2021 年全球主要網絡安全威脅發展態勢

2021 年 10 月 27 日，歐盟網絡和信息安全局（ENISA）發布《ENISA 2021年威脅態勢展望》報告，分析了全球面臨的九大網絡安全威脅，闡述了威脅趨勢、威脅參與者和攻擊技術等，提出了相關緩解和應對措施。2021 年該項工作得到了新組建的 ENISA 網絡安全威脅態勢 (CTL) 特設工作組的支持。該報告可幫助戰略決策者和政策制定者、政府及公司詳盡了解最新的網絡安全威脅，而且可針對性地開發技術予以解決，可作為國家網絡空間戰略發展的政策制定和技術發展的重要參考依據，對我國網絡強國戰略的實施和完善有著重要的借鑒意義。

一、相關背景

ENISA 作為歐盟最高網絡安全常規機構，是一個獨立的政府機構，成立于 2004 年，以歐盟層級網絡安全職能部門的角色，為歐盟及其成員國提供增強信息與網絡安全相關的建議和協助，幫助歐盟及其成員國為應對未來的網絡攻擊做好充分準備。評估和溝通漏洞及網絡威脅信息也是 ENISA 的其中一項重要職能，這些內容集中體現在其每年推出的對全球網絡安全威脅態勢的年度分析報告《威脅態勢展望》中，2021 是 ENISA 威脅態勢報告的第九版。該報告長達 100 多頁，報告內容來自媒體文章、專家意見、情報報告、事件分析和安全研究報告等公開資源，以及通過對 ENISA 網絡安全威脅態勢 (CTL) 特設工作組成員的采訪，專家們根據收集的信息，通過持續分析，以戰略性和技術性相結合的方式概述網絡安全最新威脅形勢的總體態勢，確定主要威脅、趨勢及關注點等，并提供相關緩解措施，旨在為其利益相關者提供戰略情報，為國家網絡空間戰略發展的政策制定和技術發展提供重要參考依據。

二、主要內容

網絡安全攻擊在 2020 年和 2021 年持續增加，不僅在載體和數量方面，而且在影響方面。新冠病毒的大流行也對網絡安全威脅格局產生了影響，疫情帶來了向混合辦公模式的持久轉變，增加了攻擊面，使與疫情有關的網絡安全威脅和利用“新常態”正在成為主流。一系列網絡威脅在 2020 年和2021 年期間出現并成為現實，而且呈上升趨勢。本報告首先根據網絡安全威脅的重要性及所產生的影響，分析認為全球當前面臨著九大主要網絡威脅；其次介紹了四類比較突出的網絡安全威脅行為體及其發展趨勢；第三詳細介紹了九大網絡威脅的發展特點及建議；最后在附件 A、B 中分別列舉了每種網絡威脅常用的技術以及值得關注的最新顯著事件。整體而言，2021 年 ENISA 威脅態勢展望報告的內容豐富而詳盡，本文擇其重點予以闡述。

（一）九大網絡安全威脅

1. 勒索軟件

勒索軟件是一種惡意攻擊，攻擊者對組織的數據進行加密，并要求付款以恢復訪問。在某些情況下，攻擊者還可能竊取組織的信息，并要求額外付款，以換取不向競爭對手或公眾等披露信息。在本報告所述期間，勒索軟件一直是主要威脅，并發生了幾起引人注目且高度公開的事件。歐盟和世界范圍內的一系列相關政策舉措也證明了勒索軟件威脅的重要性和影響。勒索軟件目前主要通過網絡釣魚電子郵件和對遠程桌面協議（RDP）服務進行暴力攻擊而造成危害。在 2021 年的報告期內，Conti 和 REvil 勒索軟件主宰了勒索軟件市場，二者都能提供單獨的勒索軟件即服務（RaaS）平臺，通過該平臺，附屬公司可以有效地策劃其攻擊。2021 年，多重勒索的發生率也大幅上升。在最初從組織竊取和加密敏感數據并威脅在未付款的情況下將其公開發布后，攻擊者還以組織的客戶和/或合作伙伴為目標索要贖金，以實現利潤最大化。加密貨幣仍然是最常見的支付方式，平均贖金金額比去年翻了一番。

2. 惡意軟件

多年來，惡意軟件的威脅一直居高不下。惡意軟件是一個總括性術語，描述任何旨在執行惡意未經授權流程的軟件、固件或代碼，這些流程將對系統的機密性、完整性或可用性產生不利影響。惡意軟件可能是病毒、蠕蟲、特洛伊木馬或其他感染主機的基于代碼的實體。間諜軟件和某些形式的廣告軟件也是惡意軟件的一部分。根據創建者的目標，惡意軟件可能具有各種不同的功能。例如，RATs（遠程訪問特洛伊木馬/工具）允許參與者遠程控制受感染系統的惡意軟件。信息竊取者或瀏覽者是用來獲取信用卡信息的。僵尸網絡是受惡意軟件感染并由 C&C 服務器控制的計算機機器人網絡。特洛伊木馬是通常偽裝為合法軟件的惡意軟件，根據目標可以是銀行特洛伊木馬或移動特洛伊木馬。惡意軟件威脅一直存在，而且每年都會出現新的家族和毒株，盡管在 ETL 2021 的報告期內，惡意軟件的威脅有所下降。

