2021 年 10 月 27 日,欧盟网络和信息安全局(ENISA)发布《ENISA 2021年威胁态势展望》报告,分析了全球面临的九大网络安全威胁,阐述了威胁趋势、威胁参与者和攻击技术等,提出了相关缓解和应对措施。2021 年该项工作得到了新组建的 ENISA 网络安全威胁态势 (CTL) 特设工作组的支持。该报告可帮助战略决策者和政策制定者、政府及公司详尽了解最新的网络安全威胁,而且可针对性地开发技术予以解决,可作为国家网络空间战略发展的政策制定和技术发展的重要参考依据,对我国网络强国战略的实施和完善有着重要的借鉴意义。

一、相关背景

ENISA 作为欧盟最高网络安全常规机构,是一个独立的政府机构,成立于 2004 年,以欧盟层级网络安全职能部门的角色,为欧盟及其成员国提供增强信息与网络安全相关的建议和协助,帮助欧盟及其成员国为应对未来的网络攻击做好充分准备。评估和沟通漏洞及网络威胁信息也是 ENISA 的其中一项重要职能,这些内容集中体现在其每年推出的对全球网络安全威胁态势的年度分析报告《威胁态势展望》中,2021 是 ENISA 威胁态势报告的第九版。该报告长达 100 多页,报告内容来自媒体文章、专家意见、情报报告、事件分析和安全研究报告等公开资源,以及通过对 ENISA 网络安全威胁态势 (CTL) 特设工作组成员的采访,专家们根据收集的信息,通过持续分析,以战略性和技术性相结合的方式概述网络安全最新威胁形势的总体态势,确定主要威胁、趋势及关注点等,并提供相关缓解措施,旨在为其利益相关者提供战略情报,为国家网络空间战略发展的政策制定和技术发展提供重要参考依据。

二、主要内容

网络安全攻击在 2020 年和 2021 年持续增加,不仅在载体和数量方面,而且在影响方面。新冠病毒的大流行也对网络安全威胁格局产生了影响,疫情带来了向混合办公模式的持久转变,增加了攻击面,使与疫情有关的网络安全威胁和利用“新常态”正在成为主流。一系列网络威胁在 2020 年和2021 年期间出现并成为现实,而且呈上升趋势。本报告首先根据网络安全威胁的重要性及所产生的影响,分析认为全球当前面临着九大主要网络威胁;其次介绍了四类比较突出的网络安全威胁行为体及其发展趋势;第三详细介绍了九大网络威胁的发展特点及建议;最后在附件 A、B 中分别列举了每种网络威胁常用的技术以及值得关注的最新显著事件。整体而言,2021 年 ENISA 威胁态势展望报告的内容丰富而详尽,本文择其重点予以阐述。

(一)九大网络安全威胁

1. 勒索软件

勒索软件是一种恶意攻击,攻击者对组织的数据进行加密,并要求付款以恢复访问。在某些情况下,攻击者还可能窃取组织的信息,并要求额外付款,以换取不向竞争对手或公众等披露信息。在本报告所述期间,勒索软件一直是主要威胁,并发生了几起引人注目且高度公开的事件。欧盟和世界范围内的一系列相关政策举措也证明了勒索软件威胁的重要性和影响。勒索软件目前主要通过网络钓鱼电子邮件和对远程桌面协议(RDP)服务进行暴力攻击而造成危害。在 2021 年的报告期内,Conti 和 REvil 勒索软件主宰了勒索软件市场,二者都能提供单独的勒索软件即服务(RaaS)平台,通过该平台,附属公司可以有效地策划其攻击。2021 年,多重勒索的发生率也大幅上升。在最初从组织窃取和加密敏感数据并威胁在未付款的情况下将其公开发布后,攻击者还以组织的客户和/或合作伙伴为目标索要赎金,以实现利润最大化。加密货币仍然是最常见的支付方式,平均赎金金额比去年翻了一番。

2. 恶意软件

多年来,恶意软件的威胁一直居高不下。恶意软件是一个总括性术语,描述任何旨在执行恶意未经授权流程的软件、固件或代码,这些流程将对系统的机密性、完整性或可用性产生不利影响。恶意软件可能是病毒、蠕虫、特洛伊木马或其他感染主机的基于代码的实体。间谍软件和某些形式的广告软件也是恶意软件的一部分。根据创建者的目标,恶意软件可能具有各种不同的功能。例如,RATs(远程访问特洛伊木马/工具)允许参与者远程控制受感染系统的恶意软件。信息窃取者或浏览者是用来获取信用卡信息的。僵尸网络是受恶意软件感染并由 C&C 服务器控制的计算机机器人网络。特洛伊木马是通常伪装为合法软件的恶意软件,根据目标可以是银行特洛伊木马或移动特洛伊木马。恶意软件威胁一直存在,而且每年都会出现新的家族和毒株,尽管在 ETL 2021 的报告期内,恶意软件的威胁有所下降。

3. 加密劫持

加密劫持(Cryptojacking),也称挖矿劫持,是加密货币领域的新兴词汇,指的是在未经授权的情况下利用他人的硬件设备进行加密货币挖矿。通常发生在受害者无意中安装了恶意脚本程序,允许网络罪犯访问其计算机或其他互联网连接设备时,例如通过单击电子邮件中的未知链接或访问受感染的网站。然后,罪犯使用“硬币矿工”的程序创建或“挖掘”加密货币。随着加密货币的扩散及其日益被广大公众所接受,相应的网络安全事件有所增加。

4. 与电子邮件有关的威胁

与电子邮件相关的威胁多年来一直在 ETL 的主要威胁列表中排名靠前。这种威胁是利用人类心理和日常习惯中的弱点而不是信息系统中的技术漏洞的一系列威胁。此威胁主要由网络钓鱼、鱼叉式网络钓鱼、欺骗、伪装、商业电子邮件泄露(BEC)和垃圾邮件等载体组成。尽管针对这些类型的攻击开展了许多提高认识和教育活动,但这种威胁仍在相当程度上持续存在。

5. 对数据的威胁

数据泄漏或数据窃取是恶意参与者用来攻击、复制和传输敏感数据的一种技术。在 ETL 的主要威胁中,对数据的威胁一直居高不下,这种趋势在ETL 2021 报告中继续延续。对数据的威胁是一系列针对数据源的威胁,目的是获得未经授权的访问、披露、错误信息、虚假信息等。这些威胁主要被称为数据破坏或数据泄漏,是指将敏感、机密或受保护的数据发布到不受信任的环境中。数据泄露可能是由于网络攻击、内部人员工作、无意丢失或数据暴露造成的。此外,鉴于数据的重要性,尤其是私人和敏感数据的重要性,对手正在将更复杂的威胁与目标数据相结合,如勒索软件或供应链攻击。

6. 对可用性和完整性的威胁

可用性和完整性是众多威胁和攻击的目标,其中分布式拒绝服务(DDoS)和 Web 攻击最为突出。DDoS 与基于 Web 的攻击密切相关,是 IT 系统最严重的威胁之一,它通过耗尽资源、导致性能下降、数据丢失和服务中断来攻击系统的可用性。DDoS 以系统和数据可用性为目标,尽管不是一个新的威胁,但仍然是网络领域的一个重大威胁。基于 Web 的攻击主要目标是数据完整性和可用性。通过这种方法,威胁参与者可以使用 web 系统和服务作为威胁向量欺骗受害者。

7. 虚假信息—错误信息

这种类型的威胁首次出现在 ENISA 威胁态势报告中,其在网络世界中的重要性是非常高的。由于社交媒体平台和在线媒体的使用增加,以及新冠疫情导致在线人数增加,虚假信息和错误信息攻击活动正在增加。虚假信息和错误信息活动经常与其他网络安全威胁一起使用,从而导致高级混合威胁。主要目的是破坏信任,而信任是网络安全的基础,通过打破这一基础,连锁效应会波及整个网络安全生态系统,并可能产生严重影响。虚假信息和错误信息通常被认为是相似的,但两者却包含根本不同的概念。虚假信息是一种故意的攻击,包括创造或分享虚假或误导性的信息。错误信息是一种无意识的攻击,即信息的共享是在不经意间完成的。虚假信息和错误信息攻击是在其他攻击(如网络钓鱼、社会工程、恶意软件感染)的基础上进行的。二者的攻击对象和目标如表 1 所示。

