信息來(lái)源：安全內(nèi)參

近日，歐盟網(wǎng)絡(luò)安全局發(fā)布《2022年網(wǎng)絡(luò)安全威脅全景》對(duì)年度網(wǎng)絡(luò)安全狀況進(jìn)行了報(bào)告及總結(jié)，本報(bào)告為ENISA威脅全景（ETL）報(bào)告的第十版。報(bào)告中確認(rèn)了勒索軟件、惡意軟件、社會(huì)工程威脅、數(shù)據(jù)安全威脅、可用性威脅：拒絕服務(wù)、可用性的威脅：互聯(lián)網(wǎng)威脅、虛假信息和供應(yīng)鏈攻擊八大領(lǐng)域威脅；以及國(guó)家支持的行為者、網(wǎng)絡(luò)犯罪行為者、雇傭黑客的行為者、黑客行動(dòng)主義者四大網(wǎng)絡(luò)安全威脅行為體。

ENISA威脅全景（ETL）報(bào)告提供了網(wǎng)絡(luò)安全威脅全景的總體概述。多年來(lái)，ETL一直被用作了解整個(gè)歐盟網(wǎng)絡(luò)安全現(xiàn)狀的關(guān)鍵工具，并在趨勢(shì)和模式方面提供洞察力，導(dǎo)致相關(guān)的決定、行動(dòng)的優(yōu)先順序和建議。ETL報(bào)告部分是戰(zhàn)略性的，部分是技術(shù)性的，其信息與技術(shù)性和非技術(shù)性的讀者都相關(guān)。2022年ETL報(bào)告得到了ENISA網(wǎng)絡(luò)安全威脅全景特設(shè)工作組（CTL）和ENISA國(guó)家聯(lián)絡(luò)官網(wǎng)絡(luò)的驗(yàn)證和支持。2021年下半年和2022年，網(wǎng)絡(luò)安全攻擊繼續(xù)增加，不僅在載體和數(shù)量上，而且在其影響上。俄烏危機(jī)為網(wǎng)絡(luò)戰(zhàn)和黑客主義、其作用及其對(duì)沖突的影響定義了一個(gè)新的時(shí)代。國(guó)家和其他網(wǎng)絡(luò)行動(dòng)很可能會(huì)適應(yīng)這一新的事態(tài)，并利用其對(duì)沖突的影響。國(guó)家和其他網(wǎng)絡(luò)行動(dòng)很可能適應(yīng)這種新的狀態(tài)，并利用這場(chǎng)戰(zhàn)爭(zhēng)帶來(lái)的新機(jī)遇和挑戰(zhàn)。

威脅概覽

1 主要趨勢(shì)

下面總結(jié)了報(bào)告期內(nèi)觀察到的網(wǎng)絡(luò)威脅形勢(shì)的主要趨勢(shì)：

1.地緣政治對(duì)網(wǎng)絡(luò)安全威脅形勢(shì)的影響

• 俄烏沖突重塑了報(bào)告期內(nèi)的威脅格局，黑客活動(dòng)顯著增加、網(wǎng)絡(luò)攻擊者與動(dòng)能軍事行動(dòng)配合；

• 地緣政治繼續(xù)對(duì)網(wǎng)絡(luò)行動(dòng)的影響持續(xù)加劇；

• 破壞性攻擊是國(guó)家行為者行動(dòng)的突出組成部分；

• 俄烏危機(jī)開(kāi)始以來(lái)，黑客開(kāi)始了新一輪活動(dòng)；

• 虛假信息是網(wǎng)絡(luò)戰(zhàn)的工具，甚至在 "實(shí)體 "戰(zhàn)爭(zhēng)開(kāi)始之前就被用作戰(zhàn)前的準(zhǔn)備活動(dòng)；

2.攻擊者能力提升

• 攻擊者利用0-day漏洞來(lái)實(shí)現(xiàn)其行動(dòng)及戰(zhàn)略目標(biāo)；組織越是提高其防御和網(wǎng)絡(luò)安全的方案成熟度越高，對(duì)手的攻擊成本就越高，因?yàn)樯疃确烙鶓?zhàn)略減少了漏洞的可用性；