3. 加密劫持

加密劫持（Cryptojacking），也稱挖礦劫持，是加密貨幣領域的新興詞匯，指的是在未經授權的情況下利用他人的硬件設備進行加密貨幣挖礦。通常發生在受害者無意中安裝了惡意腳本程序，允許網絡罪犯訪問其計算機或其他互聯網連接設備時，例如通過單擊電子郵件中的未知鏈接或訪問受感染的網站。然后，罪犯使用“硬幣礦工”的程序創建或“挖掘”加密貨幣。隨著加密貨幣的擴散及其日益被廣大公眾所接受，相應的網絡安全事件有所增加。

4. 與電子郵件有關的威脅

與電子郵件相關的威脅多年來一直在 ETL 的主要威脅列表中排名靠前。這種威脅是利用人類心理和日常習慣中的弱點而不是信息系統中的技術漏洞的一系列威脅。此威脅主要由網絡釣魚、魚叉式網絡釣魚、欺騙、偽裝、商業電子郵件泄露（BEC）和垃圾郵件等載體組成。盡管針對這些類型的攻擊開展了許多提高認識和教育活動，但這種威脅仍在相當程度上持續存在。

5. 對數據的威脅

數據泄漏或數據竊取是惡意參與者用來攻擊、復制和傳輸敏感數據的一種技術。在 ETL 的主要威脅中，對數據的威脅一直居高不下，這種趨勢在ETL 2021 報告中繼續延續。對數據的威脅是一系列針對數據源的威脅，目的是獲得未經授權的訪問、披露、錯誤信息、虛假信息等。這些威脅主要被稱為數據破壞或數據泄漏，是指將敏感、機密或受保護的數據發布到不受信任的環境中。數據泄露可能是由于網絡攻擊、內部人員工作、無意丟失或數據暴露造成的。此外，鑒于數據的重要性，尤其是私人和敏感數據的重要性，對手正在將更復雜的威脅與目標數據相結合，如勒索軟件或供應鏈攻擊。

6. 對可用性和完整性的威脅

可用性和完整性是眾多威脅和攻擊的目標，其中分布式拒絕服務(DDoS)和 Web 攻擊最為突出。DDoS 與基于 Web 的攻擊密切相關，是 IT 系統最嚴重的威脅之一，它通過耗盡資源、導致性能下降、數據丟失和服務中斷來攻擊系統的可用性。DDoS 以系統和數據可用性為目標，盡管不是一個新的威脅，但仍然是網絡領域的一個重大威脅。基于 Web 的攻擊主要目標是數據完整性和可用性。通過這種方法，威脅參與者可以使用 web 系統和服務作為威脅向量欺騙受害者。

7. 虛假信息—錯誤信息

這種類型的威脅首次出現在 ENISA 威脅態勢報告中，其在網絡世界中的重要性是非常高的。由于社交媒體平臺和在線媒體的使用增加，以及新冠疫情導致在線人數增加，虛假信息和錯誤信息攻擊活動正在增加。虛假信息和錯誤信息活動經常與其他網絡安全威脅一起使用，從而導致高級混合威脅。主要目的是破壞信任，而信任是網絡安全的基礎，通過打破這一基礎，連鎖效應會波及整個網絡安全生態系統，并可能產生嚴重影響。虛假信息和錯誤信息通常被認為是相似的，但兩者卻包含根本不同的概念。虛假信息是一種故意的攻擊，包括創造或分享虛假或誤導性的信息。錯誤信息是一種無意識的攻擊，即信息的共享是在不經意間完成的。虛假信息和錯誤信息攻擊是在其他攻擊(如網絡釣魚、社會工程、惡意軟件感染)的基礎上進行的。二者的攻擊對象和目標如表 1 所示。

表 1 虛假信息和錯誤信息的攻擊對象、方法和目標

8. 非惡意威脅

威脅通常被認為是由具有攻擊特定目標動機的對手所進行的自愿和惡意活動。該類別涵蓋了惡意意圖不明顯的威脅。主要是基于人為錯誤和系統錯誤配置，但也可能是針對 IT 基礎設施的物理災難。這些威脅在年度威脅格局中持續存在，是風險評估的主要關注點。

非惡意威脅可分為兩類：一種是錯誤和錯誤配置，是由疏忽、缺乏意識或簡單地說，人為錯誤造成的。例如管理 IT 系統時的錯誤、開發時間錯誤、應用程序級錯誤等。還有一種是物理災害，例如光纖電纜的意外損壞、互聯網連接的喪失、火災、電力供應不穩定，自然災害等，導致 IT 基礎設施和相關服務/應用程序不可用。非惡意威脅是許多現有惡意威脅的主要威脅載體。例如，安全漏洞、錯誤配置、漏洞和修補程序管理不足可能為 DDoS攻擊、惡意軟件和勒索軟件打開大門。同時，人為錯誤是網絡釣魚和社會工程的主要載體。總之，非惡意威脅曾對 IT 系統和應用程序的工作產生了重要影響，現在由于系統和基礎設施的復雜性日益增加；不斷增加的向云環境的遷移，以及物聯網設備和邊緣計算的集成；COVID-19 大流行，這三大主要因素都加劇了非惡意威脅的影響還在加劇。