表 1 虚假信息和错误信息的攻击对象、方法和目标

8. 非恶意威胁

威胁通常被认为是由具有攻击特定目标动机的对手所进行的自愿和恶意活动。该类别涵盖了恶意意图不明显的威胁。主要是基于人为错误和系统错误配置,但也可能是针对 IT 基础设施的物理灾难。这些威胁在年度威胁格局中持续存在,是风险评估的主要关注点。

非恶意威胁可分为两类:一种是错误和错误配置,是由疏忽、缺乏意识或简单地说,人为错误造成的。例如管理 IT 系统时的错误、开发时间错误、应用程序级错误等。还有一种是物理灾害,例如光纤电缆的意外损坏、互联网连接的丧失、火灾、电力供应不稳定,自然灾害等,导致 IT 基础设施和相关服务/应用程序不可用。非恶意威胁是许多现有恶意威胁的主要威胁载体。例如,安全漏洞、错误配置、漏洞和修补程序管理不足可能为 DDoS攻击、恶意软件和勒索软件打开大门。同时,人为错误是网络钓鱼和社会工程的主要载体。总之,非恶意威胁曾对 IT 系统和应用程序的工作产生了重要影响,现在由于系统和基础设施的复杂性日益增加;不断增加的向云环境的迁移,以及物联网设备和边缘计算的集成;COVID-19 大流行,这三大主要因素都加剧了非恶意威胁的影响还在加剧。

9. 供应链威胁

在《ENISA 2021 年威胁态势展望》报告中主要介绍 8 大网络安全威胁类别,关于供应链威胁在ENISA地专门报告《供应链攻击的ENISA威胁态势》中予以介绍,本文关于供应链威胁的内容均来自专门报告。

供应链攻击的破坏性和连锁反应在 SolarWinds 攻击中表现得淋漓尽致。SolarWinds 被认为是近几年来最大的供应链攻击之一。供应链是指参与创建和交付最终解决方案或产品的过程、人员、组织和分销商组成的生态系统。供应链攻击是至少两次攻击的组合。第一个攻击是对供应商进行攻击,然后用来攻击目标以获得对其资产的访问权。目标可以是最终客户或其他供应商。因此,要将攻击归类为供应链攻击,供应商和客户都必须成为攻击的目标。2021 年供应链攻击的数量和复杂性都稳步上升。这一趋势进一步强调,决策者和安全界需要设计和引入新的保护措施,以应对未来潜在的供应链攻击,并减轻其影响。

(二)四大网络威胁者

在本报告所述期间,发现有四类网络安全威胁行为体比较突出,即国家支持的行为者、网络犯罪行为者、雇佣黑客的行动者、黑客行动主义者。网络威胁行为者是利用现有漏洞实施恶意行为的实体,是威胁环境的一个组成部分。了解威胁行为者是如何思考和行动的,动机和目标是什么,是加强网络安全事件应对的重要一步,而且监测威胁行为体为实现其目标而使用的战术和技术的最新发展,以及及时了解动机和目标的长期趋势,对于当今网络安全生态系统的有效防御至关重要。

1. 国家支持的行为者

(1)新冠病毒-19 推动了网络间谍任务。在本报告所述期间观察到国家支持的团体开展了与新冠病毒相关的网络间谍活动。根据公开报道,国家资助的威胁行为者可能正在寻找与感染率、国家级反应和治疗相关的数据。因此,医疗保健、制药和医学研究部门已成为重点目标,而且只要疫情持续,针对这些部门的攻击就会继续,而且几乎肯定会继续使用新冠主题进行(鱼叉式)网络钓鱼攻击。(2)供应链类攻击达到了新的成熟度和影响水平。虽然由国家支持的威胁行为体进行供应链攻击并不新鲜,但在报告所述期间,重点进行了高度复杂和有影响力的供应链攻击。根据 ENISA 的分析,在 2020 年至 2021年期间,至少 17 次调查证实,供应链攻击由高级持续威胁(APT)集团实施,通常由国家赞助,例如 SolarWinds 软件供应链攻击,其背后就是国家支持的组织精心策划了这起事件。总之,供应链的多样性和复杂性为国家支持的威胁行为者提供了大量目标。此外,新冠肺炎加剧了向远程工作的转变,导致组织在运营需求上更加依赖第三方供应商。ENISA 评估分析认为,国家支持的威胁行为者肯定会继续进行供应链攻击(尤其是针对软件、云和托管服务提供商)。(3)国家支持的集团及其运营商积极从事创收活动。根据 ENISA 的观察,在一些情况下,国家支持的对手积极参与了网络犯罪行动,例如拉扎勒斯集团为了经济利益进行有针对性的勒索入侵。ENISA 分析认为国家支持的行为者肯定会继续进行有利可图的网络入侵活动,进一步模糊网络间谍活动和网络犯罪活动之间的界限。并随着各州利用网络犯罪集团不断开展网络活动,预计这一趋势还会增加。4)网络行动由国家战略、地缘政治紧张局势和武装冲突驱动。当前,各国正在努力开发、购买或雇佣网络攻击能力,以在网络军备竞赛中处于有利地位。实施此类网络能力对其国家战略和长期规划非常重要。ENISA观察到的一些趋势:1)拥有先进网络能力的国家正在利用这些能力从战略上塑造全球政治、军事、经济和意识形态力;2)中等大国正在关注与监管、网络规范和保护其关键基础设施相关的举措;3)低能力网络强国正在增强其防御和进攻姿态。并评估认为国家支持的行为体肯定会继续通过网络行动来实现其战略目标,以获取决策优势、窃取知识产权以及为未来冲突预先部署军事和关键基础设施。根据其评估,国家支持的团体可能会开发(或购买或以其他方式获取)并进行伪装成勒索软件的破坏性/破坏性行动,以削弱、挫败和抹黑敌对政府。(5)信息行动成为实现国家战略目标的工具。在本报告所述期间,信息行动主要用于干扰选举和新冠病毒的相关活动。同时,国家威胁行为者开展信息行动的方式发生了变化,一方面进行更有针对性的攻击活动,另一方面也在不断调整其 TTP,以实现更好的操作安全性及平台多样化,以在攻击中生存下来。根据 ENISA 的评估,很可能在未来十年继续通过开展网络信息行动来实现其战略目标,重点是选举、公共卫生、人道主义危机、人权和安全等重要的地缘政治问题。

