歐盟網(wǎng)絡安全局發(fā)布《2022年網(wǎng)絡安全威脅全景》報告 |
來源:聚銘網(wǎng)絡 發(fā)布時間:2022-11-14 瀏覽次數(shù): |
信息來源:安全內(nèi)參 近日,歐盟網(wǎng)絡安全局發(fā)布《2022年網(wǎng)絡安全威脅全景》對年度網(wǎng)絡安全狀況進行了報告及總結(jié),本報告為ENISA威脅全景(ETL)報告的第十版。報告中確認了勒索軟件、惡意軟件、社會工程威脅、數(shù)據(jù)安全威脅、可用性威脅:拒絕服務、可用性的威脅:互聯(lián)網(wǎng)威脅、虛假信息和供應鏈攻擊八大領域威脅;以及國家支持的行為者、網(wǎng)絡犯罪行為者、雇傭黑客的行為者、黑客行動主義者四大網(wǎng)絡安全威脅行為體。
ENISA威脅全景(ETL)報告提供了網(wǎng)絡安全威脅全景的總體概述。多年來,ETL一直被用作了解整個歐盟網(wǎng)絡安全現(xiàn)狀的關鍵工具,并在趨勢和模式方面提供洞察力,導致相關的決定、行動的優(yōu)先順序和建議。ETL報告部分是戰(zhàn)略性的,部分是技術性的,其信息與技術性和非技術性的讀者都相關。2022年ETL報告得到了ENISA網(wǎng)絡安全威脅全景特設工作組(CTL)和ENISA國家聯(lián)絡官網(wǎng)絡的驗證和支持。2021年下半年和2022年,網(wǎng)絡安全攻擊繼續(xù)增加,不僅在載體和數(shù)量上,而且在其影響上。俄烏危機為網(wǎng)絡戰(zhàn)和黑客主義、其作用及其對沖突的影響定義了一個新的時代。國家和其他網(wǎng)絡行動很可能會適應這一新的事態(tài),并利用其對沖突的影響。國家和其他網(wǎng)絡行動很可能適應這種新的狀態(tài),并利用這場戰(zhàn)爭帶來的新機遇和挑戰(zhàn)。 威脅概覽 1 主要趨勢 下面總結(jié)了報告期內(nèi)觀察到的網(wǎng)絡威脅形勢的主要趨勢: 1.地緣政治對網(wǎng)絡安全威脅形勢的影響
2.攻擊者能力提升
3.報告期間,勒索軟件和針對可用性的攻擊排名最高
4.新型、混合式和新出現(xiàn)的威脅正在成為具有高度影響力的威脅全景的標志
2 歐洲主要威脅的鄰近性 在ENISA威脅全景的背景下,需要考慮的一個重要方面是威脅與歐洲聯(lián)盟(EU)的接近程度。這對于幫助分析人員評估網(wǎng)絡威脅的重要性,將其與潛在的威脅行為者和載體聯(lián)系起來,甚至指導選擇適當?shù)哪繕司徑廨d體尤為重要。根據(jù)歐盟共同安全與防御政策(CSDP)的擬議分類,將網(wǎng)絡威脅分為四個類別,如表1所示。 表1. 網(wǎng)絡威脅的鄰近性分類
圖1顯示了與ETL2022年報告的主要威脅類別相關的事件的時間序列。需要注意的是,圖中的信息是基于OSINT(開源情報),是ENISA在態(tài)勢感知領域的工作成果。
圖1:觀察到的與ETL主要威脅有關的事件(基于OSINT的態(tài)勢感知),以其接近程度為標準F 從上圖可以看出,與2021年相比,2022年的事件數(shù)量總體上有所減少。這部分是由于事件處理和分析正在進行,報告也隨之而來,以及ETL中信息收集的開源性質(zhì),這可能會在無意中給結(jié)果帶來偏差。特別是,NEAR類別中觀察到的與主要威脅有關的事件數(shù)量一直很高。 3 各部門的主要威脅 網(wǎng)絡威脅通常不局限于任何特定的部門,在大多數(shù)情況下會影響多個部門。多數(shù)情況下,威脅通過利用各部門正在使用的基礎信息和通信技術系統(tǒng)的漏洞表現(xiàn)。然而,有針對性的攻擊以及利用各部門網(wǎng)絡安全成熟度的差異和某些部門的受歡迎程度或突出地位的攻擊,都是需要考慮的因素,特別是在優(yōu)先考慮有針對性的緩解行動時。 圖2和圖3強調(diào)了根據(jù)OSINT(開放源碼情報)觀察到的受影響部門,是ENISA在態(tài)勢感知領域的工作成果。它們指的是與2022年ETL的主要威脅有關的事件。
圖2. 觀察到的與主要ETL威脅有關的事件(按受影響部門劃分)