• 勒索軟件集團(tuán)采取"退休 "和改頭換面的方式逃避法律的制裁了；

• 黑客即服務(wù)的商業(yè)模式越來(lái)越受重視，自2021年以來(lái)這種商業(yè)模式持續(xù)增長(zhǎng)；

• 針對(duì)供應(yīng)鏈攻擊和針對(duì)管理服務(wù)提供商的攻擊越來(lái)越多，攻擊能力也持續(xù)提升；

3.報(bào)告期間，勒索軟件和針對(duì)可用性的攻擊排名最高

• 針對(duì)可用性的攻擊大幅增加，特別是DDoS，正在進(jìn)行的戰(zhàn)爭(zhēng)是此類攻擊的主要原因。

• 網(wǎng)絡(luò)釣魚(yú)再次成為初始訪問(wèn)的最常見(jiàn)載體。網(wǎng)絡(luò)釣魚(yú)的復(fù)雜性、用戶疲勞和針對(duì)性、基于環(huán)境的網(wǎng)絡(luò)釣魚(yú)的進(jìn)步導(dǎo)致了這種上升；

• 惡意軟件在被注意到與新冠疫情相關(guān)聯(lián)后，活動(dòng)頻率先下降而后又逐步上升；

• 伴隨著泄密網(wǎng)站的流行，勒索技術(shù)正進(jìn)一步發(fā)展；

• DDoS攻擊的規(guī)模逐步擴(kuò)大，復(fù)雜程度逐步提升，同時(shí)向移動(dòng)網(wǎng)絡(luò)和物聯(lián)網(wǎng)發(fā)展，并應(yīng)用于網(wǎng)絡(luò)戰(zhàn)；

4.新型、混合式和新出現(xiàn)的威脅正在成為具有高度影響力的威脅全景的標(biāo)志

• Pegasus案件引發(fā)了媒體報(bào)道和政府行動(dòng)，這也反映在其他有關(guān)監(jiān)視和針對(duì)民間社會(huì)的案件中。

• 愿者上鉤式網(wǎng)絡(luò)釣魚(yú)：攻擊者利用愿者上鉤式網(wǎng)絡(luò)釣魚(yú)方式向用戶發(fā)送鏈接，如果用戶點(diǎn)擊，則會(huì)授予攻擊者對(duì)應(yīng)用程序的訪問(wèn)和權(quán)限；

• 數(shù)據(jù)泄露事件逐年遞增；

• 機(jī)器學(xué)習(xí)（ML）模型是現(xiàn)代分布式系統(tǒng)的核心，因此正日益成為被攻擊的對(duì)象；

• 由人工智能促成的虛假信息和深層假象。機(jī)器人建模角色可以輕松干擾 “通知和評(píng)論”的規(guī)則制定過(guò)程，以及社區(qū)的互動(dòng)。

2 歐洲主要威脅的鄰近性

在ENISA威脅全景的背景下，需要考慮的一個(gè)重要方面是威脅與歐洲聯(lián)盟（EU）的接近程度。這對(duì)于幫助分析人員評(píng)估網(wǎng)絡(luò)威脅的重要性，將其與潛在的威脅行為者和載體聯(lián)系起來(lái)，甚至指導(dǎo)選擇適當(dāng)?shù)哪繕?biāo)緩解載體尤為重要。根據(jù)歐盟共同安全與防御政策（CSDP）的擬議分類，將網(wǎng)絡(luò)威脅分為四個(gè)類別，如表1所示。

表1. 網(wǎng)絡(luò)威脅的鄰近性分類

圖1顯示了與ETL2022年報(bào)告的主要威脅類別相關(guān)的事件的時(shí)間序列。需要注意的是，圖中的信息是基于OSINT（開(kāi)源情報(bào)），是ENISA在態(tài)勢(shì)感知領(lǐng)域的工作成果。

圖1：觀察到的與ETL主要威脅有關(guān)的事件（基于OSINT的態(tài)勢(shì)感知），以其接近程度為標(biāo)準(zhǔn)F

從上圖可以看出，與2021年相比，2022年的事件數(shù)量總體上有所減少。這部分是由于事件處理和分析正在進(jìn)行，報(bào)告也隨之而來(lái)，以及ETL中信息收集的開(kāi)源性質(zhì)，這可能會(huì)在無(wú)意中給結(jié)果帶來(lái)偏差。特別是，NEAR類別中觀察到的與主要威脅有關(guān)的事件數(shù)量一直很高。

