2021 年 10 月 27 日，歐盟網(wǎng)絡(luò)和信息安全局（ENISA）發(fā)布《ENISA 2021年威脅態(tài)勢(shì)展望》報(bào)告，分析了全球面臨的九大網(wǎng)絡(luò)安全威脅，闡述了威脅趨勢(shì)、威脅參與者和攻擊技術(shù)等，提出了相關(guān)緩解和應(yīng)對(duì)措施。2021年該項(xiàng)工作得到了新組建的 ENISA網(wǎng)絡(luò)安全威脅態(tài)勢(shì) （CTL）特設(shè)工作組的支持。該報(bào)告可幫助戰(zhàn)略決策者和政策制定者、政府及公司詳盡了解最新的網(wǎng)絡(luò)安全威脅，而且可針對(duì)性地開發(fā)技術(shù)予以解決，可作為國(guó)家網(wǎng)絡(luò)空間戰(zhàn)略發(fā)展的政策制定和技術(shù)發(fā)展的重要參考依據(jù)，對(duì)我國(guó)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的實(shí)施和完善有著重要的借鑒意義。

　　一

　　相關(guān)背景

　　ENISA 作為歐盟最高網(wǎng)絡(luò)安全常規(guī)機(jī)構(gòu)，是一個(gè)獨(dú)立的政府機(jī)構(gòu)，成立于 2004 年，以歐盟層級(jí)網(wǎng)絡(luò)安全職能部門的角色， 為歐盟及其成員國(guó)提供增強(qiáng)信息與網(wǎng)絡(luò)安全相關(guān)的建議和協(xié)助，幫助歐盟及其成員國(guó)為應(yīng)對(duì)未來(lái)的網(wǎng)絡(luò)攻擊做好充分準(zhǔn)備。評(píng)估和溝通漏洞及網(wǎng)絡(luò)威脅信息也是 ENISA 的其中一項(xiàng)重要職能， 這些內(nèi)容集中體現(xiàn)在其每年推出的對(duì)全球網(wǎng)絡(luò)安全威脅態(tài)勢(shì)的年度分析報(bào)告《威脅態(tài)勢(shì)展望》中，2021 是 ENISA 威脅態(tài)勢(shì)報(bào)告的第九版。該報(bào)告長(zhǎng)達(dá) 100  多頁(yè)， 報(bào)告內(nèi)容來(lái)自媒體文章、專家意見、情報(bào)報(bào)告、事件分析和安全研究報(bào)告等公開資源，以及通過(guò)對(duì) ENISA 網(wǎng)絡(luò)安全威脅態(tài)勢(shì) （CTL）  特設(shè)工作組成員的采訪，專家們根據(jù)收集的信息， 通過(guò)持續(xù)分析， 以戰(zhàn)略性和技術(shù)性相結(jié)合的方式概述網(wǎng)絡(luò)安全最新威脅形勢(shì)的總體態(tài)勢(shì)，確定主要威脅、趨勢(shì)及關(guān)注點(diǎn)等， 并提供相關(guān)緩解措施，旨在為其利益相關(guān)者提供戰(zhàn)略情報(bào)，為國(guó)家網(wǎng)絡(luò)空間戰(zhàn)略發(fā)展的政策制定和技術(shù)發(fā)展提供重要參考依據(jù)。

　　二

　　主要內(nèi)容

　　網(wǎng)絡(luò)安全攻擊在 2020 年和 2021 年持續(xù)增加， 不僅在載體和數(shù)量方面，而且在影響方面。新冠病毒的大流行也對(duì)網(wǎng)絡(luò)安全威脅格局產(chǎn)生了影響，疫情帶來(lái)了向混合辦公模式的持久轉(zhuǎn)變， 增加了攻擊面，使與疫情有關(guān)的網(wǎng)絡(luò)安全威脅和利用“新常態(tài)”正在成為主流。一系列網(wǎng)絡(luò)威脅在 2020 年和2021年期間出現(xiàn)并成為現(xiàn)實(shí)，而且呈上升趨勢(shì)。

　　本報(bào)告首先根據(jù)網(wǎng)絡(luò)安全威脅的重要性及所產(chǎn)生的影響，分析認(rèn)為全球當(dāng)前面臨著九大主要網(wǎng)絡(luò)威脅；其次介紹了四類比較突出的網(wǎng)絡(luò)安全威脅行為體及其發(fā)展趨勢(shì)；第三詳細(xì)介紹了九大網(wǎng)絡(luò)威脅的發(fā)展特點(diǎn)及建議；最后在附件 A、B 中分別列舉了每種網(wǎng)絡(luò)威脅常用的技術(shù)以及值得關(guān)注的最新顯著事件。整體而言， 2021 年 ENISA 威脅態(tài)勢(shì)展望報(bào)告的內(nèi)容豐富而詳盡，本文擇其重點(diǎn)予以闡述。

　?。ㄒ唬?九大網(wǎng)絡(luò)安全威脅

　　1.  勒索軟件

　　勒索軟件是一種惡意攻擊， 攻擊者對(duì)組織的數(shù)據(jù)進(jìn)行加密， 并要求付款以恢復(fù)訪問(wèn)。在某些情況下，攻擊者還可能竊取組織的信息，并要求額外付款，以換取不向競(jìng)爭(zhēng)對(duì)手或公眾等披露信息。在本報(bào)告所述期間，勒索軟件一直是主要威脅，并發(fā)生了幾起引人注目且高度公開的事件。歐盟和世界范圍內(nèi)的一系列相關(guān)政策舉措也證明了勒索軟件威脅的重要性和影響。

　　勒索軟件目前主要通過(guò)網(wǎng)絡(luò)釣魚電子郵件和對(duì)遠(yuǎn)程桌面協(xié)議（RDP）服務(wù)進(jìn)行暴力攻擊而造成危害。在 2021 年的報(bào)告期內(nèi)，Conti 和 REvil 勒索軟件主宰了勒索軟件市場(chǎng)，二者都能提供單獨(dú)的勒索軟件即服務(wù)（RaaS）平臺(tái)，通過(guò)該平臺(tái)， 附屬公司可以有效地策劃其攻擊。2021 年，多重勒索的發(fā)生率也大幅上升。在最初從組織竊取和加密敏感數(shù)據(jù)并威脅在未付款的情況下將其公開發(fā)布后，攻擊者還以組織的客戶和/或合作伙伴為目標(biāo)索要贖金，以實(shí)現(xiàn)利潤(rùn)最大化。加密貨幣仍然是最常見的支付方式， 平均贖金金額比去年翻了一番。

　　2.  惡意軟件

　　多年來(lái)， 惡意軟件的威脅一直居高不下。惡意軟件是一個(gè)總括性術(shù)語(yǔ)，描述任何旨在執(zhí)行惡意未經(jīng)授權(quán)流程的軟件、固件或代碼，這些流程將對(duì)系統(tǒng)的機(jī)密性、完整性或可用性產(chǎn)生不利影響。惡意軟件可能是病毒、蠕蟲、特洛伊木馬或其他感染主機(jī)的基于代碼的實(shí)體。間諜軟件和某些形式的廣告軟件也是惡意軟件的一部分。

　　根據(jù)創(chuàng)建者的目標(biāo)， 惡意軟件可能具有各種不同的功能。例如， RATs（遠(yuǎn)程訪問(wèn)特洛伊木馬/工具）允許參與者遠(yuǎn)程控制受感染系統(tǒng)的惡意軟件。信息竊取者或?yàn)g覽者是用來(lái)獲取信用卡信息的。僵尸網(wǎng)絡(luò)是受惡意軟件感染并由 C&C 服務(wù)器控制的計(jì)算機(jī)機(jī)器人網(wǎng)絡(luò)。特洛伊木馬是通常偽裝為合法軟件的惡意軟件，根據(jù)目標(biāo)可以是銀行特洛伊木馬或移動(dòng)特洛伊木馬。惡意軟件威脅一直存在，而且每年都會(huì)出現(xiàn)新的家族和毒株，盡管在 ETL2021 的報(bào)告期內(nèi)， 惡意軟件的威脅有所下降。

　　3.  加密劫持

　　加密劫持（Cryptojacking），也稱挖礦劫持， 是加密貨幣領(lǐng)域的新興詞匯，指的是在未經(jīng)授權(quán)的情況下利用他人的硬件設(shè)備進(jìn)行加密貨幣挖礦。通常發(fā)生在受害者無(wú)意中安裝了惡意腳本程序，允許網(wǎng)絡(luò)罪犯訪問(wèn)其計(jì)算機(jī)或其他互聯(lián)網(wǎng)連接設(shè)備時(shí)，例如通過(guò)單擊電子郵件中的未知鏈接或訪問(wèn)受感染的網(wǎng)站。然后， 罪犯使用“硬幣礦工”的程序創(chuàng)建或“挖掘”加密貨幣。隨著加密貨幣的擴(kuò)散及其日益被廣大公眾所接受，相應(yīng)的網(wǎng)絡(luò)安全事件有所增加。

　　4.  與電子郵件有關(guān)的威脅

　　與電子郵件相關(guān)的威脅多年來(lái)一直在 ETL 的主要威脅列表中排名靠前。這種威脅是利用人類心理和日常習(xí)慣中的弱點(diǎn)而不是信息系統(tǒng)中的技術(shù)漏洞的一系列威脅。此威脅主要由網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚、 欺騙、偽裝、商業(yè)電子郵件泄露（BEC）和垃圾郵件等載體組成。盡管針對(duì)這些類型的攻擊開展了許多提高認(rèn)識(shí)和教育活動(dòng)，但這種威脅仍在相當(dāng)程度上持續(xù)存在。

　　5.  對(duì)數(shù)據(jù)的威脅

　　數(shù)據(jù)泄漏或數(shù)據(jù)竊取是惡意參與者用來(lái)攻擊、復(fù)制和傳輸敏感數(shù)據(jù)的一種技術(shù)。在 ETL 的主要威脅中，對(duì)數(shù)據(jù)的威脅一直居高不下，這種趨勢(shì)在ETL 2021 報(bào)告中繼續(xù)延續(xù)。對(duì)數(shù)據(jù)的威脅是一系列針對(duì)數(shù)據(jù)源的威脅，目的是獲得未經(jīng)授權(quán)的訪問(wèn)、披露、錯(cuò)誤信息、虛假信息等。這些威脅主要被稱為數(shù)據(jù)破壞或數(shù)據(jù)泄漏，是指將敏感、機(jī)密或受保護(hù)的數(shù)據(jù)發(fā)布到不受信任的環(huán)境中。數(shù)據(jù)泄露可能是由于網(wǎng)絡(luò)攻擊、內(nèi)部人員工作、無(wú)意丟失或數(shù)據(jù)暴露造成的。此外，鑒于數(shù)據(jù)的重要性， 尤其是私人和敏感數(shù)據(jù)的重要性，對(duì)手正在將更復(fù)雜的威脅與目標(biāo)數(shù)據(jù)相結(jié)合，如勒索軟件或供應(yīng)鏈攻擊。

　　6.  對(duì)可用性和完整性的威脅

　　可用性和完整性是眾多威脅和攻擊的目標(biāo)， 其中分布式拒絕服務(wù)（DDoS）和 Web 攻擊最為突出。DDoS 與基于 Web 的攻擊密切相關(guān)， 是 IT 系統(tǒng)最嚴(yán)重的威脅之一，它通過(guò)耗盡資源、導(dǎo)致性能下降、數(shù)據(jù)丟失和服務(wù)中斷來(lái)攻擊系統(tǒng)的可用性。DDoS 以系統(tǒng)和數(shù)據(jù)可用性為目標(biāo)， 盡管不是一個(gè)新的威脅，但仍然是網(wǎng)絡(luò)領(lǐng)域的一個(gè)重大威脅?；?Web 的攻擊主要目標(biāo)是數(shù)據(jù)完整性和可用性。通過(guò)這種方法， 威脅參與者可以使用 web 系統(tǒng)和服務(wù)作為威脅向量欺騙受害者。

　　7.  虛假信息—錯(cuò)誤信息

　　這種類型的威脅首次出現(xiàn)在 ENISA  威脅態(tài)勢(shì)報(bào)告中， 其在網(wǎng)絡(luò)世界中的重要性是非常高的。由于社交媒體平臺(tái)和在線媒體的使用增加，以及新冠疫情導(dǎo)致在線人數(shù)增加，虛假信息和錯(cuò)誤信息攻擊活動(dòng)正在增加。虛假信息和錯(cuò)誤信息活動(dòng)經(jīng)常與其他網(wǎng)絡(luò)安全威脅一起使用， 從而導(dǎo)致高級(jí)混合威脅。主要目的是破壞信任，而信任是網(wǎng)絡(luò)安全的基礎(chǔ)，通過(guò)打破這一基礎(chǔ)，連鎖效應(yīng)會(huì)波及整個(gè)網(wǎng)絡(luò)安全生態(tài)系統(tǒng)，并可能產(chǎn)生嚴(yán)重影響。

