欧盟网络安全局《2022年网络安全威胁全景》

摘要

ENISA威胁全景（ETL）报告提供了网络安全威胁全景的总体概述。多年来，ETL一直被用作了解整个欧盟网络安全现状的关键工具，为洞察发展趋势和模式等提供了依据，为作出相关决定、明确行动优先顺序提供了建议。ETL报告部分是战略性的，部分是技术性的，其中的信息与技术性和非技术性的读者都相关。

2022年ETL报告得到了ENISA网络安全威胁全景特设工作组（CTL）和ENISA国家联络官网络的验证和支持。报告指出，2021年下半年和2022年，网络安全攻击不仅在载体和数量上持续增加，，而且在其影响上也日益加深。俄乌危机中的网络战为网络攻击的作用及其对冲突的影响定义了一个新的时代。相关国家和其他网络行动很可能适应这种新的状态，并利用这场战争带来的新机遇和挑战。

报告列出了八大主要网络威胁及主要发展趋势：

一、八大主要威胁

2021年和2022年期间出现了一系列的网络威胁。根据本报告中的分析，ENISA威胁景观2022年确定并关注到以下八个主要威胁组（见下图）。这八个威胁组之所以备受关注，是因为它们在报告期内显著、普遍存在且对网络的威胁造成了较大影响。

图：ENISA 威胁态势-主要威胁

勒索软件

根据ENISA的勒索软件攻击威胁景观报告，勒索软件攻击被定义为一种攻击类型，威胁行为者通过控制目标资产并要求被控制者交付赎金以换取资产的可用性。报告指出了不断变化的勒索软件威胁形势，普遍存在的多种勒索技术以及攻击者除了金融收益之外的其他目标。勒索软件再次成为报告期间的主要威胁之一，报告期内发生了多起备受关注和广为人知的事

件。

恶意软件

恶意软件，也称为恶意代码和恶意逻辑，是一个总称，用于描述任何意图执行未经授权的进程并对系统的机密性、完整性或可用性产生不利影响的软件或固件。传统上，恶意代码类型的例子包括病毒、蠕虫、木马或其他感染主机的基于代码的实体。间谍软件和某些形式的广告软件也是恶意代码的例子。在本报告期间，再次观察到许多涉及恶意软件的事件。报告分析的事件主要集中在欧盟国家。

社交工程

社交工程是一种广泛的活动，试图利用人为错误或行为来获取信息或服务。它使用各种形式操纵诱骗受害者犯错误或透露敏感或秘密信息。在网络安全领域，社交工程诱使用户打开文档、文件或电子邮件、访问网站或授予未经授权的人访问系统或服务的权限。虽然这些技巧可以利用技术实现，但它们总是依赖于人的因素才能成功。这种威胁主要由以下向量组成：网络钓鱼、针对性网络钓鱼、大型网络钓鱼、短信网络钓鱼、语音网络钓鱼、商业电子邮件妥协、欺诈、身份冒充和伪造，这些向量在相应章节中进行了分析。

数据威胁

数据威胁是指那些以获取未授权访问和披露数据、以及操纵数据来干扰系统行为为目的的威胁。这些威胁也是许多其他威胁的基础，也在本报告中讨论。例如，勒索软件、RDoS（勒索软件拒绝服务攻击）、DDoS（分布式拒绝服务攻击）旨在拒绝访问数据，并可能收取费用以恢复访问。从技术上讲，针对数据的威胁主要可分为数据泄露和数据泄漏。数据泄露是由网络犯罪分子故意发动的攻击，目的是获取未经授权的访问权并泄露敏感、机密或受保护的数据。数据泄漏是一种事件，可能由于配置错误、漏洞或人为错误等原因，意外地泄露了敏感、机密或受保护的数据。

对可用性的威胁：拒绝服务

可用性是众多威胁和攻击的目标之一，其中分布式拒绝服务攻击（DDoS）最为突出。DDoS攻击瞄准系统和数据可用性，虽然它不是一个新的威胁，但它在网络安全威胁形势中具有重要影响。攻击发生时，系统或服务的用户无法访问相关数据、服务或其他资源。攻击者可以通过耗尽服务及其资源或超载网络基础设施的组件来实现这一点。在报告期内，针对可用性和勒索软件的威胁排名最高，这标与2021年ETL不同，2021年ETL中勒索软件明显位居首位。