3 各部門(mén)的主要威脅

網(wǎng)絡(luò)威脅通常不局限于任何特定的部門(mén)，在大多數(shù)情況下會(huì)影響多個(gè)部門(mén)。多數(shù)情況下，威脅通過(guò)利用各部門(mén)正在使用的基礎(chǔ)信息和通信技術(shù)系統(tǒng)的漏洞表現(xiàn)。然而，有針對(duì)性的攻擊以及利用各部門(mén)網(wǎng)絡(luò)安全成熟度的差異和某些部門(mén)的受歡迎程度或突出地位的攻擊，都是需要考慮的因素，特別是在優(yōu)先考慮有針對(duì)性的緩解行動(dòng)時(shí)。

圖2和圖3強(qiáng)調(diào)了根據(jù)OSINT（開(kāi)放源碼情報(bào)）觀察到的受影響部門(mén)，是ENISA在態(tài)勢(shì)感知領(lǐng)域的工作成果。它們指的是與2022年ETL的主要威脅有關(guān)的事件。

圖2. 觀察到的與主要ETL威脅有關(guān)的事件（按受影響部門(mén)劃分）

圖3. 按事件數(shù)量劃分的目標(biāo)部門(mén)（2021年7月-2022年6月）

在本報(bào)告期內(nèi)，我們?cè)俅斡^察到大量針對(duì)公共管理和政府以及數(shù)字服務(wù)提供商的事件。后者是可以預(yù)期的，因?yàn)檫@個(gè)部門(mén)的服務(wù)是橫向提供的，因此它對(duì)許多其他部門(mén)的影響也是如此。我們還觀察到大量針對(duì)最終用戶的事件，而不一定是針對(duì)某個(gè)特定部門(mén)。有趣的是，在整個(gè)報(bào)告期間，金融部門(mén)面臨的事件數(shù)量一直很穩(wěn)定，衛(wèi)生部門(mén)緊隨其后。

4 影響評(píng)估

在 ENISA威脅狀況的這一迭代中，對(duì)報(bào)告期內(nèi)觀察到的事件的影響進(jìn)行了評(píng)估。通過(guò)這種定性的影響分析過(guò)程，ENISA試圖通過(guò)定義五種類型的潛在影響并指定各自的影響水平或程度，即高、中、低或未知，來(lái)確定破壞性網(wǎng)絡(luò)事件的后果。由于與網(wǎng)絡(luò)安全攻擊的影響有關(guān)的信息往往由于明顯的原因而無(wú)法獲得或公開(kāi)，確定和評(píng)估事件發(fā)生后的影響需要一定程度的假設(shè)，其中一定程度的主觀性無(wú)法避免。這本身就說(shuō)明了要改進(jìn)歐盟的事件報(bào)告程序，這一點(diǎn)在NIS指令中得到了體現(xiàn)，也是ENISA在未來(lái)幾年將繼續(xù)努力的一個(gè)領(lǐng)域。

在這個(gè)ETL的背景下，定義了以下類型的影響:

• 聲譽(yù)影響指的是潛在的負(fù)面宣傳或公眾對(duì)成為網(wǎng)絡(luò)事件受害者的實(shí)體的不利看法；

• 數(shù)字影響是指系統(tǒng)損壞或不可用，數(shù)據(jù)文件損壞或數(shù)據(jù)外流；

• 經(jīng)濟(jì)影響是指發(fā)生的直接經(jīng)濟(jì)損失，由于重要材料的損失或要求的贖金，可能對(duì)國(guó)家安全造成的損害；

• 物理影響是指對(duì)雇員、客戶或病人的任何形式的傷害或損害；

• 社會(huì)影響是指對(duì)公眾的任何影響或可能對(duì)社會(huì)產(chǎn)生影響的大范圍破壞（例如，破壞一個(gè)國(guó)家的國(guó)家衛(wèi)生系統(tǒng)的事件）；

通過(guò)運(yùn)用ENISA的內(nèi)部經(jīng)驗(yàn)和專業(yè)知識(shí)，將收集到的事件按照這五種類型的影響進(jìn)行分類。

圖4中，可以看到，根據(jù)分析，公共管理部門(mén)在成為網(wǎng)絡(luò)攻擊的目標(biāo)時(shí)，受到的影響最大當(dāng)它成為網(wǎng)絡(luò)攻擊的目標(biāo)時(shí)。這可能是由于對(duì)目標(biāo)實(shí)體失去了信任。第二個(gè)對(duì)其聲譽(yù)有很大影響的部門(mén)是金融部門(mén)。