2. 网络犯罪行为者

(1)新冠病毒-19 为网络罪犯创造了机会。新冠期间,网络犯罪分子通过使用与新冠病毒相关的网络钓鱼诱饵获取经济利益。并在地下论坛出售定制的与新冠病毒相关的网络钓鱼工具包,以及设计用于获取凭证和个人数据的欺骗域。通过数字广告和与潜在的新冠病毒治疗和其他新冠病毒预防措施相关的网站传播关于新冠病毒的假新闻。此外,新冠病毒-19 还为有针对性的勒索软件攻击创造了机会,医疗保健和公共卫生部门成为勒索集团的重大目标。(2)采用多种勒索手段。勒索软件攻击成为当今各行业所面临的最大威胁之一。据观察,网络犯罪分子不太可能以支付相关数据(如信用卡)为目标,而更可能以任何会影响受害者运营的数据为目标。在本报告所述期间,勒索软件集团向受害者施加压力并迫使他们支付赎金的战术发生了一些演变:1)通过暗网中的数据拍卖将被盗信息货币化;2)通过联系记者放大受害者的妥协;3)接触商业合作伙伴、投资者、董事会成员和其他披露攻击信息的利益相关者;4)对受害者进行 DDoS 攻击,以增加支付赎金的压力;5)接触受害者的客户和客户,采取行动并要求支付赎金;6)呼叫和骚扰员工。(3)加强合作和专业化。在本报告所述期间,观察到网络犯罪集团开发了专门的网络犯罪服务,以及网络犯罪分子在生态系统内建立了彼此之间的关系以及分支模式。网络犯罪生态系统具有全球影响力,不同的参与者提供和专门从事不同的服务。这种“网络犯罪即服务”的趋势降低了想要实施网络犯罪的威胁行为体的障碍,同时也增强了网络攻击的范围。(4)网络罪犯正在向云端过渡。新冠肺炎加快了全球组织对云基础设施和服务的采用,“向云转移”趋势预计将在可预见的未来继续。然而,由于云基础设施和服务的快速部署导致安全性和管理不善的云部署,为网络罪犯提供了机会,开发了破坏云基础设施和服务的能力。未来对云环境的攻击几乎肯定会继续,并且随着越来越多的组织采用和实施云优先战略,攻击可能会产生更大的影响。(5)越来越多地以关键基础设施为目标。在本报告所述期间,观察到网络犯罪行为体越来越多地以关键基础设施为目标。受影响的主要关键基础设施部门是医疗、交通和能源部门。随着社会越来越依赖于技术和互联网连接,针对关键基础设施的网络犯罪攻击很可能变得更具破坏性。而且,针对关键基础设施的破坏性攻击也可能伪装成勒索软件攻击,但目标不同。(6)暗网与威胁行为者的联系更加紧密。加密货币流和网络匿名化的增长进一步助长了暗网的使用。在报告所述期间,暗网市场的总收入达到了创纪录的 17 亿美元的加密货币,表明暗网已经成为威胁参与者生态系统的一个组成部分。

3. 雇佣黑客的行动者

黑客出租服务的兴起,该市场主要由提供攻击性网络能力的公司组成,客户通常是政府(但也包括公司和个人),提供漏洞研究和利用、恶意软件有效负载开发、技术指挥和控制、运营管理以及培训和支持等服务。黑客雇佣公司在其运营国家合法运营,目前整个市场处于半管制状态。客户向这些公司支付费用,主要用于开展网络间谍活动、获得先进的攻击性网络能力以及享有合理的否认权。例如黑客雇佣集团 DeathStapper,该集团一直以金融和法律服务部门的组织为目标进行企业间谍活动。

4. 黑客行动主义者

根据 ENISA 的观察,黑客行动主义在 2010-2015 年期间达到顶峰后有所下降。如今,黑客行动主义者大多以小团体的形式行动,抗议地区性事件,并以特定组织为目标。其目标仍然是传统的,例如金融机构和政府机构等,这可能是由于近年来对各种黑客活动者的起诉,起到了威慑作用。其策略仍然是“老派”的,主要关注 DDoS 攻击、诽谤、敏感数据发布和账户接管等。ENISA 评估分析认为,国家支持的团体几乎肯定会继续利用黑客行动主义作为伪装来实现其战略目标。

(三)九大网络安全威胁的发展特点

1. 勒索软件的发展特点

(1)Conti 和 REvil 勒索软件团伙领跑市场

2021 年财务收益最多的勒索软件团伙是 Conti(1270 万美元)、Revil/Sodinokibi(1200 万美元)、DarkSide(460 万美元)、MountLocker(420万美元)、Blackmatter(400 万美元)和 Egregor(310 万美元)。根据统计数据,2021年第一季度勒索软件市场份额最大的是REvil/Sodinokibi(14.2%)、Conti V2(10.2%)、Lockbit(7.5%)、Clop(7.1%)和 Egregor(5.3%)。2021年第二季度,排名靠前的是 Sodinokibi(16.5%)、Conti V2(4.4%)、Avaddon(5.4%)、Mespinoza(4.9%)和 Hello Kitty(4.5%)。最后两个是新兴的勒索软件。

(2)勒索软件即服务业务模式

勒索软件不断扩大的市场机遇催生了新的盈利模式—勒索软件即服务(RaaS),出现了大量以售卖勒索软件为主要营生的勒索软件即服务暗网市场,并逐渐形成完整成熟的产业链。在攻击过程中使用RaaS平台已经成为常态,该平台为缺乏技能、资源和时间的黑客提供了很多现成的解决方案和勒索服务,从勒索软件的开发、传播、攻击到收益呈现系统化、便捷化趋势,开发者可以提供一整套解决方案,甚至包括利用加密货币进行赎金支付等服务。任何想非法获利的人士,即使缺乏技术知识,都可能利用 RaaS 平台提供的现成解决方案。而且 RaaS 平台还正在不断适应环境的变化,以便不被端点和网络安全工具发现。

(3)从双重勒索到多重勒索转变,实现利润最大化

勒索团伙一直在尝试使用各种策略对受害公司施加压力,以增加赎金数目及确保缴纳率,为此,从最初的单一加密勒索演变为 2020 年的“双重勒索”,即在加密前攻击者会先窃取大量受害者敏感数据,威胁受害者如果不缴纳赎金则公开数据,使受害者不仅要面临数据泄露威胁,还有相关法规、财务和声誉影响。2021 年开始演变为“多重勒索”攻击,攻击者除了双重勒索之外,还以组织的客户和/或合作伙伴为目标索要赎金。2021 年 5月,Clop 勒索软件团伙在以 RaceTrac Petroleum 为目标并威胁要发布这些公司的文件后,还直接联系其客户和合作伙伴并威胁要发布他们的文件。此外,研究表明在双重勒索的基础上增加了 DDoS 攻击威胁,目前,部分勒索软件已整合了 DDoS 攻击能力,不仅能加密受害者电脑文件,还能对外出售敏感数据,并利用被感染电脑发送恶意网络流量,以此影响受害者系统的带宽或运行速度,这三种攻击若同时实施,将带来非常严重且不可逆转的后果。由此可推测,在未来的数年内为实现收益最大化,勒索攻击形 式还会层出不穷。

(4)支付赎金的加密货币从比特币向 Monero 转变

几年来,像比特币这样的加密货币成为网络威胁者收取赎金的首选,为网络勒索提供了低风险、易操作、便捷性强的赎金交易和变现方式,成为网络犯罪活动的主要支付形式。此外,由于生成新哈希所需的更高计算机能力以及更严格的监管,比特币的价值在过去两年中大幅增长。但是 2021年 5 月,Colonial Pipeline 遭受了勒索软件团伙 DarkSide 的攻击,FBI 在受害者已经支付了比特币赎金后介入,通过审查比特币公共分类账,执法部门可以跟踪多个比特币转账。事实证明,FBI 拥有从特定比特币地址访问资产所需的“私钥”。联邦调查局发出扣押令,开始没收这些硬币。没有透露FBI 是如何获得私钥的,这也是执法部门首次以加密货币追回了大部分赎金。在查封之后,人们注意到一种转向使用 Monero 作为加密货币的趋势。Monero 是作为一个开源项目推出的,旨在增加交易的匿名性和不可区分性,很快受到用户好评,并在过去几年中取得了稳定增长。勒索软件团伙 REvil在 2021 年才接受 Monero,DarkSide 和 Babuk 等其他组织将选择权留给了受害者,但在选择比特币支付赎金时增加了费用。

(5)最高赎金要求飙升

最高的勒索软件需求从 2019 年的 1500 万美元增长到 2020 年的 3000万美元。REvil 也加大了勒索力度,2021 年 3 月向宏碁索要 5000 万美元。4月向苹果的供应商广达电脑索要了同样的金额。7 月,在 Kaseya 遭到攻击后,要求支付 7000 万美元的赎金。短短几个月,2020 年的最高需求在 2021年翻了一倍多,很可能在 2022 年达到 1 亿美元的赎金上限。公开披露或受到媒体关注的事件只是冰山一角,还有其他高赎金的公共勒索事件,只要组织继续支付,勒索组织就没有理由降低要求,未来的勒索软件团伙将以最高支付作为未来的目标甚至参考。