9. 供應鏈威脅

在《ENISA 2021 年威脅態勢展望》報告中主要介紹 8 大網絡安全威脅類別，關于供應鏈威脅在ENISA地專門報告《供應鏈攻擊的ENISA威脅態勢》中予以介紹，本文關于供應鏈威脅的內容均來自專門報告。

供應鏈攻擊的破壞性和連鎖反應在 SolarWinds 攻擊中表現得淋漓盡致。SolarWinds 被認為是近幾年來最大的供應鏈攻擊之一。供應鏈是指參與創建和交付最終解決方案或產品的過程、人員、組織和分銷商組成的生態系統。供應鏈攻擊是至少兩次攻擊的組合。第一個攻擊是對供應商進行攻擊，然后用來攻擊目標以獲得對其資產的訪問權。目標可以是最終客戶或其他供應商。因此，要將攻擊歸類為供應鏈攻擊，供應商和客戶都必須成為攻擊的目標。2021 年供應鏈攻擊的數量和復雜性都穩步上升。這一趨勢進一步強調，決策者和安全界需要設計和引入新的保護措施，以應對未來潛在的供應鏈攻擊，并減輕其影響。

（二）四大網絡威脅者

在本報告所述期間，發現有四類網絡安全威脅行為體比較突出，即國家支持的行為者、網絡犯罪行為者、雇傭黑客的行動者、黑客行動主義者。網絡威脅行為者是利用現有漏洞實施惡意行為的實體，是威脅環境的一個組成部分。了解威脅行為者是如何思考和行動的，動機和目標是什么，是加強網絡安全事件應對的重要一步，而且監測威脅行為體為實現其目標而使用的戰術和技術的最新發展，以及及時了解動機和目標的長期趨勢，對于當今網絡安全生態系統的有效防御至關重要。

1. 國家支持的行為者

（1）新冠病毒-19 推動了網絡間諜任務。在本報告所述期間觀察到國家支持的團體開展了與新冠病毒相關的網絡間諜活動。根據公開報道，國家資助的威脅行為者可能正在尋找與感染率、國家級反應和治療相關的數據。因此，醫療保健、制藥和醫學研究部門已成為重點目標，而且只要疫情持續，針對這些部門的攻擊就會繼續，而且幾乎肯定會繼續使用新冠主題進行（魚叉式）網絡釣魚攻擊。（2）供應鏈類攻擊達到了新的成熟度和影響水平。雖然由國家支持的威脅行為體進行供應鏈攻擊并不新鮮，但在報告所述期間，重點進行了高度復雜和有影響力的供應鏈攻擊。根據 ENISA 的分析，在 2020 年至 2021年期間，至少 17 次調查證實，供應鏈攻擊由高級持續威脅（APT）集團實施，通常由國家贊助，例如 SolarWinds 軟件供應鏈攻擊，其背后就是國家支持的組織精心策劃了這起事件。總之，供應鏈的多樣性和復雜性為國家支持的威脅行為者提供了大量目標。此外，新冠肺炎加劇了向遠程工作的轉變，導致組織在運營需求上更加依賴第三方供應商。ENISA 評估分析認為，國家支持的威脅行為者肯定會繼續進行供應鏈攻擊（尤其是針對軟件、云和托管服務提供商）。（3）國家支持的集團及其運營商積極從事創收活動。根據 ENISA 的觀察，在一些情況下，國家支持的對手積極參與了網絡犯罪行動，例如拉扎勒斯集團為了經濟利益進行有針對性的勒索入侵。ENISA 分析認為國家支持的行為者肯定會繼續進行有利可圖的網絡入侵活動，進一步模糊網絡間諜活動和網絡犯罪活動之間的界限。并隨著各州利用網絡犯罪集團不斷開展網絡活動，預計這一趨勢還會增加。（4）網絡行動由國家戰略、地緣政治緊張局勢和武裝沖突驅動。當前，各國正在努力開發、購買或雇傭網絡攻擊能力，以在網絡軍備競賽中處于有利地位。實施此類網絡能力對其國家戰略和長期規劃非常重要。ENISA觀察到的一些趨勢：1）擁有先進網絡能力的國家正在利用這些能力從戰略上塑造全球政治、軍事、經濟和意識形態力；2）中等大國正在關注與監管、網絡規范和保護其關鍵基礎設施相關的舉措；3）低能力網絡強國正在增強其防御和進攻姿態。并評估認為國家支持的行為體肯定會繼續通過網絡行動來實現其戰略目標，以獲取決策優勢、竊取知識產權以及為未來沖突預先部署軍事和關鍵基礎設施。根據其評估，國家支持的團體可能會開發（或購買或以其他方式獲取）并進行偽裝成勒索軟件的破壞性/破壞性行動，以削弱、挫敗和抹黑敵對政府。（5）信息行動成為實現國家戰略目標的工具。在本報告所述期間，信息行動主要用于干擾選舉和新冠病毒的相關活動。同時，國家威脅行為者開展信息行動的方式發生了變化，一方面進行更有針對性的攻擊活動，另一方面也在不斷調整其 TTP，以實現更好的操作安全性及平臺多樣化，以在攻擊中生存下來。根據 ENISA 的評估，很可能在未來十年繼續通過開展網絡信息行動來實現其戰略目標，重點是選舉、公共衛生、人道主義危機、人權和安全等重要的地緣政治問題。