圖4. 聲譽(yù)影響（按部門(mén)劃分）

數(shù)字化影響（圖5）在大多數(shù)部門(mén)被設(shè)定為中等至低，但公共管理部門(mén)除外。

金融和數(shù)字服務(wù)提供商顯示出高影響的事件。造成這種情況的原因通常是勒索軟件事件。

圖5. 數(shù)字影響（按部門(mén)劃分）

在談到經(jīng)濟(jì)損失時(shí)（圖6），我們發(fā)現(xiàn)公共管理和金融部門(mén)的影響最大。這可能與許多與竊取銀行數(shù)據(jù)或細(xì)節(jié)有關(guān)的違規(guī)行為和許多有關(guān)個(gè)人數(shù)據(jù)的違規(guī)行為有關(guān)，同時(shí)公共部門(mén)也是今年勒索軟件攻擊的主要目標(biāo)。今年，勒索軟件攻擊的主要目標(biāo)。

圖6. 經(jīng)濟(jì)影響（按部門(mén)劃分）

由于缺乏公開(kāi)信息或可靠的數(shù)據(jù)，物理影響（圖7）仍然是最不為人知的影響。

圖7. 物理影響（按部門(mén)劃分）

在社會(huì)影響方面，公共管理部門(mén)是事件數(shù)量最多的部門(mén)。多數(shù)情況下，這涉及到服務(wù)的中斷或個(gè)人數(shù)據(jù)的泄露。此外，據(jù)觀察，衛(wèi)生部門(mén)也有大量的"高"影響事件，原因是敏感數(shù)據(jù)被泄露或衛(wèi)生服務(wù)無(wú)法使用。

圖8. 社會(huì)影響（按部門(mén)劃分)

5 按動(dòng)機(jī)劃分的主要威脅

了解敵人和網(wǎng)絡(luò)安全事件或有針對(duì)性的攻擊背后的動(dòng)機(jī)是很重要的，因?yàn)樗梢源_定對(duì)手的目標(biāo)是什么。了解動(dòng)機(jī)可以幫助組織確定并優(yōu)先考慮保護(hù)什么以及如何保護(hù)。ETL2022定義了四種不同的動(dòng)機(jī)，可以與威脅者相關(guān)聯(lián)。

• 貨幣化：由網(wǎng)絡(luò)犯罪集團(tuán)實(shí)施與經(jīng)濟(jì)有關(guān)的行動(dòng)；

• 地緣政治/間諜活動(dòng)：獲取知識(shí)產(chǎn)權(quán)（Intellectual Property）、敏感數(shù)據(jù)、機(jī)密數(shù)據(jù)的信息（主要由國(guó)家支持的團(tuán)體執(zhí)行）；

• 地緣政治/破壞：以地緣政治的名義進(jìn)行的任何破壞性行動(dòng)；意識(shí)形態(tài)：任何有意識(shí)形態(tài)支持的行動(dòng)。

在大多數(shù)情況下，主要的威脅都相當(dāng)平均地屬于一種或多種動(dòng)機(jī)。

圖9. 各類威脅者動(dòng)機(jī)

八大主要威脅

在2021年和2022年期間，出現(xiàn)了一系列的網(wǎng)絡(luò)威脅，并將其具體化。基于本報(bào)告中的分析，ENISA2022年的威脅形勢(shì)確定并關(guān)注以下八個(gè)主要威脅群（見(jiàn)圖1）。之所以強(qiáng)調(diào)這八個(gè)威脅群，是因?yàn)樗鼈冊(cè)趫?bào)告期內(nèi)的突出地位、它們的流行程度以及由于這些威脅的實(shí)現(xiàn)而產(chǎn)生的影響。

• 勒索軟件

根據(jù)ENISA的勒索軟件攻擊威脅狀況報(bào)告，勒索軟件被定義為一種攻擊類型，威脅者控制目標(biāo)的資產(chǎn)并要求贖金以換取資產(chǎn)的可用性。需要這種與行動(dòng)無(wú)關(guān)的定義，以涵蓋不斷變化的勒索軟件威脅狀況、多種勒索技術(shù)的普遍性以及犯罪者的各種目標(biāo)，而不僅僅是經(jīng)濟(jì)收益。在本報(bào)告所述期間，勒索軟件再次成為主要威脅之一，發(fā)生了幾起備受關(guān)注和高度公開(kāi)的事件。