　　虛假信息和錯(cuò)誤信息通常被認(rèn)為是相似的， 但兩者卻包含根本不同的概念。虛假信息是一種故意的攻擊， 包括創(chuàng)造或分享虛假或誤導(dǎo)性的信息。錯(cuò)誤信息是一種無(wú)意識(shí)的攻擊， 即信息的共享是在不經(jīng)意間完成的。虛假信息和錯(cuò)誤信息攻擊是在其他攻擊（如網(wǎng)絡(luò)釣魚、社會(huì)工程、惡意軟件感染）的基礎(chǔ)上進(jìn)行的。二者的攻擊對(duì)象和目標(biāo)如表 1 所示。

　　8.  非惡意威脅

　　威脅通常被認(rèn)為是由具有攻擊特定目標(biāo)動(dòng)機(jī)的對(duì)手所進(jìn)行的自愿和惡意活動(dòng)。該類別涵蓋了惡意意圖不明顯的威脅。主要是基于人為錯(cuò)誤和系統(tǒng)錯(cuò)誤配置， 但也可能是針對(duì) IT 基礎(chǔ)設(shè)施的物理災(zāi)難。這些威脅在年度威脅格局中持續(xù)存在，是風(fēng)險(xiǎn)評(píng)估的主要關(guān)注點(diǎn)。

　　非惡意威脅可分為兩類：一種是錯(cuò)誤和錯(cuò)誤配置， 是由疏忽、缺乏意識(shí)或簡(jiǎn)單地說(shuō)， 人為錯(cuò)誤造成的。例如管理 IT 系統(tǒng)時(shí)的錯(cuò)誤、開發(fā)時(shí)間錯(cuò)誤、應(yīng)用程序級(jí)錯(cuò)誤等。還有一種是物理災(zāi)害， 例如光纖電纜的意外損壞、互聯(lián)網(wǎng)連接的喪失、火災(zāi)、電力供應(yīng)不穩(wěn)定， 自然災(zāi)害等， 導(dǎo)致 IT 基礎(chǔ)設(shè)施和相關(guān)服務(wù)/應(yīng)用程序不可用。非惡意威脅是許多現(xiàn)有惡意威脅的主要威脅載體。例如， 安全漏洞、錯(cuò)誤配置、漏洞和修補(bǔ)程序管理不足可能為 DDoS攻擊、惡意軟件和勒索軟件打開大門。同時(shí)，人為錯(cuò)誤是網(wǎng)絡(luò)釣魚和社會(huì)工程的主要載體?？傊?， 非惡意威脅曾對(duì) IT 系統(tǒng)和應(yīng)用程序的工作產(chǎn)生了重要影響， 現(xiàn)在由于系統(tǒng)和基礎(chǔ)設(shè)施的復(fù)雜性日益增加；不斷增加的向云環(huán)境的遷移， 以及物聯(lián)網(wǎng)設(shè)備和邊緣計(jì)算的集成；COVID- 19 大流行， 這三大主要因素都加劇了非惡意威脅的影響還在加劇。

　　9.  供應(yīng)鏈威脅

　　在《ENISA 2021 年威脅態(tài)勢(shì)展望》報(bào)告中主要介紹 8 大網(wǎng)絡(luò)安全威脅類別，關(guān)于供應(yīng)鏈威脅在ENISA的專門報(bào)告《供應(yīng)鏈攻擊的ENISA威脅態(tài)勢(shì)》中予以介紹，本文關(guān)于供應(yīng)鏈威脅的內(nèi)容均來(lái)自專門報(bào)告。

　　供應(yīng)鏈攻擊的破壞性和連鎖反應(yīng)在 SolarWinds 攻擊中表現(xiàn)得淋漓盡致。SolarWinds  被認(rèn)為是近幾年來(lái)最大的供應(yīng)鏈攻擊之一。供應(yīng)鏈?zhǔn)侵竻⑴c創(chuàng)建和交付最終解決方案或產(chǎn)品的過(guò)程、人員、組織和分銷商組成的生態(tài)系統(tǒng)。供應(yīng)鏈攻擊是至少兩次攻擊的組合。第一個(gè)攻擊是對(duì)供應(yīng)商進(jìn)行攻擊，然后用來(lái)攻擊目標(biāo)以獲得對(duì)其資產(chǎn)的訪問(wèn)權(quán)。目標(biāo)可以是最終客戶或其他供應(yīng)商。因此，要將攻擊歸類為供應(yīng)鏈攻擊，供應(yīng)商和客戶都必須成為攻擊的目標(biāo)。2021 年供應(yīng)鏈攻擊的數(shù)量和復(fù)雜性都穩(wěn)步上升。這一趨勢(shì)進(jìn)一步強(qiáng)調(diào)，決策者和安全界需要設(shè)計(jì)和引入新的保護(hù)措施，以應(yīng)對(duì)未來(lái)潛在的供應(yīng)鏈攻擊， 并減輕其影響。

　　（二） 四大網(wǎng)絡(luò)威脅者

　　在本報(bào)告所述期間， 發(fā)現(xiàn)有四類網(wǎng)絡(luò)安全威脅行為體比較突出， 即國(guó)家支持的行為者、網(wǎng)絡(luò)犯罪行為者、雇傭黑客的行動(dòng)者、 黑客行動(dòng)主義者。網(wǎng)絡(luò)威脅行為者是利用現(xiàn)有漏洞實(shí)施惡意行為的實(shí)體， 是威脅環(huán)境的一個(gè)組成部分。了解威脅行為者是如何思考和行動(dòng)的，動(dòng)機(jī)和目標(biāo)是什么，是加強(qiáng)網(wǎng)絡(luò)安全事件應(yīng)對(duì)的重要一步， 而且監(jiān)測(cè)威脅行為體為實(shí)現(xiàn)其目標(biāo)而使用的戰(zhàn)術(shù)和技術(shù)的最新發(fā)展，以及及時(shí)了解動(dòng)機(jī)和目標(biāo)的長(zhǎng)期趨勢(shì)，對(duì)于當(dāng)今網(wǎng)絡(luò)安全生態(tài)系統(tǒng)的有效防御至關(guān)重要。

　　1.  國(guó)家支持的行為者

　?。?）新冠病毒-19 推動(dòng)了網(wǎng)絡(luò)間諜任務(wù)。在本報(bào)告所述期間觀察到國(guó)家支持的團(tuán)體開展了與新冠病毒相關(guān)的網(wǎng)絡(luò)間諜活動(dòng)。根據(jù)公開報(bào)道，國(guó)家資助的威脅行為者可能正在尋找與感染率、國(guó)家級(jí)反應(yīng)和治療相關(guān)的數(shù)據(jù)。因此，醫(yī)療保健、制藥和醫(yī)學(xué)研究部門已成為重點(diǎn)目標(biāo)，而且只要疫情持續(xù)，針對(duì)這些部門的攻擊就會(huì)繼續(xù)， 而且?guī)缀蹩隙〞?huì)繼續(xù)使用新冠主題進(jìn)行（魚叉式）網(wǎng)絡(luò)釣魚攻擊。

　?。?）供應(yīng)鏈類攻擊達(dá)到了新的成熟度和影響水平。雖然由國(guó)家支持的威脅行為體進(jìn)行供應(yīng)鏈攻擊并不新鮮，但在報(bào)告所述期間，重點(diǎn)進(jìn)行了高度復(fù)雜和有影響力的供應(yīng)鏈攻擊。根據(jù) ENISA 的分析， 在 2020 年至 2021年期間， 至少 17 次調(diào)查證實(shí)，供應(yīng)鏈攻擊由高級(jí)持續(xù)威脅（APT）集團(tuán)實(shí)施，通常由國(guó)家贊助， 例如 SolarWinds 軟件供應(yīng)鏈攻擊， 其背后就是國(guó)家支持的組織精心策劃了這起事件?？傊?， 供應(yīng)鏈的多樣性和復(fù)雜性為國(guó)家支持的威脅行為者提供了大量目標(biāo)。此外，新冠肺炎加劇了向遠(yuǎn)程工作的轉(zhuǎn)變，導(dǎo)致組織在運(yùn)營(yíng)需求上更加依賴第三方供應(yīng)商。ENISA 評(píng)估分析認(rèn)為， 國(guó)家支持的威脅行為者肯定會(huì)繼續(xù)進(jìn)行供應(yīng)鏈攻擊（尤其是針對(duì)軟件、云和托管服務(wù)提供商）。

　　（3）國(guó)家支持的集團(tuán)及其運(yùn)營(yíng)商積極從事創(chuàng)收活動(dòng)。根據(jù) ENISA 的觀察，在一些情況下，國(guó)家支持的對(duì)手積極參與了網(wǎng)絡(luò)犯罪行動(dòng)，例如拉扎勒斯集團(tuán)為了經(jīng)濟(jì)利益進(jìn)行有針對(duì)性的勒索入侵。ENISA  分析認(rèn)為國(guó)家支持的行為者肯定會(huì)繼續(xù)進(jìn)行有利可圖的網(wǎng)絡(luò)入侵活動(dòng)， 進(jìn)一步模糊網(wǎng)絡(luò)間諜活動(dòng)和網(wǎng)絡(luò)犯罪活動(dòng)之間的界限。并隨著各州利用網(wǎng)絡(luò)犯罪集團(tuán)不斷開展網(wǎng)絡(luò)活動(dòng)，預(yù)計(jì)這一趨勢(shì)還會(huì)增加。

　?。?）網(wǎng)絡(luò)行動(dòng)由國(guó)家戰(zhàn)略、地緣政治緊張局勢(shì)和武裝沖突驅(qū)動(dòng)。當(dāng)前，各國(guó)正在努力開發(fā)、購(gòu)買或雇傭網(wǎng)絡(luò)攻擊能力，以在網(wǎng)絡(luò)軍備競(jìng)賽中處于有利地位。實(shí)施此類網(wǎng)絡(luò)能力對(duì)其國(guó)家戰(zhàn)略和長(zhǎng)期規(guī)劃非常重要。ENISA觀察到的一些趨勢(shì)：1）擁有先進(jìn)網(wǎng)絡(luò)能力的國(guó)家正在利用這些能力從戰(zhàn)略上塑造全球政治、軍事、經(jīng)濟(jì)和意識(shí)形態(tài)力；2）中等大國(guó)正在關(guān)注與監(jiān)管、網(wǎng)絡(luò)規(guī)范和保護(hù)其關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的舉措；3）低能力網(wǎng)絡(luò)強(qiáng)國(guó)正在增強(qiáng)其防御和進(jìn)攻姿態(tài)。并評(píng)估認(rèn)為國(guó)家支持的行為體肯定會(huì)繼續(xù)通過(guò)網(wǎng)絡(luò)行動(dòng)來(lái)實(shí)現(xiàn)其戰(zhàn)略目標(biāo)，以獲取決策優(yōu)勢(shì)、竊取知識(shí)產(chǎn)權(quán)以及為未來(lái)沖突預(yù)先部署軍事和關(guān)鍵基礎(chǔ)設(shè)施。根據(jù)其評(píng)估， 國(guó)家支持的團(tuán)體可能會(huì)開發(fā)（或購(gòu)買或以其他方式獲?。┎⑦M(jìn)行偽裝成勒索軟件的破壞性/破壞性行動(dòng)，以削弱、挫敗和抹黑敵對(duì)政府。

　?。?）信息行動(dòng)成為實(shí)現(xiàn)國(guó)家戰(zhàn)略目標(biāo)的工具。在本報(bào)告所述期間， 信息行動(dòng)主要用于干擾選舉和新冠病毒的相關(guān)活動(dòng)。同時(shí)，國(guó)家威脅行為者開展信息行動(dòng)的方式發(fā)生了變化，一方面進(jìn)行更有針對(duì)性的攻擊活動(dòng)，另一方面也在不斷調(diào)整其 TTP ，以實(shí)現(xiàn)更好的操作安全性及平臺(tái)多樣化，以在攻擊中生存下來(lái)。根據(jù) ENISA 的評(píng)估， 很可能在未來(lái)十年繼續(xù)通過(guò)開展網(wǎng)絡(luò)信息行動(dòng)來(lái)實(shí)現(xiàn)其戰(zhàn)略目標(biāo)， 重點(diǎn)是選舉、公共衛(wèi)生、人道主義危機(jī)、人權(quán)和安全等重要的地緣政治問(wèn)題。

　　2.  網(wǎng)絡(luò)犯罪行為者

　?。?）新冠病毒-19 為網(wǎng)絡(luò)罪犯創(chuàng)造了機(jī)會(huì)。新冠期間， 網(wǎng)絡(luò)犯罪分子通過(guò)使用與新冠病毒相關(guān)的網(wǎng)絡(luò)釣魚誘餌獲取經(jīng)濟(jì)利益。并在地下論壇出售定制的與新冠病毒相關(guān)的網(wǎng)絡(luò)釣魚工具包，以及設(shè)計(jì)用于獲取憑證和個(gè)人數(shù)據(jù)的欺騙域。通過(guò)數(shù)字廣告和與潛在的新冠病毒治療和其他新冠病毒預(yù)防措施相關(guān)的網(wǎng)站傳播關(guān)于新冠病毒的假新聞。此外， 新冠病毒- 19 還為有針對(duì)性的勒索軟件攻擊創(chuàng)造了機(jī)會(huì)， 醫(yī)療保健和公共衛(wèi)生部門成為勒索集團(tuán)的重大目標(biāo)。

