ENISA网络威胁图谱2022

2022年11月，欧盟网络与信息安全局（ENISA）发布题为《ENISA Threat Landscape 2022》（ENISA网络威胁图谱2022）的研究报告。这是ENISA第10次发布年度网络威胁图谱报告。报告分析了当前网络空间领域威胁状态，识别了主要威胁和攻击者，并对未来网络威胁和攻击者的趋势进行了预测。

本文主要内容及关键词

1.八大网络威胁：勒索软件；恶意软件；社会工程；针对数据的威胁；针对可用性的威胁（DoS拒绝服务攻击）；针对互联网可用性的威胁；虚假信息和错误信息；供应链攻击。

2.零信任：①有国家（政府）背景的攻击者趋势②以网络犯罪为目的的攻击者③被雇佣的黑客④黑客行动主义者

3.评述

01八大网络威胁

报告识别了8个主要的威胁类别，分别是：

勒索软件；恶意软件；社会工程；针对数据的威胁；针对可用性的威胁（DoS拒绝服务攻击）；针对互联网可用性的威胁；虚假信息和错误信息；供应链攻击。

①勒索软件

从2021年7月到2022年6月，全球发生了许多与勒索软件相关的网络安全事件，表明勒索软件威胁持续增长。ENISA监测到的2021年7月到2022年6月发生的主要网络安全事件数量如下所示：

2021年5月到2022年6月期间勒索软件攻击活动数量以及累计窃取的数据量如下图所示：

勒索软件威胁趋势：

钓鱼邮件成为最常见的攻击初始向量；

漏洞被快速武器化；

执法机构开始采取措施应对勒索软件攻击活动；

政府下令不允许政府相关机构支付勒索软件赎金。

②恶意软件

2021年7月到2022年6月与恶意软件相关的网络攻击活动数量如下所示：

恶意软件趋势：

疫情好转后，检测到的恶意软件数量持续增加；

攻击物联网（IoT）的恶意软件数量翻倍；

供应链攻击活动主要针对开源软件框架；

利用微软Office宏的恶意软件数量减少；

针对移动端（手机、平板）的恶意软件感染变得更具针对性；

与乌克兰相关的恶意软件数量增加。

③社会工程

社会工程融合了大量尝试利用人为错误或人的行为来获取信息或服务的访问权限的活动。常见的社会工程攻击方法包括：钓鱼、鱼叉式钓鱼、商业邮件入侵、欺诈、冒充和假冒。2021年7月到2022年6月与社会工程相关的攻击活动数量如下所示：

社会工程攻击趋势：

以乌克兰战争为主题的攻击活动增加；

出现自知名账户的钓鱼邮件，比如office；

商业邮件入侵；

恶意二维码：通过扫描二维码作为攻击入口；

知情同意：发送知情同意相关的钓鱼活动；

自动化：使用社会工程攻击的攻击者进一步将其攻击活动自动化；

针对加密货币交易所和加密货币所有者的攻击变多。

④针对数据的威胁

针对数据的威胁包括攻击者非授权访问数据引发的数据泄露，攻击者利用漏洞、错误配置、人为错误等引发的数据泄露，对数据的恶意操纵修改、数据投毒等。

针对数据的威胁趋势：

数据入侵相关的攻击活动数量不断增加；

身份窃取和合成身份：随着越来越多个人敏感数据泄露，攻击者可以利用这些泄露的个人敏感数据实现对特定人的身份窃取，也可以利用个人敏感数据生成实际上并不存在的身份。

攻击者更加关注高回报数据类型，比如凭证数据。

数据投毒和操纵：针对人工智能使用数据的攻击活动越来越多；

从机器学习模型提取数据。

⑤针对可用性的威胁：DoS攻击

从下图可以看出，有大量与DoS（拒绝服务）攻击相关的网络安全事件。针对欧洲用户的最大规模DoS攻击峰值为853.7 Gbps，持续14小时。

DoS攻击趋势：

攻击变得越来越复杂，攻击的峰值速率不断变高；

DDoS（分布式拒绝服务）攻击的发起者转向移动网络和IoT网络；

DDoS攻击被应用于网络战；

勒索DoS（RDoS，Ransom Denial of Service）成为DoS攻击的最新方式。RDoS通过识别有漏洞的系统，并对其发起DoS攻击，最终目的是要求受害者支付赎金；

