2021 年 10 月 27 日，歐盟網(wǎng)絡(luò)和信息安全局（ENISA）發(fā)布《ENISA 2021年威脅態(tài)勢展望》報告，分析了全球面臨的九大網(wǎng)絡(luò)安全威脅，闡述了威脅趨勢、威脅參與者和攻擊技術(shù)等，提出了相關(guān)緩解和應(yīng)對措施。2021年該項工作得到了新組建的 ENISA網(wǎng)絡(luò)安全威脅態(tài)勢 （CTL）特設(shè)工作組的支持。該報告可幫助戰(zhàn)略決策者和政策制定者、政府及公司詳盡了解最新的網(wǎng)絡(luò)安全威脅，而且可針對性地開發(fā)技術(shù)予以解決，可作為國家網(wǎng)絡(luò)空間戰(zhàn)略發(fā)展的政策制定和技術(shù)發(fā)展的重要參考依據(jù)，對我國網(wǎng)絡(luò)強國戰(zhàn)略的實施和完善有著重要的借鑒意義。

　　一

　　相關(guān)背景

　　ENISA 作為歐盟最高網(wǎng)絡(luò)安全常規(guī)機構(gòu)，是一個獨立的政府機構(gòu)，成立于 2004 年，以歐盟層級網(wǎng)絡(luò)安全職能部門的角色， 為歐盟及其成員國提供增強信息與網(wǎng)絡(luò)安全相關(guān)的建議和協(xié)助，幫助歐盟及其成員國為應(yīng)對未來的網(wǎng)絡(luò)攻擊做好充分準(zhǔn)備。評估和溝通漏洞及網(wǎng)絡(luò)威脅信息也是 ENISA 的其中一項重要職能， 這些內(nèi)容集中體現(xiàn)在其每年推出的對全球網(wǎng)絡(luò)安全威脅態(tài)勢的年度分析報告《威脅態(tài)勢展望》中，2021 是 ENISA 威脅態(tài)勢報告的第九版。該報告長達 100  多頁， 報告內(nèi)容來自媒體文章、專家意見、情報報告、事件分析和安全研究報告等公開資源，以及通過對 ENISA 網(wǎng)絡(luò)安全威脅態(tài)勢 （CTL）  特設(shè)工作組成員的采訪，專家們根據(jù)收集的信息， 通過持續(xù)分析， 以戰(zhàn)略性和技術(shù)性相結(jié)合的方式概述網(wǎng)絡(luò)安全最新威脅形勢的總體態(tài)勢，確定主要威脅、趨勢及關(guān)注點等， 并提供相關(guān)緩解措施，旨在為其利益相關(guān)者提供戰(zhàn)略情報，為國家網(wǎng)絡(luò)空間戰(zhàn)略發(fā)展的政策制定和技術(shù)發(fā)展提供重要參考依據(jù)。

　　二

　　主要內(nèi)容

　　網(wǎng)絡(luò)安全攻擊在 2020 年和 2021 年持續(xù)增加， 不僅在載體和數(shù)量方面，而且在影響方面。新冠病毒的大流行也對網(wǎng)絡(luò)安全威脅格局產(chǎn)生了影響，疫情帶來了向混合辦公模式的持久轉(zhuǎn)變， 增加了攻擊面，使與疫情有關(guān)的網(wǎng)絡(luò)安全威脅和利用“新常態(tài)”正在成為主流。一系列網(wǎng)絡(luò)威脅在 2020 年和2021年期間出現(xiàn)并成為現(xiàn)實，而且呈上升趨勢。

　　本報告首先根據(jù)網(wǎng)絡(luò)安全威脅的重要性及所產(chǎn)生的影響，分析認(rèn)為全球當(dāng)前面臨著九大主要網(wǎng)絡(luò)威脅；其次介紹了四類比較突出的網(wǎng)絡(luò)安全威脅行為體及其發(fā)展趨勢；第三詳細介紹了九大網(wǎng)絡(luò)威脅的發(fā)展特點及建議；最后在附件 A、B 中分別列舉了每種網(wǎng)絡(luò)威脅常用的技術(shù)以及值得關(guān)注的最新顯著事件。整體而言， 2021 年 ENISA 威脅態(tài)勢展望報告的內(nèi)容豐富而詳盡，本文擇其重點予以闡述。

　?。ㄒ唬?九大網(wǎng)絡(luò)安全威脅

　　1.  勒索軟件

　　勒索軟件是一種惡意攻擊， 攻擊者對組織的數(shù)據(jù)進行加密， 并要求付款以恢復(fù)訪問。在某些情況下，攻擊者還可能竊取組織的信息，并要求額外付款，以換取不向競爭對手或公眾等披露信息。在本報告所述期間，勒索軟件一直是主要威脅，并發(fā)生了幾起引人注目且高度公開的事件。歐盟和世界范圍內(nèi)的一系列相關(guān)政策舉措也證明了勒索軟件威脅的重要性和影響。

　　勒索軟件目前主要通過網(wǎng)絡(luò)釣魚電子郵件和對遠程桌面協(xié)議（RDP）服務(wù)進行暴力攻擊而造成危害。在 2021 年的報告期內(nèi)，Conti 和 REvil 勒索軟件主宰了勒索軟件市場，二者都能提供單獨的勒索軟件即服務(wù)（RaaS）平臺，通過該平臺， 附屬公司可以有效地策劃其攻擊。2021 年，多重勒索的發(fā)生率也大幅上升。在最初從組織竊取和加密敏感數(shù)據(jù)并威脅在未付款的情況下將其公開發(fā)布后，攻擊者還以組織的客戶和/或合作伙伴為目標(biāo)索要贖金，以實現(xiàn)利潤最大化。加密貨幣仍然是最常見的支付方式， 平均贖金金額比去年翻了一番。

　　2.  惡意軟件

　　多年來， 惡意軟件的威脅一直居高不下。惡意軟件是一個總括性術(shù)語，描述任何旨在執(zhí)行惡意未經(jīng)授權(quán)流程的軟件、固件或代碼，這些流程將對系統(tǒng)的機密性、完整性或可用性產(chǎn)生不利影響。惡意軟件可能是病毒、蠕蟲、特洛伊木馬或其他感染主機的基于代碼的實體。間諜軟件和某些形式的廣告軟件也是惡意軟件的一部分。

　　根據(jù)創(chuàng)建者的目標(biāo)， 惡意軟件可能具有各種不同的功能。例如， RATs（遠程訪問特洛伊木馬/工具）允許參與者遠程控制受感染系統(tǒng)的惡意軟件。信息竊取者或瀏覽者是用來獲取信用卡信息的。僵尸網(wǎng)絡(luò)是受惡意軟件感染并由 C&C 服務(wù)器控制的計算機機器人網(wǎng)絡(luò)。特洛伊木馬是通常偽裝為合法軟件的惡意軟件，根據(jù)目標(biāo)可以是銀行特洛伊木馬或移動特洛伊木馬。惡意軟件威脅一直存在，而且每年都會出現(xiàn)新的家族和毒株，盡管在 ETL2021 的報告期內(nèi)， 惡意軟件的威脅有所下降。

　　3.  加密劫持

　　加密劫持（Cryptojacking），也稱挖礦劫持， 是加密貨幣領(lǐng)域的新興詞匯，指的是在未經(jīng)授權(quán)的情況下利用他人的硬件設(shè)備進行加密貨幣挖礦。通常發(fā)生在受害者無意中安裝了惡意腳本程序，允許網(wǎng)絡(luò)罪犯訪問其計算機或其他互聯(lián)網(wǎng)連接設(shè)備時，例如通過單擊電子郵件中的未知鏈接或訪問受感染的網(wǎng)站。然后， 罪犯使用“硬幣礦工”的程序創(chuàng)建或“挖掘”加密貨幣。隨著加密貨幣的擴散及其日益被廣大公眾所接受，相應(yīng)的網(wǎng)絡(luò)安全事件有所增加。

　　4.  與電子郵件有關(guān)的威脅

　　與電子郵件相關(guān)的威脅多年來一直在 ETL 的主要威脅列表中排名靠前。這種威脅是利用人類心理和日常習(xí)慣中的弱點而不是信息系統(tǒng)中的技術(shù)漏洞的一系列威脅。此威脅主要由網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚、 欺騙、偽裝、商業(yè)電子郵件泄露（BEC）和垃圾郵件等載體組成。盡管針對這些類型的攻擊開展了許多提高認(rèn)識和教育活動，但這種威脅仍在相當(dāng)程度上持續(xù)存在。

　　5.  對數(shù)據(jù)的威脅

　　數(shù)據(jù)泄漏或數(shù)據(jù)竊取是惡意參與者用來攻擊、復(fù)制和傳輸敏感數(shù)據(jù)的一種技術(shù)。在 ETL 的主要威脅中，對數(shù)據(jù)的威脅一直居高不下，這種趨勢在ETL 2021 報告中繼續(xù)延續(xù)。對數(shù)據(jù)的威脅是一系列針對數(shù)據(jù)源的威脅，目的是獲得未經(jīng)授權(quán)的訪問、披露、錯誤信息、虛假信息等。這些威脅主要被稱為數(shù)據(jù)破壞或數(shù)據(jù)泄漏，是指將敏感、機密或受保護的數(shù)據(jù)發(fā)布到不受信任的環(huán)境中。數(shù)據(jù)泄露可能是由于網(wǎng)絡(luò)攻擊、內(nèi)部人員工作、無意丟失或數(shù)據(jù)暴露造成的。此外，鑒于數(shù)據(jù)的重要性， 尤其是私人和敏感數(shù)據(jù)的重要性，對手正在將更復(fù)雜的威脅與目標(biāo)數(shù)據(jù)相結(jié)合，如勒索軟件或供應(yīng)鏈攻擊。

　　6.  對可用性和完整性的威脅

　　可用性和完整性是眾多威脅和攻擊的目標(biāo)， 其中分布式拒絕服務(wù)（DDoS）和 Web 攻擊最為突出。DDoS 與基于 Web 的攻擊密切相關(guān)， 是 IT 系統(tǒng)最嚴(yán)重的威脅之一，它通過耗盡資源、導(dǎo)致性能下降、數(shù)據(jù)丟失和服務(wù)中斷來攻擊系統(tǒng)的可用性。DDoS 以系統(tǒng)和數(shù)據(jù)可用性為目標(biāo)， 盡管不是一個新的威脅，但仍然是網(wǎng)絡(luò)領(lǐng)域的一個重大威脅?；?Web 的攻擊主要目標(biāo)是數(shù)據(jù)完整性和可用性。通過這種方法， 威脅參與者可以使用 web 系統(tǒng)和服務(wù)作為威脅向量欺騙受害者。

　　7.  虛假信息—錯誤信息

　　這種類型的威脅首次出現(xiàn)在 ENISA  威脅態(tài)勢報告中， 其在網(wǎng)絡(luò)世界中的重要性是非常高的。由于社交媒體平臺和在線媒體的使用增加，以及新冠疫情導(dǎo)致在線人數(shù)增加，虛假信息和錯誤信息攻擊活動正在增加。虛假信息和錯誤信息活動經(jīng)常與其他網(wǎng)絡(luò)安全威脅一起使用， 從而導(dǎo)致高級混合威脅。主要目的是破壞信任，而信任是網(wǎng)絡(luò)安全的基礎(chǔ)，通過打破這一基礎(chǔ)，連鎖效應(yīng)會波及整個網(wǎng)絡(luò)安全生態(tài)系統(tǒng)，并可能產(chǎn)生嚴(yán)重影響。