2. 網絡犯罪行為者

（1）新冠病毒-19 為網絡罪犯創造了機會。新冠期間，網絡犯罪分子通過使用與新冠病毒相關的網絡釣魚誘餌獲取經濟利益。并在地下論壇出售定制的與新冠病毒相關的網絡釣魚工具包，以及設計用于獲取憑證和個人數據的欺騙域。通過數字廣告和與潛在的新冠病毒治療和其他新冠病毒預防措施相關的網站傳播關于新冠病毒的假新聞。此外，新冠病毒-19 還為有針對性的勒索軟件攻擊創造了機會，醫療保健和公共衛生部門成為勒索集團的重大目標。（2）采用多種勒索手段。勒索軟件攻擊成為當今各行業所面臨的最大威脅之一。據觀察，網絡犯罪分子不太可能以支付相關數據（如信用卡）為目標，而更可能以任何會影響受害者運營的數據為目標。在本報告所述期間，勒索軟件集團向受害者施加壓力并迫使他們支付贖金的戰術發生了一些演變：1）通過暗網中的數據拍賣將被盜信息貨幣化；2）通過聯系記者放大受害者的妥協；3）接觸商業合作伙伴、投資者、董事會成員和其他披露攻擊信息的利益相關者；4）對受害者進行 DDoS 攻擊，以增加支付贖金的壓力；5）接觸受害者的客戶和客戶，采取行動并要求支付贖金；6）呼叫和騷擾員工。（3）加強合作和專業化。在本報告所述期間，觀察到網絡犯罪集團開發了專門的網絡犯罪服務，以及網絡犯罪分子在生態系統內建立了彼此之間的關系以及分支模式。網絡犯罪生態系統具有全球影響力，不同的參與者提供和專門從事不同的服務。這種“網絡犯罪即服務”的趨勢降低了想要實施網絡犯罪的威脅行為體的障礙，同時也增強了網絡攻擊的范圍。（4）網絡罪犯正在向云端過渡。新冠肺炎加快了全球組織對云基礎設施和服務的采用，“向云轉移”趨勢預計將在可預見的未來繼續。然而，由于云基礎設施和服務的快速部署導致安全性和管理不善的云部署，為網絡罪犯提供了機會，開發了破壞云基礎設施和服務的能力。未來對云環境的攻擊幾乎肯定會繼續，并且隨著越來越多的組織采用和實施云優先戰略，攻擊可能會產生更大的影響。（5）越來越多地以關鍵基礎設施為目標。在本報告所述期間，觀察到網絡犯罪行為體越來越多地以關鍵基礎設施為目標。受影響的主要關鍵基礎設施部門是醫療、交通和能源部門。隨著社會越來越依賴于技術和互聯網連接，針對關鍵基礎設施的網絡犯罪攻擊很可能變得更具破壞性。而且，針對關鍵基礎設施的破壞性攻擊也可能偽裝成勒索軟件攻擊，但目標不同。（6）暗網與威脅行為者的聯系更加緊密。加密貨幣流和網絡匿名化的增長進一步助長了暗網的使用。在報告所述期間，暗網市場的總收入達到了創紀錄的 17 億美元的加密貨幣，表明暗網已經成為威脅參與者生態系統的一個組成部分。

3. 雇傭黑客的行動者

黑客出租服務的興起，該市場主要由提供攻擊性網絡能力的公司組成，客戶通常是政府（但也包括公司和個人），提供漏洞研究和利用、惡意軟件有效負載開發、技術指揮和控制、運營管理以及培訓和支持等服務。黑客雇傭公司在其運營國家合法運營，目前整個市場處于半管制狀態。客戶向這些公司支付費用，主要用于開展網絡間諜活動、獲得先進的攻擊性網絡能力以及享有合理的否認權。例如黑客雇傭集團 DeathStapper，該集團一直以金融和法律服務部門的組織為目標進行企業間諜活動。

4. 黑客行動主義者

根據 ENISA 的觀察，黑客行動主義在 2010-2015 年期間達到頂峰后有所下降。如今，黑客行動主義者大多以小團體的形式行動，抗議地區性事件，并以特定組織為目標。其目標仍然是傳統的，例如金融機構和政府機構等，這可能是由于近年來對各種黑客活動者的起訴，起到了威懾作用。其策略仍然是“老派”的，主要關注 DDoS 攻擊、誹謗、敏感數據發布和賬戶接管等。ENISA 評估分析認為，國家支持的團體幾乎肯定會繼續利用黑客行動主義作為偽裝來實現其戰略目標。

（三）九大網絡安全威脅的發展特點

1. 勒索軟件的發展特點

（1）Conti 和 REvil 勒索軟件團伙領跑市場

2021 年財務收益最多的勒索軟件團伙是 Conti（1270 萬美元）、Revil/Sodinokibi（1200 萬美元）、DarkSide（460 萬美元）、MountLocker（420萬美元）、Blackmatter（400 萬美元）和 Egregor（310 萬美元）。根據統計數據，2021年第一季度勒索軟件市場份額最大的是REvil/Sodinokibi（14.2%）、Conti V2（10.2%）、Lockbit（7.5%）、Clop（7.1%）和 Egregor（5.3%）。2021年第二季度，排名靠前的是 Sodinokibi（16.5%）、Conti V2（4.4%）、Avaddon（5.4%）、Mespinoza（4.9%）和 Hello Kitty（4.5%）。最后兩個是新興的勒索軟件。

