2022年11月，歐盟網(wǎng)絡(luò)與信息安全局（ENISA）發(fā)布題為《ENISA Threat Landscape 2022》（ENISA網(wǎng)絡(luò)威脅圖譜2022）的研究報告。這是ENISA第10次發(fā)布年度網(wǎng)絡(luò)威脅圖譜報告。報告分析了當(dāng)前網(wǎng)絡(luò)空間領(lǐng)域威脅狀態(tài)，識別了主要威脅和攻擊者，并對未來網(wǎng)絡(luò)威脅和攻擊者的趨勢進(jìn)行了預(yù)測。

本文主要內(nèi)容及關(guān)鍵詞

1.八大網(wǎng)絡(luò)威脅：勒索軟件；惡意軟件；社會工程；針對數(shù)據(jù)的威脅；針對可用性的威脅（DoS拒絕服務(wù)攻擊）；針對互聯(lián)網(wǎng)可用性的威脅；虛假信息和錯誤信息；供應(yīng)鏈攻擊。

2.零信任：①有國家（政府）背景的攻擊者趨勢②以網(wǎng)絡(luò)犯罪為目的的攻擊者③被雇傭的黑客④黑客行動主義者

3.評述

01八大網(wǎng)絡(luò)威脅

報告識別了8個主要的威脅類別，分別是：

勒索軟件；惡意軟件；社會工程；針對數(shù)據(jù)的威脅；針對可用性的威脅（DoS拒絕服務(wù)攻擊）；針對互聯(lián)網(wǎng)可用性的威脅；虛假信息和錯誤信息；供應(yīng)鏈攻擊。

①勒索軟件

從2021年7月到2022年6月，全球發(fā)生了許多與勒索軟件相關(guān)的網(wǎng)絡(luò)安全事件，表明勒索軟件威脅持續(xù)增長。ENISA監(jiān)測到的2021年7月到2022年6月發(fā)生的主要網(wǎng)絡(luò)安全事件數(shù)量如下所示：

2021年5月到2022年6月期間勒索軟件攻擊活動數(shù)量以及累計竊取的數(shù)據(jù)量如下圖所示：

勒索軟件威脅趨勢：

釣魚郵件成為最常見的攻擊初始向量；

漏洞被快速武器化；

執(zhí)法機(jī)構(gòu)開始采取措施應(yīng)對勒索軟件攻擊活動；

政府下令不允許政府相關(guān)機(jī)構(gòu)支付勒索軟件贖金。

②惡意軟件

2021年7月到2022年6月與惡意軟件相關(guān)的網(wǎng)絡(luò)攻擊活動數(shù)量如下所示：

惡意軟件趨勢：

疫情好轉(zhuǎn)后，檢測到的惡意軟件數(shù)量持續(xù)增加；

攻擊物聯(lián)網(wǎng)（IoT）的惡意軟件數(shù)量翻倍；

供應(yīng)鏈攻擊活動主要針對開源軟件框架；

利用微軟Office宏的惡意軟件數(shù)量減少；

針對移動端（手機(jī)、平板）的惡意軟件感染變得更具針對性；

與烏克蘭相關(guān)的惡意軟件數(shù)量增加。

③社會工程

社會工程融合了大量嘗試?yán)萌藶殄e誤或人的行為來獲取信息或服務(wù)的訪問權(quán)限的活動。常見的社會工程攻擊方法包括：釣魚、魚叉式釣魚、商業(yè)郵件入侵、欺詐、冒充和假冒。2021年7月到2022年6月與社會工程相關(guān)的攻擊活動數(shù)量如下所示：

社會工程攻擊趨勢：

以烏克蘭戰(zhàn)爭為主題的攻擊活動增加；

出現(xiàn)自知名賬戶的釣魚郵件，比如office；

商業(yè)郵件入侵；

惡意二維碼：通過掃描二維碼作為攻擊入口；

知情同意：發(fā)送知情同意相關(guān)的釣魚活動；

自動化：使用社會工程攻擊的攻擊者進(jìn)一步將其攻擊活動自動化；

針對加密貨幣交易所和加密貨幣所有者的攻擊變多。

④針對數(shù)據(jù)的威脅

針對數(shù)據(jù)的威脅包括攻擊者非授權(quán)訪問數(shù)據(jù)引發(fā)的數(shù)據(jù)泄露，攻擊者利用漏洞、錯誤配置、人為錯誤等引發(fā)的數(shù)據(jù)泄露，對數(shù)據(jù)的惡意操縱修改、數(shù)據(jù)投毒等。