　　虛假信息和錯誤信息通常被認(rèn)為是相似的， 但兩者卻包含根本不同的概念。虛假信息是一種故意的攻擊， 包括創(chuàng)造或分享虛假或誤導(dǎo)性的信息。錯誤信息是一種無意識的攻擊， 即信息的共享是在不經(jīng)意間完成的。虛假信息和錯誤信息攻擊是在其他攻擊（如網(wǎng)絡(luò)釣魚、社會工程、惡意軟件感染）的基礎(chǔ)上進行的。二者的攻擊對象和目標(biāo)如表 1 所示。

　　8.  非惡意威脅

　　威脅通常被認(rèn)為是由具有攻擊特定目標(biāo)動機的對手所進行的自愿和惡意活動。該類別涵蓋了惡意意圖不明顯的威脅。主要是基于人為錯誤和系統(tǒng)錯誤配置， 但也可能是針對 IT 基礎(chǔ)設(shè)施的物理災(zāi)難。這些威脅在年度威脅格局中持續(xù)存在，是風(fēng)險評估的主要關(guān)注點。

　　非惡意威脅可分為兩類：一種是錯誤和錯誤配置， 是由疏忽、缺乏意識或簡單地說， 人為錯誤造成的。例如管理 IT 系統(tǒng)時的錯誤、開發(fā)時間錯誤、應(yīng)用程序級錯誤等。還有一種是物理災(zāi)害， 例如光纖電纜的意外損壞、互聯(lián)網(wǎng)連接的喪失、火災(zāi)、電力供應(yīng)不穩(wěn)定， 自然災(zāi)害等， 導(dǎo)致 IT 基礎(chǔ)設(shè)施和相關(guān)服務(wù)/應(yīng)用程序不可用。非惡意威脅是許多現(xiàn)有惡意威脅的主要威脅載體。例如， 安全漏洞、錯誤配置、漏洞和修補程序管理不足可能為 DDoS攻擊、惡意軟件和勒索軟件打開大門。同時，人為錯誤是網(wǎng)絡(luò)釣魚和社會工程的主要載體。總之， 非惡意威脅曾對 IT 系統(tǒng)和應(yīng)用程序的工作產(chǎn)生了重要影響， 現(xiàn)在由于系統(tǒng)和基礎(chǔ)設(shè)施的復(fù)雜性日益增加；不斷增加的向云環(huán)境的遷移， 以及物聯(lián)網(wǎng)設(shè)備和邊緣計算的集成；COVID- 19 大流行， 這三大主要因素都加劇了非惡意威脅的影響還在加劇。

　　9.  供應(yīng)鏈威脅

　　在《ENISA 2021 年威脅態(tài)勢展望》報告中主要介紹 8 大網(wǎng)絡(luò)安全威脅類別，關(guān)于供應(yīng)鏈威脅在ENISA的專門報告《供應(yīng)鏈攻擊的ENISA威脅態(tài)勢》中予以介紹，本文關(guān)于供應(yīng)鏈威脅的內(nèi)容均來自專門報告。

　　供應(yīng)鏈攻擊的破壞性和連鎖反應(yīng)在 SolarWinds 攻擊中表現(xiàn)得淋漓盡致。SolarWinds  被認(rèn)為是近幾年來最大的供應(yīng)鏈攻擊之一。供應(yīng)鏈?zhǔn)侵竻⑴c創(chuàng)建和交付最終解決方案或產(chǎn)品的過程、人員、組織和分銷商組成的生態(tài)系統(tǒng)。供應(yīng)鏈攻擊是至少兩次攻擊的組合。第一個攻擊是對供應(yīng)商進行攻擊，然后用來攻擊目標(biāo)以獲得對其資產(chǎn)的訪問權(quán)。目標(biāo)可以是最終客戶或其他供應(yīng)商。因此，要將攻擊歸類為供應(yīng)鏈攻擊，供應(yīng)商和客戶都必須成為攻擊的目標(biāo)。2021 年供應(yīng)鏈攻擊的數(shù)量和復(fù)雜性都穩(wěn)步上升。這一趨勢進一步強調(diào)，決策者和安全界需要設(shè)計和引入新的保護措施，以應(yīng)對未來潛在的供應(yīng)鏈攻擊， 并減輕其影響。

　?。ǘ?四大網(wǎng)絡(luò)威脅者

　　在本報告所述期間， 發(fā)現(xiàn)有四類網(wǎng)絡(luò)安全威脅行為體比較突出， 即國家支持的行為者、網(wǎng)絡(luò)犯罪行為者、雇傭黑客的行動者、 黑客行動主義者。網(wǎng)絡(luò)威脅行為者是利用現(xiàn)有漏洞實施惡意行為的實體， 是威脅環(huán)境的一個組成部分。了解威脅行為者是如何思考和行動的，動機和目標(biāo)是什么，是加強網(wǎng)絡(luò)安全事件應(yīng)對的重要一步， 而且監(jiān)測威脅行為體為實現(xiàn)其目標(biāo)而使用的戰(zhàn)術(shù)和技術(shù)的最新發(fā)展，以及及時了解動機和目標(biāo)的長期趨勢，對于當(dāng)今網(wǎng)絡(luò)安全生態(tài)系統(tǒng)的有效防御至關(guān)重要。

　　1.  國家支持的行為者

　?。?）新冠病毒-19 推動了網(wǎng)絡(luò)間諜任務(wù)。在本報告所述期間觀察到國家支持的團體開展了與新冠病毒相關(guān)的網(wǎng)絡(luò)間諜活動。根據(jù)公開報道，國家資助的威脅行為者可能正在尋找與感染率、國家級反應(yīng)和治療相關(guān)的數(shù)據(jù)。因此，醫(yī)療保健、制藥和醫(yī)學(xué)研究部門已成為重點目標(biāo)，而且只要疫情持續(xù)，針對這些部門的攻擊就會繼續(xù)， 而且?guī)缀蹩隙〞^續(xù)使用新冠主題進行（魚叉式）網(wǎng)絡(luò)釣魚攻擊。

　?。?）供應(yīng)鏈類攻擊達到了新的成熟度和影響水平。雖然由國家支持的威脅行為體進行供應(yīng)鏈攻擊并不新鮮，但在報告所述期間，重點進行了高度復(fù)雜和有影響力的供應(yīng)鏈攻擊。根據(jù) ENISA 的分析， 在 2020 年至 2021年期間， 至少 17 次調(diào)查證實，供應(yīng)鏈攻擊由高級持續(xù)威脅（APT）集團實施，通常由國家贊助， 例如 SolarWinds 軟件供應(yīng)鏈攻擊， 其背后就是國家支持的組織精心策劃了這起事件。總之， 供應(yīng)鏈的多樣性和復(fù)雜性為國家支持的威脅行為者提供了大量目標(biāo)。此外，新冠肺炎加劇了向遠程工作的轉(zhuǎn)變，導(dǎo)致組織在運營需求上更加依賴第三方供應(yīng)商。ENISA 評估分析認(rèn)為， 國家支持的威脅行為者肯定會繼續(xù)進行供應(yīng)鏈攻擊（尤其是針對軟件、云和托管服務(wù)提供商）。

　?。?）國家支持的集團及其運營商積極從事創(chuàng)收活動。根據(jù) ENISA 的觀察，在一些情況下，國家支持的對手積極參與了網(wǎng)絡(luò)犯罪行動，例如拉扎勒斯集團為了經(jīng)濟利益進行有針對性的勒索入侵。ENISA  分析認(rèn)為國家支持的行為者肯定會繼續(xù)進行有利可圖的網(wǎng)絡(luò)入侵活動， 進一步模糊網(wǎng)絡(luò)間諜活動和網(wǎng)絡(luò)犯罪活動之間的界限。并隨著各州利用網(wǎng)絡(luò)犯罪集團不斷開展網(wǎng)絡(luò)活動，預(yù)計這一趨勢還會增加。

　　（4）網(wǎng)絡(luò)行動由國家戰(zhàn)略、地緣政治緊張局勢和武裝沖突驅(qū)動。當(dāng)前，各國正在努力開發(fā)、購買或雇傭網(wǎng)絡(luò)攻擊能力，以在網(wǎng)絡(luò)軍備競賽中處于有利地位。實施此類網(wǎng)絡(luò)能力對其國家戰(zhàn)略和長期規(guī)劃非常重要。ENISA觀察到的一些趨勢：1）擁有先進網(wǎng)絡(luò)能力的國家正在利用這些能力從戰(zhàn)略上塑造全球政治、軍事、經(jīng)濟和意識形態(tài)力；2）中等大國正在關(guān)注與監(jiān)管、網(wǎng)絡(luò)規(guī)范和保護其關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的舉措；3）低能力網(wǎng)絡(luò)強國正在增強其防御和進攻姿態(tài)。并評估認(rèn)為國家支持的行為體肯定會繼續(xù)通過網(wǎng)絡(luò)行動來實現(xiàn)其戰(zhàn)略目標(biāo)，以獲取決策優(yōu)勢、竊取知識產(chǎn)權(quán)以及為未來沖突預(yù)先部署軍事和關(guān)鍵基礎(chǔ)設(shè)施。根據(jù)其評估， 國家支持的團體可能會開發(fā)（或購買或以其他方式獲?。┎⑦M行偽裝成勒索軟件的破壞性/破壞性行動，以削弱、挫敗和抹黑敵對政府。

　?。?）信息行動成為實現(xiàn)國家戰(zhàn)略目標(biāo)的工具。在本報告所述期間， 信息行動主要用于干擾選舉和新冠病毒的相關(guān)活動。同時，國家威脅行為者開展信息行動的方式發(fā)生了變化，一方面進行更有針對性的攻擊活動，另一方面也在不斷調(diào)整其 TTP ，以實現(xiàn)更好的操作安全性及平臺多樣化，以在攻擊中生存下來。根據(jù) ENISA 的評估， 很可能在未來十年繼續(xù)通過開展網(wǎng)絡(luò)信息行動來實現(xiàn)其戰(zhàn)略目標(biāo)， 重點是選舉、公共衛(wèi)生、人道主義危機、人權(quán)和安全等重要的地緣政治問題。

　　2.  網(wǎng)絡(luò)犯罪行為者

　?。?）新冠病毒-19 為網(wǎng)絡(luò)罪犯創(chuàng)造了機會。新冠期間， 網(wǎng)絡(luò)犯罪分子通過使用與新冠病毒相關(guān)的網(wǎng)絡(luò)釣魚誘餌獲取經(jīng)濟利益。并在地下論壇出售定制的與新冠病毒相關(guān)的網(wǎng)絡(luò)釣魚工具包，以及設(shè)計用于獲取憑證和個人數(shù)據(jù)的欺騙域。通過數(shù)字廣告和與潛在的新冠病毒治療和其他新冠病毒預(yù)防措施相關(guān)的網(wǎng)站傳播關(guān)于新冠病毒的假新聞。此外， 新冠病毒- 19 還為有針對性的勒索軟件攻擊創(chuàng)造了機會， 醫(yī)療保健和公共衛(wèi)生部門成為勒索集團的重大目標(biāo)。