　?。?）采用多種勒索手段。勒索軟件攻擊成為當(dāng)今各行業(yè)所面臨的最大威脅之一。據(jù)觀察， 網(wǎng)絡(luò)犯罪分子不太可能以支付相關(guān)數(shù)據(jù)（如信用卡）為目標(biāo)，而更可能以任何會(huì)影響受害者運(yùn)營(yíng)的數(shù)據(jù)為目標(biāo)。在本報(bào)告所述期間，勒索軟件集團(tuán)向受害者施加壓力并迫使他們支付贖金的戰(zhàn)術(shù)發(fā)生了一些演變：1）通過(guò)暗網(wǎng)中的數(shù)據(jù)拍賣將被盜信息貨幣化；2）通過(guò)聯(lián)系記者放大受害者的妥協(xié)；3）接觸商業(yè)合作伙伴、投資者、董事會(huì)成員和其他披露攻擊信息的利益相關(guān)者；4）對(duì)受害者進(jìn)行 DDoS 攻擊， 以增加支付贖金的壓力；5）接觸受害者的客戶和客戶， 采取行動(dòng)并要求支付贖金；6）呼叫和騷擾員工。

　?。?）加強(qiáng)合作和專業(yè)化。在本報(bào)告所述期間， 觀察到網(wǎng)絡(luò)犯罪集團(tuán)開發(fā)了專門的網(wǎng)絡(luò)犯罪服務(wù)，以及網(wǎng)絡(luò)犯罪分子在生態(tài)系統(tǒng)內(nèi)建立了彼此之間的關(guān)系以及分支模式。網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)具有全球影響力， 不同的參與者提供和專門從事不同的服務(wù)。這種“網(wǎng)絡(luò)犯罪即服務(wù)”的趨勢(shì)降低了想要實(shí)施網(wǎng)絡(luò)犯罪的威脅行為體的障礙， 同時(shí)也增強(qiáng)了網(wǎng)絡(luò)攻擊的范圍。

　?。?）網(wǎng)絡(luò)罪犯正在向云端過(guò)渡。新冠肺炎加快了全球組織對(duì)云基礎(chǔ)設(shè)施和服務(wù)的采用， “向云轉(zhuǎn)移”趨勢(shì)預(yù)計(jì)將在可預(yù)見的未來(lái)繼續(xù)。然而， 由于云基礎(chǔ)設(shè)施和服務(wù)的快速部署導(dǎo)致安全性和管理不善的云部署，為網(wǎng)絡(luò)罪犯提供了機(jī)會(huì)，開發(fā)了破壞云基礎(chǔ)設(shè)施和服務(wù)的能力。未來(lái)對(duì)云環(huán)境的攻擊幾乎肯定會(huì)繼續(xù)，并且隨著越來(lái)越多的組織采用和實(shí)施云優(yōu)先戰(zhàn)略，攻擊可能會(huì)產(chǎn)生更大的影響。

　?。?）越來(lái)越多地以關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)。在本報(bào)告所述期間， 觀察到網(wǎng)絡(luò)犯罪行為體越來(lái)越多地以關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)。受影響的主要關(guān)鍵基礎(chǔ)設(shè)施部門是醫(yī)療、交通和能源部門。隨著社會(huì)越來(lái)越依賴于技術(shù)和互聯(lián)網(wǎng)連接， 針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)犯罪攻擊很可能變得更具破壞性。而且，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的破壞性攻擊也可能偽裝成勒索軟件攻擊， 但目標(biāo)不同。

　　（6）暗網(wǎng)與威脅行為者的聯(lián)系更加緊密。加密貨幣流和網(wǎng)絡(luò)匿名化的增長(zhǎng)進(jìn)一步助長(zhǎng)了暗網(wǎng)的使用。在報(bào)告所述期間，暗網(wǎng)市場(chǎng)的總收入達(dá)到了創(chuàng)紀(jì)錄的 17 億美元的加密貨幣， 表明暗網(wǎng)已經(jīng)成為威脅參與者生態(tài)系統(tǒng)的一個(gè)組成部分。

　　3.  雇傭黑客的行動(dòng)者

　　黑客出租服務(wù)的興起， 該市場(chǎng)主要由提供攻擊性網(wǎng)絡(luò)能力的公司組成，客戶通常是政府（但也包括公司和個(gè)人）， 提供漏洞研究和利用、惡意軟件有效負(fù)載開發(fā)、技術(shù)指揮和控制、運(yùn)營(yíng)管理以及培訓(xùn)和支持等服務(wù)。黑客雇傭公司在其運(yùn)營(yíng)國(guó)家合法運(yùn)營(yíng)，目前整個(gè)市場(chǎng)處于半管制狀態(tài)。客戶向這些公司支付費(fèi)用，主要用于開展網(wǎng)絡(luò)間諜活動(dòng)、獲得先進(jìn)的攻擊性網(wǎng)絡(luò)能力以及享有合理的否認(rèn)權(quán)。例如黑客雇傭集團(tuán)DeathStapper，該集團(tuán)一直以金融和法律服務(wù)部門的組織為目標(biāo)進(jìn)行企業(yè)間諜活動(dòng)。

　　4.  黑客行動(dòng)主義者

　　根據(jù) ENISA 的觀察， 黑客行動(dòng)主義在 2010-2015 年期間達(dá)到頂峰后有所下降。如今，黑客行動(dòng)主義者大多以小團(tuán)體的形式行動(dòng)，抗議地區(qū)性事件，并以特定組織為目標(biāo)。其目標(biāo)仍然是傳統(tǒng)的，例如金融機(jī)構(gòu)和政府機(jī)構(gòu)等， 這可能是由于近年來(lái)對(duì)各種黑客活動(dòng)者的起訴， 起到了威懾作用。其策略仍然是“老派”的， 主要關(guān)注 DDoS 攻擊、誹謗、敏感數(shù)據(jù)發(fā)布和賬戶接管等。ENISA 評(píng)估分析認(rèn)為，國(guó)家支持的團(tuán)體幾乎肯定會(huì)繼續(xù)利用黑客行動(dòng)主義作為偽裝來(lái)實(shí)現(xiàn)其戰(zhàn)略目標(biāo)。

　?。ㄈ?九大網(wǎng)絡(luò)安全威脅的發(fā)展特點(diǎn)

　　1.  勒索軟件的發(fā)展特點(diǎn)

　　（1）Conti 和 REvil 勒索軟件團(tuán)伙領(lǐng)跑市場(chǎng)

　　2021  年財(cái)務(wù)收益最多的勒索軟件團(tuán)伙是 Conti （ 1270  萬(wàn)美元）、Revil/Sodinokibi（1200 萬(wàn)美元）、 DarkSide（460 萬(wàn)美元）、 MountLocker（420萬(wàn)美元）、 Blackmatter（400 萬(wàn)美元） 和 Egregor（310 萬(wàn)美元）。根據(jù)統(tǒng)計(jì)數(shù)據(jù)，2021年第一季度勒索軟件市場(chǎng)份額最大的是REvil/Sodinokibi（14.2%）、Conti V2（10.2%）、Lockbit（7.5%）、Clop（7.1%）和 Egregor（5.3%）。2021年第二季度， 排名靠前的是 Sodinokibi（16.5%）、Conti V2（4.4%）、Avaddon（5.4%）、Mespinoza （4.9%）和 Hello Kitty（4.5%）。最后兩個(gè)是新興的勒索軟件。

　?。?）勒索軟件即服務(wù)業(yè)務(wù)模式

　　勒索軟件不斷擴(kuò)大的市場(chǎng)機(jī)遇催生了新的盈利模式—勒索軟件即服務(wù)（RaaS），出現(xiàn)了大量以售賣勒索軟件為主要營(yíng)生的勒索軟件即服務(wù)暗網(wǎng)市場(chǎng)，并逐漸形成完整成熟的產(chǎn)業(yè)鏈。在攻擊過(guò)程中使用RaaS平臺(tái)已經(jīng)成為常態(tài)，該平臺(tái)為缺乏技能、資源和時(shí)間的黑客提供了很多現(xiàn)成的解決方案和勒索服務(wù)，從勒索軟件的開發(fā)、傳播、攻擊到收益呈現(xiàn)系統(tǒng)化、便捷化趨勢(shì)，開發(fā)者可以提供一整套解決方案，甚至包括利用加密貨幣進(jìn)行贖金支付等服務(wù)。任何想非法獲利的人士， 即使缺乏技術(shù)知識(shí)， 都可能利用 RaaS 平臺(tái)提供的現(xiàn)成解決方案。而且 RaaS 平臺(tái)還正在不斷適應(yīng)環(huán)境的變化， 以便不被端點(diǎn)和網(wǎng)絡(luò)安全工具發(fā)現(xiàn)。

　?。?）從雙重勒索到多重勒索轉(zhuǎn)變，實(shí)現(xiàn)利潤(rùn)最大化

　　勒索團(tuán)伙一直在嘗試使用各種策略對(duì)受害公司施加壓力， 以增加贖金數(shù)目及確保繳納率， 為此， 從最初的單一加密勒索演變?yōu)?2020 年的“雙重勒索”， 即在加密前攻擊者會(huì)先竊取大量受害者敏感數(shù)據(jù)， 威脅受害者如果不繳納贖金則公開數(shù)據(jù)，使受害者不僅要面臨數(shù)據(jù)泄露威脅，還有相關(guān)法規(guī)、財(cái)務(wù)和聲譽(yù)影響。2021 年開始演變?yōu)椤岸嘀乩账鳌惫?，攻擊者除了雙重勒索之外， 還以組織的客戶和/或合作伙伴為目標(biāo)索要贖金。2021 年 5月，Clop 勒索軟件團(tuán)伙在以 RaceTrac Petroleum 為目標(biāo)并威脅要發(fā)布這些公司的文件后， 還直接聯(lián)系其客戶和合作伙伴并威脅要發(fā)布他們的文件。此外， 研究表明在雙重勒索的基礎(chǔ)上增加了 DDoS  攻擊威脅， 目前， 部分勒索軟件已整合了 DDoS 攻擊能力，不僅能加密受害者電腦文件， 還能對(duì)外出售敏感數(shù)據(jù)，并利用被感染電腦發(fā)送惡意網(wǎng)絡(luò)流量， 以此影響受害者系統(tǒng)的帶寬或運(yùn)行速度，這三種攻擊若同時(shí)實(shí)施，將帶來(lái)非常嚴(yán)重且不可逆轉(zhuǎn)的后果。由此可推測(cè)， 在未來(lái)的數(shù)年內(nèi)為實(shí)現(xiàn)收益最大化， 勒索攻擊形式還會(huì)層出不窮。

　　（4）支付贖金的加密貨幣從比特幣向 Monero 轉(zhuǎn)變

　　幾年來(lái)， 像比特幣這樣的加密貨幣成為網(wǎng)絡(luò)威脅者收取贖金的首選，為網(wǎng)絡(luò)勒索提供了低風(fēng)險(xiǎn)、易操作、便捷性強(qiáng)的贖金交易和變現(xiàn)方式，成為網(wǎng)絡(luò)犯罪活動(dòng)的主要支付形式。此外， 由于生成新哈希所需的更高計(jì)算機(jī)能力以及更嚴(yán)格的監(jiān)管， 比特幣的價(jià)值在過(guò)去兩年中大幅增長(zhǎng)。但是 2021年 5 月， Colonial Pipeline 遭受了勒索軟件團(tuán)伙 DarkSide 的攻擊， FBI 在受害者已經(jīng)支付了比特幣贖金后介入，通過(guò)審查比特幣公共分類賬，執(zhí)法部門可以跟蹤多個(gè)比特幣轉(zhuǎn)賬。事實(shí)證明， FBI 擁有從特定比特幣地址訪問(wèn)資產(chǎn)所需的“私鑰”。聯(lián)邦調(diào)查局發(fā)出扣押令， 開始沒(méi)收這些硬幣。沒(méi)有透露FBI 是如何獲得私鑰的，這也是執(zhí)法部門首次以加密貨幣追回了大部分贖金。在查封之后，人們注意到一種轉(zhuǎn)向使用 Monero  作為加密貨幣的趨勢(shì)。Monero 是作為一個(gè)開源項(xiàng)目推出的，旨在增加交易的匿名性和不可區(qū)分性，很快受到用戶好評(píng)， 并在過(guò)去幾年中取得了穩(wěn)定增長(zhǎng)。勒索軟件團(tuán)伙 REvil在 2021 年才接受 Monero ，DarkSide 和 Babuk 等其他組織將選擇權(quán)留給了受害者， 但在選擇比特幣支付贖金時(shí)增加了費(fèi)用。