針對數(shù)據(jù)的威脅趨勢：

數(shù)據(jù)入侵相關(guān)的攻擊活動數(shù)量不斷增加；

身份竊取和合成身份：隨著越來越多個人敏感數(shù)據(jù)泄露，攻擊者可以利用這些泄露的個人敏感數(shù)據(jù)實(shí)現(xiàn)對特定人的身份竊取，也可以利用個人敏感數(shù)據(jù)生成實(shí)際上并不存在的身份。

攻擊者更加關(guān)注高回報數(shù)據(jù)類型，比如憑證數(shù)據(jù)。

數(shù)據(jù)投毒和操縱：針對人工智能使用數(shù)據(jù)的攻擊活動越來越多；

從機(jī)器學(xué)習(xí)模型提取數(shù)據(jù)。

⑤針對可用性的威脅：DoS攻擊

從下圖可以看出，有大量與DoS（拒絕服務(wù)）攻擊相關(guān)的網(wǎng)絡(luò)安全事件。針對歐洲用戶的最大規(guī)模DoS攻擊峰值為853.7 Gbps，持續(xù)14小時。

DoS攻擊趨勢：

攻擊變得越來越復(fù)雜，攻擊的峰值速率不斷變高；

DDoS（分布式拒絕服務(wù)）攻擊的發(fā)起者轉(zhuǎn)向移動網(wǎng)絡(luò)和IoT網(wǎng)絡(luò)；

DDoS攻擊被應(yīng)用于網(wǎng)絡(luò)戰(zhàn)；

勒索DoS（RDoS，Ransom Denial of Service）成為DoS攻擊的最新方式。RDoS通過識別有漏洞的系統(tǒng)，并對其發(fā)起DoS攻擊，最終目的是要求受害者支付贖金；

從基于UDP的DoS攻擊轉(zhuǎn)向基于TCP的DoS攻擊；

云服務(wù)被用于DDoS攻擊。

⑥針對互聯(lián)網(wǎng)可用性的威脅

影響互聯(lián)網(wǎng)可用性的威脅主要包括：

對互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的接管和破壞：在接管當(dāng)?shù)鼗ヂ?lián)網(wǎng)基礎(chǔ)設(shè)施后，蜂窩數(shù)據(jù)網(wǎng)絡(luò)被停止，要求使用新的移動服務(wù)提供商；

網(wǎng)絡(luò)審查：自2022年以來，俄羅斯大約攔截了3000個網(wǎng)站，其中許多網(wǎng)站包含戰(zhàn)爭的內(nèi)容；

國家所有的證書頒發(fā)機(jī)構(gòu)（CA）：對金融機(jī)構(gòu)的制裁使得用戶無法更新其TLS證書。如果國家擁有CA，就可以對其公民發(fā)起HTTP流量攔截或者中間人攻擊。

⑦虛假信息和錯誤信息

目前，互聯(lián)網(wǎng)上充斥著各種深度偽造、宣傳、錯誤信息和虛假信息，對人們的日常生活和社會都帶來了影響。

錯誤信息和虛假信息趨勢：

錯誤信息是信息戰(zhàn)使用的主要方法之一。

人工智能在虛假信息和深度偽造內(nèi)容的生成和傳播方面起著關(guān)鍵作用。

虛假信息即服務(wù)（Disinformation-as-a-service）: 虛假信息即服務(wù)使得虛假信息攻擊活動變得非常容易實(shí)現(xiàn)和管理。

⑧供應(yīng)鏈攻擊

供應(yīng)鏈攻擊的目標(biāo)對象是組織與其供應(yīng)者之間的關(guān)系。供應(yīng)鏈攻擊占比從2020年的1%增加到了2021年的17%。

供應(yīng)鏈攻擊趨勢：

濫用系統(tǒng)的復(fù)雜性和不可見性：企業(yè)使用復(fù)雜的系統(tǒng)來滿足客戶的需求，而復(fù)雜的系統(tǒng)依賴大量的供應(yīng)商。復(fù)雜系統(tǒng)對其他系統(tǒng)的依賴對于軟件管理員來說可能是不可見的。攻擊者可以濫用對系統(tǒng)依賴的不可見性來發(fā)起攻擊；

商業(yè)技術(shù)中的漏洞利用：攻擊者通過研究郵件服務(wù)器、知識管理軟件等常用商業(yè)技術(shù)中的安全漏洞來攻擊企業(yè)組織；

攻擊安全研究人員來獲得目標(biāo)的訪問權(quán)限：攻擊者開始直接攻擊安全研究人員，然后利用安全研究人員已有的信息來獲取受害者（系統(tǒng)）的訪問權(quán)限；