(6)被攻击者成本损失剧增

当勒索软件事件发生时,被攻击组织面临着巨大的成本损失,包括赎金金额、停机时间、人员成本以及实际操作和技术补救等。根据在 30 个国家开展的一项调查显示,补救勒索软件攻击的总体成本也在大幅增加,从2020 年的 761106 美元到 2021 年的 185 万美元,勒索软件事件的总成本仅在一年内就翻了一倍多。而且,瘫痪关键基础设施往往成为攻击目的,导致平均停机时间从 2020 年第一季度的 15 天增加到 2021 年第二季度的 23天。一项针对 1263 名受访者的调查显示,66%的组织因勒索软件攻击而遭受重大收入损失,在成功勒索后,每个垂直行业都易遭受显著的收入损失。

(7)零日漏洞使用的增加

过去,零日只用于高级威胁团体和民族国家的有针对性的袭击,随着赎金的增加,更多的零日被勒索组织利用并执行赎金软件攻击,特别是在大规模行动中是非常有意义的,攻击次数的减少和对大型组织的关注使得攻击者可以要求高额赎金,这种攻击被称为大型狩猎(BGH)。与使用流行的恶意软件传播媒介(如网络钓鱼)瞄准大量目标不同,攻击者会仔细选择目标,并使用复杂的方法突破这些高价值目标。通过这种方式,BGH 趋势打破了传统的有针对性的网络犯罪行为。

(8)保险助推勒索软件产业经济

随着网络安全事件的普遍增加,越来越多的企业向网络保险和再保险公司寻求帮助,更倾向于购买网络安全保险。网络攻击者特意挑选投保了网络保险的公司作为攻击目标,更加针对性地实施勒索攻击,使得网络犯罪的成功率大幅提升,这种做法不但将影响保险公司和保单成本,也会助长整个勒索软件经济。为遏制这一情况的继续恶化,已有多家公司开始缩减网络保险的覆盖范围,例如,总部位于法国的欧洲五大保险公司之一的保险巨头安盛集团于 2021 年 5 月宣布在法国承保的网络保险将不再包括勒索软件赔偿。

2.  恶意软件的发展特点

(1)恶意软件感染从追求数量转为质量

在本报告所述期间, 恶意软件攻击大幅减少。研究表明, 与 2019 年相比, 2020 年北美的袭击减少了 43%。这一下降在欧洲几乎是一样的,而在亚洲则下降了 53% 。2021 年与去年同期相比, 上半年的恶意软件数量进一步减少了 22%。恶意软件感染的减少仍在继续,但是, 恶意软件总量的减少并不意味着网络犯罪有所减少。过去, 希望感染最多的受害者,如今关注的焦点不再是数量,而是感染的质量。2021 年检测到的最常见的恶意软件系列是 Trickbot(僵尸网络和银行)、 XMRig (加密矿工)、 Formbook (信息窃取者)、 Glupteba (僵尸网络) 和Agent Tesla (信息窃取程序)。

(2)Windows Container 恶意软件越发普遍

针对容器(Container)环境的恶意软件已经变得更加普遍。 容器化技术可以轻松扩展,专注于云原生堆栈的恶意软件本质上不是新的。2020  年11 月, 恶意容器镜像已经被识别出来, 并被用于查找和利用特定受害者 Kubernetes 环境中的漏洞。2020  年 12 月, 研究人员还发现存在从内存中 执行的无文件恶意软件 。2021年 3 月, 研究人员发现了第一个针对 Windows Container 的已知恶意软件。 这类恶意软件最常见的目标是逃离容 器,感染由多个应用程序集合而成的集群,大大增加感染的影响力。常见 的危害包括密码、信用卡号等敏感信息的泄露。此外, 容器技术经常被用 于破坏开发环境, 导致进一步的供应链攻击。

(3)移动恶意软件呈上升趋势

2020 年, Android 上的假冒广告屏蔽软件(也称为广告软件) 呈上升趋势, 一个相近的变体是 hiddenAds 移动恶意软件。与 2019 年相比, 2020 年这类恶意软件从 280000 增加到 700000。移动恶意软件中的广告软件在整个2021 年仍占很大比例。2021 年上半年, 45%的移动恶意软件被认定为广告 软件。 手机银行恶意软件在 2021 年也有所增加, 最常见的恶意银行应用程 序包括 Ghimob 、Eventbot 和 Thiefbot。其他常见的恶意软件有贝莱德、沃 巴和特里克莫。

(4)使用新兴编程语言编写恶意软件正在兴起

由于大多数恶意软件的检测能力都是基于静态指标的, 当源代码被改写成新的语言时, 这些指标变得无关或无效,能够绕过检测。用新兴编程语言编写的恶意软件只占目前开发的所有恶意软件的一小部分。尽管如此,它仍然是恶意软件检测和代码分析技术未来发展的一个重要方面。这一趋势在 2020 年和 2021 年持续发展。这些不常见的语言包括但不限于 Rust、Nim、DLang 和 Go324。

(5)新型恶意软件崭露头角

多年来,恶意软件不断发展, 取得了更多的进展。Emotet 作为计算机恶意软件的一个变种,功能从简单的信息窃取器转移到用于创建高级僵尸网络的恶意软件。该恶意软件具有完善的命令和控制(C2)基础设施, 频繁更新, 在逃避检测方面非常有效。 在整个 2020 年, Emotet 一直是最流行的恶意软件。

3.  加密劫持的发展特点

(1)2021 年加密劫持量创历史新高

2020 年 3 月,受加密劫持恶意软件感染的人数激增, 此后感染率急剧下降。从 2020 年第二季度到最后一季度,感染量缓慢增长,并在 2021 年持续增长。2021 年第一季度, 加密劫持恶意软件增长了 117%,感染量与过去几年相比创下历史新高。 激增的原因应该是与加密劫持相关的财务收益激励了相关的威胁参与者。

(2)XMRig 主导着加密劫持市场

XMRig 是一个开源的矿工, 攻击者和大多数恶意软件都使用它对受害者进行加密挖掘。2021 年上半年,其市场份额增至 51%,占所有加密挖掘恶意软件的一半以上。其他感染与 Lucifer ( 10%)、LemonDuck ( 5%)、RubyMiner(5%)、Wannamine (5%)和其他矿工(20%)有关。

(3)从浏览器转向基于文件的加密

研究显示, 2021 年第一季度,基于桌面或文件的加密劫持频率几乎是基于浏览器的 7 倍,基于浏览器的为 13%,而基于文件的为 87%。

(4)感染方法不变

用于传播和部署加密挖掘的技术与其他恶意软件感染方法没有太大区别。一般采用一种在受害者不知情的情况下在其设备上传送和安装恶意文件的驱动器下载技术。 在访问恶意网站时, 触发利用包含安全漏洞的操作系统或 web 浏览器的下载。另一种传播方式是恶意软件,即通过广告传播恶意软件的行为。

(5)针对云和容器基础设施的加密挖掘

当云主机受到加密劫持恶意软件的感染时, 成本可能会变得非常巨大。云提供商为消耗的 CPU 周期买单, 而计算操作带来的收益只占成本的一小部分。 容器基础设施也是一个有趣的目标, 因为这些环境将根据需要生成工作节点。过去已经在 Kubernetes 上看到过加密劫持, 但入口向量要么是易受攻击的 web 应用程序, 要么是已经包含挖掘恶意软件的恶意容器。