（2）勒索軟件即服務業務模式

勒索軟件不斷擴大的市場機遇催生了新的盈利模式—勒索軟件即服務(RaaS)，出現了大量以售賣勒索軟件為主要營生的勒索軟件即服務暗網市場，并逐漸形成完整成熟的產業鏈。在攻擊過程中使用RaaS平臺已經成為常態，該平臺為缺乏技能、資源和時間的黑客提供了很多現成的解決方案和勒索服務，從勒索軟件的開發、傳播、攻擊到收益呈現系統化、便捷化趨勢，開發者可以提供一整套解決方案，甚至包括利用加密貨幣進行贖金支付等服務。任何想非法獲利的人士，即使缺乏技術知識，都可能利用 RaaS 平臺提供的現成解決方案。而且 RaaS 平臺還正在不斷適應環境的變化，以便不被端點和網絡安全工具發現。

（3）從雙重勒索到多重勒索轉變，實現利潤最大化

勒索團伙一直在嘗試使用各種策略對受害公司施加壓力，以增加贖金數目及確保繳納率，為此，從最初的單一加密勒索演變為 2020 年的“雙重勒索”，即在加密前攻擊者會先竊取大量受害者敏感數據，威脅受害者如果不繳納贖金則公開數據，使受害者不僅要面臨數據泄露威脅，還有相關法規、財務和聲譽影響。2021 年開始演變為“多重勒索”攻擊，攻擊者除了雙重勒索之外，還以組織的客戶和/或合作伙伴為目標索要贖金。2021 年 5月，Clop 勒索軟件團伙在以 RaceTrac Petroleum 為目標并威脅要發布這些公司的文件后，還直接聯系其客戶和合作伙伴并威脅要發布他們的文件。此外，研究表明在雙重勒索的基礎上增加了 DDoS 攻擊威脅，目前，部分勒索軟件已整合了 DDoS 攻擊能力，不僅能加密受害者電腦文件，還能對外出售敏感數據，并利用被感染電腦發送惡意網絡流量，以此影響受害者系統的帶寬或運行速度，這三種攻擊若同時實施，將帶來非常嚴重且不可逆轉的后果。由此可推測，在未來的數年內為實現收益最大化，勒索攻擊形 式還會層出不窮。

（4）支付贖金的加密貨幣從比特幣向 Monero 轉變

幾年來，像比特幣這樣的加密貨幣成為網絡威脅者收取贖金的首選，為網絡勒索提供了低風險、易操作、便捷性強的贖金交易和變現方式，成為網絡犯罪活動的主要支付形式。此外，由于生成新哈希所需的更高計算機能力以及更嚴格的監管，比特幣的價值在過去兩年中大幅增長。但是 2021年 5 月，Colonial Pipeline 遭受了勒索軟件團伙 DarkSide 的攻擊，FBI 在受害者已經支付了比特幣贖金后介入，通過審查比特幣公共分類賬，執法部門可以跟蹤多個比特幣轉賬。事實證明，FBI 擁有從特定比特幣地址訪問資產所需的“私鑰”。聯邦調查局發出扣押令，開始沒收這些硬幣。沒有透露FBI 是如何獲得私鑰的，這也是執法部門首次以加密貨幣追回了大部分贖金。在查封之后，人們注意到一種轉向使用 Monero 作為加密貨幣的趨勢。Monero 是作為一個開源項目推出的，旨在增加交易的匿名性和不可區分性，很快受到用戶好評，并在過去幾年中取得了穩定增長。勒索軟件團伙 REvil在 2021 年才接受 Monero，DarkSide 和 Babuk 等其他組織將選擇權留給了受害者，但在選擇比特幣支付贖金時增加了費用。

（5）最高贖金要求飆升

最高的勒索軟件需求從 2019 年的 1500 萬美元增長到 2020 年的 3000萬美元。REvil 也加大了勒索力度，2021 年 3 月向宏碁索要 5000 萬美元。4月向蘋果的供應商廣達電腦索要了同樣的金額。7 月，在 Kaseya 遭到攻擊后，要求支付 7000 萬美元的贖金。短短幾個月，2020 年的最高需求在 2021年翻了一倍多，很可能在 2022 年達到 1 億美元的贖金上限。公開披露或受到媒體關注的事件只是冰山一角，還有其他高贖金的公共勒索事件，只要組織繼續支付，勒索組織就沒有理由降低要求，未來的勒索軟件團伙將以最高支付作為未來的目標甚至參考。