越多越多的網(wǎng)絡(luò)威脅組織開始關(guān)注供應(yīng)鏈攻擊；

攻擊源碼和開發(fā)者：軟件供應(yīng)鏈依賴的容器基礎(chǔ)設(shè)施等逐漸成為軟件供應(yīng)鏈攻擊的新攻擊面；

供應(yīng)鏈加密貨幣劫持以獲得經(jīng)濟(jì)利益。攻擊者使用受害者的計算資源通過挖礦生成加密貨幣來獲得經(jīng)濟(jì)利益。

02四類網(wǎng)絡(luò)威脅者

報告共識別出了4類主要的網(wǎng)絡(luò)安全威脅者，包括有國家（政府）背景的攻擊者、以網(wǎng)絡(luò)犯罪為目的的攻擊者、被雇傭的黑客、黑客行動主義者。

2.1有國家（政府）背景的攻擊者趨勢

利用更多的0 day漏洞（未發(fā)布安全補(bǔ)丁的漏洞）和其他關(guān)鍵漏洞。漏洞利用是入侵網(wǎng)絡(luò)最常用的攻擊方式。2021年，歐盟范圍內(nèi)公開的0 day漏洞利用達(dá)到歷史最高值——66個。

破壞性攻擊是有政府背景的攻擊活動的主要組成。在國家沖突中，有政府背景的網(wǎng)絡(luò)攻擊者發(fā)起網(wǎng)絡(luò)攻擊以配合軍事行動。其中包括使用數(shù)據(jù)擦除軟件來破壞和攻擊政府機(jī)構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施所有者（運(yùn)營者）網(wǎng)絡(luò)。目的是破壞特定機(jī)構(gòu)的正常運(yùn)行，降低民眾對國家的信任，傳播恐懼、懷疑的情緒。

越來越關(guān)注供應(yīng)鏈攻擊。供應(yīng)鏈的入侵占入侵總數(shù)的17%，而2020年只占不到1%。通過2020年的SolarWinds供應(yīng)鏈攻擊，有政府背景的攻擊者意識到供應(yīng)鏈攻擊帶來的巨大影響，并越來越多的通過攻擊第三方來擴(kuò)大網(wǎng)絡(luò)攻擊帶來的影響。

地緣政治影響網(wǎng)絡(luò)攻擊活動。許多針對烏克蘭機(jī)構(gòu)的網(wǎng)絡(luò)攻擊活動都是由于持續(xù)的軍事沖突。攻擊者在入侵烏克蘭相關(guān)機(jī)構(gòu)網(wǎng)絡(luò)后，收集相關(guān)的情報以為軍事機(jī)構(gòu)帶來戰(zhàn)術(shù)或戰(zhàn)略優(yōu)勢。有政府背景的攻擊者還攻擊了支持烏克蘭的42個國家的128個政府機(jī)構(gòu)，包括美國、歐盟、波蘭和俄羅斯周邊國家等。

網(wǎng)絡(luò)志愿者組成的IT網(wǎng)軍。2022年2月，烏克蘭公開招募網(wǎng)絡(luò)志愿者組建IT網(wǎng)軍，以應(yīng)對網(wǎng)絡(luò)攻擊活動。IT網(wǎng)軍由于組成復(fù)雜，所以很難分類，應(yīng)該是由志愿者、政府背景的黑客組織組成的混合體。

科技公司越來越多地參與網(wǎng)絡(luò)活動。在軍事沖突發(fā)生后，許多科技公司站隊(duì)并在網(wǎng)絡(luò)空間實(shí)施支持。比如，微軟向?yàn)蹩颂m網(wǎng)絡(luò)安全機(jī)構(gòu)提供應(yīng)對惡意軟件方面的支持，以及提供網(wǎng)絡(luò)作戰(zhàn)相關(guān)的感知和情報內(nèi)容。

2.2以網(wǎng)絡(luò)犯罪為目的的攻擊者

網(wǎng)絡(luò)犯罪分子展示出對供應(yīng)鏈攻擊的興趣。供應(yīng)鏈攻擊主要與有國家背景的攻擊者有關(guān)，但網(wǎng)絡(luò)犯罪分子也開始對供應(yīng)鏈感興趣。2021-2022年，越來越多的供應(yīng)鏈攻擊與勒索軟件攻擊活動相關(guān)聯(lián)，使得攻擊者可以擴(kuò)大攻擊的范圍。此類供應(yīng)鏈攻擊一般會引發(fā)勒索軟件部署、加密貨幣挖礦、加密貨幣竊取、憑證竊取。當(dāng)前，供應(yīng)鏈攻擊與投毒的開發(fā)者庫和軟件平臺入侵有關(guān)。軟件供應(yīng)鏈攻擊的影響很大，不僅會影響關(guān)鍵服務(wù)甚至還能夠?qū)]有直接影響的服務(wù)產(chǎn)生影響。