　?。?）采用多種勒索手段。勒索軟件攻擊成為當(dāng)今各行業(yè)所面臨的最大威脅之一。據(jù)觀察， 網(wǎng)絡(luò)犯罪分子不太可能以支付相關(guān)數(shù)據(jù)（如信用卡）為目標(biāo)，而更可能以任何會影響受害者運營的數(shù)據(jù)為目標(biāo)。在本報告所述期間，勒索軟件集團向受害者施加壓力并迫使他們支付贖金的戰(zhàn)術(shù)發(fā)生了一些演變：1）通過暗網(wǎng)中的數(shù)據(jù)拍賣將被盜信息貨幣化；2）通過聯(lián)系記者放大受害者的妥協(xié)；3）接觸商業(yè)合作伙伴、投資者、董事會成員和其他披露攻擊信息的利益相關(guān)者；4）對受害者進行 DDoS 攻擊， 以增加支付贖金的壓力；5）接觸受害者的客戶和客戶， 采取行動并要求支付贖金；6）呼叫和騷擾員工。

　?。?）加強合作和專業(yè)化。在本報告所述期間， 觀察到網(wǎng)絡(luò)犯罪集團開發(fā)了專門的網(wǎng)絡(luò)犯罪服務(wù)，以及網(wǎng)絡(luò)犯罪分子在生態(tài)系統(tǒng)內(nèi)建立了彼此之間的關(guān)系以及分支模式。網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)具有全球影響力， 不同的參與者提供和專門從事不同的服務(wù)。這種“網(wǎng)絡(luò)犯罪即服務(wù)”的趨勢降低了想要實施網(wǎng)絡(luò)犯罪的威脅行為體的障礙， 同時也增強了網(wǎng)絡(luò)攻擊的范圍。

　　（4）網(wǎng)絡(luò)罪犯正在向云端過渡。新冠肺炎加快了全球組織對云基礎(chǔ)設(shè)施和服務(wù)的采用， “向云轉(zhuǎn)移”趨勢預(yù)計將在可預(yù)見的未來繼續(xù)。然而， 由于云基礎(chǔ)設(shè)施和服務(wù)的快速部署導(dǎo)致安全性和管理不善的云部署，為網(wǎng)絡(luò)罪犯提供了機會，開發(fā)了破壞云基礎(chǔ)設(shè)施和服務(wù)的能力。未來對云環(huán)境的攻擊幾乎肯定會繼續(xù)，并且隨著越來越多的組織采用和實施云優(yōu)先戰(zhàn)略，攻擊可能會產(chǎn)生更大的影響。

　?。?）越來越多地以關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)。在本報告所述期間， 觀察到網(wǎng)絡(luò)犯罪行為體越來越多地以關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)。受影響的主要關(guān)鍵基礎(chǔ)設(shè)施部門是醫(yī)療、交通和能源部門。隨著社會越來越依賴于技術(shù)和互聯(lián)網(wǎng)連接， 針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)犯罪攻擊很可能變得更具破壞性。而且，針對關(guān)鍵基礎(chǔ)設(shè)施的破壞性攻擊也可能偽裝成勒索軟件攻擊， 但目標(biāo)不同。

　　（6）暗網(wǎng)與威脅行為者的聯(lián)系更加緊密。加密貨幣流和網(wǎng)絡(luò)匿名化的增長進一步助長了暗網(wǎng)的使用。在報告所述期間，暗網(wǎng)市場的總收入達到了創(chuàng)紀(jì)錄的 17 億美元的加密貨幣， 表明暗網(wǎng)已經(jīng)成為威脅參與者生態(tài)系統(tǒng)的一個組成部分。

　　3.  雇傭黑客的行動者

　　黑客出租服務(wù)的興起， 該市場主要由提供攻擊性網(wǎng)絡(luò)能力的公司組成，客戶通常是政府（但也包括公司和個人）， 提供漏洞研究和利用、惡意軟件有效負(fù)載開發(fā)、技術(shù)指揮和控制、運營管理以及培訓(xùn)和支持等服務(wù)。黑客雇傭公司在其運營國家合法運營，目前整個市場處于半管制狀態(tài)?？蛻粝蜻@些公司支付費用，主要用于開展網(wǎng)絡(luò)間諜活動、獲得先進的攻擊性網(wǎng)絡(luò)能力以及享有合理的否認(rèn)權(quán)。例如黑客雇傭集團DeathStapper，該集團一直以金融和法律服務(wù)部門的組織為目標(biāo)進行企業(yè)間諜活動。

　　4.  黑客行動主義者

　　根據(jù) ENISA 的觀察， 黑客行動主義在 2010-2015 年期間達到頂峰后有所下降。如今，黑客行動主義者大多以小團體的形式行動，抗議地區(qū)性事件，并以特定組織為目標(biāo)。其目標(biāo)仍然是傳統(tǒng)的，例如金融機構(gòu)和政府機構(gòu)等， 這可能是由于近年來對各種黑客活動者的起訴， 起到了威懾作用。其策略仍然是“老派”的， 主要關(guān)注 DDoS 攻擊、誹謗、敏感數(shù)據(jù)發(fā)布和賬戶接管等。ENISA 評估分析認(rèn)為，國家支持的團體幾乎肯定會繼續(xù)利用黑客行動主義作為偽裝來實現(xiàn)其戰(zhàn)略目標(biāo)。

　　（三） 九大網(wǎng)絡(luò)安全威脅的發(fā)展特點

　　1.  勒索軟件的發(fā)展特點

　?。?）Conti 和 REvil 勒索軟件團伙領(lǐng)跑市場

　　2021  年財務(wù)收益最多的勒索軟件團伙是 Conti （ 1270  萬美元）、Revil/Sodinokibi（1200 萬美元）、 DarkSide（460 萬美元）、 MountLocker（420萬美元）、 Blackmatter（400 萬美元） 和 Egregor（310 萬美元）。根據(jù)統(tǒng)計數(shù)據(jù)，2021年第一季度勒索軟件市場份額最大的是REvil/Sodinokibi（14.2%）、Conti V2（10.2%）、Lockbit（7.5%）、Clop（7.1%）和 Egregor（5.3%）。2021年第二季度， 排名靠前的是 Sodinokibi（16.5%）、Conti V2（4.4%）、Avaddon（5.4%）、Mespinoza （4.9%）和 Hello Kitty（4.5%）。最后兩個是新興的勒索軟件。

　?。?）勒索軟件即服務(wù)業(yè)務(wù)模式

　　勒索軟件不斷擴大的市場機遇催生了新的盈利模式—勒索軟件即服務(wù)（RaaS），出現(xiàn)了大量以售賣勒索軟件為主要營生的勒索軟件即服務(wù)暗網(wǎng)市場，并逐漸形成完整成熟的產(chǎn)業(yè)鏈。在攻擊過程中使用RaaS平臺已經(jīng)成為常態(tài)，該平臺為缺乏技能、資源和時間的黑客提供了很多現(xiàn)成的解決方案和勒索服務(wù)，從勒索軟件的開發(fā)、傳播、攻擊到收益呈現(xiàn)系統(tǒng)化、便捷化趨勢，開發(fā)者可以提供一整套解決方案，甚至包括利用加密貨幣進行贖金支付等服務(wù)。任何想非法獲利的人士， 即使缺乏技術(shù)知識， 都可能利用 RaaS 平臺提供的現(xiàn)成解決方案。而且 RaaS 平臺還正在不斷適應(yīng)環(huán)境的變化， 以便不被端點和網(wǎng)絡(luò)安全工具發(fā)現(xiàn)。

　?。?）從雙重勒索到多重勒索轉(zhuǎn)變，實現(xiàn)利潤最大化

　　勒索團伙一直在嘗試使用各種策略對受害公司施加壓力， 以增加贖金數(shù)目及確保繳納率， 為此， 從最初的單一加密勒索演變?yōu)?2020 年的“雙重勒索”， 即在加密前攻擊者會先竊取大量受害者敏感數(shù)據(jù)， 威脅受害者如果不繳納贖金則公開數(shù)據(jù)，使受害者不僅要面臨數(shù)據(jù)泄露威脅，還有相關(guān)法規(guī)、財務(wù)和聲譽影響。2021 年開始演變?yōu)椤岸嘀乩账鳌惫?，攻擊者除了雙重勒索之外， 還以組織的客戶和/或合作伙伴為目標(biāo)索要贖金。2021 年 5月，Clop 勒索軟件團伙在以 RaceTrac Petroleum 為目標(biāo)并威脅要發(fā)布這些公司的文件后， 還直接聯(lián)系其客戶和合作伙伴并威脅要發(fā)布他們的文件。此外， 研究表明在雙重勒索的基礎(chǔ)上增加了 DDoS  攻擊威脅， 目前， 部分勒索軟件已整合了 DDoS 攻擊能力，不僅能加密受害者電腦文件， 還能對外出售敏感數(shù)據(jù)，并利用被感染電腦發(fā)送惡意網(wǎng)絡(luò)流量， 以此影響受害者系統(tǒng)的帶寬或運行速度，這三種攻擊若同時實施，將帶來非常嚴(yán)重且不可逆轉(zhuǎn)的后果。由此可推測， 在未來的數(shù)年內(nèi)為實現(xiàn)收益最大化， 勒索攻擊形式還會層出不窮。

　?。?）支付贖金的加密貨幣從比特幣向 Monero 轉(zhuǎn)變

　　幾年來， 像比特幣這樣的加密貨幣成為網(wǎng)絡(luò)威脅者收取贖金的首選，為網(wǎng)絡(luò)勒索提供了低風(fēng)險、易操作、便捷性強的贖金交易和變現(xiàn)方式，成為網(wǎng)絡(luò)犯罪活動的主要支付形式。此外， 由于生成新哈希所需的更高計算機能力以及更嚴(yán)格的監(jiān)管， 比特幣的價值在過去兩年中大幅增長。但是 2021年 5 月， Colonial Pipeline 遭受了勒索軟件團伙 DarkSide 的攻擊， FBI 在受害者已經(jīng)支付了比特幣贖金后介入，通過審查比特幣公共分類賬，執(zhí)法部門可以跟蹤多個比特幣轉(zhuǎn)賬。事實證明， FBI 擁有從特定比特幣地址訪問資產(chǎn)所需的“私鑰”。聯(lián)邦調(diào)查局發(fā)出扣押令， 開始沒收這些硬幣。沒有透露FBI 是如何獲得私鑰的，這也是執(zhí)法部門首次以加密貨幣追回了大部分贖金。在查封之后，人們注意到一種轉(zhuǎn)向使用 Monero  作為加密貨幣的趨勢。Monero 是作為一個開源項目推出的，旨在增加交易的匿名性和不可區(qū)分性，很快受到用戶好評， 并在過去幾年中取得了穩(wěn)定增長。勒索軟件團伙 REvil在 2021 年才接受 Monero ，DarkSide 和 Babuk 等其他組織將選擇權(quán)留給了受害者， 但在選擇比特幣支付贖金時增加了費用。