　?。?）最高贖金要求飆升

　　最高的勒索軟件需求從 2019 年的 1500 萬(wàn)美元增長(zhǎng)到 2020 年的 3000萬(wàn)美元。REvil 也加大了勒索力度， 2021 年 3 月向宏碁索要 5000 萬(wàn)美元。4月向蘋果的供應(yīng)商廣達(dá)電腦索要了同樣的金額。7 月， 在 Kaseya 遭到攻擊后， 要求支付 7000 萬(wàn)美元的贖金。短短幾個(gè)月， 2020 年的最高需求在 2021年翻了一倍多，很可能在 2022 年達(dá)到 1 億美元的贖金上限。公開披露或受到媒體關(guān)注的事件只是冰山一角，還有其他高贖金的公共勒索事件， 只要組織繼續(xù)支付，勒索組織就沒(méi)有理由降低要求，未來(lái)的勒索軟件團(tuán)伙將以最高支付作為未來(lái)的目標(biāo)甚至參考。

　?。?）被攻擊者成本損失劇增

　　當(dāng)勒索軟件事件發(fā)生時(shí)， 被攻擊組織面臨著巨大的成本損失， 包括贖金金額、停機(jī)時(shí)間、人員成本以及實(shí)際操作和技術(shù)補(bǔ)救等。根據(jù)在 30 個(gè)國(guó)家開展的一項(xiàng)調(diào)查顯示，補(bǔ)救勒索軟件攻擊的總體成本也在大幅增加，從2020 年的 761106 美元到 2021 年的 185 萬(wàn)美元，勒索軟件事件的總成本僅 在一年內(nèi)就翻了一倍多。而且， 癱瘓關(guān)鍵基礎(chǔ)設(shè)施往往成為攻擊目的， 導(dǎo) 致平均停機(jī)時(shí)間從 2020 年第一季度的 15 天增加到 2021 年第二季度的 23 天。一項(xiàng)針對(duì) 1263 名受訪者的調(diào)查顯示， 66%的組織因勒索軟件攻擊而遭 受重大收入損失， 在成功勒索后， 每個(gè)垂直行業(yè)都易遭受顯著的收入損失。

　?。?）零日漏洞使用的增加

　　過(guò)去， 零日只用于高級(jí)威脅團(tuán)體和民族國(guó)家的有針對(duì)性的襲擊， 隨著贖金的增加，更多的零日被勒索組織利用并執(zhí)行贖金軟件攻擊，特別是在大規(guī)模行動(dòng)中是非常有意義的，攻擊次數(shù)的減少和對(duì)大型組織的關(guān)注使得攻擊者可以要求高額贖金， 這種攻擊被稱為大型狩獵（BGH）。與使用流行的惡意軟件傳播媒介（如網(wǎng)絡(luò)釣魚） 瞄準(zhǔn)大量目標(biāo)不同， 攻擊者會(huì)仔細(xì)選擇目標(biāo)， 并使用復(fù)雜的方法突破這些高價(jià)值目標(biāo)。通過(guò)這種方式， BGH 趨勢(shì)打破了傳統(tǒng)的有針對(duì)性的網(wǎng)絡(luò)犯罪行為。

　?。?）保險(xiǎn)助推勒索軟件產(chǎn)業(yè)經(jīng)濟(jì)

　　隨著網(wǎng)絡(luò)安全事件的普遍增加， 越來(lái)越多的企業(yè)向網(wǎng)絡(luò)保險(xiǎn)和再保險(xiǎn)公司尋求幫助， 更傾向于購(gòu)買網(wǎng)絡(luò)安全保險(xiǎn)。網(wǎng)絡(luò)攻擊者特意挑選投保了網(wǎng)絡(luò)保險(xiǎn)的公司作為攻擊目標(biāo)，更加針對(duì)性地實(shí)施勒索攻擊，使得網(wǎng)絡(luò)犯罪的成功率大幅提升，這種做法不但將影響保險(xiǎn)公司和保單成本，也會(huì)助長(zhǎng)整個(gè)勒索軟件經(jīng)濟(jì)。為遏制這一情況的繼續(xù)惡化，已有多家公司開始縮減網(wǎng)絡(luò)保險(xiǎn)的覆蓋范圍，例如，總部位于法國(guó)的歐洲五大保險(xiǎn)公司之一的保險(xiǎn)巨頭安盛集團(tuán)于 2021 年 5 月宣布在法國(guó)承保的網(wǎng)絡(luò)保險(xiǎn)將不再包括勒索軟件賠償。

　　2. 惡意軟件的發(fā)展特點(diǎn)

　?。?）惡意軟件感染從追求數(shù)量轉(zhuǎn)為質(zhì)量

　　在本報(bào)告所述期間，惡意軟件攻擊大幅減少。研究表明，與 2019 年相比，2020 年北美的襲擊減少了 43%。這一下降在歐洲幾乎是一樣的，而在亞洲則下降了 53%。2021 年與去年同期相比，上半年的惡意軟件數(shù)量進(jìn)一步減少了 22%。惡意軟件感染的減少仍在繼續(xù)，但是，惡意軟件總量的減少并不意味著網(wǎng)絡(luò)犯罪有所減少。過(guò)去，希望感染最多的受害者，如今關(guān)注的焦點(diǎn)不再是數(shù)量，而是感染的質(zhì)量。2021 年檢測(cè)到的最常見的惡意軟件系列是 Trickbot（僵尸網(wǎng)絡(luò)和銀行）、XMRig（加密礦工）、Formbook（信息竊取者）、Glupteba（僵尸網(wǎng)絡(luò)）和 Agent Tesla（信息竊取程序）。

　?。?）Windows Container 惡意軟件越發(fā)普遍

　　針對(duì)容器（Container）環(huán)境的惡意軟件已經(jīng)變得更加普遍。容器化技術(shù)可以輕松擴(kuò)展，專注于云原生堆棧的惡意軟件本質(zhì)上不是新的。2020 年11 月，惡意容器鏡像已經(jīng)被識(shí)別出來(lái)，并被用于查找和利用特定受害者Kubernetes 環(huán)境中的漏洞。2020 年 12 月，研究人員還發(fā)現(xiàn)存在從內(nèi)存中執(zhí)行的無(wú)文件惡意軟件。2021 年 3 月，研究人員發(fā)現(xiàn)了第一個(gè)針對(duì)Windows Container 的已知惡意軟件。這類惡意軟件最常見的目標(biāo)是逃離容器，感染由多個(gè)應(yīng)用程序集合而成的集群，大大增加感染的影響力。常見的危害包括密碼、信用卡號(hào)等敏感信息的泄露。此外，容器技術(shù)經(jīng)常被用于破壞開發(fā)環(huán)境，導(dǎo)致進(jìn)一步的供應(yīng)鏈攻擊。

　　（3）移動(dòng)惡意軟件呈上升趨勢(shì)

　　2020 年，Android 上的假冒廣告屏蔽軟件（也稱為廣告軟件）呈上升趨勢(shì)，一個(gè)相近的變體是 hiddenAds 移動(dòng)惡意軟件。與 2019 年相比，2020 年這類惡意軟件從 280000 增加到 700000。移動(dòng)惡意軟件中的廣告軟件在整個(gè)2021 年仍占很大比例。2021 年上半年，45%的移動(dòng)惡意軟件被認(rèn)定為廣告軟件。手機(jī)銀行惡意軟件在 2021 年也有所增加，最常見的惡意銀行應(yīng)用程序包括 Ghimob、Eventbot 和 Thiefbot。其他常見的惡意軟件有貝萊德、沃巴和特里克莫。

　　（4）使用新興編程語(yǔ)言編寫惡意軟件正在興起

　　由于大多數(shù)惡意軟件的檢測(cè)能力都是基于靜態(tài)指標(biāo)的，當(dāng)源代碼被改寫成新的語(yǔ)言時(shí)，這些指標(biāo)變得無(wú)關(guān)或無(wú)效，能夠繞過(guò)檢測(cè)。用新興編程語(yǔ)言編寫的惡意軟件只占目前開發(fā)的所有惡意軟件的一小部分。盡管如此，它仍然是惡意軟件檢測(cè)和代碼分析技術(shù)未來(lái)發(fā)展的一個(gè)重要方面。這一趨勢(shì)在 2020 年和 2021 年持續(xù)發(fā)展。這些不常見的語(yǔ)言包括但不限于 Rust、Nim、DLang 和 Go324。

　?。?）新型惡意軟件嶄露頭角

　　多年來(lái)，惡意軟件不斷發(fā)展，取得了更多的進(jìn)展。Emotet 作為計(jì)算機(jī)惡意軟件的一個(gè)變種，功能從簡(jiǎn)單的信息竊取器轉(zhuǎn)移到用于創(chuàng)建高級(jí)僵尸網(wǎng)絡(luò)的惡意軟件。該惡意軟件具有完善的命令和控制（C2）基礎(chǔ)設(shè)施，頻繁更新，在逃避檢測(cè)方面非常有效。在整個(gè) 2020 年，Emotet 一直是最流行的惡意軟件。

　　3. 加密劫持的發(fā)展特點(diǎn)

　?。?）2021 年加密劫持量創(chuàng)歷史新高

　　2020 年 3 月，受加密劫持惡意軟件感染的人數(shù)激增，此后感染率急劇下降。從 2020 年第二季度到最后一季度，感染量緩慢增長(zhǎng)，并在 2021 年 持續(xù)增長(zhǎng)。2021 年第一季度，加密劫持惡意軟件增長(zhǎng)了 117%，感染量與過(guò)去幾年相比創(chuàng)下歷史新高。激增的原因應(yīng)該是與加密劫持相關(guān)的財(cái)務(wù)收益激勵(lì)了相關(guān)的威脅參與者。

　?。?）XMRig 主導(dǎo)著加密劫持市場(chǎng)XMRig

　　是一個(gè)開源的礦工，攻擊者和大多數(shù)惡意軟件都使用它對(duì)受害者進(jìn)行加密挖掘。2021 年上半年，其市場(chǎng)份額增至 51%，占所有加密挖掘惡意軟件的一半以上。其他感染與 Lucifer（10%）、LemonDuck（5%）、RubyMiner（5%）、Wannamine（5%）和其他礦工（20%）有關(guān)。

　?。?）從瀏覽器轉(zhuǎn)向基于文件的加密

　　研究顯示，2021 年第一季度，基于桌面或文件的加密劫持頻率幾乎是基于瀏覽器的 7 倍，基于瀏覽器的為 13%，而基于文件的為 87%。

　?。?）感染方法不變

　　用于傳播和部署加密挖掘的技術(shù)與其他惡意軟件感染方法沒(méi)有太大區(qū)別。一般采用一種在受害者不知情的情況下在其設(shè)備上傳送和安裝惡意文件的驅(qū)動(dòng)器下載技術(shù)。在訪問(wèn)惡意網(wǎng)站時(shí)，觸發(fā)利用包含安全漏洞的操作系統(tǒng)或 web 瀏覽器的下載。另一種傳播方式是惡意軟件，即通過(guò)廣告?zhèn)鞑阂廛浖男袨椤?/p>

　　（5）針對(duì)云和容器基礎(chǔ)設(shè)施的加密挖掘

　　當(dāng)云主機(jī)受到加密劫持惡意軟件的感染時(shí)，成本可能會(huì)變得非常巨大。云提供商為消耗的 CPU 周期買單，而計(jì)算操作帶來(lái)的收益只占成本的一小部分。容器基礎(chǔ)設(shè)施也是一個(gè)有趣的目標(biāo)，因?yàn)檫@些環(huán)境將根據(jù)需要生成工作節(jié)點(diǎn)。過(guò)去已經(jīng)在 Kubernetes 上看到過(guò)加密劫持，但入口向量要么是易受攻擊的 web 應(yīng)用程序，要么是已經(jīng)包含挖掘惡意軟件的惡意容器。

　　4. 與電子郵件有關(guān)的威脅的發(fā)展特點(diǎn)

　?。?）新冠病毒-19 仍然是電子郵件威脅活動(dòng)的誘餌

　　在整個(gè)報(bào)告所述期間，帶有新冠病毒相關(guān)誘餌的垃圾郵件活動(dòng)屢見不鮮?？偟膩?lái)說(shuō)，新冠肺炎被對(duì)手利用，誘騙最終用戶成為各種電子郵件相關(guān)攻擊的受害者。對(duì)手利用對(duì)這種流行病的擔(dān)憂和人們對(duì)電子郵件的信任作為主要的攻擊手段，包括試圖欺騙用戶，從虛假網(wǎng)站訂購(gòu)口罩，通過(guò)惡意附件使其感染惡意軟件等。隨著新冠病毒的持續(xù)和疫苗的發(fā)布，誘餌也隨之改變，包括廣告或提供在支付押金或費(fèi)用后盡早獲得疫苗的機(jī)會(huì)以及有關(guān)疫苗的錯(cuò)誤信息等。

　　（2）用于網(wǎng)絡(luò)釣魚活動(dòng)的郵政服務(wù)