从基于UDP的DoS攻击转向基于TCP的DoS攻击；

云服务被用于DDoS攻击。

⑥针对互联网可用性的威胁

影响互联网可用性的威胁主要包括：

对互联网基础设施的接管和破坏：在接管当地互联网基础设施后，蜂窝数据网络被停止，要求使用新的移动服务提供商；

网络审查：自2022年以来，俄罗斯大约拦截了3000个网站，其中许多网站包含战争的内容；

国家所有的证书颁发机构（CA）：对金融机构的制裁使得用户无法更新其TLS证书。如果国家拥有CA，就可以对其公民发起HTTP流量拦截或者中间人攻击。

⑦虚假信息和错误信息

目前，互联网上充斥着各种深度伪造、宣传、错误信息和虚假信息，对人们的日常生活和社会都带来了影响。

错误信息和虚假信息趋势：

错误信息是信息战使用的主要方法之一。

人工智能在虚假信息和深度伪造内容的生成和传播方面起着关键作用。

虚假信息即服务（Disinformation-as-a-service）: 虚假信息即服务使得虚假信息攻击活动变得非常容易实现和管理。

⑧供应链攻击

供应链攻击的目标对象是组织与其供应者之间的关系。供应链攻击占比从2020年的1%增加到了2021年的17%。

供应链攻击趋势：

滥用系统的复杂性和不可见性：企业使用复杂的系统来满足客户的需求，而复杂的系统依赖大量的供应商。复杂系统对其他系统的依赖对于软件管理员来说可能是不可见的。攻击者可以滥用对系统依赖的不可见性来发起攻击；

商业技术中的漏洞利用：攻击者通过研究邮件服务器、知识管理软件等常用商业技术中的安全漏洞来攻击企业组织；

攻击安全研究人员来获得目标的访问权限：攻击者开始直接攻击安全研究人员，然后利用安全研究人员已有的信息来获取受害者（系统）的访问权限；

越多越多的网络威胁组织开始关注供应链攻击；

攻击源码和开发者：软件供应链依赖的容器基础设施等逐渐成为软件供应链攻击的新攻击面；

供应链加密货币劫持以获得经济利益。攻击者使用受害者的计算资源通过挖矿生成加密货币来获得经济利益。

02四类网络威胁者

报告共识别出了4类主要的网络安全威胁者，包括有国家（政府）背景的攻击者、以网络犯罪为目的的攻击者、被雇佣的黑客、黑客行动主义者。

2.1有国家（政府）背景的攻击者趋势

利用更多的0 day漏洞（未发布安全补丁的漏洞）和其他关键漏洞。漏洞利用是入侵网络最常用的攻击方式。2021年，欧盟范围内公开的0 day漏洞利用达到历史最高值——66个。

破坏性攻击是有政府背景的攻击活动的主要组成。在国家冲突中，有政府背景的网络攻击者发起网络攻击以配合军事行动。其中包括使用数据擦除软件来破坏和攻击政府机构和关键基础设施所有者（运营者）网络。目的是破坏特定机构的正常运行，降低民众对国家的信任，传播恐惧、怀疑的情绪。

越来越关注供应链攻击。供应链的入侵占入侵总数的17%，而2020年只占不到1%。通过2020年的SolarWinds供应链攻击，有政府背景的攻击者意识到供应链攻击带来的巨大影响，并越来越多的通过攻击第三方来扩大网络攻击带来的影响。

地缘政治影响网络攻击活动。许多针对乌克兰机构的网络攻击活动都是由于持续的军事冲突。攻击者在入侵乌克兰相关机构网络后，收集相关的情报以为军事机构带来战术或战略优势。有政府背景的攻击者还攻击了支持乌克兰的42个国家的128个政府机构，包括美国、欧盟、波兰和俄罗斯周边国家等。