4.  与电子邮件有关的威胁的发展特点

(1)新冠病毒-19 仍然是电子邮件威胁活动的诱饵

在整个报告所述期间, 带有新冠病毒相关诱饵的垃圾邮件活动屡见不鲜。 总的来说, 新冠肺炎被对手利用, 诱骗最终用户成为各种电子邮件相关攻击的受害者。对手利用对这种流行病的担忧和人们对电子邮件的信任作为主要的攻击手段, 包括试图欺骗用户, 从虚假网站订购口罩, 通过恶意附件使其感染恶意软件等。 随着新冠病毒的持续和疫苗的发布, 诱饵也随之改变,包括广告或提供在支付押金或费用后尽早获得疫苗的机会以及有关疫苗的错误信息等。

(2)用于网络钓鱼活动的邮政服务

在本报告所述期间, 观察到几起旨在通过发送与国家邮政系统递送有关的网络钓鱼电子邮件来窃取受害者信用卡号码的网络钓鱼运动。这些电子邮件试图将用户引导到钓鱼网站, 从而获取信用信息,目前已经影响到至少 26 个国家。2021 年, 邮政服务还被用于发送大量垃圾短信, 将 Flubot Android 恶意软件传播到欧洲各地。恶意软件团伙伪装成合法的包裹递送服务,通过短信向用户发送恶意链接。

(3)BEC 已越来越成熟、复杂并有针对性

根据公开的报告, BEC 是 2020 年最昂贵的网络犯罪类型, 各组织报告的总损失超过 18 亿美元。在本报告期间,观察到 BEC 计划已经发展,特别是在证书钓鱼和货币转换为加密货币。正如欧盟成员国报告的那样,已经有很多案例表明办公账户被用于 BEC 欺诈。这意味着参与者还进行了证书钓鱼操作或密码喷射攻击(一种技术)。此外, 尽管网络罪犯的目标是所有部门和企业, 但 BEC 的参与者对中小企业表现出越来越多的关注。而且该网络犯罪的巨大利润潜力吸引了全球范围内复杂的网络犯罪集团,进一步使目前 BEC 参与者的地理位置更加多样化、复杂化。

(4)SMShing 和 Vishing 有所增加

据安全部门称, 各种 APT 组织已经开始使用 SMShing 和 Vishing 作为其高度针对性的活动的一部分。在最近针对政治对手的攻击中, APT-C-23似乎使用了一种新技术,即使用变声软件伪装成女性, 该组织的成员迄今为止都是男性, 与受害者进行对话。随着对话的继续, 该组织开始发送带有恶意软件的视频,以感染目标系统 。一般来说, 用户已经习惯了不去点击可疑邮件,但仍然没有意识到也可以通过短信或电话被钓鱼。

(5)网络钓鱼即服务(PhaaS)

微软最近对 Bullet ProofLink 活动的分析表明, 该活动是许多对组织产生影响的网络钓鱼活动的罪魁祸首。bulletproflink(也被其运营商在各种网站、广告和其他宣传材料中称为 BulletProftLink 或炭疽)被多个恶意参与者以一次性或月度订阅的商业模式使用,为其运营商创造了稳定的收入流。 与勒索软件即服务(RaaS)类似, 网络钓鱼即服务遵循软件即服务模式。攻击者付钱给运营商, 让其开发和部署大部分或完成网络钓鱼活动, 包括虚假登录页面开发、网站托管、凭据解析和重新分发,以及他们可能缺乏的外包功能。

5.  对数据的威胁的发展特点

(1)威胁行为者将注意力转向了 COVID-19 疫苗信息

在本报告所述期间,疫苗信息成为若干网络间谍活动的中心。2020 年7 月, 英国外交大臣发布了关于大规模网络钓鱼活动的警告, 这些活动似乎 专门针对新冠病毒- 19 研究设施, 并被认为是由国家赞助的。2020 年晚些时 候,发现了具有获取证书能力的网络钓鱼计划,目的是获取有关疫苗运输 和分发过程的信息。2020 年底,阿斯利康员工的鱼叉网络钓鱼事件被归咎 于国家支持的 APT 团体。

(2)医疗行业数据泄露激增

医疗保健数据泄露正在迅速增加。由于新冠病毒- 19 大流行, 医疗保健部门成为人们关注的焦点,而威胁行为者利用这场危机打击了本已深受其害的医疗行业。此外,由于大流行, 转向在线提供医疗服务、远程电子健康和远程医疗方法的趋势有所增加, 因此对手泄漏医疗数据的机会大大增加。

(3)商业环境中的数据泄露上升

根据 SAN Institute 的数据, 在过去几年中,约有 74000 名员工、承包商和供应商因公司笔记本电脑被盗而受到数据泄露的影响。数据未加密的事实加剧了这种情况。在 2021 年对 300 名受访者(包括在最重要的业务领域拥有 5000 多名员工的美国公司的高层管理人员)的研究中, 34%的受访者因内部人员滥用特权而成为财产盗窃或供应链受损的目标。

(4)动机和攻击载体保持不变

在本报告所述期间, 对手动机以及主要攻击载体大致保持不变。与过去两年一样, 网络钓鱼仍然是入侵的首要原因(36%)。其次是使用被盗凭证(25%)和勒索软件(10%)。和过去几年一样,经济动机的袭击仍然是最常见的。近 80%的网络攻击是为了经济利益,比如直接从金融账户窃取资金,窃取信用卡信息或其他类型的数据, 或要求赎金。

(5)身份盗窃和合成身份有所增加

据美国联邦贸易委员会(FTC)称, 2020 年有关身份盗窃的投诉有所增加。其中约三分之一涉及美国政府福利。 此外,美国很多案件都可能涉及合成身份。合成身份盗窃是一种诈骗行为,犯罪分子将真实和虚假信息结合起来,创造一个新的身份。根据美联储的说法,使用合成身份的事件在美国很常见。

(6)供应链攻击日益严重的影响

据估计, 2021 年发生的供应链攻击事件是 2020 年的 4 倍。由于一半的攻击被归因于高级持续性威胁(APT)行为者, 其复杂性和资源大大超过了更常见的非目标攻击。约 58%的供应链攻击是为了获取数据(主要是客户数据,包括个人数据和知识产权),约 16%的攻击是为了获取人的信息。当涉及到供应商的数据时, 20%的攻击是为了获取这些数据, 66%的攻击是为了获取供应商的源代码。

6.  对可用性和完整性的威胁的发展特点

(1)勒索拒绝服务(RDoS)是 DDoS 攻击的新趋势

从 2020 年 8 月起, 勒索拒绝服务(RDDoS)攻击活动得到了大幅提升,Fancy Bear 、Cozy Bear 、Lazarus Group 和 Armada Collective 等黑客组织开展了这些攻击活动,目标行业包括全球范围内的电子商务、金融和旅游。RDDoS 有两种类型:1)攻击优先;2)  勒索优先。第一种情况实现了 DDoS攻击,并请求赎金来阻止它。第二种情况以小型 DoS 形式发送勒索信和证据, 并要求支付赎金。RDDoS 攻击比传统的 DDoS 攻击更加危险, 因为攻击者在没有足够资源的情况下也可以完成攻击。

(2)传统 DDoS 正向移动网络和物联网方向发展

物联网(IoT)与 5G 的成功结合导致了新一轮 DDoS 攻击, 可能会导致受害者支付赎金。一方面, 5G 使物联网更容易受到网络攻击, 支持本地化的DDoS,在这种情况下, 攻击者通过一组受攻击设备的一个切片来干扰特定区域的连接。另一方面,物联网可以作为 DDoS 的威胁载体。攻击者可以构建大量僵尸网络来发起DDoS攻击或分发恶意软件。这在工业物联网(IIoT)中尤其重要,因为在工业物联网中, 设备漏洞可以中断业务运营并造成重大损害。