　　在本報(bào)告所述期間，觀察到幾起旨在通過(guò)發(fā)送與國(guó)家郵政系統(tǒng)遞送有關(guān)的網(wǎng)絡(luò)釣魚電子郵件來(lái)竊取受害者信用卡號(hào)碼的網(wǎng)絡(luò)釣魚運(yùn)動(dòng)。這些電子郵件試圖將用戶引導(dǎo)到釣魚網(wǎng)站，從而獲取信用信息，目前已經(jīng)影響到至少 26 個(gè)國(guó)家。2021 年，郵政服務(wù)還被用于發(fā)送大量垃圾短信，將 Flubot Android 惡意軟件傳播到歐洲各地。惡意軟件團(tuán)伙偽裝成合法的包裹遞送服務(wù)，通過(guò)短信向用戶發(fā)送惡意鏈接。

　?。?）BEC 已越來(lái)越成熟、復(fù)雜并有針對(duì)性

　　根據(jù)公開的報(bào)告，BEC 是 2020 年最昂貴的網(wǎng)絡(luò)犯罪類型，各組織報(bào)告的總損失超過(guò) 18 億美元。在本報(bào)告期間，觀察到 BEC 計(jì)劃已經(jīng)發(fā)展，特別是在證書釣魚和貨幣轉(zhuǎn)換為加密貨幣。正如歐盟成員國(guó)報(bào)告的那樣，已經(jīng)有很多案例表明辦公賬戶被用于 BEC 欺詐。這意味著參與者還進(jìn)行了證書釣魚操作或密碼噴射攻擊（一種技術(shù)）。此外，盡管網(wǎng)絡(luò)罪犯的目標(biāo)是所有部門和企業(yè)，但 BEC 的參與者對(duì)中小企業(yè)表現(xiàn)出越來(lái)越多的關(guān)注。而且該網(wǎng)絡(luò)犯罪的巨大利潤(rùn)潛力吸引了全球范圍內(nèi)復(fù)雜的網(wǎng)絡(luò)犯罪集團(tuán)，進(jìn)一步使目前 BEC 參與者的地理位置更加多樣化、復(fù)雜化。

　?。?）SMShing 和 Vishing 有所增加

　　據(jù)安全部門稱，各種 APT 組織已經(jīng)開始使用 SMShing 和 Vishing 作為其高度針對(duì)性的活動(dòng)的一部分。在最近針對(duì)政治對(duì)手的攻擊中，APT-C-23似乎使用了一種新技術(shù)，即使用變聲軟件偽裝成女性，該組織的成員迄今為止都是男性，與受害者進(jìn)行對(duì)話。隨著對(duì)話的繼續(xù)，該組織開始發(fā)送帶有惡意軟件的視頻，以感染目標(biāo)系統(tǒng)。一般來(lái)說(shuō)，用戶已經(jīng)習(xí)慣了不去點(diǎn)擊可疑郵件，但仍然沒(méi)有意識(shí)到也可以通過(guò)短信或電話被釣魚。

　?。?）網(wǎng)絡(luò)釣魚即服務(wù)（PhaaS）

　　微軟最近對(duì) Bullet ProofLink 活動(dòng)的分析表明，該活動(dòng)是許多對(duì)組織產(chǎn)生影響的網(wǎng)絡(luò)釣魚活動(dòng)的罪魁禍?zhǔn)?。bulletproflink（也被其運(yùn)營(yíng)商在各種網(wǎng)站、廣告和其他宣傳材料中稱為 BulletProftLink 或炭疽）被多個(gè)惡意參與者以一次性或月度訂閱的商業(yè)模式使用，為其運(yùn)營(yíng)商創(chuàng)造了穩(wěn)定的收入流。與勒索軟件即服務(wù)（RaaS）類似，網(wǎng)絡(luò)釣魚即服務(wù)遵循軟件即服務(wù)模式。攻擊者付錢給運(yùn)營(yíng)商，讓其開發(fā)和部署大部分或完成網(wǎng)絡(luò)釣魚活動(dòng)，包括虛假登錄頁(yè)面開發(fā)、網(wǎng)站托管、憑據(jù)解析和重新分發(fā)，以及他們可能缺乏的外包功能。

　　5. 對(duì)數(shù)據(jù)的威脅的發(fā)展特點(diǎn)

　?。?）威脅行為者將注意力轉(zhuǎn)向了 COVID-19 疫苗信息

　　在本報(bào)告所述期間，疫苗信息成為若干網(wǎng)絡(luò)間諜活動(dòng)的中心。2020 年 7 月，英國(guó)外交大臣發(fā)布了關(guān)于大規(guī)模網(wǎng)絡(luò)釣魚活動(dòng)的警告，這些活動(dòng)似乎專門針對(duì)新冠病毒-19 研究設(shè)施，并被認(rèn)為是由國(guó)家贊助的。2020 年晚些時(shí)候，發(fā)現(xiàn)了具有獲取證書能力的網(wǎng)絡(luò)釣魚計(jì)劃，目的是獲取有關(guān)疫苗運(yùn)輸和分發(fā)過(guò)程的信息。2020 年底，阿斯利康員工的魚叉網(wǎng)絡(luò)釣魚事件被歸咎于國(guó)家支持的 APT 團(tuán)體。

　?。?）醫(yī)療行業(yè)數(shù)據(jù)泄露激增

　　醫(yī)療保健數(shù)據(jù)泄露正在迅速增加。由于新冠病毒-19 大流行，醫(yī)療保健部門成為人們關(guān)注的焦點(diǎn)，而威脅行為者利用這場(chǎng)危機(jī)打擊了本已深受其害的醫(yī)療行業(yè)。此外，由于大流行，轉(zhuǎn)向在線提供醫(yī)療服務(wù)、遠(yuǎn)程電子健康和遠(yuǎn)程醫(yī)療方法的趨勢(shì)有所增加，因此對(duì)手泄漏醫(yī)療數(shù)據(jù)的機(jī)會(huì)大大增加。

　?。?）商業(yè)環(huán)境中的數(shù)據(jù)泄露上升

　　根據(jù) SAN Institute 的數(shù)據(jù)，在過(guò)去幾年中，約有 74000 名員工、承包商和供應(yīng)商因公司筆記本電腦被盜而受到數(shù)據(jù)泄露的影響。數(shù)據(jù)未加密的事實(shí)加劇了這種情況。在 2021 年對(duì) 300 名受訪者（包括在最重要的業(yè)務(wù)領(lǐng)域擁有 5000 多名員工的美國(guó)公司的高層管理人員）的研究中，34%的受訪者因內(nèi)部人員濫用特權(quán)而成為財(cái)產(chǎn)盜竊或供應(yīng)鏈?zhǔn)軗p的目標(biāo)。

　　（4）動(dòng)機(jī)和攻擊載體保持不變

　　在本報(bào)告所述期間，對(duì)手動(dòng)機(jī)以及主要攻擊載體大致保持不變。與過(guò)去兩年一樣，網(wǎng)絡(luò)釣魚仍然是入侵的首要原因（36%）。其次是使用被盜憑證（25%）和勒索軟件（10%）。和過(guò)去幾年一樣，經(jīng)濟(jì)動(dòng)機(jī)的襲擊仍然是最常見的。近 80%的網(wǎng)絡(luò)攻擊是為了經(jīng)濟(jì)利益，比如直接從金融賬戶竊取資金，竊取信用卡信息或其他類型的數(shù)據(jù)，或要求贖金。

　?。?）身份盜竊和合成身份有所增加

　　據(jù)美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）稱，2020 年有關(guān)身份盜竊的投訴有所增加。其中約三分之一涉及美國(guó)政府福利。此外，美國(guó)很多案件都可能涉及合成身份。合成身份盜竊是一種詐騙行為，犯罪分子將真實(shí)和虛假信息結(jié)合起來(lái)，創(chuàng)造一個(gè)新的身份。根據(jù)美聯(lián)儲(chǔ)的說(shuō)法，使用合成身份的事件在美國(guó)很常見。

　?。?）供應(yīng)鏈攻擊日益嚴(yán)重的影響

　　據(jù)估計(jì)，2021 年發(fā)生的供應(yīng)鏈攻擊事件是 2020 年的 4 倍。由于一半的攻擊被歸因于高級(jí)持續(xù)性威脅（APT）行為者，其復(fù)雜性和資源大大超過(guò)了更常見的非目標(biāo)攻擊。約 58%的供應(yīng)鏈攻擊是為了獲取數(shù)據(jù)（主要是客戶數(shù)據(jù)，包括個(gè)人數(shù)據(jù)和知識(shí)產(chǎn)權(quán)），約 16%的攻擊是為了獲取人的信息。當(dāng)涉及到供應(yīng)商的數(shù)據(jù)時(shí)，20%的攻擊是為了獲取這些數(shù)據(jù)，66%的攻擊是為了獲取供應(yīng)商的源代碼。

　　6. 對(duì)可用性和完整性的威脅的發(fā)展特點(diǎn)

　?。?）勒索拒絕服務(wù)（RDoS）是 DDoS 攻擊的新趨勢(shì)

　　從 2020 年 8 月起，勒索拒絕服務(wù)（RDDoS）攻擊活動(dòng)得到了大幅提升，F(xiàn)ancy Bear、Cozy Bear、Lazarus Group 和 Armada Collective 等黑客組織開展了這些攻擊活動(dòng)，目標(biāo)行業(yè)包括全球范圍內(nèi)的電子商務(wù)、金融和旅游。RDDoS 有兩種類型：1）攻擊優(yōu)先；2） 勒索優(yōu)先。第一種情況實(shí)現(xiàn)了 DDoS攻擊，并請(qǐng)求贖金來(lái)阻止它。第二種情況以小型 DoS 形式發(fā)送勒索信和證據(jù)，并要求支付贖金。RDDoS 攻擊比傳統(tǒng)的 DDoS 攻擊更加危險(xiǎn)，因?yàn)楣粽咴跊](méi)有足夠資源的情況下也可以完成攻擊。

　?。?）傳統(tǒng) DDoS 正向移動(dòng)網(wǎng)絡(luò)和物聯(lián)網(wǎng)方向發(fā)展

　　物聯(lián)網(wǎng)（IoT）與 5G 的成功結(jié)合導(dǎo)致了新一輪 DDoS 攻擊，可能會(huì)導(dǎo)致受害者支付贖金。一方面，5G 使物聯(lián)網(wǎng)更容易受到網(wǎng)絡(luò)攻擊，支持本地化的DDoS，在這種情況下，攻擊者通過(guò)一組受攻擊設(shè)備的一個(gè)切片來(lái)干擾特定區(qū)域的連接。另一方面，物聯(lián)網(wǎng)可以作為 DDoS 的威脅載體。攻擊者可以構(gòu)建大量僵尸網(wǎng)絡(luò)來(lái)發(fā)起DDoS攻擊或分發(fā)惡意軟件。這在工業(yè)物聯(lián)網(wǎng)（IIoT）中尤其重要，因?yàn)樵诠I(yè)物聯(lián)網(wǎng)中，設(shè)備漏洞可以中斷業(yè)務(wù)運(yùn)營(yíng)并造成重大損害。

　?。?）針對(duì) DDoS 攻擊的先進(jìn)技術(shù)層出不窮

　　在虛擬化環(huán)境中共享資源是 DDoS 攻擊的放大器。物理資源過(guò)載會(huì)導(dǎo)致通信、服務(wù)和數(shù)據(jù)訪問(wèn)中斷。DDoS 攻擊者正在采用技術(shù)先進(jìn)的智能攻擊策略。在 2020-21 年，智能攻擊使用公開可用信息來(lái)監(jiān)控目標(biāo)采用的對(duì)策，并在運(yùn)行時(shí)調(diào)整攻擊策略。在這種情況下，短攻擊的持續(xù)時(shí)間減少，而長(zhǎng)攻擊的持續(xù)時(shí)間增加。從絕對(duì)數(shù)量上看，2021 年第一季度短攻擊的數(shù)量大幅增加，而長(zhǎng)攻擊的數(shù)量減少，但總持續(xù)時(shí)間增加了 589 次。

　　（4）DDoS 行動(dòng)變得更有針對(duì)性、多向量和持久性

　　2021 年的 DDoS 活動(dòng)變得更具針對(duì)性、多矢量和持久性。攻擊者尋找弱點(diǎn)來(lái)開發(fā)和嘗試不同的攻擊向量組合。據(jù)統(tǒng)計(jì)，65%的 DDoS 攻擊都是多向量攻擊，大多數(shù)攻擊向量集中在 UDP 協(xié)議上，如網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）、無(wú)連接輕型目錄訪問(wèn)協(xié)議（CLDAP）、Internet 控制消息協(xié)議（ICMP）和域名系統(tǒng)（DNS）。

　?。?）規(guī)模較小的組織正成為攻擊目標(biāo)

　　DDoS 越來(lái)越多地以小型企業(yè)為目標(biāo)，網(wǎng)絡(luò)犯罪分子越來(lái)越多地針對(duì)安全標(biāo)準(zhǔn)較低的小型組織，確保用較小的數(shù)據(jù)量和最大的收入成功攻擊。但 是公共機(jī)構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施仍然是 DDoS 攻擊的主要目標(biāo)。