　?。?）最高贖金要求飆升

　　最高的勒索軟件需求從 2019 年的 1500 萬美元增長到 2020 年的 3000萬美元。REvil 也加大了勒索力度， 2021 年 3 月向宏碁索要 5000 萬美元。4月向蘋果的供應(yīng)商廣達電腦索要了同樣的金額。7 月， 在 Kaseya 遭到攻擊后， 要求支付 7000 萬美元的贖金。短短幾個月， 2020 年的最高需求在 2021年翻了一倍多，很可能在 2022 年達到 1 億美元的贖金上限。公開披露或受到媒體關(guān)注的事件只是冰山一角，還有其他高贖金的公共勒索事件， 只要組織繼續(xù)支付，勒索組織就沒有理由降低要求，未來的勒索軟件團伙將以最高支付作為未來的目標(biāo)甚至參考。

　　（6）被攻擊者成本損失劇增

　　當(dāng)勒索軟件事件發(fā)生時， 被攻擊組織面臨著巨大的成本損失， 包括贖金金額、停機時間、人員成本以及實際操作和技術(shù)補救等。根據(jù)在 30 個國家開展的一項調(diào)查顯示，補救勒索軟件攻擊的總體成本也在大幅增加，從2020 年的 761106 美元到 2021 年的 185 萬美元，勒索軟件事件的總成本僅 在一年內(nèi)就翻了一倍多。而且， 癱瘓關(guān)鍵基礎(chǔ)設(shè)施往往成為攻擊目的， 導(dǎo) 致平均停機時間從 2020 年第一季度的 15 天增加到 2021 年第二季度的 23 天。一項針對 1263 名受訪者的調(diào)查顯示， 66%的組織因勒索軟件攻擊而遭 受重大收入損失， 在成功勒索后， 每個垂直行業(yè)都易遭受顯著的收入損失。

　　（7）零日漏洞使用的增加

　　過去， 零日只用于高級威脅團體和民族國家的有針對性的襲擊， 隨著贖金的增加，更多的零日被勒索組織利用并執(zhí)行贖金軟件攻擊，特別是在大規(guī)模行動中是非常有意義的，攻擊次數(shù)的減少和對大型組織的關(guān)注使得攻擊者可以要求高額贖金， 這種攻擊被稱為大型狩獵（BGH）。與使用流行的惡意軟件傳播媒介（如網(wǎng)絡(luò)釣魚） 瞄準(zhǔn)大量目標(biāo)不同， 攻擊者會仔細選擇目標(biāo)， 并使用復(fù)雜的方法突破這些高價值目標(biāo)。通過這種方式， BGH 趨勢打破了傳統(tǒng)的有針對性的網(wǎng)絡(luò)犯罪行為。

　　（8）保險助推勒索軟件產(chǎn)業(yè)經(jīng)濟

　　隨著網(wǎng)絡(luò)安全事件的普遍增加， 越來越多的企業(yè)向網(wǎng)絡(luò)保險和再保險公司尋求幫助， 更傾向于購買網(wǎng)絡(luò)安全保險。網(wǎng)絡(luò)攻擊者特意挑選投保了網(wǎng)絡(luò)保險的公司作為攻擊目標(biāo)，更加針對性地實施勒索攻擊，使得網(wǎng)絡(luò)犯罪的成功率大幅提升，這種做法不但將影響保險公司和保單成本，也會助長整個勒索軟件經(jīng)濟。為遏制這一情況的繼續(xù)惡化，已有多家公司開始縮減網(wǎng)絡(luò)保險的覆蓋范圍，例如，總部位于法國的歐洲五大保險公司之一的保險巨頭安盛集團于 2021 年 5 月宣布在法國承保的網(wǎng)絡(luò)保險將不再包括勒索軟件賠償。

　　2. 惡意軟件的發(fā)展特點

　?。?）惡意軟件感染從追求數(shù)量轉(zhuǎn)為質(zhì)量

　　在本報告所述期間，惡意軟件攻擊大幅減少。研究表明，與 2019 年相比，2020 年北美的襲擊減少了 43%。這一下降在歐洲幾乎是一樣的，而在亞洲則下降了 53%。2021 年與去年同期相比，上半年的惡意軟件數(shù)量進一步減少了 22%。惡意軟件感染的減少仍在繼續(xù)，但是，惡意軟件總量的減少并不意味著網(wǎng)絡(luò)犯罪有所減少。過去，希望感染最多的受害者，如今關(guān)注的焦點不再是數(shù)量，而是感染的質(zhì)量。2021 年檢測到的最常見的惡意軟件系列是 Trickbot（僵尸網(wǎng)絡(luò)和銀行）、XMRig（加密礦工）、Formbook（信息竊取者）、Glupteba（僵尸網(wǎng)絡(luò)）和 Agent Tesla（信息竊取程序）。

　?。?）Windows Container 惡意軟件越發(fā)普遍

　　針對容器（Container）環(huán)境的惡意軟件已經(jīng)變得更加普遍。容器化技術(shù)可以輕松擴展，專注于云原生堆棧的惡意軟件本質(zhì)上不是新的。2020 年11 月，惡意容器鏡像已經(jīng)被識別出來，并被用于查找和利用特定受害者Kubernetes 環(huán)境中的漏洞。2020 年 12 月，研究人員還發(fā)現(xiàn)存在從內(nèi)存中執(zhí)行的無文件惡意軟件。2021 年 3 月，研究人員發(fā)現(xiàn)了第一個針對Windows Container 的已知惡意軟件。這類惡意軟件最常見的目標(biāo)是逃離容器，感染由多個應(yīng)用程序集合而成的集群，大大增加感染的影響力。常見的危害包括密碼、信用卡號等敏感信息的泄露。此外，容器技術(shù)經(jīng)常被用于破壞開發(fā)環(huán)境，導(dǎo)致進一步的供應(yīng)鏈攻擊。

　　（3）移動惡意軟件呈上升趨勢

　　2020 年，Android 上的假冒廣告屏蔽軟件（也稱為廣告軟件）呈上升趨勢，一個相近的變體是 hiddenAds 移動惡意軟件。與 2019 年相比，2020 年這類惡意軟件從 280000 增加到 700000。移動惡意軟件中的廣告軟件在整個2021 年仍占很大比例。2021 年上半年，45%的移動惡意軟件被認(rèn)定為廣告軟件。手機銀行惡意軟件在 2021 年也有所增加，最常見的惡意銀行應(yīng)用程序包括 Ghimob、Eventbot 和 Thiefbot。其他常見的惡意軟件有貝萊德、沃巴和特里克莫。

　?。?）使用新興編程語言編寫惡意軟件正在興起

　　由于大多數(shù)惡意軟件的檢測能力都是基于靜態(tài)指標(biāo)的，當(dāng)源代碼被改寫成新的語言時，這些指標(biāo)變得無關(guān)或無效，能夠繞過檢測。用新興編程語言編寫的惡意軟件只占目前開發(fā)的所有惡意軟件的一小部分。盡管如此，它仍然是惡意軟件檢測和代碼分析技術(shù)未來發(fā)展的一個重要方面。這一趨勢在 2020 年和 2021 年持續(xù)發(fā)展。這些不常見的語言包括但不限于 Rust、Nim、DLang 和 Go324。

　　（5）新型惡意軟件嶄露頭角

　　多年來，惡意軟件不斷發(fā)展，取得了更多的進展。Emotet 作為計算機惡意軟件的一個變種，功能從簡單的信息竊取器轉(zhuǎn)移到用于創(chuàng)建高級僵尸網(wǎng)絡(luò)的惡意軟件。該惡意軟件具有完善的命令和控制（C2）基礎(chǔ)設(shè)施，頻繁更新，在逃避檢測方面非常有效。在整個 2020 年，Emotet 一直是最流行的惡意軟件。

　　3. 加密劫持的發(fā)展特點

　?。?）2021 年加密劫持量創(chuàng)歷史新高

　　2020 年 3 月，受加密劫持惡意軟件感染的人數(shù)激增，此后感染率急劇下降。從 2020 年第二季度到最后一季度，感染量緩慢增長，并在 2021 年 持續(xù)增長。2021 年第一季度，加密劫持惡意軟件增長了 117%，感染量與過去幾年相比創(chuàng)下歷史新高。激增的原因應(yīng)該是與加密劫持相關(guān)的財務(wù)收益激勵了相關(guān)的威脅參與者。

　?。?）XMRig 主導(dǎo)著加密劫持市場XMRig

　　是一個開源的礦工，攻擊者和大多數(shù)惡意軟件都使用它對受害者進行加密挖掘。2021 年上半年，其市場份額增至 51%，占所有加密挖掘惡意軟件的一半以上。其他感染與 Lucifer（10%）、LemonDuck（5%）、RubyMiner（5%）、Wannamine（5%）和其他礦工（20%）有關(guān)。

　?。?）從瀏覽器轉(zhuǎn)向基于文件的加密

　　研究顯示，2021 年第一季度，基于桌面或文件的加密劫持頻率幾乎是基于瀏覽器的 7 倍，基于瀏覽器的為 13%，而基于文件的為 87%。

　?。?）感染方法不變

　　用于傳播和部署加密挖掘的技術(shù)與其他惡意軟件感染方法沒有太大區(qū)別。一般采用一種在受害者不知情的情況下在其設(shè)備上傳送和安裝惡意文件的驅(qū)動器下載技術(shù)。在訪問惡意網(wǎng)站時，觸發(fā)利用包含安全漏洞的操作系統(tǒng)或 web 瀏覽器的下載。另一種傳播方式是惡意軟件，即通過廣告?zhèn)鞑阂廛浖男袨椤?/p>

　　（5）針對云和容器基礎(chǔ)設(shè)施的加密挖掘

　　當(dāng)云主機受到加密劫持惡意軟件的感染時，成本可能會變得非常巨大。云提供商為消耗的 CPU 周期買單，而計算操作帶來的收益只占成本的一小部分。容器基礎(chǔ)設(shè)施也是一個有趣的目標(biāo)，因為這些環(huán)境將根據(jù)需要生成工作節(jié)點。過去已經(jīng)在 Kubernetes 上看到過加密劫持，但入口向量要么是易受攻擊的 web 應(yīng)用程序，要么是已經(jīng)包含挖掘惡意軟件的惡意容器。

　　4. 與電子郵件有關(guān)的威脅的發(fā)展特點

　?。?）新冠病毒-19 仍然是電子郵件威脅活動的誘餌

　　在整個報告所述期間，帶有新冠病毒相關(guān)誘餌的垃圾郵件活動屢見不鮮。總的來說，新冠肺炎被對手利用，誘騙最終用戶成為各種電子郵件相關(guān)攻擊的受害者。對手利用對這種流行病的擔(dān)憂和人們對電子郵件的信任作為主要的攻擊手段，包括試圖欺騙用戶，從虛假網(wǎng)站訂購口罩，通過惡意附件使其感染惡意軟件等。隨著新冠病毒的持續(xù)和疫苗的發(fā)布，誘餌也隨之改變，包括廣告或提供在支付押金或費用后盡早獲得疫苗的機會以及有關(guān)疫苗的錯誤信息等。

　?。?）用于網(wǎng)絡(luò)釣魚活動的郵政服務(wù)