• 惡意軟件

惡意軟件也被稱為惡意代碼和惡意邏輯，是一個(gè)總的術(shù)語(yǔ)，用來(lái)描述任何軟件或固件，旨在執(zhí)行未經(jīng)授權(quán)的程序，對(duì)系統(tǒng)的保密性、完整性或可用性產(chǎn)生不利影響。傳統(tǒng)上，惡意代碼類型的例子包括病毒、蠕蟲(chóng)、木馬或其他感染主機(jī)的代碼實(shí)體。間諜軟件和某些形式的廣告軟件也是惡意代碼的例子。

• 社會(huì)工程

社會(huì)工程包括一系列廣泛的活動(dòng)，試圖利用人類錯(cuò)誤或人類行為，以獲得信息或服務(wù)。它使用各種形式的操縱來(lái)欺騙受害者犯錯(cuò)或交出敏感或秘密信息。在網(wǎng)絡(luò)安全方面，社會(huì)工程引誘用戶打開(kāi)文件、檔案或電子郵件，訪問(wèn)網(wǎng)站或授予未經(jīng)授權(quán)的人訪問(wèn)系統(tǒng)或服務(wù)的權(quán)利。盡管這些伎倆可以濫用技術(shù)，但它們總是依賴于人的因素才能成功。這種威脅主要包括以下載體：網(wǎng)絡(luò)釣魚(yú)、魚(yú)叉式釣魚(yú)、捕鯨、smishing、vishing、商業(yè)電子郵件泄露（BEC）、欺詐等方式。

• 數(shù)據(jù)安全威脅

數(shù)據(jù)安全威脅以數(shù)據(jù)源為目標(biāo)，旨在獲得未經(jīng)授權(quán)的訪問(wèn)和披露，以及操縱數(shù)據(jù)以干擾系統(tǒng)的行為。這些威脅也是許多其他威脅的基礎(chǔ)，也在本報(bào)告中討論。例如，勒索軟件、勒索軟件拒絕服務(wù)（RDoS）、分布式拒絕服務(wù)（DDoS）旨在拒絕對(duì)數(shù)據(jù)的訪問(wèn)，并可能收取費(fèi)用以恢復(fù)這種訪問(wèn)。從技術(shù)上講，針對(duì)數(shù)據(jù)的威脅主要可分為數(shù)據(jù)泄露和數(shù)據(jù)泄漏。數(shù)據(jù)泄露是由網(wǎng)絡(luò)犯罪分子帶來(lái)的蓄意攻擊，目的是獲得未經(jīng)授權(quán)的訪問(wèn)，并釋放敏感、保密或受保護(hù)的數(shù)據(jù)。數(shù)據(jù)泄露是指由于錯(cuò)誤配置、漏洞或人為錯(cuò)誤等原因，可能導(dǎo)致敏感、機(jī)密或受保護(hù)的數(shù)據(jù)被無(wú)意中泄露的事件。

• 可用性威脅：拒絕服務(wù)

可用性是大量威脅和攻擊的目標(biāo)，其中DDoS最為突出。DDoS的目標(biāo)是系統(tǒng)和數(shù)據(jù)的可用性，雖然不是新型威脅，但在網(wǎng)絡(luò)安全威脅中具有重要作用。當(dāng)一個(gè)系統(tǒng)或服務(wù)的用戶無(wú)法訪問(wèn)相關(guān)數(shù)據(jù)、服務(wù)或其他資源時(shí)，就會(huì)發(fā)生攻擊。這可以通過(guò)耗盡服務(wù)及其資源或使網(wǎng)絡(luò)基礎(chǔ)設(shè)施的組件過(guò)載來(lái)實(shí)現(xiàn)。在報(bào)告期內(nèi)，針對(duì)可用性的威脅和勒索軟件在主要威脅中排名最高，這預(yù)示著與ETL2021年勒索軟件明顯居于首位的情況發(fā)生了變化。

• 可用性威脅：互聯(lián)網(wǎng)威脅

互聯(lián)網(wǎng)的使用和信息的流動(dòng)影響著每個(gè)人的生活，互聯(lián)網(wǎng)已經(jīng)成為了人們工作學(xué)習(xí)必不可少的一部分。這一組包括對(duì)互聯(lián)網(wǎng)可用性有影響的威脅，如BGP（邊界網(wǎng)關(guān)協(xié)議）劫持。拒絕服務(wù)（DoS）因其在威脅中的個(gè)別影響而被單獨(dú)列出。

