欧盟网络安全机构 (ENISA) 致力于在整个欧洲实现高度共同的网络安全水平。2022年11月,ENISA发布了第十版《ENISA威胁态势报告》(ENISA Threat Landscape 2022,简称“ETL 2022”)。该报告描绘了2021年7月至2022年7月欧盟的网络威胁格局,以帮助政策制定者和安全专家制定网络战略来保护公民、企业和网络空间安全。
摘译 | 李秋娟 林心雨/赛博研究院实习研究员
来源 | ENISA
ETL报告指出了突出的威胁行为体仍然保持不变且主要威胁仍然坚守阵地,还进行了跨部门的威胁分析以及点明了这些威胁出现的背景趋势。
主要威胁
ENISA将目前面临的主要威胁分为八类,这些事件的出现频率与造成影响决定了它们的突出程度。
勒索软件
勒索软件被定义为一种攻击类型。威胁行为者通过控制目标资产并要求赎金,以换取可用资产等回报。在本报告期内,60%的受影响组织可能已被迫支付赎金。
恶意软件
恶意软件也称为恶意代码和恶意逻辑,是一个总体术语,用于描述任何旨在执行未经授权过程的软件或硬件,它们会对系统的机密性、完整性或可用性产生不利影响。传统的恶意代码类型包括病毒、蠕虫、特洛伊木马或其他感染主机的基于代码的实体。间谍软件和某些形式的广告软件也属于此类。其中,2021年,ENISA监测到66次零日漏洞披露。
社会工程
社会工程包括一系列利用人为错误或人为行为获取信息或服务的活动。它利用各种形式的操作,诱骗受害者犯错或交出敏感或私密信息。例如,社会工程会诱使用户打开文件或电子邮件、访问网站或允许未经授权的人访问系统或服务。这种威胁主要包括:网络钓鱼、鱼叉式钓鱼、捕鲸、smishing、vishing、商业电子邮件泄露(BEC)、欺诈等方式。
对数据的威胁
这些威胁以数据源为目标,是网络罪犯发起的蓄意攻击,其目的是获得未经授权的访问并泄露敏感、机密或受保护的数据,并通过操纵数据干扰系统。这类威胁也是许多其他威胁的基础。数据泄漏与产生的数据总量成比例增加。
可用性威胁:DDoS攻击
可用性是众多威胁和攻击的目标,其中DDoS尤为突出。DDoS攻击的目标是系统和数据可用性,尽管这不是一种新的威胁,但它在网络安全威胁环境中占据重要地位。通过耗尽服务及其资源或使网络基础设施的组件过载,此种攻击会导致系统或服务的用户无法访问相关数据、服务或其他资源。在今年7月,欧洲刚刚经历了有史以来最大规模的DDoS攻击。
可用性威胁:互联网威胁
互联网的使用和信息的自由流动影响着每个人的生活。对许多人来说,上网已经成为工作、学习、行使言论自由、政治自由和社交的基本必需品。本类别涵盖了对互联网可用性产生影响的威胁,如BGP(边境网关协议)劫持、互联网基础设施的破坏、通信中断和流量重新路由等。
虚假、错误信息
由于社交媒体平台和网络媒体的使用增加,虚假信息和错误信息运动仍在增加。如今,数字平台已成为新闻和媒体的常态,社交网站、新闻媒体甚至搜索引擎,都是许多人的信息来源。由于这些网站通过吸引观众关注从而产生流量的运作方式,许多观众的信息通常是因推广而得来的,有时没有经过验证,虚假、错误信息也因此增加。
供应链攻击
供应链攻击的目标是组织与其供应商之间的关系。如果攻击至少由两次攻击组成,则认为攻击包含供应链组件。要将攻击归类为供应链攻击,供应商和客户都必须成为目标。SolarWinds是最早发现此类攻击的公司之一,展示了供应链攻击的潜在影响。目前看来,威胁行为体仍在继续依靠这一来源开展行动,并在组织内站稳脚跟,试图从此类攻击的广泛影响和潜在受害者基础中获益。
主要趋势
下表总结了报告期内网络威胁形势的主要趋势。在ETL 2022报告的各个章节中,也对这些趋势进行了详细审查。
1、在报告期间,勒索软件和针对可用性的威胁排行第一。
2、攻击者往往具有丰富资源,并且利用零日漏洞攻击来实现其攻击和目的。组织越是提高其防御和网络安全计划的成熟度,则攻击者的成本也会随之提高,进而促使他们开发和/或购买零日漏洞,因为纵深防御策略会降低漏洞的可用性。
3、地缘政治继续对网络行动产生重大影响。
4、破坏性攻击是国家行为者行动的重要组成部分。在俄乌冲突期间,观察到了网络行为体与动态军事行动协同作战。