　?。?）增加了基于 Web 和 DDoS 攻擊的組合

　　DDoS 和基于 web 的攻擊通常是協(xié)同活動(dòng)，web 應(yīng)用仍易受到與 web相關(guān)的威脅，如注入和跨站點(diǎn)腳本，并可能成為 DDoS 攻擊的載體。根據(jù)最近的一份報(bào)告，SQL 注入漏洞和 PHP 注入漏洞是最常被利用的漏洞，盡管 XSS 是發(fā)現(xiàn)最多的漏洞。

　　7. 虛假信息和錯(cuò)誤信息威脅的發(fā)展特點(diǎn)

　?。?）人工智能支持了攻擊者進(jìn)行虛假信息攻擊

　　人工智能被用來(lái)建立逼真的個(gè)人資料和圖像，改變帖子的內(nèi)容和措辭，并避免被人注意到，可以說(shuō)人工智能社交媒體是虛假信息傳播的基礎(chǔ)，造成了社會(huì)混亂。當(dāng)前深度造假技術(shù)發(fā)展非常迅速，人工智能技術(shù)的支持使得深度造假更加簡(jiǎn)單、可信，而社交媒體則有助于其廣泛傳播。

　?。?）新冠病毒-19 大流行擴(kuò)大了攻擊活動(dòng)

　　新冠病毒-19 是虛假信息攻擊的熱門話題，虛假信息活動(dòng)旨在傳播對(duì)冠狀病毒疫苗有效性的恐懼、不確定性和懷疑。企業(yè)和個(gè)人是虛假信息活動(dòng)的目標(biāo)，這些攻擊活動(dòng)側(cè)重于綠色通行證、強(qiáng)制性疫苗接種、健康護(hù)照、大規(guī)模免疫測(cè)試和封鎖等。

　?。?）虛假信息即服務(wù) （DaaS）

　　專業(yè)虛假信息主要是政府、政黨和公關(guān)公司大規(guī)模制造的。2019 年以來(lái)，越來(lái)越多的第三方提供虛假信息服務(wù)，代表客戶進(jìn)行有針對(duì)性的攻擊。許多國(guó)家都提供服務(wù)，越來(lái)越多的非國(guó)有和私營(yíng)商業(yè)組織正在使用這些服務(wù)。在此背景下，虛假信息已從政治和社會(huì)領(lǐng)域轉(zhuǎn)移到企業(yè)界。牛津大學(xué)監(jiān)測(cè)了政府和政黨利用社交媒體操縱輿論的情況，以及與它們合作傳播虛假信息的各種私人公司和其他組織。從地理的角度來(lái)看，虛假信息和錯(cuò)誤信息正在針對(duì)世界上的每個(gè)國(guó)家。

　　8. 非惡意威脅的發(fā)展特點(diǎn)

　　（1）錯(cuò)誤和系統(tǒng)配置錯(cuò)誤是最常見的根本原因

　　2020 年，在根據(jù) NIS 指令報(bào)告的具有重大影響的事件中，有 17%被標(biāo)記為人為錯(cuò)誤，而系統(tǒng)故障仍然是報(bào)告事件最常見的根本原因，比率為 48%。這些事件的原因是軟件缺陷和硬件故障。這是一個(gè)持續(xù)的趨勢(shì)，2019 年報(bào)告了類似的數(shù)據(jù)。

　?。?）由于遷移到云端而導(dǎo)致非惡意事件數(shù)量增加

　　COVID-19 的流行迫使人們遷移到云端，導(dǎo)致 2019 年 10 月至 2021 年 2 月期間全球云端工作量大幅增加：亞太地區(qū) 70%，歐洲、中東和非洲地區(qū)69%，美國(guó)地區(qū)65%，日本58%。根據(jù)Palo Alto networks的數(shù)據(jù)，因COVID-19大流行而顯著增加了云計(jì)算負(fù)載，安全事件顯著增長(zhǎng)，增長(zhǎng)率最高的行業(yè)，零售業(yè) 402%、制造業(yè) 230%、政府 205%以及制藥和生命科學(xué) 127%。

　?。?）漏洞和 bug 繼續(xù)扮演著重要角色

　　2020 年，物聯(lián)網(wǎng)惡意軟件也出現(xiàn)了前所未有的激增，這些惡意軟件利用的設(shè)備在大多數(shù)情況下是不安全的，也從未正確地打過(guò)補(bǔ)丁。同時(shí)，有些漏洞已經(jīng)相當(dāng)古老，攻擊者仍然在積極利用它們，根據(jù) Verizon 的數(shù)據(jù)，20%的組織暴露了早在 2010 年的漏洞，SonicWall 發(fā)現(xiàn)類似的舊漏洞仍在被利用。

　　9. 供應(yīng)鏈攻擊的發(fā)展特點(diǎn)

　?。?）供應(yīng)鏈攻擊的四大分類

　　在網(wǎng)絡(luò)安全方面，供應(yīng)鏈涉及廣泛的資源（硬件和軟件）、存儲(chǔ)（云或本地）、分發(fā)機(jī)制（網(wǎng)絡(luò)應(yīng)用程序、在線商店）和管理軟件。供應(yīng)商、供應(yīng)商資產(chǎn)、客戶、客戶資產(chǎn)是供應(yīng)鏈的四個(gè)關(guān)鍵要素。而供應(yīng)鏈攻擊是至少兩次攻擊的組合，第一個(gè)攻擊是對(duì)供應(yīng)商進(jìn)行攻擊，然后用來(lái)攻擊目標(biāo)以獲得對(duì)其資產(chǎn)的訪問(wèn)權(quán)。目標(biāo)可以是最終客戶或其他供應(yīng)商。因此，要將攻擊歸類為供應(yīng)鏈攻擊，供應(yīng)商和客戶都必須成為攻擊的目標(biāo)。對(duì)于供應(yīng)商來(lái)說(shuō)，第一部分稱為“危害供應(yīng)鏈的攻擊技術(shù)”，它確定了供應(yīng)商是如何受到攻擊的。供應(yīng)商的第二部分稱為“以供應(yīng)鏈攻擊為目標(biāo)的供應(yīng)商資產(chǎn)”，它確定了對(duì)供應(yīng)商的攻擊目標(biāo)是什么。對(duì)于客戶來(lái)說(shuō)，第一部分稱為“用于危害客戶的攻擊技術(shù)”，它確定了客戶是如何受到攻擊的?？蛻舻牡诙糠址Q為“供應(yīng)鏈攻擊所針對(duì)的客戶資產(chǎn)”，它確定了對(duì)客戶的攻擊目標(biāo)是什么，具體如表 2 所示。

　?。?）以目標(biāo)為導(dǎo)向的攻擊者

　　在 66%的供應(yīng)鏈攻擊事件中，攻擊者將注意力集中在供應(yīng)商的代碼上，目的是進(jìn)一步危害目標(biāo)客戶。在 20%的攻擊事件中，攻擊者的目標(biāo)數(shù)據(jù)，以及 12%的供應(yīng)商攻擊目標(biāo)是內(nèi)部流程。了解這些對(duì)于網(wǎng)絡(luò)安全保護(hù)工作至關(guān)重要，組織應(yīng)重點(diǎn)驗(yàn)證第三方代碼和軟件，以確保其未被篡改或操縱。這些供應(yīng)鏈攻擊所針對(duì)的最終客戶資產(chǎn)似乎主要是客戶數(shù)據(jù)，包括個(gè)人數(shù)據(jù)和知識(shí)產(chǎn)權(quán)。攻擊者還以其他資產(chǎn)（包括人員、軟件和財(cái)務(wù)資源）為目標(biāo)，但攻擊程度較低。

　?。?）大多數(shù)攻擊載體都是未知的

　　調(diào)查結(jié)果表明，在 66% 的供應(yīng)鏈攻擊中，供應(yīng)商不知道他們是如何受到威脅的。相比之下，通過(guò)供應(yīng)鏈攻擊而受損的客戶中，只有不到 9% 不知道攻擊是如何發(fā)生的。這凸顯了供應(yīng)商和面向最終用戶的公司之間在網(wǎng)絡(luò)安全事件報(bào)告成熟度方面的差距。83%的供應(yīng)商在技術(shù)部門，缺乏對(duì)攻擊是如何發(fā)生的了解，可能表明在供應(yīng)商基礎(chǔ)設(shè)施的網(wǎng)絡(luò)防御方面成熟度不高，或者不愿意共享相關(guān)信息。此外，還有其他因素，包括攻擊的復(fù)雜性和攻擊的緩慢性，都可能會(huì)使信息不透明。

　?。?）大部分是 APT 集團(tuán)發(fā)起的復(fù)雜攻擊

　　超過(guò) 50%的供應(yīng)鏈攻擊是由著名的網(wǎng)絡(luò)犯罪集團(tuán)造成的，其中包括APT 29、APT 41、Thallium APT、CD 2546、Lazarus APT、TA 413 和 TA 428。分析表明，APT 集團(tuán)似乎對(duì)具有區(qū)域影響的目標(biāo)略有偏愛，并且有相當(dāng)數(shù)量的攻擊旨在獲取客戶數(shù)據(jù)。

　　三

　　幾點(diǎn)認(rèn)識(shí)

　?。ㄒ唬┚W(wǎng)絡(luò)威脅情報(bào)已成為網(wǎng)絡(luò)安全保障領(lǐng)域的重要組成部分

　　為應(yīng)對(duì)激增的新型網(wǎng)絡(luò)威脅，確保歐盟在網(wǎng)絡(luò)空間的優(yōu)勢(shì)，消除成員國(guó)間的猜疑和威脅情報(bào)共享的障礙，提升應(yīng)對(duì)網(wǎng)絡(luò)威脅的能力，歐盟先后發(fā)布了系列戰(zhàn)略和法規(guī)標(biāo)準(zhǔn)，均明確指出了網(wǎng)絡(luò)安全信息共享的重要性，歐盟成員國(guó)也在本國(guó)的網(wǎng)絡(luò)安全戰(zhàn)略中強(qiáng)調(diào)建立信息共享機(jī)制，逐步形成多層次的網(wǎng)絡(luò)威脅情報(bào)共享規(guī)劃，確立了網(wǎng)絡(luò)威脅情報(bào)共享的戰(zhàn)略地位。

　　除了將網(wǎng)絡(luò)威脅情報(bào)共享提升到戰(zhàn)略地位，歐盟還成立了專門的網(wǎng)絡(luò)信息安全機(jī)構(gòu)，并積極與情報(bào)部門協(xié)作，形成了歐盟、成員國(guó)、民間組織與情報(bào)機(jī)構(gòu)協(xié)作的多層次網(wǎng)絡(luò)威脅共享機(jī)制。而歐盟作為一個(gè)超國(guó)家集合體，發(fā)展不均衡引發(fā)眾多網(wǎng)絡(luò)安全隱患。為此歐盟成立了多種機(jī)構(gòu)負(fù)責(zé)網(wǎng)絡(luò)信息安全工作，實(shí)現(xiàn)不同國(guó)家和機(jī)構(gòu)的協(xié)調(diào)互聯(lián)，歐盟網(wǎng)絡(luò)和信息安全局（ENISA）就是在這樣的背景下成立的機(jī)構(gòu)之一，ENISA 作為歐盟的一個(gè)獨(dú)立的、永久性政府機(jī)構(gòu)，成立于 2004 年，主要協(xié)調(diào)歐盟層面的網(wǎng)絡(luò)安全調(diào)研、協(xié)調(diào)、落實(shí)等，主要職能包括提供咨詢和建議、支持政策制定和實(shí)施，以及協(xié)調(diào)各成員國(guó)在相關(guān)產(chǎn)業(yè)方面的合作，為歐洲國(guó)家網(wǎng)絡(luò)空間戰(zhàn)略發(fā)展提供重要的技術(shù)和政策支撐。ENISA 連續(xù) 9 年不間斷地對(duì)歐盟及相關(guān)國(guó)家和地區(qū)面臨的主要網(wǎng)絡(luò)威脅態(tài)勢(shì)、易受攻擊的行業(yè)和目標(biāo)、網(wǎng)絡(luò)- 攻擊者情況、網(wǎng)絡(luò)攻擊動(dòng)機(jī)、常用技術(shù)等進(jìn)行分析研究。要求歐盟各成員國(guó)消除監(jiān)管障礙，開發(fā)內(nèi)部網(wǎng)絡(luò)威脅情報(bào)系統(tǒng)，擺脫對(duì)美國(guó)等情報(bào)源的依賴，開發(fā)新技術(shù)，擴(kuò)大網(wǎng)絡(luò)威脅情報(bào)收集范圍，提升歐盟網(wǎng)絡(luò)威脅情報(bào)能力，提高網(wǎng)絡(luò)威脅情報(bào)的獨(dú)立性和質(zhì)量?；谶@些戰(zhàn)略情報(bào)，歐盟這些年在安全技術(shù)、能力建設(shè)、保持優(yōu)勢(shì)和國(guó)際合作等方面提出了多項(xiàng)切實(shí)有力措施，在空間上覆蓋各成員國(guó)，時(shí)間上涉及網(wǎng)絡(luò)安全預(yù)防、抵御沖擊及事后追查犯罪等全過(guò)程，在產(chǎn)業(yè)體系上試圖涵蓋數(shù)字供應(yīng)鏈全鏈，全面提升了歐盟網(wǎng)絡(luò)安全管理及應(yīng)對(duì)威脅的能力和水平。