• 虛假信息：錯(cuò)誤信息

在社交媒體平臺(tái)和網(wǎng)絡(luò)媒體使用量增加的刺激下，虛假和錯(cuò)誤信息數(shù)量仍在攀升。數(shù)字平臺(tái)如今已成為新聞和媒體的主要平臺(tái)。社交網(wǎng)站、新聞和媒體機(jī)構(gòu)，甚至搜索引擎，都是人們的信息來(lái)源。由于這些網(wǎng)站運(yùn)作的性質(zhì)，是通過(guò)吸引眼球來(lái)產(chǎn)生流量。很多推廣信息，并未得到驗(yàn)證。俄烏戰(zhàn)爭(zhēng)利用這種新威脅方法，利用人們對(duì)戰(zhàn)爭(zhēng)狀況和有關(guān)各方的責(zé)任的關(guān)注。摻雜虛假信息，繼而操控輿論。

• 供應(yīng)鏈攻擊

供應(yīng)鏈攻擊的目標(biāo)是組織和其供應(yīng)商之間的關(guān)系。本ETL報(bào)告中，采用了ENISA供應(yīng)鏈威脅全景中的定義，當(dāng)一個(gè)攻擊由至少兩個(gè)攻擊組合而成時(shí)，就被認(rèn)為具有供應(yīng)鏈的成分。要將攻擊歸類為供應(yīng)鏈攻擊，供應(yīng)商和客戶都必須是目標(biāo)。SolarWinds是最早揭示這種攻擊的公司之一，并顯示了供應(yīng)鏈攻擊的潛在影響。攻擊者似乎繼續(xù)利用這一來(lái)源開(kāi)展行動(dòng)，并在組織內(nèi)獲得立足點(diǎn)，試圖從這種攻擊的廣泛影響和潛在的受害者基礎(chǔ)中獲益。

圖1. 2022年ENISA的威脅形勢(shì)

四大威脅行為者

在ETL2022報(bào)告期內(nèi)國(guó)家支持的行為者、網(wǎng)絡(luò)犯罪行為者、雇傭黑客的行為者、黑客行為主義者這四大行為主義相對(duì)突出。網(wǎng)絡(luò)威脅行為者是威脅環(huán)境中的一個(gè)組成部分，旨在通過(guò)利用現(xiàn)有的漏洞來(lái)實(shí)施惡意行為的實(shí)體，了解威脅者如何思考和行動(dòng)，以及其動(dòng)機(jī)和目標(biāo)，對(duì)于更有力的網(wǎng)絡(luò)威脅管理和事件響應(yīng)至關(guān)重要；可以根據(jù)潛在的影響和威脅發(fā)生的可能性來(lái)確定安全控制的優(yōu)先次序和專門(mén)的戰(zhàn)略。

國(guó)家支持的行為者趨勢(shì)

• 對(duì)0-day和其他關(guān)鍵漏洞的利用增加。根據(jù)公開(kāi)報(bào)告，最經(jīng)常被發(fā)現(xiàn)的入侵載體是對(duì)漏洞的利用，而在2021年期間，披露的0-day漏洞數(shù)量達(dá)到了66個(gè)，創(chuàng)歷史新高；

• 運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)的風(fēng)險(xiǎn)增加；

• 破壞性攻擊是國(guó)家行為者行動(dòng)的一個(gè)重要組成部分。在俄烏沖突期間，網(wǎng)絡(luò)行為者與動(dòng)能軍事行動(dòng)相配合的行動(dòng)。威脅者使用惡意軟件的目的主要是為了削弱目標(biāo)實(shí)體的功能，但也是為了破壞公眾對(duì)國(guó)家領(lǐng)導(dǎo)層的信任，傳播不良情緒，并促進(jìn)虛假信息行動(dòng)；

• 國(guó)家支持的威脅行為者越來(lái)越關(guān)注供應(yīng)鏈的破壞。自2020年12月SolarWinds的供應(yīng)鏈活動(dòng)被揭露以來(lái)，國(guó)家支持的威脅行為者已經(jīng)意識(shí)到其潛力，并越來(lái)越多地以第三方為目標(biāo)，將其網(wǎng)絡(luò)行動(dòng)擴(kuò)展到其客戶的下游；