(3)针对 DDoS 攻击的先进技术层出不穷

在虚拟化环境中共享资源是 DDoS 攻击的放大器。物理资源过载会导致通信、服务和数据访问中断。DDoS 攻击者正在采用技术先进的智能攻击策略。在 2020-21 年,智能攻击使用公开可用信息来监控目标采用的对策,并在运行时调整攻击策略。在这种情况下,短攻击的持续时间减少,而长攻击的持续时间增加。从绝对数量上看, 2021 年第一季度短攻击的数量大幅增加, 而长攻击的数量减少,但总持续时间增加了 589 次。

(4)DDoS 行动变得更有针对性、多向量和持久性

2021 年的 DDoS 活动变得更具针对性、多矢量和持久性。 攻击者寻找弱点来开发和尝试不同的攻击向量组合。 据统计, 65%的 DDoS 攻击都是多向量攻击,大多数攻击向量集中在 UDP 协议上,如网络时间协议(NTP)、无连接轻型目录访问协议(CLDAP)、Internet 控制消息协议(ICMP)和域名系统(DNS)。

(5)规模较小的组织正成为攻击目标

DDoS 越来越多地以小型企业为目标, 网络犯罪分子越来越多地针对安全标准较低的小型组织,确保用较小的数据量和最大的收入成功攻击。 但是公共机构和关键基础设施仍然是 DDoS 攻击的主要目标。

(6)增加了基于 Web 和 DDoS 攻击的组合

DDoS 和基于 web 的攻击通常是协同活动, web 应用仍易受到与 web相关的威胁,如注入和跨站点脚本, 并可能成为 DDoS 攻击的载体。根据最近的一份报告, SQL 注入漏洞和 PHP 注入漏洞是最常被利用的漏洞, 尽管 XSS 是发现最多的漏洞。

7.  虚假信息和错误信息威胁的发展特点

(1)人工智能支持了攻击者进行虚假信息攻击

人工智能被用来建立逼真的个人资料和图像, 改变帖子的内容和措辞,并避免被人注意到,可以说人工智能社交媒体是虚假信息传播的基础, 造成了社会混乱。当前深度造假技术发展非常迅速, 人工智能技术的支持使得深度造假更加简单、可信,而社交媒体则有助于其广泛传播。

(2)新冠病毒-19 大流行扩大了攻击活动

新冠病毒- 19 是虚假信息攻击的热门话题, 虚假信息活动旨在传播对冠状病毒疫苗有效性的恐惧、不确定性和怀疑。 企业和个人是虚假信息活动的目标,这些攻击活动侧重于绿色通行证、强制性疫苗接种、健康护照、大规模免疫测试和封锁等。

(3)虚假信息即服务 (DaaS)

专业虚假信息主要是政府、政党和公关公司大规模制造的。2019 年以来, 越来越多的第三方提供虚假信息服务, 代表客户进行有针对性的攻击。许多国家都提供服务,越来越多的非国有和私营商业组织正在使用这些服务。 在此背景下, 虚假信息已从政治和社会领域转移到企业界。 牛津大学监测了政府和政党利用社交媒体操纵舆论的情况,以及与它们合作传播虚假信息的各种私人公司和其他组织。从地理的角度来看,虚假信息和错误信息正在针对世界上的每个国家。

8.  非恶意威胁的发展特点

(1)错误和系统配置错误是最常见的根本原因

2020 年, 在根据 NIS 指令报告的具有重大影响的事件中, 有 17%被标记为人为错误, 而系统故障仍然是报告事件最常见的根本原因, 比率为 48%。这些事件的原因是软件缺陷和硬件故障。这是一个持续的趋势, 2019 年报告了类似的数据。

(2)由于迁移到云端而导致非恶意事件数量增加

COVID- 19 的流行迫使人们迁移到云端,导致 2019 年 10 月至 2021 年2 月期间全球云端工作量大幅增加: 亚太地区 70%,欧洲、中东和非洲地区 69%,美国地区65%,日本58%。根据Palo Alto networks 的数据,因COVID- 19 大流行而显著增加了云计算负载,安全事件显著增长, 增长率最高的行业, 零售业 402%、制造业 230%、政府 205%以及制药和生命科学 127%。

(3)漏洞和 bug 继续扮演着重要角色

2020 年,物联网恶意软件也出现了前所未有的激增, 这些恶意软件利用的设备在大多数情况下是不安全的, 也从未正确地打过补丁。同时, 有些漏洞已经相当古老,攻击者仍然在积极利用它们, 根据 Verizon 的数据,20%的组织暴露了早在 2010 年的漏洞, SonicWall 发现类似的旧漏洞仍在被利用。

9.  供应链攻击的发展特点

(1)供应链攻击的四大分类

在网络安全方面, 供应链涉及广泛的资源(硬件和软件)、存储(云或本地)、分发机制(网络应用程序、在线商店)和管理软件。供应商、供应商资产、客户、客户资产是供应链的四个关键要素。而供应链攻击是至少两次攻击的组合,第一个攻击是对供应商进行攻击,然后用来攻击目标以获得对其资产的访问权。目标可以是最终客户或其他供应商。因此,要将攻击归类为供应链攻击,供应商和客户都必须成为攻击的目标。对于供应商来说, 第一部分称为“危害供应链的攻击技术”, 它确定了供应商是如何受到攻击的。供应商的第二部分称为“以供应链攻击为目标的供应商资产”, 它确定了对供应商的攻击目标是什么。对于客户来说,第一部分称为“用于危害客户的攻击技术”, 它确定了客户是如何受到攻击的。客户的第二部分称为“供应链攻击所针对的客户资产”, 它确定了对客户的攻击目标是什么,具体如表 2 所示。

表 2  供应链攻击的分类

(2)以目标为导向的攻击者

在66%的供应链攻击事件中, 攻击者将注意力集中在供应商的代码上,目的是进一步危害目标客户。 在 20%的攻击事件中,攻击者的目标数据,以及 12%的供应商攻击目标是内部流程。 了解这些对于网络安全保护工作至关重要, 组织应重点验证第三方代码和软件, 以确保其未被篡改或操纵。这些供应链攻击所针对的最终客户资产似乎主要是客户数据,包括个人数据和知识产权。 攻击者还以其他资产(包括人员、软件和财务资源) 为目标, 但攻击程度较低。

(3)大多数攻击载体都是未知的

调查结果表明, 在 66%  的供应链攻击中, 供应商不知道他们是如何受到威胁的。  相比之下, 通过供应链攻击而受损的客户中, 只有不到 9%  不知道攻击是如何发生的。  这凸显了供应商和面向最终用户的公司之间在网络安全事件报告成熟度方面的差距。83%的供应商在技术部门, 缺乏对攻击是如何发生的了解, 可能表明在供应商基础设施的网络防御方面成熟度不高,或者不愿意共享相关信息。 此外, 还有其他因素, 包括攻击的复杂性和攻击的缓慢性, 都可能会使信息不透明。

(4)大部分是 APT 集团发起的复杂攻击

超过 50%的供应链攻击是由著名的网络犯罪集团造成的, 其中包括APT 29、APT 41、Thallium APT、CD 2546、Lazarus APT、TA 413 和 TA 428。分析表明, APT 集团似乎对具有区域影响的目标略有偏爱,并且有相当数量的攻击旨在获取客户数据。

三、几点认识

(一) 网络威胁情报已成为网络安全保障领域的重要组成部分

为应对激增的新型网络威胁, 确保欧盟在网络空间的优势, 消除成员国间的猜疑和威胁情报共享的障碍, 提升应对网络威胁的能力,欧盟先后发布了系列战略和法规标准, 均明确指出了网络安全信息共享的重要性,欧盟成员国也在本国的网络安全战略中强调建立信息共享机制,逐步形成多层次的网络威胁情报共享规划, 确立了网络威胁情报共享的战略地位。

