应商之间的关系。本ETL报告中,采用了ENISA供应链威胁全景中的定义,当一个攻击由至少两个攻击组合而成时,就被认为具有供应链的成分。要将攻击归类为供应链攻击,供应商和客户都必须是目标。SolarWinds是最早揭示这种攻击的公司之一,并显示了供应链攻击的潜在影响。攻击者似乎继续利用这一来源开展行动,并在组织内获得立足点,试图从这种攻击的广泛影响和潜在的受害者基础中获益。
图1. 2022年ENISA的威胁形势
四大威胁行为者
在ETL2022报告期内国家支持的行为者、网络犯罪行为者、雇佣黑客的行为者、黑客行为主义者这四大行为主义相对突出。网络威胁行为者是威胁环境中的一个组成部分,旨在通过利用现有的漏洞来实施恶意行为的实体,了解威胁者如何思考和行动,以及其动机和目标,对于更有力的网络威胁管理和事件响应至关重要;可以根据潜在的影响和威胁发生的可能性来确定安全控制的优先次序和专门的战略。
国家支持的行为者趋势
对0-day和其他关键漏洞的利用增加。根据公开报告,最经常被发现的入侵载体是对漏洞的利用,而在2021年期间,披露的0-day漏洞数量达到了66个,创历史新高;
运营技术网络的风险增加;
破坏性攻击是国家行为者行动的一个重要组成部分。在俄乌冲突期间,网络行为者与动能军事行动相配合的行动。威胁者使用恶意软件的目的主要是为了削弱目标实体的功能,但也是为了破坏公众对国家领导层的信任,传播不良情绪,并促进虚假信息行动;
国家支持的威胁行为者越来越关注供应链的破坏。自2020年12月SolarWinds的供应链活动被揭露以来,国家支持的威胁行为者已经意识到其潜力,并越来越多地以第三方为目标,将其网络行动扩展到其客户的下游;
同时科技公司在冲突期间的网络行动中的防御性作用越来越大;
虚假信息的复杂性和范围也持续扩大。
网络犯罪行为者的趋势
网络犯罪分子对供应链攻击的能力和兴趣不断提升;
云的广泛采用为网络犯罪分子提供了攻击机会。新冠疫情的蔓延加速了支持组织业务流程的基于云的服务的采用;
对勒索软件威胁者施加成本。在报告期内,一些政府将勒索软件作为国家安全威胁的优先事项;通过采取法律和监管对策试图改变网络犯罪分子的成本效益计算,同时推出了一系列反勒索软件的举措;
网络犯罪分子继续扰乱工业部门,在报告期内,勒索软件是工业部门遭受破坏的主要原因,而制造业则是迄今为止最受攻击的部门;
不断 "退休 "和重塑品牌,以避免执法和制裁;
俄乌冲突对网络犯罪生态系统的影响。在冲突期间,展现了地缘政治事件对网络犯罪集团的推动作用,揭示网络犯罪和国家行为者间的联系,并为网络犯罪分子提供获得经济利益的机会;
网络犯罪分子偏爱CVE。在2021年,有66个零日漏洞的披露被发现;
在不使用勒索软件的情况下进行数据渗透和勒索;
网络犯罪生态系统仍在蓬勃发展并进一步演变。是网上犯罪生态系统的协作和专业化程度逐步提高。
雇佣黑客的行为者的趋势
访问即服务 "市场继续为国家行为者提供便利。雇佣黑客的威胁行为者类别是指 "访问即服务"(AaaS)市场中的实体,主要由提供攻击性网络能力的公司组成;
Pegasus案件引发了媒体的报道和政府的行动。在报告期内,最大的新闻是关于总部设在以色列的NSO集团和飞马项目,全世界超过30,000名人权活动家、记者和律师以及14位世界领导人成为目标;
瞄准、监控民众;一方面,商业威胁情报报告忽视了对民众的网络威胁。另一方面,"接入即服务 "公司的工具正逐步针对持不同政见者、人权活动家、记者、民间社会倡导者和其他公民个人。
黑客行为主义者趋势
新一轮的黑客攻击主义来袭,在报告期内,特别是自俄乌危机以来,黑客活动显著增加;
黑客主义勒索软件持续发力,在报告期内,一个名为 "网络游击队 "的黑客组织开展了几次引人注目的网络行动。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。