• 同時(shí)科技公司在沖突期間的網(wǎng)絡(luò)行動(dòng)中的防御性作用越來(lái)越大；

• 虛假信息的復(fù)雜性和范圍也持續(xù)擴(kuò)大。

網(wǎng)絡(luò)犯罪行為者的趨勢(shì)

• 網(wǎng)絡(luò)犯罪分子對(duì)供應(yīng)鏈攻擊的能力和興趣不斷提升；

• 云的廣泛采用為網(wǎng)絡(luò)犯罪分子提供了攻擊機(jī)會(huì)。新冠疫情的蔓延加速了支持組織業(yè)務(wù)流程的基于云的服務(wù)的采用；

• 對(duì)勒索軟件威脅者施加成本。在報(bào)告期內(nèi)，一些政府將勒索軟件作為國(guó)家安全威脅的優(yōu)先事項(xiàng)；通過(guò)采取法律和監(jiān)管對(duì)策試圖改變網(wǎng)絡(luò)犯罪分子的成本效益計(jì)算，同時(shí)推出了一系列反勒索軟件的舉措；

• 網(wǎng)絡(luò)犯罪分子繼續(xù)擾亂工業(yè)部門(mén)，在報(bào)告期內(nèi)，勒索軟件是工業(yè)部門(mén)遭受破壞的主要原因，而制造業(yè)則是迄今為止最受攻擊的部門(mén)；

• 不斷 "退休 "和重塑品牌，以避免執(zhí)法和制裁；

• 俄烏沖突對(duì)網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)的影響。在沖突期間，展現(xiàn)了地緣政治事件對(duì)網(wǎng)絡(luò)犯罪集團(tuán)的推動(dòng)作用，揭示網(wǎng)絡(luò)犯罪和國(guó)家行為者間的聯(lián)系，并為網(wǎng)絡(luò)犯罪分子提供獲得經(jīng)濟(jì)利益的機(jī)會(huì)；

• 網(wǎng)絡(luò)犯罪分子偏愛(ài)CVE。在2021年，有66個(gè)零日漏洞的披露被發(fā)現(xiàn)；

• 在不使用勒索軟件的情況下進(jìn)行數(shù)據(jù)滲透和勒索；

• 網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)仍在蓬勃發(fā)展并進(jìn)一步演變。是網(wǎng)上犯罪生態(tài)系統(tǒng)的協(xié)作和專業(yè)化程度逐步提高。

雇傭黑客的行為者的趨勢(shì)

• 訪問(wèn)即服務(wù) "市場(chǎng)繼續(xù)為國(guó)家行為者提供便利。雇傭黑客的威脅行為者類別是指 "訪問(wèn)即服務(wù)"（AaaS）市場(chǎng)中的實(shí)體，主要由提供攻擊性網(wǎng)絡(luò)能力的公司組成；

• Pegasus案件引發(fā)了媒體的報(bào)道和政府的行動(dòng)。在報(bào)告期內(nèi)，最大的新聞是關(guān)于總部設(shè)在以色列的NSO集團(tuán)和飛馬項(xiàng)目，全世界超過(guò)30,000名人權(quán)活動(dòng)家、記者和律師以及14位世界領(lǐng)導(dǎo)人成為目標(biāo)；

• 瞄準(zhǔn)、監(jiān)控民眾；一方面，商業(yè)威脅情報(bào)報(bào)告忽視了對(duì)民眾的網(wǎng)絡(luò)威脅。另一方面，"接入即服務(wù) "公司的工具正逐步針對(duì)持不同政見(jiàn)者、人權(quán)活動(dòng)家、記者、民間社會(huì)倡導(dǎo)者和其他公民個(gè)人。

黑客行為主義者趨勢(shì)

• 新一輪的黑客攻擊主義來(lái)襲，在報(bào)告期內(nèi)，特別是自俄烏危機(jī)以來(lái)，黑客活動(dòng)顯著增加；

• 黑客主義勒索軟件持續(xù)發(fā)力，在報(bào)告期內(nèi)，一個(gè)名為 "網(wǎng)絡(luò)游擊隊(duì) "的黑客組織開(kāi)展了幾次引人注目的網(wǎng)絡(luò)行動(dòng)。