圖3. 按事件數(shù)量劃分的目標部門(2021年7月-2022年6月) 在本報告期內(nèi),我們再次觀察到大量針對公共管理和政府以及數(shù)字服務提供商的事件。后者是可以預期的,因為這個部門的服務是橫向提供的,因此它對許多其他部門的影響也是如此。我們還觀察到大量針對最終用戶的事件,而不一定是針對某個特定部門。有趣的是,在整個報告期間,金融部門面臨的事件數(shù)量一直很穩(wěn)定,衛(wèi)生部門緊隨其后。 4 影響評估 在 ENISA威脅狀況的這一迭代中,對報告期內(nèi)觀察到的事件的影響進行了評估。通過這種定性的影響分析過程,ENISA試圖通過定義五種類型的潛在影響并指定各自的影響水平或程度,即高、中、低或未知,來確定破壞性網(wǎng)絡事件的后果。由于與網(wǎng)絡安全攻擊的影響有關的信息往往由于明顯的原因而無法獲得或公開,確定和評估事件發(fā)生后的影響需要一定程度的假設,其中一定程度的主觀性無法避免。這本身就說明了要改進歐盟的事件報告程序,這一點在NIS指令中得到了體現(xiàn),也是ENISA在未來幾年將繼續(xù)努力的一個領域。 在這個ETL的背景下,定義了以下類型的影響:
通過運用ENISA的內(nèi)部經(jīng)驗和專業(yè)知識,將收集到的事件按照這五種類型的影響進行分類。 圖4中,可以看到,根據(jù)分析,公共管理部門在成為網(wǎng)絡攻擊的目標時,受到的影響最大當它成為網(wǎng)絡攻擊的目標時。這可能是由于對目標實體失去了信任。第二個對其聲譽有很大影響的部門是金融部門。
圖4. 聲譽影響(按部門劃分) 數(shù)字化影響(圖5)在大多數(shù)部門被設定為中等至低,但公共管理部門除外。 金融和數(shù)字服務提供商顯示出高影響的事件。造成這種情況的原因通常是勒索軟件事件。
圖5. 數(shù)字影響(按部門劃分) 在談到經(jīng)濟損失時(圖6),我們發(fā)現(xiàn)公共管理和金融部門的影響最大。這可能與許多與竊取銀行數(shù)據(jù)或細節(jié)有關的違規(guī)行為和許多有關個人數(shù)據(jù)的違規(guī)行為有關,同時公共部門也是今年勒索軟件攻擊的主要目標。今年,勒索軟件攻擊的主要目標。
圖6. 經(jīng)濟影響(按部門劃分) 由于缺乏公開信息或可靠的數(shù)據(jù),物理影響(圖7)仍然是最不為人知的影響。
圖7. 物理影響(按部門劃分) 在社會影響方面,公共管理部門是事件數(shù)量最多的部門。多數(shù)情況下,這涉及到服務的中斷或個人數(shù)據(jù)的泄露。此外,據(jù)觀察,衛(wèi)生部門也有大量的"高"影響事件,原因是敏感數(shù)據(jù)被泄露或衛(wèi)生服務無法使用。
圖8. 社會影響(按部門劃分) 5 按動機劃分的主要威脅 了解敵人和網(wǎng)絡安全事件或有針對性的攻擊背后的動機是很重要的,因為它可以確定對手的目標是什么。了解動機可以幫助組織確定并優(yōu)先考慮保護什么以及如何保護。ETL2022定義了四種不同的動機,可以與威脅者相關聯(lián)。
在大多數(shù)情況下,主要的威脅都相當平均地屬于一種或多種動機。 圖9. 各類威脅者動機 八大主要威脅 在2021年和2022年期間,出現(xiàn)了一系列的網(wǎng)絡威脅,并將其具體化?;诒緢蟾嬷械姆治?,ENISA2022年的威脅形勢確定并關注以下八個主要威脅群(見圖1)。之所以強調(diào)這八個威脅群,是因為它們在報告期內(nèi)的突出地位、它們的流行程度以及由于這些威脅的實現(xiàn)而產(chǎn)生的影響。
根據(jù)ENISA的勒索軟件攻擊威脅狀況報告,勒索軟件被定義為一種攻擊類型,威脅者控制目標的資產(chǎn)并要求贖金以換取資產(chǎn)的可用性。需要這種與行動無關的定義,以涵蓋不斷變化的勒索軟件威脅狀況、多種勒索技術的普遍性以及犯罪者的各種目標,而不僅僅是經(jīng)濟收益。在本報告所述期間,勒索軟件再次成為主要威脅之一,發(fā)生了幾起備受關注和高度公開的事件。
惡意軟件也被稱為惡意代碼和惡意邏輯,是一個總的術語,用來描述任何軟件或固件,旨在執(zhí)行未經(jīng)授權的程序,對系統(tǒng)的保密性、完整性或可用性產(chǎn)生不利影響。傳統(tǒng)上,惡意代碼類型的例子包括病毒、蠕蟲、木馬或其他感染主機的代碼實體。間諜軟件和某些形式的廣告軟件也是惡意代碼的例子。