对可用性的威胁：互联网威胁

互联网的使用和信息的自由流动影响着每个人的生活。对许多人来说，接入互联网已成为工作、学习、行使言论自由、政治自由和社交互动等基本需求。这一部分涵盖了对互联网可用性产生影响的威胁，例如BGP（边界网关协议）劫持。由于拒绝服务（DoS）在威胁态势中有其独立的影响，它被单独列为一章进行讨论。

虚假信息–错误信息

虚假信息和错误信息的攻击活动仍在增加，这源于社交媒体平台和在线媒体的广泛使用。数字平台现在是新闻和媒体的主要来源，社交网站、新闻媒体、甚至搜索引擎现在都是许多人获取信息的途径。由于这些站点的运营方式主要是吸引人们并生成流量，所以通常宣传的信息是能够吸引更多观众的信息，有时即使未经验证也会被宣传。俄罗斯和乌克兰之间的战争展示了利用这种威胁的新方式，针对人们对战争状态和参与方责任的看法提供虚假信息。错误信息和蓄意虚假信息之间的区别是有不同的动机。

供应链攻击

供应链攻击是针对组织与其供应商之间关系的攻击。在本ETL报告中，我们使用ENISA供应链威胁景观中所述的定义，即当攻击由至少两种攻击组合而成时，认为它具有供应链组成部分。为了将攻击分类为供应链攻击，供应商和客户都必须是攻击目标。SolarWinds是这种攻击类型的首个揭示，它展示了供应链攻击的潜在影响。看起来，威胁行为者继续利用这种来源来开展他们的行动，并获得在组织内立足和从这种攻击的广泛影响和潜在受害者基础中获益的机会。

二、关键趋势

通过对本报告期内的网络威胁形式进行总结，观察到如下主要趋势：

勒索软件和可用性威胁在本报告所述期间位居榜首。
资源丰富的威胁攻击人员利用零日漏洞来实现其作战和战略目标。组织越是提高其防御和网络安全计划的成熟度，就越会增加对手的成本，促使他们开发和/或购买零日漏洞，因为纵深防御策略会降低可利用漏洞的可用性。
地缘政治继续对网络运营产生强烈影响。
破坏性攻击是国家行为者行动的一个重要组成部分。在俄乌冲突期间，观察到网络参与者与动态军事行动协同作战。
持续的“退休”和勒索软件集团的重塑被用来避免执法和制裁。
自2021以来，黑客即服务的商业模式越来越受欢迎。
针对可用性的攻击显著增加，特别是DDoS，持续的战争是此类攻击的主要原因。
Pegasus案引发了媒体报道和政府行动，这也反映在其他有关监视和针对民间社会的案件中。
特别是自俄乌危机开始以来，人们观察到了新一波黑客活动。
网络钓鱼再次成为初次访问最常见的媒介。网络钓鱼的复杂性、用户疲劳和基于上下文的有针对性网络钓鱼的进步导致了这种增长。
随着泄漏地点的广泛使用，勒索技术正在进一步发展。
在发现与新冠肺炎大流行相关的恶意软件数量减少后，恶意软件再次上升。
同意钓鱼攻击者使用同意钓鱼向用户发送链接，如果单击该链接，将授予攻击者访问应用程序和服务的权限。
数据泄露逐年增加。数据在我们社会中的中心作用使收集的数据量和正确数据分析的重要性急剧增加。我们为这种重要性付出的代价是数据妥协的持续和不可阻挡的增加
机器学习（ML）模型是现代分布式系统的核心，越来越成为攻击的目标。
DDoS越来越大，越来越复杂，正在向移动网络和物联网发展，并被用于网络战。
国有证书颁发机构（CA）可以轻松地对其公民执行HTTPS流量拦截和中间人攻击，从而使互联网安全和隐私面临风险。
虚假信息是网络战的一种工具。它甚至在“实体”战争开始之前就被用作俄罗斯入侵乌克兰的准备活动。
人工智能支持虚假信息和深度伪造。模拟人物角色的机器人的激增很容易扰乱“通知和评论”规则制定过程，以及社区的互动，让政府机构充斥着虚假评论。
人工智能支持虚假信息和深度伪造。模拟人物角色的机器人的激增很容易扰乱“通知和评论”规则制定过程，以及社区的互动，让政府机构充斥着虚假评论。
威胁集团对供应链攻击和针对托管服务提供商（MSP）的攻击越来越感兴趣，并表现出越来越强的能力。