云的大規(guī)模采用為網(wǎng)絡(luò)犯罪分子帶來新的機(jī)會。新冠疫情加速了基于云服務(wù)的采用，來支持企業(yè)商業(yè)流程。網(wǎng)絡(luò)犯罪分子也順應(yīng)這一趨勢來攻擊云環(huán)境。網(wǎng)絡(luò)犯罪分子主要通過以下方式攻擊云服務(wù)：

利用云安全漏洞；

攻擊云憑證；

利用錯誤配置的鏡像容器；

攻擊云實(shí)例來進(jìn)行加密貨幣挖礦；

攻擊云基礎(chǔ)設(shè)施、云API、云備份來入侵云環(huán)境。

網(wǎng)絡(luò)犯罪分子繼續(xù)破壞工業(yè)行業(yè)。今年，工業(yè)領(lǐng)域網(wǎng)絡(luò)攻擊主要是勒索軟件。制造業(yè)是被攻擊最多的行業(yè)。破壞性攻擊對食品、醫(yī)療健康、交通和能源行業(yè)帶來的影響最大。

軍事沖突影響網(wǎng)絡(luò)犯罪生態(tài)。軍事沖突為網(wǎng)絡(luò)犯罪行為獲得經(jīng)濟(jì)收益提供了新的機(jī)會。許多網(wǎng)絡(luò)黑客組織在沖突中都表示了對某國的支持。有的黑客組織還對敵對國的關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行了威脅。在軍事沖突后，許多網(wǎng)絡(luò)犯罪分子通過支持社會工程郵件來獲利。

數(shù)據(jù)泄露和數(shù)據(jù)勒索（不使用勒索軟件）。2021年-2022年發(fā)生了更多的數(shù)據(jù)竊取與數(shù)據(jù)勒索事件。數(shù)據(jù)泄露事件中有許多企業(yè)沒有使用數(shù)據(jù)加密。此外，網(wǎng)絡(luò)犯罪分子意識到可以在無需部署勒索軟件的情況下對數(shù)據(jù)要求贖金。因?yàn)闆]有加密，攻擊者在獲取了數(shù)據(jù)的訪問權(quán)限后就能夠以大范圍公開數(shù)據(jù)為條件要求其支付贖金。

2.3被雇傭的黑客

訪問即服務(wù)（Access as a service）市場持續(xù)發(fā)展。被雇傭的黑客是指訪問即服務(wù)市場中的攻擊者，主要由提供網(wǎng)絡(luò)防護(hù)能力的企業(yè)組成。其客戶主要是政府，一般是以包含多個服務(wù)的單一服務(wù)包的形式出現(xiàn)。

針對公民的監(jiān)控。訪問即服務(wù)企業(yè)提供的工具可被用來監(jiān)控持不同政見者、人權(quán)活動家、記者和其他公民。

2.4黑客行動主義者

黑客行動主義者（Hacktivists）是指因政治或社團(tuán)目的而產(chǎn)生的黑客行為，或者是入侵計算機(jī)系統(tǒng)的個人。

新一代黑客行動主義攻擊活動。軍事沖突爆發(fā)后，黑客行動主義者發(fā)起的攻擊活動明顯增加，包括DDoS（分布式拒絕服務(wù)攻擊）、數(shù)據(jù)竊取等。從戰(zhàn)略角度看，軍事沖突為黑客行動主義、其角色和其對沖突的影響定義了一個新時代。

03評述

ENISA發(fā)布的《網(wǎng)絡(luò)威脅圖譜2022》對2021年7月到2022年6月之間網(wǎng)絡(luò)安全事件進(jìn)行了分析，共識別出了勒索軟件、惡意軟件、社會工程、針對數(shù)據(jù)的威脅、針對可用性的威脅、針對互聯(lián)網(wǎng)可用性的威脅、虛假信息和錯誤信息、供應(yīng)鏈攻擊等8個主要的網(wǎng)絡(luò)威脅類別，以及有國家（政府）背景的攻擊者、以網(wǎng)絡(luò)犯罪為目的的攻擊者、被雇傭的黑客、黑客行動主義者4類主要的網(wǎng)絡(luò)安全威脅者。雖然分析的相關(guān)安全事件主要集中在歐洲，但識別出的網(wǎng)絡(luò)威脅與網(wǎng)絡(luò)威脅攻擊者趨勢同樣適用于其他國家和地區(qū)。

審核編輯 ：李倩