　　當(dāng)前網(wǎng)絡(luò)威脅情報(bào)共享已融入到歐盟及成員國(guó)網(wǎng)絡(luò)安全建設(shè)的諸多方面，不但多角度確立了網(wǎng)絡(luò)威脅情報(bào)共享的戰(zhàn)略地位，而且構(gòu)建了網(wǎng)絡(luò)威脅情報(bào)共享機(jī)制，還多渠道推動(dòng)著網(wǎng)絡(luò)威脅情報(bào)共享能力的建設(shè)，這些都對(duì)我國(guó)更好地應(yīng)對(duì)網(wǎng)絡(luò)威脅、提高網(wǎng)絡(luò)抗風(fēng)險(xiǎn)能力提供了借鑒。

　?。ǘ┚W(wǎng)絡(luò)安全威脅已全面泛化，我國(guó)應(yīng)以實(shí)際行動(dòng)轉(zhuǎn)危為機(jī)

　　當(dāng)前，全球網(wǎng)絡(luò)安全風(fēng)險(xiǎn)已達(dá)峰值。攻擊者的目標(biāo)越來(lái)越多，采用的攻擊方式也愈加難以預(yù)測(cè)。同時(shí)，新冠疫情催化了云計(jì)算等技術(shù)的應(yīng)用，以及辦公場(chǎng)景的變革，線上辦公的廣泛普及加劇了信息傳遞對(duì)網(wǎng)絡(luò)的依賴，需要應(yīng)對(duì)更加復(fù)雜多樣的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。此外，網(wǎng)絡(luò)攻擊的產(chǎn)業(yè)化發(fā)展趨勢(shì)使得攻擊工具和手法變得愈加復(fù)雜多樣，傳統(tǒng)的防火墻、入侵檢測(cè)技術(shù)、惡意代碼掃描、網(wǎng)絡(luò)監(jiān)控等被動(dòng)防御手段顯得捉襟見肘疲于應(yīng)付。面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)空間安全威脅，更加需要了解自身的網(wǎng)絡(luò)安全脆弱點(diǎn)，掌握已知、未知的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn)，不斷提升自身在實(shí)戰(zhàn)中的檢測(cè)與響應(yīng)能力。

　　首先應(yīng)在網(wǎng)絡(luò)體系構(gòu)建方面高度強(qiáng)調(diào)韌性的重要性，提高關(guān)鍵基礎(chǔ)設(shè)施及服務(wù)的網(wǎng)絡(luò)韌性水平，特別是提高電力、金融、交通運(yùn)輸?shù)汝P(guān)鍵部門的網(wǎng)絡(luò)韌性；保護(hù)通信基礎(chǔ)設(shè)施和 5G 網(wǎng)絡(luò)安全，重視人工智能、量子計(jì)算等關(guān)鍵技術(shù)的開發(fā)與應(yīng)用，未來(lái)數(shù)年內(nèi)部署安全量子通訊基礎(chǔ)設(shè)施，以 -種極安全的加密形式抵御網(wǎng)絡(luò)攻擊。其次提高網(wǎng)絡(luò)安全技術(shù)水平，打造網(wǎng)絡(luò)安全屏障。加強(qiáng)對(duì)基礎(chǔ)設(shè)施聯(lián)網(wǎng)軟硬件的風(fēng)險(xiǎn)排查，減少或消除安全隱患。對(duì)關(guān)鍵基礎(chǔ)設(shè)施上的進(jìn)口零部件，有必要加緊國(guó)產(chǎn)替代步伐，提高安全系數(shù)。二是健全安全協(xié)調(diào)機(jī)制，匯集各方力量共保網(wǎng)絡(luò)安全。各部門之間建立協(xié)調(diào)聯(lián)動(dòng)機(jī)制，針對(duì)重大跨境網(wǎng)絡(luò)事件及威脅提供技術(shù)，通過(guò)信息共享，提供持續(xù)共享的風(fēng)險(xiǎn)態(tài)勢(shì)感知能力。加強(qiáng)網(wǎng)絡(luò)安全執(zhí)法隊(duì)伍規(guī)模及能力建設(shè)，并獲得其他部門支持。三是努力提升我國(guó)在網(wǎng)絡(luò)安全領(lǐng)域的國(guó)際話語(yǔ)權(quán)。一方面繼續(xù)推進(jìn)數(shù)字技術(shù)、網(wǎng)絡(luò)安全技術(shù)的進(jìn)步。在優(yōu)勢(shì)領(lǐng)域保持領(lǐng)先，使其他國(guó)家在短時(shí)間內(nèi)難以找到替代方案。在追趕領(lǐng)域持續(xù)發(fā)力，減少被“卡脖子”“的領(lǐng)域。另一方面加大人才培養(yǎng)力度，推動(dòng)網(wǎng)絡(luò)安全等實(shí)用技能人才的培養(yǎng)，全面提高公民的數(shù)字素養(yǎng)，穩(wěn)步接近世界發(fā)達(dá)國(guó)家和地區(qū)水平。

　　總體來(lái)看，隨著數(shù)字經(jīng)濟(jì)進(jìn)入新的發(fā)展階段，網(wǎng)絡(luò)安全領(lǐng)域還將面臨更多的新挑戰(zhàn)和新機(jī)遇。對(duì)此，我們要不斷提升網(wǎng)絡(luò)安全意識(shí)；進(jìn)一步細(xì)化網(wǎng)絡(luò)安全管理體系，加快相關(guān)監(jiān)管政策的落地和標(biāo)準(zhǔn)體系的建設(shè)；加強(qiáng)核心技術(shù)創(chuàng)新，全面提升網(wǎng)絡(luò)安全防護(hù)能力；加快推進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展；創(chuàng)新網(wǎng)絡(luò)安全人才培養(yǎng)模式，加強(qiáng)網(wǎng)絡(luò)安全人才市場(chǎng)供需對(duì)接。

　　附錄：（1）防范和應(yīng)對(duì)勒索軟件的建議：

　　? 實(shí)施安全和冗余備份戰(zhàn)略。？ 身份和訪問(wèn)管理的實(shí)施和審核（最低特權(quán)和職責(zé)分離）。

　　? 培訓(xùn)和提高用戶（包括特權(quán)用戶）的意識(shí)。

　　? 開發(fā)和生產(chǎn)環(huán)境分離。與政府和企業(yè)共享事故信息。

　　?  限制對(duì)已知勒索軟件網(wǎng)站的訪問(wèn)。

　　? 應(yīng)為授權(quán)設(shè)備、用戶和流程頒發(fā)、管理、驗(yàn)證、撤銷和審核身份和憑證。

　　?  應(yīng)管理訪問(wèn)權(quán)限和授權(quán)，納入最低特權(quán)和職責(zé)分離原則。

　　? 應(yīng)定期測(cè)試?yán)账鬈浖憫?yīng)和恢復(fù)計(jì)劃，以確保風(fēng)險(xiǎn)和響應(yīng)假設(shè)和流程與不斷演變的勒索軟件威脅相關(guān)。

　　?  使用阻止進(jìn)入已知勒索軟件網(wǎng)站的安全產(chǎn)品或服務(wù)。

　　? 執(zhí)行勒索軟件準(zhǔn)備就緒評(píng)估（RRA），這是 CISA 針對(duì) IT 和 ICS（工業(yè)控制系統(tǒng)）網(wǎng)絡(luò)開發(fā)的一個(gè)工具，用于評(píng)估不同級(jí)別勒索軟件威脅準(zhǔn)備就緒情況下的安全性。

　　?  向政府報(bào)告任何攻擊或企圖攻擊，并幫助限制其傳播。

　　? 系統(tǒng)監(jiān)測(cè)，以快速識(shí)別感染。

　　?  跟蹤勒索軟件的最新趨勢(shì)、發(fā)展和預(yù)防建議。

　?。?）防范和應(yīng)對(duì)惡意軟件的建議：

　　?  對(duì)所有入站/出站通道實(shí)施惡意軟件檢測(cè)，包括所有適用平臺(tái)（即服務(wù)器、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、個(gè)人計(jì)算機(jī)和移動(dòng)設(shè)備）中的電子郵件、網(wǎng)絡(luò)、web和應(yīng)用系統(tǒng)。？  檢查 SSL/TLS 流量，允許防火墻解密網(wǎng)站、電子郵件通信和移動(dòng)應(yīng)用程序之間的傳輸內(nèi)容。

　　? 在惡意軟件檢測(cè)功能和安全事件管理之間建立接口，以建立有效的響應(yīng)能力。

　　?  使用可用于惡意軟件分析的工具共享惡意軟件信息和惡意軟件緩解（即MISP）。

　　?  制定安全政策，規(guī)定發(fā)生感染時(shí)應(yīng)遵循的流程。

　　?  了解各種安全工具的功能，并開發(fā)新的安全解決方案。找出差距并應(yīng)用縱深防御原則。

　　? 對(duì)惡意電子郵件采用郵件過(guò)濾（或垃圾郵件過(guò)濾），并刪除可執(zhí)行附件。

　　?  定期監(jiān)控防病毒測(cè)試的結(jié)果。

　　?  對(duì)容器基礎(chǔ)設(shè)施使用補(bǔ)丁管理。

　　?  利用安全事件和事件管理（SIEM）解決方案進(jìn)行日志監(jiān)控。指示日志源包括防病毒警報(bào)、端點(diǎn)檢測(cè)和響應(yīng)（EDR）、代理服務(wù)器日志、Windows事件和系統(tǒng)日志、入侵檢測(cè)系統(tǒng)（IDS）日志等。

　?。?）如何防范和應(yīng)對(duì)加密劫持的建議：

　　?  監(jiān)控用戶設(shè)備上的電池使用情況，如果 CPU 使用率出現(xiàn)可疑峰值，則掃描是否存在基于文件的礦工。

　　? 實(shí)現(xiàn)常見加密挖掘協(xié)議的 web 過(guò)濾，以及將流行加密挖掘 IP 池的 IP 地址和域列入黑名單。？ 監(jiān)控網(wǎng)絡(luò)異常和塊挖掘協(xié)議。

　　? 通過(guò)防病毒程序或 crypto miner 阻止瀏覽器插件安裝端點(diǎn)保護(hù)。

　　?  定期進(jìn)行安全審計(jì)，以檢測(cè)網(wǎng)絡(luò)異常。

　　? 實(shí)施強(qiáng)大的漏洞和補(bǔ)丁管理，以防范新出現(xiàn)的威脅和漏洞。

　　?  針對(duì)已知漏洞實(shí)施補(bǔ)丁和修復(fù)。

　　?  使用白名單防止在端點(diǎn)執(zhí)行未知的可執(zhí)行文件。

　　?  使用允許列表僅允許在端點(diǎn)上執(zhí)行已知的可執(zhí)行文件。監(jiān)視和阻止公共加密挖掘可執(zhí)行文件。

　　?  投資于提高用戶對(duì)加密劫持的意識(shí)，特別是在安全瀏覽行為方面。

　　? 在安全意識(shí)培訓(xùn)的背景下討論加密挖掘。

　　（4）防范和應(yīng)對(duì)與電子郵件相關(guān)的威脅的建議：

　　?  提供關(guān)于如何識(shí)別可疑鏈接和附件以及如何報(bào)告這些鏈接和附件的定期用戶培訓(xùn)。在電子郵件網(wǎng)關(guān)上實(shí)施垃圾郵件過(guò)濾器；隨時(shí)更新簽名和規(guī)則。盡可能使用安全的電子郵件網(wǎng)關(guān)，并自動(dòng)維護(hù)過(guò)濾器（反垃圾郵件、反惡意軟件、基于策略的過(guò)濾）。

　　?  在電子郵件網(wǎng)關(guān)上設(shè)置安全控制，以減少誘餌到達(dá)員工收件箱的頻率或可能性。

　　? 實(shí)施”了解需求“訪問(wèn)政策，以限制任何妥協(xié)的影響。

　　? 確保來(lái)自組織外部的電子郵件在收到前自動(dòng)標(biāo)記。

　　?  對(duì)賬戶實(shí)施多因素認(rèn)證（MFA）。

　　?  檢查可疑惡意域的壽命及其所有權(quán)。

　　?  盡可能采用安全解決方案，使用機(jī)器學(xué)習(xí)技術(shù)實(shí)時(shí)識(shí)別釣魚網(wǎng)站。

　　? 禁止在郵件客戶端自動(dòng)執(zhí)行代碼、宏、圖形渲染和預(yù)加載郵件鏈接，并經(jīng)常更新它們。

　　? 實(shí)施減少垃圾郵件的標(biāo)準(zhǔn)之一。

　　? 在可能的情況下，對(duì)于關(guān)鍵金融交易或交換敏感信息時(shí)，通過(guò)使用數(shù)字簽名或加密實(shí)現(xiàn)安全的電子郵件通信。