（6）被攻擊者成本損失劇增

當勒索軟件事件發生時，被攻擊組織面臨著巨大的成本損失，包括贖金金額、停機時間、人員成本以及實際操作和技術補救等。根據在 30 個國家開展的一項調查顯示，補救勒索軟件攻擊的總體成本也在大幅增加，從2020 年的 761106 美元到 2021 年的 185 萬美元，勒索軟件事件的總成本僅在一年內就翻了一倍多。而且，癱瘓關鍵基礎設施往往成為攻擊目的，導致平均停機時間從 2020 年第一季度的 15 天增加到 2021 年第二季度的 23天。一項針對 1263 名受訪者的調查顯示，66%的組織因勒索軟件攻擊而遭受重大收入損失，在成功勒索后，每個垂直行業都易遭受顯著的收入損失。

（7）零日漏洞使用的增加

過去，零日只用于高級威脅團體和民族國家的有針對性的襲擊，隨著贖金的增加，更多的零日被勒索組織利用并執行贖金軟件攻擊，特別是在大規模行動中是非常有意義的，攻擊次數的減少和對大型組織的關注使得攻擊者可以要求高額贖金，這種攻擊被稱為大型狩獵（BGH）。與使用流行的惡意軟件傳播媒介（如網絡釣魚）瞄準大量目標不同，攻擊者會仔細選擇目標，并使用復雜的方法突破這些高價值目標。通過這種方式，BGH 趨勢打破了傳統的有針對性的網絡犯罪行為。

（8）保險助推勒索軟件產業經濟

隨著網絡安全事件的普遍增加，越來越多的企業向網絡保險和再保險公司尋求幫助，更傾向于購買網絡安全保險。網絡攻擊者特意挑選投保了網絡保險的公司作為攻擊目標，更加針對性地實施勒索攻擊，使得網絡犯罪的成功率大幅提升，這種做法不但將影響保險公司和保單成本，也會助長整個勒索軟件經濟。為遏制這一情況的繼續惡化，已有多家公司開始縮減網絡保險的覆蓋范圍，例如，總部位于法國的歐洲五大保險公司之一的保險巨頭安盛集團于 2021 年 5 月宣布在法國承保的網絡保險將不再包括勒索軟件賠償。

2.  惡意軟件的發展特點

（1）惡意軟件感染從追求數量轉為質量

在本報告所述期間， 惡意軟件攻擊大幅減少。研究表明， 與 2019 年相比， 2020 年北美的襲擊減少了 43%。這一下降在歐洲幾乎是一樣的，而在亞洲則下降了 53% 。2021 年與去年同期相比， 上半年的惡意軟件數量進一步減少了 22%。惡意軟件感染的減少仍在繼續，但是， 惡意軟件總量的減少并不意味著網絡犯罪有所減少。過去， 希望感染最多的受害者，如今關注的焦點不再是數量，而是感染的質量。2021 年檢測到的最常見的惡意軟件系列是 Trickbot（僵尸網絡和銀行）、 XMRig （加密礦工）、 Formbook （信息竊取者）、 Glupteba （僵尸網絡） 和Agent Tesla （信息竊取程序）。

（2）Windows Container 惡意軟件越發普遍

針對容器（Container）環境的惡意軟件已經變得更加普遍。 容器化技術可以輕松擴展，專注于云原生堆棧的惡意軟件本質上不是新的。2020  年11 月， 惡意容器鏡像已經被識別出來， 并被用于查找和利用特定受害者 Kubernetes 環境中的漏洞。2020  年 12 月， 研究人員還發現存在從內存中 執行的無文件惡意軟件 。2021年 3 月， 研究人員發現了第一個針對 Windows Container 的已知惡意軟件。 這類惡意軟件最常見的目標是逃離容 器，感染由多個應用程序集合而成的集群，大大增加感染的影響力。常見 的危害包括密碼、信用卡號等敏感信息的泄露。此外， 容器技術經常被用 于破壞開發環境， 導致進一步的供應鏈攻擊。

（3）移動惡意軟件呈上升趨勢

2020 年， Android 上的假冒廣告屏蔽軟件（也稱為廣告軟件） 呈上升趨勢， 一個相近的變體是 hiddenAds 移動惡意軟件。與 2019 年相比， 2020 年這類惡意軟件從 280000 增加到 700000。移動惡意軟件中的廣告軟件在整個2021 年仍占很大比例。2021 年上半年， 45%的移動惡意軟件被認定為廣告 軟件。 手機銀行惡意軟件在 2021 年也有所增加， 最常見的惡意銀行應用程 序包括 Ghimob 、Eventbot 和 Thiefbot。其他常見的惡意軟件有貝萊德、沃 巴和特里克莫。

（4）使用新興編程語言編寫惡意軟件正在興起

由于大多數惡意軟件的檢測能力都是基于靜態指標的， 當源代碼被改寫成新的語言時， 這些指標變得無關或無效，能夠繞過檢測。用新興編程語言編寫的惡意軟件只占目前開發的所有惡意軟件的一小部分。盡管如此，它仍然是惡意軟件檢測和代碼分析技術未來發展的一個重要方面。這一趨勢在 2020 年和 2021 年持續發展。這些不常見的語言包括但不限于 Rust、Nim、DLang 和 Go324。

（5）新型惡意軟件嶄露頭角

多年來，惡意軟件不斷發展， 取得了更多的進展。Emotet 作為計算機惡意軟件的一個變種，功能從簡單的信息竊取器轉移到用于創建高級僵尸網絡的惡意軟件。該惡意軟件具有完善的命令和控制(C2)基礎設施， 頻繁更新， 在逃避檢測方面非常有效。 在整個 2020 年， Emotet 一直是最流行的惡意軟件。