　　在本報告所述期間，觀察到幾起旨在通過發(fā)送與國家郵政系統(tǒng)遞送有關(guān)的網(wǎng)絡(luò)釣魚電子郵件來竊取受害者信用卡號碼的網(wǎng)絡(luò)釣魚運動。這些電子郵件試圖將用戶引導(dǎo)到釣魚網(wǎng)站，從而獲取信用信息，目前已經(jīng)影響到至少 26 個國家。2021 年，郵政服務(wù)還被用于發(fā)送大量垃圾短信，將 Flubot Android 惡意軟件傳播到歐洲各地。惡意軟件團伙偽裝成合法的包裹遞送服務(wù)，通過短信向用戶發(fā)送惡意鏈接。

　?。?）BEC 已越來越成熟、復(fù)雜并有針對性

　　根據(jù)公開的報告，BEC 是 2020 年最昂貴的網(wǎng)絡(luò)犯罪類型，各組織報告的總損失超過 18 億美元。在本報告期間，觀察到 BEC 計劃已經(jīng)發(fā)展，特別是在證書釣魚和貨幣轉(zhuǎn)換為加密貨幣。正如歐盟成員國報告的那樣，已經(jīng)有很多案例表明辦公賬戶被用于 BEC 欺詐。這意味著參與者還進行了證書釣魚操作或密碼噴射攻擊（一種技術(shù)）。此外，盡管網(wǎng)絡(luò)罪犯的目標(biāo)是所有部門和企業(yè)，但 BEC 的參與者對中小企業(yè)表現(xiàn)出越來越多的關(guān)注。而且該網(wǎng)絡(luò)犯罪的巨大利潤潛力吸引了全球范圍內(nèi)復(fù)雜的網(wǎng)絡(luò)犯罪集團，進一步使目前 BEC 參與者的地理位置更加多樣化、復(fù)雜化。

　?。?）SMShing 和 Vishing 有所增加

　　據(jù)安全部門稱，各種 APT 組織已經(jīng)開始使用 SMShing 和 Vishing 作為其高度針對性的活動的一部分。在最近針對政治對手的攻擊中，APT-C-23似乎使用了一種新技術(shù)，即使用變聲軟件偽裝成女性，該組織的成員迄今為止都是男性，與受害者進行對話。隨著對話的繼續(xù)，該組織開始發(fā)送帶有惡意軟件的視頻，以感染目標(biāo)系統(tǒng)。一般來說，用戶已經(jīng)習(xí)慣了不去點擊可疑郵件，但仍然沒有意識到也可以通過短信或電話被釣魚。

　?。?）網(wǎng)絡(luò)釣魚即服務(wù)（PhaaS）

　　微軟最近對 Bullet ProofLink 活動的分析表明，該活動是許多對組織產(chǎn)生影響的網(wǎng)絡(luò)釣魚活動的罪魁禍?zhǔn)?。bulletproflink（也被其運營商在各種網(wǎng)站、廣告和其他宣傳材料中稱為 BulletProftLink 或炭疽）被多個惡意參與者以一次性或月度訂閱的商業(yè)模式使用，為其運營商創(chuàng)造了穩(wěn)定的收入流。與勒索軟件即服務(wù)（RaaS）類似，網(wǎng)絡(luò)釣魚即服務(wù)遵循軟件即服務(wù)模式。攻擊者付錢給運營商，讓其開發(fā)和部署大部分或完成網(wǎng)絡(luò)釣魚活動，包括虛假登錄頁面開發(fā)、網(wǎng)站托管、憑據(jù)解析和重新分發(fā)，以及他們可能缺乏的外包功能。

　　5. 對數(shù)據(jù)的威脅的發(fā)展特點

　?。?）威脅行為者將注意力轉(zhuǎn)向了 COVID-19 疫苗信息

　　在本報告所述期間，疫苗信息成為若干網(wǎng)絡(luò)間諜活動的中心。2020 年 7 月，英國外交大臣發(fā)布了關(guān)于大規(guī)模網(wǎng)絡(luò)釣魚活動的警告，這些活動似乎專門針對新冠病毒-19 研究設(shè)施，并被認(rèn)為是由國家贊助的。2020 年晚些時候，發(fā)現(xiàn)了具有獲取證書能力的網(wǎng)絡(luò)釣魚計劃，目的是獲取有關(guān)疫苗運輸和分發(fā)過程的信息。2020 年底，阿斯利康員工的魚叉網(wǎng)絡(luò)釣魚事件被歸咎于國家支持的 APT 團體。

　?。?）醫(yī)療行業(yè)數(shù)據(jù)泄露激增

　　醫(yī)療保健數(shù)據(jù)泄露正在迅速增加。由于新冠病毒-19 大流行，醫(yī)療保健部門成為人們關(guān)注的焦點，而威脅行為者利用這場危機打擊了本已深受其害的醫(yī)療行業(yè)。此外，由于大流行，轉(zhuǎn)向在線提供醫(yī)療服務(wù)、遠程電子健康和遠程醫(yī)療方法的趨勢有所增加，因此對手泄漏醫(yī)療數(shù)據(jù)的機會大大增加。

　?。?）商業(yè)環(huán)境中的數(shù)據(jù)泄露上升

　　根據(jù) SAN Institute 的數(shù)據(jù)，在過去幾年中，約有 74000 名員工、承包商和供應(yīng)商因公司筆記本電腦被盜而受到數(shù)據(jù)泄露的影響。數(shù)據(jù)未加密的事實加劇了這種情況。在 2021 年對 300 名受訪者（包括在最重要的業(yè)務(wù)領(lǐng)域擁有 5000 多名員工的美國公司的高層管理人員）的研究中，34%的受訪者因內(nèi)部人員濫用特權(quán)而成為財產(chǎn)盜竊或供應(yīng)鏈?zhǔn)軗p的目標(biāo)。

　　（4）動機和攻擊載體保持不變

　　在本報告所述期間，對手動機以及主要攻擊載體大致保持不變。與過去兩年一樣，網(wǎng)絡(luò)釣魚仍然是入侵的首要原因（36%）。其次是使用被盜憑證（25%）和勒索軟件（10%）。和過去幾年一樣，經(jīng)濟動機的襲擊仍然是最常見的。近 80%的網(wǎng)絡(luò)攻擊是為了經(jīng)濟利益，比如直接從金融賬戶竊取資金，竊取信用卡信息或其他類型的數(shù)據(jù)，或要求贖金。

　　（5）身份盜竊和合成身份有所增加

　　據(jù)美國聯(lián)邦貿(mào)易委員會（FTC）稱，2020 年有關(guān)身份盜竊的投訴有所增加。其中約三分之一涉及美國政府福利。此外，美國很多案件都可能涉及合成身份。合成身份盜竊是一種詐騙行為，犯罪分子將真實和虛假信息結(jié)合起來，創(chuàng)造一個新的身份。根據(jù)美聯(lián)儲的說法，使用合成身份的事件在美國很常見。

　?。?）供應(yīng)鏈攻擊日益嚴(yán)重的影響

　　據(jù)估計，2021 年發(fā)生的供應(yīng)鏈攻擊事件是 2020 年的 4 倍。由于一半的攻擊被歸因于高級持續(xù)性威脅（APT）行為者，其復(fù)雜性和資源大大超過了更常見的非目標(biāo)攻擊。約 58%的供應(yīng)鏈攻擊是為了獲取數(shù)據(jù)（主要是客戶數(shù)據(jù)，包括個人數(shù)據(jù)和知識產(chǎn)權(quán)），約 16%的攻擊是為了獲取人的信息。當(dāng)涉及到供應(yīng)商的數(shù)據(jù)時，20%的攻擊是為了獲取這些數(shù)據(jù)，66%的攻擊是為了獲取供應(yīng)商的源代碼。

　　6. 對可用性和完整性的威脅的發(fā)展特點

　?。?）勒索拒絕服務(wù)（RDoS）是 DDoS 攻擊的新趨勢

　　從 2020 年 8 月起，勒索拒絕服務(wù)（RDDoS）攻擊活動得到了大幅提升，F(xiàn)ancy Bear、Cozy Bear、Lazarus Group 和 Armada Collective 等黑客組織開展了這些攻擊活動，目標(biāo)行業(yè)包括全球范圍內(nèi)的電子商務(wù)、金融和旅游。RDDoS 有兩種類型：1）攻擊優(yōu)先；2） 勒索優(yōu)先。第一種情況實現(xiàn)了 DDoS攻擊，并請求贖金來阻止它。第二種情況以小型 DoS 形式發(fā)送勒索信和證據(jù)，并要求支付贖金。RDDoS 攻擊比傳統(tǒng)的 DDoS 攻擊更加危險，因為攻擊者在沒有足夠資源的情況下也可以完成攻擊。

　?。?）傳統(tǒng) DDoS 正向移動網(wǎng)絡(luò)和物聯(lián)網(wǎng)方向發(fā)展

　　物聯(lián)網(wǎng)（IoT）與 5G 的成功結(jié)合導(dǎo)致了新一輪 DDoS 攻擊，可能會導(dǎo)致受害者支付贖金。一方面，5G 使物聯(lián)網(wǎng)更容易受到網(wǎng)絡(luò)攻擊，支持本地化的DDoS，在這種情況下，攻擊者通過一組受攻擊設(shè)備的一個切片來干擾特定區(qū)域的連接。另一方面，物聯(lián)網(wǎng)可以作為 DDoS 的威脅載體。攻擊者可以構(gòu)建大量僵尸網(wǎng)絡(luò)來發(fā)起DDoS攻擊或分發(fā)惡意軟件。這在工業(yè)物聯(lián)網(wǎng)（IIoT）中尤其重要，因為在工業(yè)物聯(lián)網(wǎng)中，設(shè)備漏洞可以中斷業(yè)務(wù)運營并造成重大損害。

　?。?）針對 DDoS 攻擊的先進技術(shù)層出不窮

　　在虛擬化環(huán)境中共享資源是 DDoS 攻擊的放大器。物理資源過載會導(dǎo)致通信、服務(wù)和數(shù)據(jù)訪問中斷。DDoS 攻擊者正在采用技術(shù)先進的智能攻擊策略。在 2020-21 年，智能攻擊使用公開可用信息來監(jiān)控目標(biāo)采用的對策，并在運行時調(diào)整攻擊策略。在這種情況下，短攻擊的持續(xù)時間減少，而長攻擊的持續(xù)時間增加。從絕對數(shù)量上看，2021 年第一季度短攻擊的數(shù)量大幅增加，而長攻擊的數(shù)量減少，但總持續(xù)時間增加了 589 次。

　　（4）DDoS 行動變得更有針對性、多向量和持久性

　　2021 年的 DDoS 活動變得更具針對性、多矢量和持久性。攻擊者尋找弱點來開發(fā)和嘗試不同的攻擊向量組合。據(jù)統(tǒng)計，65%的 DDoS 攻擊都是多向量攻擊，大多數(shù)攻擊向量集中在 UDP 協(xié)議上，如網(wǎng)絡(luò)時間協(xié)議（NTP）、無連接輕型目錄訪問協(xié)議（CLDAP）、Internet 控制消息協(xié)議（ICMP）和域名系統(tǒng)（DNS）。

　?。?）規(guī)模較小的組織正成為攻擊目標(biāo)