社會工程包括一系列廣泛的活動,試圖利用人類錯誤或人類行為,以獲得信息或服務。它使用各種形式的操縱來欺騙受害者犯錯或交出敏感或秘密信息。在網(wǎng)絡安全方面,社會工程引誘用戶打開文件、檔案或電子郵件,訪問網(wǎng)站或授予未經(jīng)授權的人訪問系統(tǒng)或服務的權利。盡管這些伎倆可以濫用技術,但它們總是依賴于人的因素才能成功。這種威脅主要包括以下載體:網(wǎng)絡釣魚、魚叉式釣魚、捕鯨、smishing、vishing、商業(yè)電子郵件泄露(BEC)、欺詐等方式。
數(shù)據(jù)安全威脅以數(shù)據(jù)源為目標,旨在獲得未經(jīng)授權的訪問和披露,以及操縱數(shù)據(jù)以干擾系統(tǒng)的行為。這些威脅也是許多其他威脅的基礎,也在本報告中討論。例如,勒索軟件、勒索軟件拒絕服務(RDoS)、分布式拒絕服務(DDoS)旨在拒絕對數(shù)據(jù)的訪問,并可能收取費用以恢復這種訪問。從技術上講,針對數(shù)據(jù)的威脅主要可分為數(shù)據(jù)泄露和數(shù)據(jù)泄漏。數(shù)據(jù)泄露是由網(wǎng)絡犯罪分子帶來的蓄意攻擊,目的是獲得未經(jīng)授權的訪問,并釋放敏感、保密或受保護的數(shù)據(jù)。數(shù)據(jù)泄露是指由于錯誤配置、漏洞或人為錯誤等原因,可能導致敏感、機密或受保護的數(shù)據(jù)被無意中泄露的事件。
可用性是大量威脅和攻擊的目標,其中DDoS最為突出。DDoS的目標是系統(tǒng)和數(shù)據(jù)的可用性,雖然不是新型威脅,但在網(wǎng)絡安全威脅中具有重要作用。當一個系統(tǒng)或服務的用戶無法訪問相關數(shù)據(jù)、服務或其他資源時,就會發(fā)生攻擊。這可以通過耗盡服務及其資源或使網(wǎng)絡基礎設施的組件過載來實現(xiàn)。在報告期內(nèi),針對可用性的威脅和勒索軟件在主要威脅中排名最高,這預示著與ETL2021年勒索軟件明顯居于首位的情況發(fā)生了變化。
互聯(lián)網(wǎng)的使用和信息的流動影響著每個人的生活,互聯(lián)網(wǎng)已經(jīng)成為了人們工作學習必不可少的一部分。這一組包括對互聯(lián)網(wǎng)可用性有影響的威脅,如BGP(邊界網(wǎng)關協(xié)議)劫持。拒絕服務(DoS)因其在威脅中的個別影響而被單獨列出。
在社交媒體平臺和網(wǎng)絡媒體使用量增加的刺激下,虛假和錯誤信息數(shù)量仍在攀升。數(shù)字平臺如今已成為新聞和媒體的主要平臺。社交網(wǎng)站、新聞和媒體機構(gòu),甚至搜索引擎,都是人們的信息來源。由于這些網(wǎng)站運作的性質(zhì),是通過吸引眼球來產(chǎn)生流量。很多推廣信息,并未得到驗證。俄烏戰(zhàn)爭利用這種新威脅方法,利用人們對戰(zhàn)爭狀況和有關各方的責任的關注。摻雜虛假信息,繼而操控輿論。
供應鏈攻擊的目標是組織和其供應商之間的關系。本ETL報告中,采用了ENISA供應鏈威脅全景中的定義,當一個攻擊由至少兩個攻擊組合而成時,就被認為具有供應鏈的成分。要將攻擊歸類為供應鏈攻擊,供應商和客戶都必須是目標。SolarWinds是最早揭示這種攻擊的公司之一,并顯示了供應鏈攻擊的潛在影響。攻擊者似乎繼續(xù)利用這一來源開展行動,并在組織內(nèi)獲得立足點,試圖從這種攻擊的廣泛影響和潛在的受害者基礎中獲益。
圖1. 2022年ENISA的威脅形勢 四大威脅行為者 在ETL2022報告期內(nèi)國家支持的行為者、網(wǎng)絡犯罪行為者、雇傭黑客的行為者、黑客行為主義者這四大行為主義相對突出。網(wǎng)絡威脅行為者是威脅環(huán)境中的一個組成部分,旨在通過利用現(xiàn)有的漏洞來實施惡意行為的實體,了解威脅者如何思考和行動,以及其動機和目標,對于更有力的網(wǎng)絡威脅管理和事件響應至關重要;可以根據(jù)潛在的影響和威脅發(fā)生的可能性來確定安全控制的優(yōu)先次序和專門的戰(zhàn)略。 國家支持的行為者趨勢
網(wǎng)絡犯罪行為者的趨勢
雇傭黑客的行為者的趨勢
黑客行為主義者趨勢
|