3.  加密劫持的發展特點

（1）2021 年加密劫持量創歷史新高

2020 年 3 月，受加密劫持惡意軟件感染的人數激增， 此后感染率急劇下降。從 2020 年第二季度到最后一季度，感染量緩慢增長，并在 2021 年持續增長。2021 年第一季度， 加密劫持惡意軟件增長了 117%，感染量與過去幾年相比創下歷史新高。 激增的原因應該是與加密劫持相關的財務收益激勵了相關的威脅參與者。

（2）XMRig 主導著加密劫持市場

XMRig 是一個開源的礦工， 攻擊者和大多數惡意軟件都使用它對受害者進行加密挖掘。2021 年上半年，其市場份額增至 51%，占所有加密挖掘惡意軟件的一半以上。其他感染與 Lucifer （ 10%）、LemonDuck （ 5%）、RubyMiner（5%）、Wannamine （5%）和其他礦工（20%）有關。

（3）從瀏覽器轉向基于文件的加密

研究顯示， 2021 年第一季度，基于桌面或文件的加密劫持頻率幾乎是基于瀏覽器的 7 倍，基于瀏覽器的為 13%，而基于文件的為 87%。

（4）感染方法不變

用于傳播和部署加密挖掘的技術與其他惡意軟件感染方法沒有太大區別。一般采用一種在受害者不知情的情況下在其設備上傳送和安裝惡意文件的驅動器下載技術。 在訪問惡意網站時， 觸發利用包含安全漏洞的操作系統或 web 瀏覽器的下載。另一種傳播方式是惡意軟件，即通過廣告傳播惡意軟件的行為。

（5）針對云和容器基礎設施的加密挖掘

當云主機受到加密劫持惡意軟件的感染時， 成本可能會變得非常巨大。云提供商為消耗的 CPU 周期買單， 而計算操作帶來的收益只占成本的一小部分。 容器基礎設施也是一個有趣的目標， 因為這些環境將根據需要生成工作節點。過去已經在 Kubernetes 上看到過加密劫持， 但入口向量要么是易受攻擊的 web 應用程序， 要么是已經包含挖掘惡意軟件的惡意容器。

4.  與電子郵件有關的威脅的發展特點

（1）新冠病毒-19 仍然是電子郵件威脅活動的誘餌

在整個報告所述期間， 帶有新冠病毒相關誘餌的垃圾郵件活動屢見不鮮。 總的來說， 新冠肺炎被對手利用， 誘騙最終用戶成為各種電子郵件相關攻擊的受害者。對手利用對這種流行病的擔憂和人們對電子郵件的信任作為主要的攻擊手段， 包括試圖欺騙用戶， 從虛假網站訂購口罩， 通過惡意附件使其感染惡意軟件等。 隨著新冠病毒的持續和疫苗的發布， 誘餌也隨之改變，包括廣告或提供在支付押金或費用后盡早獲得疫苗的機會以及有關疫苗的錯誤信息等。

（2）用于網絡釣魚活動的郵政服務

在本報告所述期間， 觀察到幾起旨在通過發送與國家郵政系統遞送有關的網絡釣魚電子郵件來竊取受害者信用卡號碼的網絡釣魚運動。這些電子郵件試圖將用戶引導到釣魚網站， 從而獲取信用信息，目前已經影響到至少 26 個國家。2021 年， 郵政服務還被用于發送大量垃圾短信， 將 Flubot　Android 惡意軟件傳播到歐洲各地。惡意軟件團伙偽裝成合法的包裹遞送服務，通過短信向用戶發送惡意鏈接。

（3）BEC 已越來越成熟、復雜并有針對性

根據公開的報告， BEC 是 2020 年最昂貴的網絡犯罪類型， 各組織報告的總損失超過 18 億美元。在本報告期間，觀察到 BEC 計劃已經發展，特別是在證書釣魚和貨幣轉換為加密貨幣。正如歐盟成員國報告的那樣，已經有很多案例表明辦公賬戶被用于 BEC 欺詐。這意味著參與者還進行了證書釣魚操作或密碼噴射攻擊(一種技術)。此外， 盡管網絡罪犯的目標是所有部門和企業， 但 BEC 的參與者對中小企業表現出越來越多的關注。而且該網絡犯罪的巨大利潤潛力吸引了全球范圍內復雜的網絡犯罪集團，進一步使目前 BEC 參與者的地理位置更加多樣化、復雜化。

（4）SMShing 和 Vishing 有所增加

據安全部門稱， 各種 APT 組織已經開始使用 SMShing 和 Vishing 作為其高度針對性的活動的一部分。在最近針對政治對手的攻擊中， APT-C-23似乎使用了一種新技術，即使用變聲軟件偽裝成女性， 該組織的成員迄今為止都是男性， 與受害者進行對話。隨著對話的繼續， 該組織開始發送帶有惡意軟件的視頻，以感染目標系統 。一般來說， 用戶已經習慣了不去點擊可疑郵件，但仍然沒有意識到也可以通過短信或電話被釣魚。