　　DDoS 越來越多地以小型企業(yè)為目標(biāo)，網(wǎng)絡(luò)犯罪分子越來越多地針對安全標(biāo)準(zhǔn)較低的小型組織，確保用較小的數(shù)據(jù)量和最大的收入成功攻擊。但 是公共機構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施仍然是 DDoS 攻擊的主要目標(biāo)。

　?。?）增加了基于 Web 和 DDoS 攻擊的組合

　　DDoS 和基于 web 的攻擊通常是協(xié)同活動，web 應(yīng)用仍易受到與 web相關(guān)的威脅，如注入和跨站點腳本，并可能成為 DDoS 攻擊的載體。根據(jù)最近的一份報告，SQL 注入漏洞和 PHP 注入漏洞是最常被利用的漏洞，盡管 XSS 是發(fā)現(xiàn)最多的漏洞。

　　7. 虛假信息和錯誤信息威脅的發(fā)展特點

　?。?）人工智能支持了攻擊者進行虛假信息攻擊

　　人工智能被用來建立逼真的個人資料和圖像，改變帖子的內(nèi)容和措辭，并避免被人注意到，可以說人工智能社交媒體是虛假信息傳播的基礎(chǔ)，造成了社會混亂。當(dāng)前深度造假技術(shù)發(fā)展非常迅速，人工智能技術(shù)的支持使得深度造假更加簡單、可信，而社交媒體則有助于其廣泛傳播。

　?。?）新冠病毒-19 大流行擴大了攻擊活動

　　新冠病毒-19 是虛假信息攻擊的熱門話題，虛假信息活動旨在傳播對冠狀病毒疫苗有效性的恐懼、不確定性和懷疑。企業(yè)和個人是虛假信息活動的目標(biāo)，這些攻擊活動側(cè)重于綠色通行證、強制性疫苗接種、健康護照、大規(guī)模免疫測試和封鎖等。

　?。?）虛假信息即服務(wù) （DaaS）

　　專業(yè)虛假信息主要是政府、政黨和公關(guān)公司大規(guī)模制造的。2019 年以來，越來越多的第三方提供虛假信息服務(wù)，代表客戶進行有針對性的攻擊。許多國家都提供服務(wù)，越來越多的非國有和私營商業(yè)組織正在使用這些服務(wù)。在此背景下，虛假信息已從政治和社會領(lǐng)域轉(zhuǎn)移到企業(yè)界。牛津大學(xué)監(jiān)測了政府和政黨利用社交媒體操縱輿論的情況，以及與它們合作傳播虛假信息的各種私人公司和其他組織。從地理的角度來看，虛假信息和錯誤信息正在針對世界上的每個國家。

　　8. 非惡意威脅的發(fā)展特點

　?。?）錯誤和系統(tǒng)配置錯誤是最常見的根本原因

　　2020 年，在根據(jù) NIS 指令報告的具有重大影響的事件中，有 17%被標(biāo)記為人為錯誤，而系統(tǒng)故障仍然是報告事件最常見的根本原因，比率為 48%。這些事件的原因是軟件缺陷和硬件故障。這是一個持續(xù)的趨勢，2019 年報告了類似的數(shù)據(jù)。

　?。?）由于遷移到云端而導(dǎo)致非惡意事件數(shù)量增加

　　COVID-19 的流行迫使人們遷移到云端，導(dǎo)致 2019 年 10 月至 2021 年 2 月期間全球云端工作量大幅增加：亞太地區(qū) 70%，歐洲、中東和非洲地區(qū)69%，美國地區(qū)65%，日本58%。根據(jù)Palo Alto networks的數(shù)據(jù)，因COVID-19大流行而顯著增加了云計算負(fù)載，安全事件顯著增長，增長率最高的行業(yè)，零售業(yè) 402%、制造業(yè) 230%、政府 205%以及制藥和生命科學(xué) 127%。

　?。?）漏洞和 bug 繼續(xù)扮演著重要角色

　　2020 年，物聯(lián)網(wǎng)惡意軟件也出現(xiàn)了前所未有的激增，這些惡意軟件利用的設(shè)備在大多數(shù)情況下是不安全的，也從未正確地打過補丁。同時，有些漏洞已經(jīng)相當(dāng)古老，攻擊者仍然在積極利用它們，根據(jù) Verizon 的數(shù)據(jù)，20%的組織暴露了早在 2010 年的漏洞，SonicWall 發(fā)現(xiàn)類似的舊漏洞仍在被利用。

　　9. 供應(yīng)鏈攻擊的發(fā)展特點

　?。?）供應(yīng)鏈攻擊的四大分類

　　在網(wǎng)絡(luò)安全方面，供應(yīng)鏈涉及廣泛的資源（硬件和軟件）、存儲（云或本地）、分發(fā)機制（網(wǎng)絡(luò)應(yīng)用程序、在線商店）和管理軟件。供應(yīng)商、供應(yīng)商資產(chǎn)、客戶、客戶資產(chǎn)是供應(yīng)鏈的四個關(guān)鍵要素。而供應(yīng)鏈攻擊是至少兩次攻擊的組合，第一個攻擊是對供應(yīng)商進行攻擊，然后用來攻擊目標(biāo)以獲得對其資產(chǎn)的訪問權(quán)。目標(biāo)可以是最終客戶或其他供應(yīng)商。因此，要將攻擊歸類為供應(yīng)鏈攻擊，供應(yīng)商和客戶都必須成為攻擊的目標(biāo)。對于供應(yīng)商來說，第一部分稱為“危害供應(yīng)鏈的攻擊技術(shù)”，它確定了供應(yīng)商是如何受到攻擊的。供應(yīng)商的第二部分稱為“以供應(yīng)鏈攻擊為目標(biāo)的供應(yīng)商資產(chǎn)”，它確定了對供應(yīng)商的攻擊目標(biāo)是什么。對于客戶來說，第一部分稱為“用于危害客戶的攻擊技術(shù)”，它確定了客戶是如何受到攻擊的?？蛻舻牡诙糠址Q為“供應(yīng)鏈攻擊所針對的客戶資產(chǎn)”，它確定了對客戶的攻擊目標(biāo)是什么，具體如表 2 所示。

　　（2）以目標(biāo)為導(dǎo)向的攻擊者

　　在 66%的供應(yīng)鏈攻擊事件中，攻擊者將注意力集中在供應(yīng)商的代碼上，目的是進一步危害目標(biāo)客戶。在 20%的攻擊事件中，攻擊者的目標(biāo)數(shù)據(jù)，以及 12%的供應(yīng)商攻擊目標(biāo)是內(nèi)部流程。了解這些對于網(wǎng)絡(luò)安全保護工作至關(guān)重要，組織應(yīng)重點驗證第三方代碼和軟件，以確保其未被篡改或操縱。這些供應(yīng)鏈攻擊所針對的最終客戶資產(chǎn)似乎主要是客戶數(shù)據(jù)，包括個人數(shù)據(jù)和知識產(chǎn)權(quán)。攻擊者還以其他資產(chǎn)（包括人員、軟件和財務(wù)資源）為目標(biāo)，但攻擊程度較低。

　　（3）大多數(shù)攻擊載體都是未知的

　　調(diào)查結(jié)果表明，在 66% 的供應(yīng)鏈攻擊中，供應(yīng)商不知道他們是如何受到威脅的。相比之下，通過供應(yīng)鏈攻擊而受損的客戶中，只有不到 9% 不知道攻擊是如何發(fā)生的。這凸顯了供應(yīng)商和面向最終用戶的公司之間在網(wǎng)絡(luò)安全事件報告成熟度方面的差距。83%的供應(yīng)商在技術(shù)部門，缺乏對攻擊是如何發(fā)生的了解，可能表明在供應(yīng)商基礎(chǔ)設(shè)施的網(wǎng)絡(luò)防御方面成熟度不高，或者不愿意共享相關(guān)信息。此外，還有其他因素，包括攻擊的復(fù)雜性和攻擊的緩慢性，都可能會使信息不透明。

　?。?）大部分是 APT 集團發(fā)起的復(fù)雜攻擊

　　超過 50%的供應(yīng)鏈攻擊是由著名的網(wǎng)絡(luò)犯罪集團造成的，其中包括APT 29、APT 41、Thallium APT、CD 2546、Lazarus APT、TA 413 和 TA 428。分析表明，APT 集團似乎對具有區(qū)域影響的目標(biāo)略有偏愛，并且有相當(dāng)數(shù)量的攻擊旨在獲取客戶數(shù)據(jù)。

　　三

　　幾點認(rèn)識

　?。ㄒ唬┚W(wǎng)絡(luò)威脅情報已成為網(wǎng)絡(luò)安全保障領(lǐng)域的重要組成部分

　　為應(yīng)對激增的新型網(wǎng)絡(luò)威脅，確保歐盟在網(wǎng)絡(luò)空間的優(yōu)勢，消除成員國間的猜疑和威脅情報共享的障礙，提升應(yīng)對網(wǎng)絡(luò)威脅的能力，歐盟先后發(fā)布了系列戰(zhàn)略和法規(guī)標(biāo)準(zhǔn)，均明確指出了網(wǎng)絡(luò)安全信息共享的重要性，歐盟成員國也在本國的網(wǎng)絡(luò)安全戰(zhàn)略中強調(diào)建立信息共享機制，逐步形成多層次的網(wǎng)絡(luò)威脅情報共享規(guī)劃，確立了網(wǎng)絡(luò)威脅情報共享的戰(zhàn)略地位。

　　除了將網(wǎng)絡(luò)威脅情報共享提升到戰(zhàn)略地位，歐盟還成立了專門的網(wǎng)絡(luò)信息安全機構(gòu)，并積極與情報部門協(xié)作，形成了歐盟、成員國、民間組織與情報機構(gòu)協(xié)作的多層次網(wǎng)絡(luò)威脅共享機制。而歐盟作為一個超國家集合體，發(fā)展不均衡引發(fā)眾多網(wǎng)絡(luò)安全隱患。為此歐盟成立了多種機構(gòu)負(fù)責(zé)網(wǎng)絡(luò)信息安全工作，實現(xiàn)不同國家和機構(gòu)的協(xié)調(diào)互聯(lián)，歐盟網(wǎng)絡(luò)和信息安全局（ENISA）就是在這樣的背景下成立的機構(gòu)之一，ENISA 作為歐盟的一個獨立的、永久性政府機構(gòu)，成立于 2004 年，主要協(xié)調(diào)歐盟層面的網(wǎng)絡(luò)安全調(diào)研、協(xié)調(diào)、落實等，主要職能包括提供咨詢和建議、支持政策制定和實施，以及協(xié)調(diào)各成員國在相關(guān)產(chǎn)業(yè)方面的合作，為歐洲國家網(wǎng)絡(luò)空間戰(zhàn)略發(fā)展提供重要的技術(shù)和政策支撐。ENISA 連續(xù) 9 年不間斷地對歐盟及相關(guān)國家和地區(qū)面臨的主要網(wǎng)絡(luò)威脅態(tài)勢、易受攻擊的行業(yè)和目標(biāo)、網(wǎng)絡(luò)- 攻擊者情況、網(wǎng)絡(luò)攻擊動機、常用技術(shù)等進行分析研究。要求歐盟各成員國消除監(jiān)管障礙，開發(fā)內(nèi)部網(wǎng)絡(luò)威脅情報系統(tǒng)，擺脫對美國等情報源的依賴，開發(fā)新技術(shù)，擴大網(wǎng)絡(luò)威脅情報收集范圍，提升歐盟網(wǎng)絡(luò)威脅情報能力，提高網(wǎng)絡(luò)威脅情報的獨立性和質(zhì)量。基于這些戰(zhàn)略情報，歐盟這些年在安全技術(shù)、能力建設(shè)、保持優(yōu)勢和國際合作等方面提出了多項切實有力措施，在空間上覆蓋各成員國，時間上涉及網(wǎng)絡(luò)安全預(yù)防、抵御沖擊及事后追查犯罪等全過程，在產(chǎn)業(yè)體系上試圖涵蓋數(shù)字供應(yīng)鏈全鏈，全面提升了歐盟網(wǎng)絡(luò)安全管理及應(yīng)對威脅的能力和水平。

