ENISA网络威胁图谱2022

关于ENISA 欧盟网络安全机构（ENISA）是欧盟的机构，致力于在整个欧洲实现高水平的网络安全。欧盟网络安全局成立于2004年，并得到欧盟网络安全法案的加强，为欧盟网络政策做出贡献，通过网络安全认证计划提高ICT产品，服务和流程的可信度，与成员国和欧盟机构合作，并帮助欧洲为未来的网络挑战做好准备。通过知识共享、能力建设和提高认识，原子能机构与其主要利益相关者合作，加强对互联经济的信任，提高欧盟基础设施的弹性，并最终确保欧洲社会和公民的数字安全。有关ENISA及其工作的更多信息可以在这里找到：www.enisa.europa.eu。 联系 要联系作者，请使用etl@enisa.europa.eu 媒体查询本文件，请用press@enisa.europa.eu。 编辑器 IfigeneiaLella，EleniTsekmezoglou，RossenSvetozarovNaydenov，CosminCiobanu，ApostolosMalatras，MarianthiTheocharidou–欧盟网络安全局 贡献者 克劳迪奥·阿尔达尼亚、斯蒂芬·科比奥、科恩·范因佩、安德烈亚斯·斯法基亚纳基斯 确认 我们要感谢ENISA网络威胁形势特设工作组（https：//www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/ad-hoc-work-group-cyber-threat-landscapes）的成员和观察员在验证本报告时提供的宝贵反馈和意见。我们还要感谢ENISA咨询小组和国家联络官网络的宝贵反馈。 法律通知 除非另有说明，否则本出版物代表ENISA的观点和解释。它不认可ENISA或ENISA机构根据法规（EU）No2019/881承担的监管义务。 ENISA有权更改，更新或删除出版物或其任何内容。它仅供参考，必须免费访问。所有对它的引用或其全部或部分使用必须显示ENISA作为其来源。 酌情引用第三方来源。ENISA对外部来源的内容（包括本出版物中引用的外部网站）概不负责。 ENISA或代表其行事的任何人均不对本出版物中包含的信息的使用负责。ENISA保留与本出版物相关的知识产权。 版权声明 ©欧盟网络安全局（ENISA），2022年如果注明来源，则允许复制。页面上图像的版权xyz：©Shutterstock 对于任何不受ENISA版权保护的照片或其他材料的使用或复制，必须直接获得版权所有者的许可。 ISBN:978-92-9204-588-3,DOI:10.2824/764318 表的内容 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. BCD 执行概要 这是ENISA威胁态势（ETL）报告的第十版，该报告是一份关于网络安全威胁形势状况的年度报告。它确定了主要威胁、在威胁、威胁参与者和攻击技术方面观察到的主要趋势，以及影响和动机分析。它还描述了相关的缓解措施。今年的工作再次得到了ENISA网络安全威胁形势特设工作组（CTL）的支持。 在ETL2022的报告期内，确定的主要威胁包括： 1.Ransomware 2.恶意软件 3.社会工程的威胁 4.对数据的威胁 5.对可用性的威胁:拒绝服务 6.对可用性的威胁:互联网威胁 7.虚假信息,错误信息 8.供应链的攻击 对于每个已识别的威胁，都会提出攻击技术、值得注意的事件和趋势以及缓解措施。谈到报告所述期间的趋势，我们必须强调以下几点。 地缘政治对网络安全威胁格局的影响 o的俄乌冲突重塑威胁格局在本报告所述期间。一些有趣的变化是黑客活动显着增加，网络行为者与动能军事行动协同 行动，黑客行动主义者的动员，网络犯罪以及民族国家团体在这场冲突期间的援助。 o地缘政治继续对网络行动产生更大的影响。 o破坏性攻击是国家行为者行动的重要组成部分。