除了将网络威胁情报共享提升到战略地位, 欧盟还成立了专门的网络信息安全机构,并积极与情报部门协作,形成了欧盟、成员国、民间组织与情报机构协作的多层次网络威胁共享机制。 而欧盟作为一个超国家集合体,发展不均衡引发众多网络安全隐患。为此欧盟成立了多种机构负责网络信息安全工作, 实现不同国家和机构的协调互联,欧盟网络和信息安全局(ENISA)就是在这样的背景下成立的机构之一, ENISA 作为欧盟的一个独立的、 永久性政府机构, 成立于 2004 年,  主要协调欧盟层面的网络安全调研、协调、 落实等,主要职能包括提供咨询和建议、支持政策制定和实施,以及协调各成员国在相关产业方面的合作, 为欧洲国家网络空间战略发展提供重要的技术和政策支撑。ENISA 连续 9 年不间断的对欧盟及相关国家和地区面临的主要网络威胁态势、易受攻击的行业和目标、网络攻击者情况、网络攻击动机、常用技术等进行分析研究。要求欧盟各成员国消除监管障碍, 开发内部网络威胁情报系统,摆脱对美国等情报源的依赖,开发新技术, 扩大网络威胁情报收集范围,提升欧盟网络威胁情报能力,提高网络威胁情报的独立性和质量。 基于这些战略情报, 欧盟这些年在安全技术、 能力建设、保持优势和国际合作等方面提出了多项切实有力措施,在空间上覆盖各成员国, 时间上涉及网络安全预防、抵御冲击及事后追查犯罪等全过程,在产业体系上试图涵盖数字供应链全链, 全面提升了欧盟网络安全管理及应对威胁的能力和水平。

当前网络威胁情报共享已融入到欧盟及成员国网络安全建设的诸多方面,不但多角度确立了网络威胁情报共享的战略地位, 而且构建了网络威胁情报共享机制,还多渠道推动着网络威胁情报共享能力的建设,这些都对我国更好地应对网络威胁、 提高网络抗风险能力提供了借鉴。

(二) 网络安全威胁已全面泛化,我国应以实际行动转危为机

当前, 全球网络安全风险已达峰值。攻击者的目标越来越多, 采用的攻击方式也愈加难以预测。 同时, 新冠疫情催化了云计算等技术的应用,以及办公场景的变革, 线上办公的广泛普及加剧了信息传递对网络的依赖,需要应对更加复杂多样的网络安全风险。此外, 网络攻击的产业化发展趋势使得攻击工具和手法变得愈加复杂多样, 传统的防火墙、入侵检测技术、恶意代码扫描、网络监控等被动防御手段显得捉襟见肘疲于应付。面对日益严峻的网络空间安全威胁,更加需要了解自身的网络安全脆弱点,掌握已知、未知的网络安全风险点, 不断提升自身在实战中的检测与响应能力。

首先应在网络体系构建方面高度强调韧性的重要性, 提高关键基础设施及服务的网络韧性水平,特别是提高电力、金融、交通运输等关键部门的网络韧性; 保护通信基础设施和 5G 网络安全,重视人工智能、量子计算等关键技术的开发与应用,未来数年内部署安全量子通讯基础设施, 以一种极安全的加密形式抵御网络攻击。其次提高网络安全技术水平,打造网络安全屏障。加强对基础设施联网软硬件的风险排查, 减少或消除安全隐患。对关键基础设施上的进口零部件,有必要加紧国产替代步伐,提高安全系数。二是健全安全协调机制,汇集各方力量共保网络安全。各部门之间建立协调联动机制,针对重大跨境网络事件及威胁提供技术,通过信息共享,提供持续共享的风险态势感知能力。加强网络安全执法队伍规模及能力建设,并获得其他部门支持。三是努力提升我国在网络安全领域的国际话语权。  一方面继续推进数字技术、网络安全技术的进步。在优势领域保持领先,使其他国家在短时间内难以找到替代方案。在追赶领域持续发力, 减少被“卡脖子””的领域。 另一方面加大人才培养力度, 推动网络安全等实用技能人才的培养,全面提高公民的数字素养, 稳步接近世界发达国家和地区水平。

总体来看, 随着数字经济进入新的发展阶段, 网络安全领域还将面临更多的新挑战和新机遇。对此,我们要不断提升网络安全意识; 进一步细化网络安全管理体系,加快相关监管政策的落地和标准体系的建设;加强核心技术创新, 全面提升网络安全防护能力;加快推进网络安全产业发展;创新网络安全人才培养模式,加强网络安全人才市场供需对接。

附录:

(1)防范和应对勒索软件的建议:

•  实施安全和冗余备份战略。

• 身份和访问管理的实施和审核(最低特权和职责分离)。

•  培训和提高用户(包括特权用户) 的意识。

•  开发和生产环境分离。

•  与政府和企业共享事故信息。

•  限制对已知勒索软件网站的访问。

•  应为授权设备、用户和流程颁发、管理、验证、撤销和审核身份和凭证。

• 应管理访问权限和授权, 纳入最低特权和职责分离原则。

•  应定期测试勒索软件响应和恢复计划, 以确保风险和响应假设和流程与不断演变的勒索软件威胁相关。

•  使用阻止进入已知勒索软件网站的安全产品或服务。

• 执行勒索软件准备就绪评估(RRA),这是 CISA 针对 IT 和 ICS (工业控制系统)网络开发的一个工具, 用于评估不同级别勒索软件威胁准备就绪情况下的安全性。

•  向政府报告任何攻击或企图攻击, 并帮助限制其传播。

•  系统监测, 以快速识别感染。

•  跟踪勒索软件的最新趋势、发展和预防建议。

(2)防范和应对恶意软件的建议:

•  对所有入站/出站通道实施恶意软件检测, 包括所有适用平台(即服务器、网络基础设施、个人计算机和移动设备) 中的电子邮件、网络、 web和应用系统。

•  检查 SSL/TLS 流量,允许防火墙解密网站、电子邮件通信和移动应用程序之间的传输内容。

• 在恶意软件检测功能和安全事件管理之间建立接口, 以建立有效的响应能力。

•  使用可用于恶意软件分析的工具共享恶意软件信息和恶意软件缓解(即

MISP)。

•  制定安全政策, 规定发生感染时应遵循的流程。

• 了解各种安全工具的功能, 并开发新的安全解决方案。找出差距并应用纵深防御原则。

• 对恶意电子邮件采用邮件过滤(或垃圾邮件过滤),并删除可执行附件。

• 定期监控防病毒测试的结果。

• 对容器基础设施使用补丁管理。

•  利用安全事件和事件管理( SIEM)解决方案进行日志监控。指示日志源包括防病毒警报、端点检测和响应(EDR)、代理服务器日志、 Windows事件和系统日志、入侵检测系统(IDS)日志等。

(3)如何防范和应对加密劫持的建议:

• 监控用户设备上的电池使用情况, 如果 CPU 使用率出现可疑峰值,则扫描是否存在基于文件的矿工。

• 实现常见加密挖掘协议的 web 过滤, 以及将流行加密挖掘 IP 池的 IP 地址和域列入黑名单。

•  监控网络异常和块挖掘协议。

•  通过防病毒程序或 cryptominer 阻止浏览器插件安装端点保护。

•  定期进行安全审计,以检测网络异常。

•  实施强大的漏洞和补丁管理,以防范新出现的威胁和漏洞。

•   针对已知漏洞实施补丁和修复。

• 使用白名单防止在端点执行未知的可执行文件。

•  使用允许列表仅允许在端点上执行已知的可执行文件。监视和阻止公共加密挖掘可执行文件。

•  投资于提高用户对加密劫持的意识,特别是在安全浏览行为方面。

• 在安全意识培训的背景下讨论加密挖掘。

(4)防范和应对与电子邮件相关的威胁的建议:

