ENISA报告 | 2023年网络威胁态势：公共管理等部门成主要攻击目标

欧盟信息安全局(ENISA)当地时间10月19日发布了关于网络安全威胁形势的第十一份年度报告，为当前网络威胁状况提供了重要见解。它确定了与威胁、威胁行为者和攻击技术有关的主要威胁和主要趋势，同时重点关注影响和动机分析。今年的工作再次得到ENISA网络安全威胁形势特设工作组(CTL)的支持。2023年威胁形势报告指出：2022年下半年和2023年上半年，网络安全形势见证了网络攻击的种类、数量及其后果显著增加。随着新组织的出现，黑客行动主义不断扩大，而勒索软件事件在2023年上半年激增，并且没有放缓的迹象。ENISA威胁态势报告绘制了网络威胁态势图，以帮助决策者、政策制定者和安全专家制定保护公民、组织和网络空间的策略。

识别和分析的主要威胁包括勒索软件、恶意软件、社会工程、数据威胁、可用性威胁（包括拒绝服务和互联网威胁）、信息操纵和干扰以及供应链攻击。 

报告期内，主要发现包括DDoS和勒索软件在主要威胁中排名最高，其次是社会工程、数据相关威胁、信息操纵、供应链和恶意软件。威胁行为者的即服务计划专业化、采用新颖的策略和替代方法渗透环境、向受害者施压并勒索他们、推进其非法活动的情况明显增加。 

欧盟信息安全局2023年威胁形势报告将公共管理确定为最受攻击的部门（约19%），其次是目标个人（约11%）、卫生（约8%）、数字基础设施（约7%）、制造、金融和运输。

报告披露，2023年，网络犯罪分子越来越多地瞄准云基础设施，出于地缘政治动机，并增加勒索活动，不仅通过勒索软件，还直接针对用户。最后，随着人工智能(AI)和新技术的出现，社会工程攻击在2023年显着增长，但网络钓鱼仍然是最主要的攻击媒介。

ENISA威胁态势报告还显示，足智多谋的黑客被观察到滥用合法工具，主要是为了延长他们的网络间谍活动。他们的目标是尽可能长时间地逃避检测，并通过使用大多数系统中广泛使用的软件来掩盖他们的活动，从而使防御者更难以识别他们。通过不引起受害者的怀疑，最大限度地提高入侵成功的机会。

它还透露，地缘政治继续对网络行动产生重大影响。通过仅使用勒索技术，犯罪组织已逐渐混合勒索方法，这些方法几乎总是包含某种形式的数据盗窃。双重敲诈勒索现象明显增多，某些团体甚至完全依靠窃取信息的行为。 

ENISA威胁态势报告还指出，执法部门的行动有所增加，例如摧毁Hive勒索软件组织的IT基础设施或Trickbot；随着两个零日漏洞的武器化， Cl0p在2023年上半年有所上涨。最大的恶意软件威胁之一仍然是信息窃取者，例如 Agent Tesla、Redline Stealer和FormoBook。此外，该报告还表示，传统移动恶意软件的数量正在稳步下降，广告软件在出现次数上仍然是对移动设备最普遍的威胁，而就影响而言，间谍软件可被视为对移动设备最普遍的威胁。 

ENISA表示：“黑客活动分子越来越多地声称他们的目标是OT环境，但公开报告表明他们经常高估或没有证实他们的说法。” “网络钓鱼再次成为初始访问的最常见途径。但一种新的社会工程模式也正在出现，这种方法包括在现实世界中欺骗受害者。商业电子邮件泄露（BEC、VEC）仍然是攻击者最喜欢的获取经济利益的手段之一。”

报告补充说，从Microsoft宏到ISO、Onenote和LNK文件的迁移仍在继续，转向使用LNK和ISO/ZIP文件以及 Onenote文件以响应Microsoft的宏更改。 

ENISA威胁态势还报告称，2023年数据泄露有所增加。从2021年起，数据泄露有所增加，尽管这一趋势在2022年保持相对稳定，但在2023年开始再次增加。人工智能聊天机器人影响网络安全威胁格局。OpenAI ChatGPT、Microsoft Bing和Google Bard等生成式人工智能聊天机器人的颠覆性影响和指数级采用正在改变我们工作、生活和娱乐的方式，所有这些都是围绕数据共享和分析构建的。”

威胁态势报告还发现，DDoS攻击规模越来越大、越来越复杂，正在向移动网络和物联网发展，并且在冲突情况下用于支持其他手段。互联网关闭率达到历史最高水平。由于人类活动和社会对互联网技术的依赖日益增加，互联网可用性威胁正在持续发展，尤其是在后新冠疫情时代。 

ENISA威胁态势报告还披露，威胁组织对供应链攻击的兴趣日益浓厚，并通过利用员工作为切入点表现出越来越强的能力。威胁行为者将继续以具有更高权限的员工为目标，例如开发人员或系统管理员。

在整个报告期内，欧盟成员国继续受到持续的地缘政治危机的影响，越来越多的威胁行为者将其行动针对公共和私人组织。此类事件通常会受到DDoS威胁，而在通过OSINT报告的大多数案例中几乎没有影响。欧盟的勒索软件攻击也有所增加。 

ENISA观察到大约2,580起事件，其中另外220起专门针对两个或更多欧盟成员国（标记为“EU”）的事件，其中显示了首次通过OSINT渠道报告事件的时间表。此外，从ENISA威胁态势报告的本次迭代中可以看出，勒索软件和 DDoS仍然是欧盟的两个主要威胁。 

在报告期内，ENISA报告称主要威胁是勒索软件，它似乎针对整个行业范围。最受攻击的行业是制造业（勒索软件事件中的14%）、卫生保健（13%）、公共管理（11%）和服务业（9%）。其次是DDoS攻击和数据相关威胁。34%的 DDoS攻击针对公共管理部门，其次是交通运输（17%）和银行/金融部门（9%）。 

与数据相关的威胁针对所有部门，其中持有个人信息的部门受到的影响更大。其中包括公共管理（16%）和卫生（10%）。五分之一涉及恶意软件的事件影响了公众（目标个人，20%），其次是公共管理（13%）、数字基础设施（13%）、银行和金融（12%）以及数字服务领域的恶意软件感染提供商（7%）。在报告的恶意软件感染中，11%的目标都是所有部门。 

在观察到的与社会工程相关的事件中，30%针对公众，18%针对公共管理，8%针对所有部门。同样，信息操纵活动针对个人（47%）、公共管理（29%），其次是国防（9%）和媒体/娱乐（8%）部门。 

正如预期的那样，对互联网可用性的威胁主要影响数字基础设施（28%）和数字服务提供商（10%）。公共管理（15%）、个人（10%）和“所有部门”（11%）也受到影响，因为它们依赖于数字基础设施和服务。 

供应链攻击方面，影响公共管理的占21%，主要涉及数字服务提供商（16%）、数字基础设施（10%）和能源（9%）部门。同样，漏洞利用与针对数字服务提供商（25%）、数字基础设施（23%）和公共管理（15%）的事件相关，并且影响了所有部门（8%）和目标个人（8%）。

在漏洞 (CVE)披露方面，本报告期内共记录了24,690个常见漏洞和披露事件，与上一报告期（涵盖2021年7月至2022年7月）相比增加了2,770个，上一报告期共发现了21,920个漏洞。

                                                                               文章来源：网空闲话plus