在俄罗斯-乌克兰冲突期间，观察到网络行为者与动能军事行动协同行 动1. o新一波的黑客2已经观察到特别是Russia-Ukraine危机开始了。 o造谣是网络战的工具。它甚至在“物理”战争开始之前就被用作俄罗斯入侵乌克兰的准备活动。 威胁演员增加他们的能力 o足智多谋的威胁行为者利用了0-day漏洞实现其运营和战略目标。组织越是提高其防御和网络安全计划的成熟度，就越 会增加对手的成本，促使他们开发和/或购买0-day漏洞，因为纵深防御策略会减少可利用漏洞的可用性。 o持续的“退休”和勒索软件组织的品牌重塑被用来逃避执法和制裁。 oHacker-as-a-service商业模式自2021年以来获得牵引力,越来越多。 o威胁组织对供应链攻击和针对托管服务提供商（MSP）的攻击越来越感兴趣，并且表现出越来越强大的能力。 1微软–特别报告：乌克兰–俄罗斯在乌克兰的网络攻击活动概述-https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd 2爱沙尼亚共和国–信息系统管理局-网络安全的趋势和挑战–2022年第1季度-https://www.ria.ee/en/news/trends-and-挑战-网络安全-2022年第1季度.html 在报告期内，勒索软件和针对可用性的攻击排名最高 o针对可用性的攻击显著增加，尤其是DDoS，正在进行的战争是此类袭击背后的主要原因。 o再次钓鱼是最常见的向量用于初始访问。网络钓鱼的复杂性、用户疲劳和有针对性的、基于 上下文的网络钓鱼的进步导致了这种上升。社会工程威胁的新诱惑正以类似于COVID局势期间发生的方式关注乌克兰-俄罗斯冲突 o恶意软件的再次上升在注意到并与COVID-19大流行相关的下降之后3. o勒索技术进一步发展泄漏的流行使用网站。 oDDoS正变得越来越大，越来越复杂，正在向移动网络和物联网发展，并被用于网络战的背景下。 新型、混合和新兴威胁正在给威胁形势带来巨大影响 o飞马案引发了媒体报道和政府行动，这也反映在其他有关监测和公民社会的目标。 o同意钓鱼攻击者使用同意网络钓鱼向用户发送链接，如果单击这些链接，将授予攻击者对应用程序和服务的访问权限和权限。 o妥协是同比增长数据。数据在我们社会中的核心作用导致收集的数据量和适当数据分析的重要性急剧增加。我们为这种重要性付出的代价是数据泄露的持续且不可阻挡的增加。 o机器学习(ML)模型是现代分布式系统的核心，并且越来越成为攻击的目标. oAI-enabled造谣和deepfakes。机器人建模角色的激增很容易破坏“通知和评论”规则制定过程，以及社区的互动， 因为政府机构充斥着虚假评论。 此外，了解与威胁参与者相关的趋势、其动机和目标极大地有助于规划网络安全防御和缓解策略。因此，出于ETL2022的目的，再次考虑以下四类网络安全威胁参与者： 国家资助的演员 网络犯罪的演员 Hacker-for-hire演员 黑客行为主义者。 通过持续分析，ENISA得出了ETL2022中提出的每个主要威胁的趋势、模式和见解。本评估中的主要发现和判断基于用于编写本文档的参考文献中提供的多种公开可用资源。该报告主要针对战略决策者和政策制定者，同时也引起了技术网络安全界的兴趣。 2021年3ENISA威胁景观 6 2022年ENISA威胁景观 2022年11月 1.威胁环境概述 在第十版中，ENISA威胁态势（ETL）报告提供了网络安全威胁形势的总体概述。多年来，ETL一直被用作了解整个欧盟网络安全现状的关键工具，并提供对趋势和模式的见解，从而做出相关决策，确定行动的优先级和建议。ETL报告部分是战略性的，部分是技术性的，其中包含与技术和非技术读者相关的信息。ETL2022报告已得到ENISA网络安全威胁形势特设工作组（CTL）的验证和支持4和ENISA国家联络官（NLO）网络。 