　　當(dāng)前網(wǎng)絡(luò)威脅情報共享已融入到歐盟及成員國網(wǎng)絡(luò)安全建設(shè)的諸多方面，不但多角度確立了網(wǎng)絡(luò)威脅情報共享的戰(zhàn)略地位，而且構(gòu)建了網(wǎng)絡(luò)威脅情報共享機制，還多渠道推動著網(wǎng)絡(luò)威脅情報共享能力的建設(shè)，這些都對我國更好地應(yīng)對網(wǎng)絡(luò)威脅、提高網(wǎng)絡(luò)抗風(fēng)險能力提供了借鑒。

　?。ǘ┚W(wǎng)絡(luò)安全威脅已全面泛化，我國應(yīng)以實際行動轉(zhuǎn)危為機

　　當(dāng)前，全球網(wǎng)絡(luò)安全風(fēng)險已達峰值。攻擊者的目標(biāo)越來越多，采用的攻擊方式也愈加難以預(yù)測。同時，新冠疫情催化了云計算等技術(shù)的應(yīng)用，以及辦公場景的變革，線上辦公的廣泛普及加劇了信息傳遞對網(wǎng)絡(luò)的依賴，需要應(yīng)對更加復(fù)雜多樣的網(wǎng)絡(luò)安全風(fēng)險。此外，網(wǎng)絡(luò)攻擊的產(chǎn)業(yè)化發(fā)展趨勢使得攻擊工具和手法變得愈加復(fù)雜多樣，傳統(tǒng)的防火墻、入侵檢測技術(shù)、惡意代碼掃描、網(wǎng)絡(luò)監(jiān)控等被動防御手段顯得捉襟見肘疲于應(yīng)付。面對日益嚴(yán)峻的網(wǎng)絡(luò)空間安全威脅，更加需要了解自身的網(wǎng)絡(luò)安全脆弱點，掌握已知、未知的網(wǎng)絡(luò)安全風(fēng)險點，不斷提升自身在實戰(zhàn)中的檢測與響應(yīng)能力。

　　首先應(yīng)在網(wǎng)絡(luò)體系構(gòu)建方面高度強調(diào)韌性的重要性，提高關(guān)鍵基礎(chǔ)設(shè)施及服務(wù)的網(wǎng)絡(luò)韌性水平，特別是提高電力、金融、交通運輸?shù)汝P(guān)鍵部門的網(wǎng)絡(luò)韌性；保護通信基礎(chǔ)設(shè)施和 5G 網(wǎng)絡(luò)安全，重視人工智能、量子計算等關(guān)鍵技術(shù)的開發(fā)與應(yīng)用，未來數(shù)年內(nèi)部署安全量子通訊基礎(chǔ)設(shè)施，以 -種極安全的加密形式抵御網(wǎng)絡(luò)攻擊。其次提高網(wǎng)絡(luò)安全技術(shù)水平，打造網(wǎng)絡(luò)安全屏障。加強對基礎(chǔ)設(shè)施聯(lián)網(wǎng)軟硬件的風(fēng)險排查，減少或消除安全隱患。對關(guān)鍵基礎(chǔ)設(shè)施上的進口零部件，有必要加緊國產(chǎn)替代步伐，提高安全系數(shù)。二是健全安全協(xié)調(diào)機制，匯集各方力量共保網(wǎng)絡(luò)安全。各部門之間建立協(xié)調(diào)聯(lián)動機制，針對重大跨境網(wǎng)絡(luò)事件及威脅提供技術(shù)，通過信息共享，提供持續(xù)共享的風(fēng)險態(tài)勢感知能力。加強網(wǎng)絡(luò)安全執(zhí)法隊伍規(guī)模及能力建設(shè)，并獲得其他部門支持。三是努力提升我國在網(wǎng)絡(luò)安全領(lǐng)域的國際話語權(quán)。一方面繼續(xù)推進數(shù)字技術(shù)、網(wǎng)絡(luò)安全技術(shù)的進步。在優(yōu)勢領(lǐng)域保持領(lǐng)先，使其他國家在短時間內(nèi)難以找到替代方案。在追趕領(lǐng)域持續(xù)發(fā)力，減少被“卡脖子”“的領(lǐng)域。另一方面加大人才培養(yǎng)力度，推動網(wǎng)絡(luò)安全等實用技能人才的培養(yǎng)，全面提高公民的數(shù)字素養(yǎng)，穩(wěn)步接近世界發(fā)達國家和地區(qū)水平。

　　總體來看，隨著數(shù)字經(jīng)濟進入新的發(fā)展階段，網(wǎng)絡(luò)安全領(lǐng)域還將面臨更多的新挑戰(zhàn)和新機遇。對此，我們要不斷提升網(wǎng)絡(luò)安全意識；進一步細化網(wǎng)絡(luò)安全管理體系，加快相關(guān)監(jiān)管政策的落地和標(biāo)準(zhǔn)體系的建設(shè)；加強核心技術(shù)創(chuàng)新，全面提升網(wǎng)絡(luò)安全防護能力；加快推進網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展；創(chuàng)新網(wǎng)絡(luò)安全人才培養(yǎng)模式，加強網(wǎng)絡(luò)安全人才市場供需對接。

　　附錄：（1）防范和應(yīng)對勒索軟件的建議：

　　? 實施安全和冗余備份戰(zhàn)略。？ 身份和訪問管理的實施和審核（最低特權(quán)和職責(zé)分離）。

　　? 培訓(xùn)和提高用戶（包括特權(quán)用戶）的意識。

　　? 開發(fā)和生產(chǎn)環(huán)境分離。與政府和企業(yè)共享事故信息。

　　?  限制對已知勒索軟件網(wǎng)站的訪問。

　　? 應(yīng)為授權(quán)設(shè)備、用戶和流程頒發(fā)、管理、驗證、撤銷和審核身份和憑證。

　　?  應(yīng)管理訪問權(quán)限和授權(quán)，納入最低特權(quán)和職責(zé)分離原則。

　　? 應(yīng)定期測試?yán)账鬈浖憫?yīng)和恢復(fù)計劃，以確保風(fēng)險和響應(yīng)假設(shè)和流程與不斷演變的勒索軟件威脅相關(guān)。

　　?  使用阻止進入已知勒索軟件網(wǎng)站的安全產(chǎn)品或服務(wù)。

　　? 執(zhí)行勒索軟件準(zhǔn)備就緒評估（RRA），這是 CISA 針對 IT 和 ICS（工業(yè)控制系統(tǒng)）網(wǎng)絡(luò)開發(fā)的一個工具，用于評估不同級別勒索軟件威脅準(zhǔn)備就緒情況下的安全性。

　　?  向政府報告任何攻擊或企圖攻擊，并幫助限制其傳播。

　　? 系統(tǒng)監(jiān)測，以快速識別感染。

　　?  跟蹤勒索軟件的最新趨勢、發(fā)展和預(yù)防建議。

　　（2）防范和應(yīng)對惡意軟件的建議：

　　?  對所有入站/出站通道實施惡意軟件檢測，包括所有適用平臺（即服務(wù)器、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、個人計算機和移動設(shè)備）中的電子郵件、網(wǎng)絡(luò)、web和應(yīng)用系統(tǒng)。？  檢查 SSL/TLS 流量，允許防火墻解密網(wǎng)站、電子郵件通信和移動應(yīng)用程序之間的傳輸內(nèi)容。

　　? 在惡意軟件檢測功能和安全事件管理之間建立接口，以建立有效的響應(yīng)能力。

　　?  使用可用于惡意軟件分析的工具共享惡意軟件信息和惡意軟件緩解（即MISP）。

　　?  制定安全政策，規(guī)定發(fā)生感染時應(yīng)遵循的流程。

　　?  了解各種安全工具的功能，并開發(fā)新的安全解決方案。找出差距并應(yīng)用縱深防御原則。

　　? 對惡意電子郵件采用郵件過濾（或垃圾郵件過濾），并刪除可執(zhí)行附件。

　　?  定期監(jiān)控防病毒測試的結(jié)果。

　　?  對容器基礎(chǔ)設(shè)施使用補丁管理。

　　?  利用安全事件和事件管理（SIEM）解決方案進行日志監(jiān)控。指示日志源包括防病毒警報、端點檢測和響應(yīng)（EDR）、代理服務(wù)器日志、Windows事件和系統(tǒng)日志、入侵檢測系統(tǒng)（IDS）日志等。

　　（3）如何防范和應(yīng)對加密劫持的建議：

　　?  監(jiān)控用戶設(shè)備上的電池使用情況，如果 CPU 使用率出現(xiàn)可疑峰值，則掃描是否存在基于文件的礦工。

　　? 實現(xiàn)常見加密挖掘協(xié)議的 web 過濾，以及將流行加密挖掘 IP 池的 IP 地址和域列入黑名單。？ 監(jiān)控網(wǎng)絡(luò)異常和塊挖掘協(xié)議。

　　? 通過防病毒程序或 crypto miner 阻止瀏覽器插件安裝端點保護。

　　?  定期進行安全審計，以檢測網(wǎng)絡(luò)異常。

　　? 實施強大的漏洞和補丁管理，以防范新出現(xiàn)的威脅和漏洞。

　　?  針對已知漏洞實施補丁和修復(fù)。

　　?  使用白名單防止在端點執(zhí)行未知的可執(zhí)行文件。

　　?  使用允許列表僅允許在端點上執(zhí)行已知的可執(zhí)行文件。監(jiān)視和阻止公共加密挖掘可執(zhí)行文件。

　　?  投資于提高用戶對加密劫持的意識，特別是在安全瀏覽行為方面。

　　? 在安全意識培訓(xùn)的背景下討論加密挖掘。

　?。?）防范和應(yīng)對與電子郵件相關(guān)的威脅的建議：

　　?  提供關(guān)于如何識別可疑鏈接和附件以及如何報告這些鏈接和附件的定期用戶培訓(xùn)。在電子郵件網(wǎng)關(guān)上實施垃圾郵件過濾器；隨時更新簽名和規(guī)則。盡可能使用安全的電子郵件網(wǎng)關(guān)，并自動維護過濾器（反垃圾郵件、反惡意軟件、基于策略的過濾）。