　　? 盡可能在網(wǎng)絡(luò)級(jí)別對(duì)入站和出站電子郵件實(shí)施欺詐和異常檢測(cè)。

　　?  如果對(duì)電子郵件來(lái)源沒(méi)有絕對(duì)信心，請(qǐng)勿單擊隨機(jī)鏈接或下載附件。

　　?  檢查訪問(wèn)的網(wǎng)站的域名是否存在拼寫錯(cuò)誤，尤其是敏感網(wǎng)站（如銀行網(wǎng)站）。威脅參與者通常注冊(cè)與合法域相似的假域，并使用其來(lái)”釣魚“。

　　? 為每項(xiàng)在線服務(wù)使用強(qiáng)大且唯一的密碼。為各種服務(wù)重復(fù)使用相同的密碼是一個(gè)嚴(yán)重的安全問(wèn)題，應(yīng)始終避免。

　　? 實(shí)施內(nèi)容過(guò)濾以定位不需要的附件、包含惡意內(nèi)容的電子郵件、垃圾郵件和不需要的網(wǎng)絡(luò)流量。

　　?  避免回復(fù)未知發(fā)件人在電子郵件或短信中收到的新鏈接，最重要的是，在跟蹤此類鏈接時(shí)不要輸入自己的憑據(jù)。

　?。?）防范和應(yīng)對(duì)數(shù)據(jù)威脅的建議：

　　? 制定和維護(hù)網(wǎng)絡(luò)安全意識(shí)計(jì)劃。

　　? 根據(jù)”需要知道“原則限制用戶訪問(wèn)權(quán)限。撤銷非員工的訪問(wèn)權(quán)限。

　　?  建立和維護(hù)事件響應(yīng)團(tuán)隊(duì)，并經(jīng)常評(píng)估事件響應(yīng)計(jì)劃。

　　? 發(fā)現(xiàn)和分類敏感/個(gè)人數(shù)據(jù)，并采取措施對(duì)傳輸中和靜止的此類數(shù)據(jù)進(jìn)行加密。換句話說(shuō)，部署數(shù)據(jù)丟失預(yù)防功能。

　　?  增加與檢測(cè)、警報(bào)工具以及遏制和應(yīng)對(duì)數(shù)據(jù)泄露能力相關(guān)的投資。

　　?  制定并維護(hù)強(qiáng)有力的政策，強(qiáng)制執(zhí)行強(qiáng)有力的密碼（密碼管理）和使用多因素身份驗(yàn)證（MFA）。

　　?  制定與治理、風(fēng)險(xiǎn)管理和合規(guī)團(tuán)隊(duì)合作的政策和計(jì)劃。

　　?  僅在安全的 IT 資產(chǎn)上存儲(chǔ)數(shù)據(jù)。

　　? 定期對(duì)人員進(jìn)行教育和培訓(xùn)。

　　?  使用技術(shù)工具避免可能的數(shù)據(jù)泄漏，如漏洞掃描、惡意軟件掃描和數(shù)據(jù)丟失預(yù)防（DLP）工具。部署數(shù)據(jù)和便攜式系統(tǒng)和設(shè)備加密，以及安全網(wǎng)關(guān)。

　　? 業(yè)務(wù)連續(xù)性計(jì)劃（BCP）在發(fā)生數(shù)據(jù)泄露時(shí)至關(guān)重要。該計(jì)劃概述了存儲(chǔ)的數(shù)據(jù)類型、位置以及在實(shí)施數(shù)據(jù)安全和恢復(fù)措施時(shí)可能產(chǎn)生的潛在責(zé)任。

　　? 在公司內(nèi)部實(shí)施”威脅搜尋“以加強(qiáng)安全計(jì)劃。

　　? 基于 velocity 的規(guī)則等策略可用于緩解身份欺詐，尤其是對(duì)于支付卡交易。有效交易的機(jī)器數(shù)據(jù)可為最佳策略定義提供足夠的信息。

　　?  單點(diǎn)登錄（SSO）身份驗(yàn)證方法（如果可用）允許用戶使用同一組數(shù)字憑據(jù)訪問(wèn)多個(gè)應(yīng)用程序。

　　?  在采取任何進(jìn)一步措施之前，應(yīng)首先根據(jù) IP 地址、與 IP 關(guān)聯(lián)的 ASN、域所有者以及該域與其他域之間的關(guān)系檢查通過(guò)電子郵件發(fā)送或隨機(jī)訪問(wèn)的 URL。

　　?  采用云服務(wù)的組織應(yīng)具有強(qiáng)大的云安全運(yùn)營(yíng)能力，并更喜歡同時(shí)使用內(nèi)部存儲(chǔ)、私有云存儲(chǔ)和公共云存儲(chǔ)的體系結(jié)構(gòu)，以保護(hù)其客戶的個(gè)人信息。

　　? 對(duì)敏感數(shù)據(jù)使用強(qiáng)大且更新的加密方法，如 TLS 1.3（使用臨時(shí)密鑰），以防止黑客攻擊。

　　? 充分保護(hù)所有身份證件和復(fù)印件（實(shí)物或數(shù)字），防止未經(jīng)授權(quán)的訪問(wèn)

　　? 身份信息不應(yīng)披露給未經(jīng)請(qǐng)求的收件人，他們通過(guò)電話、電子郵件或親自提出的請(qǐng)求也不應(yīng)得到答復(fù)。

　　? 安裝并使用內(nèi)容過(guò)濾功能過(guò)濾掉不需要的附件、包含惡意內(nèi)容的郵件、垃圾郵件和不需要的網(wǎng)絡(luò)流量。

　　?  使用數(shù)據(jù)丟失預(yù)防（DLP）解決方案。

　?。?）防范和應(yīng)對(duì)對(duì)可用性和完整性威脅的建議：DDoS 和基于 web 的攻擊都是長(zhǎng)期存在的威脅，緩解 DDoS 攻擊的對(duì)策如下：

　　?  拒絕服務(wù)響應(yīng)計(jì)劃對(duì)于以恢復(fù)能力為優(yōu)先事項(xiàng)的組織至關(guān)重要，應(yīng)整合系統(tǒng)檢查表、響應(yīng)團(tuán)隊(duì)以及有效的溝通和上報(bào)程序。

　　? 安全過(guò)程應(yīng)是一項(xiàng)持續(xù)的活動(dòng)，跟蹤并適應(yīng)系統(tǒng)和網(wǎng)絡(luò)的演變和生命周期。

　　?  相關(guān)組織之間的協(xié)作和協(xié)調(diào)對(duì)于倍增和加強(qiáng)緩解工作至關(guān)重要。

　　?  使用本地解決方案、DDoS 清理服務(wù)或混合解決方案實(shí)施 DDoS 保護(hù)。

　　?  同時(shí)使用網(wǎng)絡(luò)和 web 應(yīng)用程序防火墻。

　　? 使用基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。

　　?  及時(shí)應(yīng)用補(bǔ)丁，高度重視系統(tǒng)更新。

　　?  流量分析和流量過(guò)濾有助于提供異常流量模式的早期預(yù)警信號(hào)，這些異常流量模式是 DDoS 攻擊的一個(gè)指標(biāo)。 使用 DDoS 緩解服務(wù)來(lái)檢測(cè)異常流量，并將流量重定向到遠(yuǎn)離網(wǎng)絡(luò)的地方，同時(shí)使用速率限制來(lái)限制傳入流量。

　　? 保護(hù)基于 web 的 API 并監(jiān)控相關(guān)漏洞。

　　? 建立基于主動(dòng)方法的威脅情報(bào)計(jì)劃，使安全態(tài)勢(shì)適應(yīng)不斷變化的威脅環(huán)境。

　　?  利用工作人員培訓(xùn)和網(wǎng)絡(luò)安全演習(xí)加強(qiáng)能力建設(shè)和準(zhǔn)備工作。

　　緩解基于 web 的攻擊的對(duì)策如下：

　　?  設(shè)置 web 應(yīng)用程序防火墻（WAF）以識(shí)別和過(guò)濾惡意請(qǐng)求。WAF 必須保持更新，以保護(hù)系統(tǒng)免受新發(fā)現(xiàn)的漏洞的影響。

　　?  加強(qiáng)代碼庫(kù)（例如輸入隔離、參數(shù)化語(yǔ)句），以防止基于注入的攻擊。

　　? 及時(shí)更新軟件，避免零日攻擊。

　　?  正確配置和強(qiáng)化 web 服務(wù)器，并定期修補(bǔ) Internet 上公開的所有服務(wù)器。

　　?  使用攻擊工具、漏洞掃描程序和滲透測(cè)試服務(wù)，持續(xù)驗(yàn)證安全強(qiáng)化的有效性。

　　?  啟用日志記錄并檢查這些日志。

　?。?）防范和應(yīng)對(duì)虛假信息/錯(cuò)誤信息的建議：緩解方法包括技術(shù)和非技術(shù)領(lǐng)域。一方面，是以基于人的方法，包括培訓(xùn)、檢查和揭穿、監(jiān)管和溝通等方法。另一方面，技術(shù)解決方案對(duì)于限制通過(guò)社交網(wǎng)絡(luò)傳播錯(cuò)誤/虛假信息非常重要。

　　?  培訓(xùn)和安全意識(shí)，為員工處理虛假信息攻擊以及評(píng)估任何電子郵件和報(bào)告做好準(zhǔn)備。

　　?  錯(cuò)誤信息/虛假信息識(shí)別，例如，檢查來(lái)源、作者、交叉引用、引用的數(shù)據(jù)和日期等。

　　? 事實(shí)核查和揭穿虛假報(bào)道。

　　?  法規(guī)：新法規(guī)（如擬議的《電子商務(wù)數(shù)字服務(wù)法》）制定，以及對(duì)包括社交網(wǎng)絡(luò)在內(nèi)的傳播虛假新聞的網(wǎng)站的處罰。

　　?  戰(zhàn)略性和透明的溝通：事實(shí)性的，與政治溝通分開。

　　? 技術(shù)對(duì)策：重寫搜索引擎算法；通過(guò)廣告開展宣傳活動(dòng)；可信度評(píng)級(jí)，顯示可疑行為；數(shù)字水?。?biāo)記視覺內(nèi)容）；制定以情緒跟蹤和暗網(wǎng)監(jiān)控為中心的保護(hù)戰(zhàn)略。

　?。?）防范和應(yīng)對(duì)非惡意威脅的建議：

　　? 必須采取全面的安全方法，傳統(tǒng)安全通過(guò)實(shí)物保護(hù)和災(zāi)難恢復(fù)得到豐富。

　　? 采用考慮非惡意威脅以及云服務(wù)的風(fēng)險(xiǎn)管理流程。

　　?  持續(xù)監(jiān)控和測(cè)試，及時(shí)發(fā)現(xiàn)錯(cuò)誤和錯(cuò)誤配置。

　　?  需要強(qiáng)有力的組織政策來(lái)減少人為錯(cuò)誤。

　　?  對(duì)數(shù)據(jù)和安全采用基于治理的方法，允許對(duì)數(shù)據(jù)進(jìn)行全面考慮和跟蹤。

　　? 處理漏洞的補(bǔ)丁管理計(jì)劃。

　　?  補(bǔ)丁管理必須考慮供應(yīng)鏈風(fēng)險(xiǎn)。

　　?  針對(duì)所有類型用戶的培訓(xùn)和意識(shí)。

　　? 對(duì)物理基礎(chǔ)設(shè)施進(jìn)行工程設(shè)計(jì)，使其更能抵御自然事件，并對(duì)公用設(shè)施進(jìn)行適當(dāng)管理，以確保在發(fā)生意外事件或短缺時(shí)的業(yè)務(wù)連續(xù)性。

　　? 零信任安全方法，假設(shè)一切都被認(rèn)為是惡意和不可信的。

　　? 提高最高管理層對(duì)網(wǎng)絡(luò)安全和物理安全必須整合的認(rèn)識(shí)。

　　?  恢復(fù)計(jì)劃和備份是提高系統(tǒng)恢復(fù)能力的基礎(chǔ)。

　　? 物理破壞可促進(jìn)攻擊。例如，物理訪問(wèn)控制、無(wú)人值守設(shè)備中的漏洞可幫助對(duì)手進(jìn)行攻擊。

　　?  內(nèi)部設(shè)備（加熱、通風(fēng)和空調(diào)）中的錯(cuò)誤和故障可能導(dǎo)致火災(zāi)、潮濕和不穩(wěn)定電源可能損壞 IT 基礎(chǔ)設(shè)施的情況。

　　?  風(fēng)險(xiǎn)評(píng)估、災(zāi)難恢復(fù)技術(shù)和人員培訓(xùn)至關(guān)重要。