网络安全攻击在2021年下半年和2022年继续增加，不仅在载体和数量方面，而且在其影响方面。俄乌危机为网络战和黑客行动主义、其作用及其对冲突的影响定义了一个新时代。国家和其他网络行动很可能会适应这种新的事态，并利用这场战争带来的新奇事物和挑战5.然而，战争带来的这种新范式对网络空间的国际规范产生了影响，更具体地说，对国家支持网络攻击和反对针对关键民用基础设施的影响。5.由于国际形势动荡，我们预计在中短期内将有更多的网络行动受到地缘政治的推动。地缘政治局势可能会引发网络行动和潜在的破坏性网络攻击6.因此 ，不稳定的局势和恶意网络活动方面的持续阈值也可能导致更多的损害。 值得注意的是，在ETL的这次迭代中，额外的重点集中在网络威胁对各个部门的不同影响上，包括网络和信息安全指令（NISD）及其商定的修订版NIS2中列出的部门。当涉及到威胁形势时，可以从每个部门的特殊性和洞察力中得出有趣的见解，以及潜在的相互依赖关系和重要领域。不同部门的重要性也反映在相关的政策举措中，最近商定的NISD2大大扩展了欧盟重要部门的清单。ENISA正在同时开发部门威胁格局，深入研究每个部门的要素并提供有针对性的见解。 ETL2022建立在ETL2021的基本要素之上，基于各种开源信息和网络威胁情报来源。它确定了主要威胁、趋势和调查结果，并提供了相关的高级别缓解战略。ETL2022是使用今年早些时候发布的官方建立的ENISA网络安全威胁态势方法开发的7.ENISACTL方法旨在基于系统和透明的数据收集和分析过程，为水平，主题和部门网络安全威胁态势的透明和系统交付提供基线。 在本版ETL中，一个新的元素包括对漏洞形势的分析以及网络安全威胁态势分析。此外，首次对不同部门的威胁进行影响分析，并对威胁行为者的动机进行专门分析，使人们对威胁形势有了额外的了解。与往常一样，调查结果基于对事件和事件的分析，并与相关的网络威胁情报来源进行交叉验证。 1.1主要的威胁 在2021年和2022年期间出现并实现了一系列网络威胁。根据本报告中的分析，ENISA2022年威胁形势确定并重点关注以下八个主要威胁组 4https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/ad-hoc-working-group-cyber-threat-landscapes 5外交关系委员会-乌克兰冲突中的网络代理人：对国际规范的影响-https://www.cfr.org/blog/cyber-proxies-乌克兰冲突影响国际规范 6QuoIntelligence-勒索软件将继续存在以及2022年的其他网络安全预测-https://quointelligence.eu/2022/01/ransomware-and-other-cybersecurity-predictions-for-2022/7https://www.enisa.europa.eu/publications/enisa-threat-landscape-methodology （见图1）。之所以突出这八个威胁群体，是因为它们在报告所述期间的突出地位、受欢迎程度以及这些威胁的出现所产生的影响。 Ransomware 根据ENISA的勒索软件攻击威胁态势8报告，勒索软件被定义为一种攻击，其中威胁参与者控制目标的资产并要求赎金以换取资产可用性的回报。需要这个与行动无关的定义来涵盖不断变化的勒索软件威胁格局、多种勒索技术的普遍性以及犯罪者的各种目标，而不仅仅是经济利益。勒索软件再次成为报告期间的主要威胁之一，发生了几起备受瞩目和高度宣传的事件。 恶意软件 恶意软件，也称为恶意代码和恶意逻辑9,是一个总体术语，用于描述旨在执行未经授权的过程的任何软件或固件，这些过程将对系统的机密性、完整性或可用性产生不利影响。传统上，恶意代码类型的示例包括病毒感染主机的病毒、蠕虫、特洛伊木马或其他基于