　　?  在電子郵件網(wǎng)關(guān)上設(shè)置安全控制，以減少誘餌到達員工收件箱的頻率或可能性。

　　? 實施”了解需求“訪問政策，以限制任何妥協(xié)的影響。

　　? 確保來自組織外部的電子郵件在收到前自動標(biāo)記。

　　?  對賬戶實施多因素認(rèn)證（MFA）。

　　?  檢查可疑惡意域的壽命及其所有權(quán)。

　　?  盡可能采用安全解決方案，使用機器學(xué)習(xí)技術(shù)實時識別釣魚網(wǎng)站。

　　? 禁止在郵件客戶端自動執(zhí)行代碼、宏、圖形渲染和預(yù)加載郵件鏈接，并經(jīng)常更新它們。

　　? 實施減少垃圾郵件的標(biāo)準(zhǔn)之一。

　　? 在可能的情況下，對于關(guān)鍵金融交易或交換敏感信息時，通過使用數(shù)字簽名或加密實現(xiàn)安全的電子郵件通信。

　　? 盡可能在網(wǎng)絡(luò)級別對入站和出站電子郵件實施欺詐和異常檢測。

　　?  如果對電子郵件來源沒有絕對信心，請勿單擊隨機鏈接或下載附件。

　　?  檢查訪問的網(wǎng)站的域名是否存在拼寫錯誤，尤其是敏感網(wǎng)站（如銀行網(wǎng)站）。威脅參與者通常注冊與合法域相似的假域，并使用其來”釣魚“。

　　? 為每項在線服務(wù)使用強大且唯一的密碼。為各種服務(wù)重復(fù)使用相同的密碼是一個嚴(yán)重的安全問題，應(yīng)始終避免。

　　? 實施內(nèi)容過濾以定位不需要的附件、包含惡意內(nèi)容的電子郵件、垃圾郵件和不需要的網(wǎng)絡(luò)流量。

　　?  避免回復(fù)未知發(fā)件人在電子郵件或短信中收到的新鏈接，最重要的是，在跟蹤此類鏈接時不要輸入自己的憑據(jù)。

　　（5）防范和應(yīng)對數(shù)據(jù)威脅的建議：

　　? 制定和維護網(wǎng)絡(luò)安全意識計劃。

　　? 根據(jù)”需要知道“原則限制用戶訪問權(quán)限。撤銷非員工的訪問權(quán)限。

　　?  建立和維護事件響應(yīng)團隊，并經(jīng)常評估事件響應(yīng)計劃。

　　? 發(fā)現(xiàn)和分類敏感/個人數(shù)據(jù)，并采取措施對傳輸中和靜止的此類數(shù)據(jù)進行加密。換句話說，部署數(shù)據(jù)丟失預(yù)防功能。

　　?  增加與檢測、警報工具以及遏制和應(yīng)對數(shù)據(jù)泄露能力相關(guān)的投資。

　　?  制定并維護強有力的政策，強制執(zhí)行強有力的密碼（密碼管理）和使用多因素身份驗證（MFA）。

　　?  制定與治理、風(fēng)險管理和合規(guī)團隊合作的政策和計劃。

　　?  僅在安全的 IT 資產(chǎn)上存儲數(shù)據(jù)。

　　? 定期對人員進行教育和培訓(xùn)。

　　?  使用技術(shù)工具避免可能的數(shù)據(jù)泄漏，如漏洞掃描、惡意軟件掃描和數(shù)據(jù)丟失預(yù)防（DLP）工具。部署數(shù)據(jù)和便攜式系統(tǒng)和設(shè)備加密，以及安全網(wǎng)關(guān)。

　　? 業(yè)務(wù)連續(xù)性計劃（BCP）在發(fā)生數(shù)據(jù)泄露時至關(guān)重要。該計劃概述了存儲的數(shù)據(jù)類型、位置以及在實施數(shù)據(jù)安全和恢復(fù)措施時可能產(chǎn)生的潛在責(zé)任。

　　? 在公司內(nèi)部實施”威脅搜尋“以加強安全計劃。

　　? 基于 velocity 的規(guī)則等策略可用于緩解身份欺詐，尤其是對于支付卡交易。有效交易的機器數(shù)據(jù)可為最佳策略定義提供足夠的信息。

　　?  單點登錄（SSO）身份驗證方法（如果可用）允許用戶使用同一組數(shù)字憑據(jù)訪問多個應(yīng)用程序。

　　?  在采取任何進一步措施之前，應(yīng)首先根據(jù) IP 地址、與 IP 關(guān)聯(lián)的 ASN、域所有者以及該域與其他域之間的關(guān)系檢查通過電子郵件發(fā)送或隨機訪問的 URL。

　　?  采用云服務(wù)的組織應(yīng)具有強大的云安全運營能力，并更喜歡同時使用內(nèi)部存儲、私有云存儲和公共云存儲的體系結(jié)構(gòu)，以保護其客戶的個人信息。

　　? 對敏感數(shù)據(jù)使用強大且更新的加密方法，如 TLS 1.3（使用臨時密鑰），以防止黑客攻擊。

　　? 充分保護所有身份證件和復(fù)印件（實物或數(shù)字），防止未經(jīng)授權(quán)的訪問

　　? 身份信息不應(yīng)披露給未經(jīng)請求的收件人，他們通過電話、電子郵件或親自提出的請求也不應(yīng)得到答復(fù)。

　　? 安裝并使用內(nèi)容過濾功能過濾掉不需要的附件、包含惡意內(nèi)容的郵件、垃圾郵件和不需要的網(wǎng)絡(luò)流量。

　　?  使用數(shù)據(jù)丟失預(yù)防（DLP）解決方案。

　?。?）防范和應(yīng)對對可用性和完整性威脅的建議：DDoS 和基于 web 的攻擊都是長期存在的威脅，緩解 DDoS 攻擊的對策如下：

　　?  拒絕服務(wù)響應(yīng)計劃對于以恢復(fù)能力為優(yōu)先事項的組織至關(guān)重要，應(yīng)整合系統(tǒng)檢查表、響應(yīng)團隊以及有效的溝通和上報程序。

　　? 安全過程應(yīng)是一項持續(xù)的活動，跟蹤并適應(yīng)系統(tǒng)和網(wǎng)絡(luò)的演變和生命周期。

　　?  相關(guān)組織之間的協(xié)作和協(xié)調(diào)對于倍增和加強緩解工作至關(guān)重要。

　　?  使用本地解決方案、DDoS 清理服務(wù)或混合解決方案實施 DDoS 保護。

　　?  同時使用網(wǎng)絡(luò)和 web 應(yīng)用程序防火墻。

　　? 使用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。

　　?  及時應(yīng)用補丁，高度重視系統(tǒng)更新。

　　?  流量分析和流量過濾有助于提供異常流量模式的早期預(yù)警信號，這些異常流量模式是 DDoS 攻擊的一個指標(biāo)。 使用 DDoS 緩解服務(wù)來檢測異常流量，并將流量重定向到遠離網(wǎng)絡(luò)的地方，同時使用速率限制來限制傳入流量。

　　? 保護基于 web 的 API 并監(jiān)控相關(guān)漏洞。

　　? 建立基于主動方法的威脅情報計劃，使安全態(tài)勢適應(yīng)不斷變化的威脅環(huán)境。

　　?  利用工作人員培訓(xùn)和網(wǎng)絡(luò)安全演習(xí)加強能力建設(shè)和準(zhǔn)備工作。

　　緩解基于 web 的攻擊的對策如下：

　　?  設(shè)置 web 應(yīng)用程序防火墻（WAF）以識別和過濾惡意請求。WAF 必須保持更新，以保護系統(tǒng)免受新發(fā)現(xiàn)的漏洞的影響。

　　?  加強代碼庫（例如輸入隔離、參數(shù)化語句），以防止基于注入的攻擊。

　　? 及時更新軟件，避免零日攻擊。

　　?  正確配置和強化 web 服務(wù)器，并定期修補 Internet 上公開的所有服務(wù)器。

　　?  使用攻擊工具、漏洞掃描程序和滲透測試服務(wù)，持續(xù)驗證安全強化的有效性。

　　?  啟用日志記錄并檢查這些日志。

　?。?）防范和應(yīng)對虛假信息/錯誤信息的建議：緩解方法包括技術(shù)和非技術(shù)領(lǐng)域。一方面，是以基于人的方法，包括培訓(xùn)、檢查和揭穿、監(jiān)管和溝通等方法。另一方面，技術(shù)解決方案對于限制通過社交網(wǎng)絡(luò)傳播錯誤/虛假信息非常重要。

　　?  培訓(xùn)和安全意識，為員工處理虛假信息攻擊以及評估任何電子郵件和報告做好準(zhǔn)備。

　　?  錯誤信息/虛假信息識別，例如，檢查來源、作者、交叉引用、引用的數(shù)據(jù)和日期等。

　　? 事實核查和揭穿虛假報道。

　　?  法規(guī)：新法規(guī)（如擬議的《電子商務(wù)數(shù)字服務(wù)法》）制定，以及對包括社交網(wǎng)絡(luò)在內(nèi)的傳播虛假新聞的網(wǎng)站的處罰。

　　?  戰(zhàn)略性和透明的溝通：事實性的，與政治溝通分開。

　　? 技術(shù)對策：重寫搜索引擎算法；通過廣告開展宣傳活動；可信度評級，顯示可疑行為；數(shù)字水印（標(biāo)記視覺內(nèi)容）；制定以情緒跟蹤和暗網(wǎng)監(jiān)控為中心的保護戰(zhàn)略。

　?。?）防范和應(yīng)對非惡意威脅的建議：

　　? 必須采取全面的安全方法，傳統(tǒng)安全通過實物保護和災(zāi)難恢復(fù)得到豐富。

　　? 采用考慮非惡意威脅以及云服務(wù)的風(fēng)險管理流程。

　　?  持續(xù)監(jiān)控和測試，及時發(fā)現(xiàn)錯誤和錯誤配置。

　　?  需要強有力的組織政策來減少人為錯誤。

　　?  對數(shù)據(jù)和安全采用基于治理的方法，允許對數(shù)據(jù)進行全面考慮和跟蹤。

　　? 處理漏洞的補丁管理計劃。

　　?  補丁管理必須考慮供應(yīng)鏈風(fēng)險。

　　?  針對所有類型用戶的培訓(xùn)和意識。

　　? 對物理基礎(chǔ)設(shè)施進行工程設(shè)計，使其更能抵御自然事件，并對公用設(shè)施進行適當(dāng)管理，以確保在發(fā)生意外事件或短缺時的業(yè)務(wù)連續(xù)性。

　　? 零信任安全方法，假設(shè)一切都被認(rèn)為是惡意和不可信的。

　　? 提高最高管理層對網(wǎng)絡(luò)安全和物理安全必須整合的認(rèn)識。

　　?  恢復(fù)計劃和備份是提高系統(tǒng)恢復(fù)能力的基礎(chǔ)。

　　? 物理破壞可促進攻擊。例如，物理訪問控制、無人值守設(shè)備中的漏洞可幫助對手進行攻擊。

　　?  內(nèi)部設(shè)備（加熱、通風(fēng)和空調(diào)）中的錯誤和故障可能導(dǎo)致火災(zāi)、潮濕和不穩(wěn)定電源可能損壞 IT 基礎(chǔ)設(shè)施的情況。

　　?  風(fēng)險評估、災(zāi)難恢復(fù)技術(shù)和人員培訓(xùn)至關(guān)重要。