网络志愿者组成的IT网军。2022年2月，乌克兰公开招募网络志愿者组建IT网军，以应对网络攻击活动。IT网军由于组成复杂，所以很难分类，应该是由志愿者、政府背景的黑客组织组成的混合体。

科技公司越来越多地参与网络活动。在军事冲突发生后，许多科技公司站队并在网络空间实施支持。比如，微软向乌克兰网络安全机构提供应对恶意软件方面的支持，以及提供网络作战相关的感知和情报内容。

2.2以网络犯罪为目的的攻击者

网络犯罪分子展示出对供应链攻击的兴趣。供应链攻击主要与有国家背景的攻击者有关，但网络犯罪分子也开始对供应链感兴趣。2021-2022年，越来越多的供应链攻击与勒索软件攻击活动相关联，使得攻击者可以扩大攻击的范围。此类供应链攻击一般会引发勒索软件部署、加密货币挖矿、加密货币窃取、凭证窃取。当前，供应链攻击与投毒的开发者库和软件平台入侵有关。软件供应链攻击的影响很大，不仅会影响关键服务甚至还能够对没有直接影响的服务产生影响。

云的大规模采用为网络犯罪分子带来新的机会。新冠疫情加速了基于云服务的采用，来支持企业商业流程。网络犯罪分子也顺应这一趋势来攻击云环境。网络犯罪分子主要通过以下方式攻击云服务：

利用云安全漏洞；

攻击云凭证；

利用错误配置的镜像容器；

攻击云实例来进行加密货币挖矿；

攻击云基础设施、云API、云备份来入侵云环境。

网络犯罪分子继续破坏工业行业。今年，工业领域网络攻击主要是勒索软件。制造业是被攻击最多的行业。破坏性攻击对食品、医疗健康、交通和能源行业带来的影响最大。

军事冲突影响网络犯罪生态。军事冲突为网络犯罪行为获得经济收益提供了新的机会。许多网络黑客组织在冲突中都表示了对某国的支持。有的黑客组织还对敌对国的关键基础设施进行了威胁。在军事冲突后，许多网络犯罪分子通过支持社会工程邮件来获利。

数据泄露和数据勒索（不使用勒索软件）。2021年-2022年发生了更多的数据窃取与数据勒索事件。数据泄露事件中有许多企业没有使用数据加密。此外，网络犯罪分子意识到可以在无需部署勒索软件的情况下对数据要求赎金。因为没有加密，攻击者在获取了数据的访问权限后就能够以大范围公开数据为条件要求其支付赎金。

2.3被雇佣的黑客

访问即服务（Access as a service）市场持续发展。被雇佣的黑客是指访问即服务市场中的攻击者，主要由提供网络防护能力的企业组成。其客户主要是政府，一般是以包含多个服务的单一服务包的形式出现。

针对公民的监控。访问即服务企业提供的工具可被用来监控持不同政见者、人权活动家、记者和其他公民。

2.4黑客行动主义者

黑客行动主义者（Hacktivists）是指因政治或社团目的而产生的黑客行为，或者是入侵计算机系统的个人。

新一代黑客行动主义攻击活动。军事冲突爆发后，黑客行动主义者发起的攻击活动明显增加，包括DDoS（分布式拒绝服务攻击）、数据窃取等。从战略角度看，军事冲突为黑客行动主义、其角色和其对冲突的影响定义了一个新时代。

03评述

ENISA发布的《网络威胁图谱2022》对2021年7月到2022年6月之间网络安全事件进行了分析，共识别出了勒索软件、恶意软件、社会工程、针对数据的威胁、针对可用性的威胁、针对互联网可用性的威胁、虚假信息和错误信息、供应链攻击等8个主要的网络威胁类别，以及有国家（政府）背景的攻击者、以网络犯罪为目的的攻击者、被雇佣的黑客、黑客行动主义者4类主要的网络安全威胁者。虽然分析的相关安全事件主要集中在欧洲，但识别出的网络威胁与网络威胁攻击者趋势同样适用于其他国家和地区。

审核编辑 ：李倩