5、勒索软件集团采取“退休”和品牌重塑的方法来避免执法和制裁。
6、自2021以来,黑客技术即服务这种商业模式越来越受欢迎。
7、针对可用性的攻击(尤其是DDoS)显著增加,持续的战争是此类攻击的主要原因。
8、Pegasus事件引发了媒体报道和政府行动,随后也影响到了其他有关监视和针对民间社会的案件。
9、特别是自俄乌危机开始以来,新一波黑客活动已经出现。
10、网络钓鱼再次成为初始访问的最常见载体。网络钓鱼的复杂性、用户疲劳和有针对性的、基于环境的网络钓鱼导致了这种增长。
11、随着泄密网站的广泛流行,勒索技术正在进一步发展。
12、恶意软件在被注意到与新冠疫情相关后,活动频率先下降后又再次上升。
13、攻击者利用愿者上钩式网络钓鱼方式向用户发送链接,如果点击该链接,将授予攻击者访问应用程序和服务的权限。
14、数据泄露事件逐年增加。数据在社会中的核心作用使收集的数据量急剧增加,适当的数据分析也变得重要。而为这种重要性付出的代价是数据泄露的持续和事件数量不可阻挡的增加。
15、机器学习(ML)模型是现代分布式系统的核心,因此日益成为被攻击的目标。
16、DDoS规模扩大,复杂性提升,正在向移动网络和物联网方向发展,并应用于网络战。
17、虚假信息是网络战中的一种工具。
18、人工智能技术帮助促成了虚假信息和深度伪造。机器人建模角色很容易能够干扰“通知和评论”规则制定过程以及社区的互动。
19、勒索软件集团在供应链攻击和针对管理服务提供商(MSP)的攻击中表现出越来越强的能力。
影响评估
ENISA这次更新的报告中,包含了对报告期间观察到的事件的影响评估。ETL定义了以下类型的影响:
(1)声誉影响指的是潜在的负面宣传或公众对已成为网络事件受害者的实体的不利看法。
(2)数字影响是指系统损坏或不可用,数据文件损坏或数据泄露。
(3)经济影响是指发生的直接经济损失,由于重要资料的损失或赎金的索要可能对国家安全造成的损害。
(4)物理影响是指对员工、客户或患者的任何形式的伤害或损害。
(5)社会影响是指对公众的任何影响或可能对社会产生影响的大范围破坏(例如,破坏一国国家卫生系统的事件)。
通过运用ENISA的内部经验和专业知识,将收集到的事件按照这五种类型的影响进行分类。分析中出现的一个亮点是:在大多数事件或案例中,影响仍然是“未知的”,要么是因为受害者不清楚影响其组织的程度或类型,要么是因为他们担心会对他们的声音产生连带影响而不愿意披露这类信息。这种来自目标组织的可靠数据的缺乏,使得该报告很难全面了解情况。事件报告和分享有关网络安全事件的信息的意义再次显现出来——对网络安全威胁状况的准确理解和对局势的总体认识,都依赖于及时和可靠的事件报告信息。
在图中可以看到,根据分析,公共管理部门在成为网络攻击的目标时受到的影响最大,这可能是由于人们对它们失去了信任。第二个受影响最大的部门是金融行业,它的声誉也受到了很大的影响。
图2 按行业划分的声誉影响
数字影响(图3)在大多数部门被设定为中等至低等,但对公共管理、金融行业和数字服务提供商的影响较大。造成这种情况的原因通常是勒索软件事件。
谈及经济损失时(图4),可以发现公共管理和金融行业受到的影响最大,这可能与许多关于个人数据、窃取银行数据或细节的违规事件有关。同时,公共管理部门也是今年勒索软件攻击的主要目标。
由于缺乏公开信息或可用的可靠数据,物理影响(图5)仍然是最不为人知的影响。
在社会影响方面,公共管理部门是事件数量最多的。大多数情况会涉及到服务的中断或个人数据的泄露。此外,据观察,医疗卫生行业也有大量的 "高 "影响事件,原因是敏感数据被泄露或医疗服务(如预约挂号)无法使用。
通过这种定性的影响分析,ENISA尝试通过定义五种类型的潜在影响和指导各自的影响水平或程度,即高、中、低或未知,来确定破坏性网络事件的后果。由于与网络安全攻击的影响有关的信息往往无法获得或公开,确定和评估事件发生后的影响就需要一定程度的假设,其中一定程度的主观性无法避免。这一点在NIS指令中得到了体现,也是ENISA在未来几年将继续努力的一个领域。
Copyright © 2005-2021 网信安全世界版权所有