• 提供关于如何识别可疑链接和附件以及如何报告这些链接和附件的定期用户培训。

• 在电子邮件网关上实施垃圾邮件过滤器; 随时更新签名和规则。尽可能使用安全的电子邮件网关, 并自动维护过滤器(反垃圾邮件、反恶意软件、基于策略的过滤)。

• 在电子邮件网关上设置安全控制, 以减少诱饵到达员工收件箱的频率或可能性。

• 实施“了解需求”访问政策,以限制任何妥协的影响。

•  确保来自组织外部的电子邮件在收到前自动标记。

• 对账户实施多因素认证(MFA)。

• 检查可疑恶意域的寿命及其所有权。

•  尽可能采用安全解决方案,使用机器学习技术实时识别钓鱼网站。

•  禁止在邮件客户端自动执行代码、宏、图形渲染和预加载邮件链接, 并经常更新它们。

•  实施减少垃圾邮件的标准之一。

• 在可能的情况下, 对于关键金融交易或交换敏感信息时, 通过使用数字

签名或加密实现安全的电子邮件通信。

• 尽可能在网络级别对入站和出站电子邮件实施欺诈和异常检测。

•  如果对电子邮件来源没有绝对信心,请勿单击随机链接或下载附件。

•   检查访问的网站的域名是否存在拼写错误, 尤其是敏感网站(如银行网站)。威胁参与者通常注册与合法域相似的假域,并使用其来“钓鱼”。

• 为每项在线服务使用强大且唯一的密码。为各种服务重复使用相同的密码是一个严重的安全问题, 应始终避免。

• 实施内容过滤以定位不需要的附件、包含恶意内容的电子邮件、垃圾邮件和不需要的网络流量。

•  避免回复未知发件人在电子邮件或短信中收到的新链接,最重要的是,在跟踪此类链接时不要输入自己的凭据。

(5)防范和应对数据威胁的建议:

• 制定和维护网络安全意识计划。

•  根据“需要知道”原则限制用户访问权限。撤销非员工的访问权限。

•  建立和维护事件响应团队,并经常评估事件响应计划。

•  发现和分类敏感/个人数据, 并采取措施对传输中和静止的此类数据进行加密。换句话说,部署数据丢失预防功能。

• 增加与检测、警报工具以及遏制和应对数据泄露能力相关的投资。

• 制定并维护强有力的政策, 强制执行强有力的密码(密码管理) 和使用多因素身份验证(MFA)。

•   制定与治理、风险管理和合规团队合作的政策和计划。

• 仅在安全的 IT 资产上存储数据。

•  定期对人员进行教育和培训。

• 使用技术工具避免可能的数据泄漏, 如漏洞扫描、恶意软件扫描和数据丢失预防(DLP)工具。部署数据和便携式系统和设备加密,以及安全网关。

• 业务连续性计划(BCP)在发生数据泄露时至关重要。该计划概述了存储的数据类型、位置以及在实施数据安全和恢复措施时可能产生的潜在责任。

•  在公司内部实施“威胁搜寻”以加强安全计划。

•  基于velocity 的规则等策略可用于缓解身份欺诈, 尤其是对于支付卡交易。有效交易的机器数据可为最佳策略定义提供足够的信息。

• 单点登录(SSO)身份验证方法(如果可用) 允许用户使用同一组数字凭据访问多个应用程序。

• 在采取任何进一步措施之前, 应首先根据 IP 地址、与 IP 关联的 ASN、域所有者以及该域与其他域之间的关系检查通过电子邮件发送或随机访问的 URL。

• 采用云服务的组织应具有强大的云安全运营能力,并更喜欢同时使用内部存储、私有云存储和公共云存储的体系结构, 以保护其客户的个人信息。

• 对敏感数据使用强大且更新的加密方法, 如 TLS 1.3(使用临时密钥),以防止黑客攻击。

• 充分保护所有身份证件和复印件(实物或数字), 防止未经授权的访问

•  身份信息不应披露给未经请求的收件人,他们通过电话、电子邮件或亲自提出的请求也不应得到答复。

• 安装并使用内容过滤功能过滤掉不需要的附件、包含恶意内容的邮件、垃圾邮件和不需要的网络流量。

• 使用数据丢失预防(DLP)解决方案。

(6)防范和应对对可用性和完整性威胁的建议:

DDoS 和基于web 的攻击都是长期存在的威胁, 缓解 DDoS 攻击的对策如下:

•  拒绝服务响应计划对于以恢复能力为优先事项的组织至关重要, 应整合系统检查表、响应团队以及有效的沟通和上报程序。

• 安全过程应是一项持续的活动, 跟踪并适应系统和网络的演变和生命周期。

•  相关组织之间的协作和协调对于倍增和加强缓解工作至关重要。

• 使用本地解决方案、 DDoS 清理服务或混合解决方案实施 DDoS 保护。

•  同时使用网络和 web 应用程序防火墙。

•  使用基于网络的入侵检测系统。

•  及时应用补丁, 高度重视系统更新。

• 流量分析和流量过滤有助于提供异常流量模式的早期预警信号, 这些异常流量模式是 DDoS 攻击的一个指标。

•  使用 DDoS 缓解服务来检测异常流量, 并将流量重定向到远离网络的地方,同时使用速率限制来限制传入流量。

•  保护基于web 的 API 并监控相关漏洞。

•  建立基于主动方法的威胁情报计划, 使安全态势适应不断变化的威胁环境。

• 利用工作人员培训和网络安全演习加强能力建设和准备工作。缓解基于web 的攻击的对策如下:

• 设置 web 应用程序防火墙(WAF)以识别和过滤恶意请求。WAF 必须保持更新,以保护系统免受新发现的漏洞的影响。

•  加强代码库(例如输入隔离、参数化语句),以防止基于注入的攻击。

•  及时更新软件, 避免零日攻击。

• 正确配置和强化web 服务器,并定期修补 Internet 上公开的所有服务器。

•  使用攻击工具、漏洞扫描程序和渗透测试服务, 持续验证安全强化的有效性。

•  启用日志记录并检查这些日志。

(7)防范和应对虚假信息/错误信息的建议:

缓解方法包括技术和非技术领域。一方面, 是以基于人的方法, 包括培训、检查和揭穿、监管和沟通等方法。另一方面,技术解决方案对于限制通过社交网络传播错误/虚假信息非常重要。

•  培训和安全意识,为员工处理虚假信息攻击以及评估任何电子邮件和报告做好准备。

•  错误信息/虚假信息识别,例如,检查来源、作者、交叉引用、引用的数据和日期等。

• 事实核查和揭穿虚假报道。

•   法规:新法规(如拟议的《电子商务数字服务法》)制定,以及对包括社交网络在内的传播虚假新闻的网站的处罚。

•  战略性和透明的沟通:事实性的, 与政治沟通分开。

•  技术对策: 重写搜索引擎算法;通过广告开展宣传活动;可信度评级,显示可疑行为; 数字水印(标记视觉内容); 制定以情绪跟踪和暗网监控为中心的保护战略。

(8)防范和应对非恶意威胁的建议:

• 必须采取全面的安全方法, 传统安全通过实物保护和灾难恢复得到丰富。

•  采用考虑非恶意威胁以及云服务的风险管理流程。

•  持续监控和测试,及时发现错误和错误配置。

•  需要强有力的组织政策来减少人为错误。

•   对数据和安全采用基于治理的方法,允许对数据进行全面考虑和跟踪。

•  处理漏洞的补丁管理计划。

• 补丁管理必须考虑供应链风险。

•  针对所有类型用户的培训和意识。

•   对物理基础设施进行工程设计, 使其更能抵御自然事件, 并对公用设施进行适当管理, 以确保在发生意外事件或短缺时的业务连续性。

•  零信任安全方法,假设一切都被认为是恶意和不可信的。

•   提高最高管理层对网络安全和物理安全必须整合的认识。

• 恢复计划和备份是提高系统恢复能力的基础。

•  物理破坏可促进攻击。例如, 物理访问控制、无人值守设备中的漏洞可帮助对手进行攻击。

•  内部设备(加热、通风和空调) 中的错误和故障可能导致火灾、潮湿和不稳定电源可能损坏 IT 基础设施的情况。

• 风险评估、灾难恢复技术和人员培训至关重要。