（5）網絡釣魚即服務（PhaaS）

微軟最近對 Bullet ProofLink 活動的分析表明， 該活動是許多對組織產生影響的網絡釣魚活動的罪魁禍首。bulletproflink(也被其運營商在各種網站、廣告和其他宣傳材料中稱為 BulletProftLink 或炭疽)被多個惡意參與者以一次性或月度訂閱的商業模式使用，為其運營商創造了穩定的收入流。 與勒索軟件即服務（RaaS）類似， 網絡釣魚即服務遵循軟件即服務模式。攻擊者付錢給運營商， 讓其開發和部署大部分或完成網絡釣魚活動， 包括虛假登錄頁面開發、網站托管、憑據解析和重新分發，以及他們可能缺乏的外包功能。

5.  對數據的威脅的發展特點

（1）威脅行為者將注意力轉向了 COVID-19 疫苗信息

在本報告所述期間，疫苗信息成為若干網絡間諜活動的中心。2020 年7 月， 英國外交大臣發布了關于大規模網絡釣魚活動的警告， 這些活動似乎 專門針對新冠病毒- 19 研究設施， 并被認為是由國家贊助的。2020 年晚些時 候，發現了具有獲取證書能力的網絡釣魚計劃，目的是獲取有關疫苗運輸 和分發過程的信息。2020 年底，阿斯利康員工的魚叉網絡釣魚事件被歸咎 于國家支持的 APT 團體。

（2）醫療行業數據泄露激增

醫療保健數據泄露正在迅速增加。由于新冠病毒- 19 大流行， 醫療保健部門成為人們關注的焦點，而威脅行為者利用這場危機打擊了本已深受其害的醫療行業。此外，由于大流行， 轉向在線提供醫療服務、遠程電子健康和遠程醫療方法的趨勢有所增加， 因此對手泄漏醫療數據的機會大大增加。

（3）商業環境中的數據泄露上升

根據 SAN Institute 的數據， 在過去幾年中，約有 74000 名員工、承包商和供應商因公司筆記本電腦被盜而受到數據泄露的影響。數據未加密的事實加劇了這種情況。在 2021 年對 300 名受訪者（包括在最重要的業務領域擁有 5000 多名員工的美國公司的高層管理人員）的研究中， 34%的受訪者因內部人員濫用特權而成為財產盜竊或供應鏈受損的目標。

（4）動機和攻擊載體保持不變

在本報告所述期間， 對手動機以及主要攻擊載體大致保持不變。與過去兩年一樣， 網絡釣魚仍然是入侵的首要原因(36%)。其次是使用被盜憑證(25%)和勒索軟件(10%)。和過去幾年一樣，經濟動機的襲擊仍然是最常見的。近 80%的網絡攻擊是為了經濟利益，比如直接從金融賬戶竊取資金，竊取信用卡信息或其他類型的數據， 或要求贖金。

（5）身份盜竊和合成身份有所增加

據美國聯邦貿易委員會(FTC)稱， 2020 年有關身份盜竊的投訴有所增加。其中約三分之一涉及美國政府福利。 此外，美國很多案件都可能涉及合成身份。合成身份盜竊是一種詐騙行為，犯罪分子將真實和虛假信息結合起來，創造一個新的身份。根據美聯儲的說法，使用合成身份的事件在美國很常見。

（6）供應鏈攻擊日益嚴重的影響

據估計， 2021 年發生的供應鏈攻擊事件是 2020 年的 4 倍。由于一半的攻擊被歸因于高級持續性威脅(APT)行為者， 其復雜性和資源大大超過了更常見的非目標攻擊。約 58%的供應鏈攻擊是為了獲取數據(主要是客戶數據，包括個人數據和知識產權)，約 16%的攻擊是為了獲取人的信息。當涉及到供應商的數據時， 20%的攻擊是為了獲取這些數據， 66%的攻擊是為了獲取供應商的源代碼。

6.  對可用性和完整性的威脅的發展特點

（1）勒索拒絕服務（RDoS）是 DDoS 攻擊的新趨勢

從 2020 年 8 月起， 勒索拒絕服務（RDDoS）攻擊活動得到了大幅提升，Fancy Bear 、Cozy Bear 、Lazarus Group 和 Armada Collective 等黑客組織開展了這些攻擊活動，目標行業包括全球范圍內的電子商務、金融和旅游。RDDoS 有兩種類型：1）攻擊優先；2)  勒索優先。第一種情況實現了 DDoS攻擊，并請求贖金來阻止它。第二種情況以小型 DoS 形式發送勒索信和證據， 并要求支付贖金。RDDoS 攻擊比傳統的 DDoS 攻擊更加危險， 因為攻擊者在沒有足夠資源的情況下也可以完成攻擊。

（2）傳統 DDoS 正向移動網絡和物聯網方向發展

物聯網(IoT)與 5G 的成功結合導致了新一輪 DDoS 攻擊， 可能會導致受害者支付贖金。一方面， 5G 使物聯網更容易受到網絡攻擊， 支持本地化的DDoS，在這種情況下， 攻擊者通過一組受攻擊設備的一個切片來干擾特定區域的連接。另一方面，物聯網可以作為 DDoS 的威脅載體。攻擊者可以構建大量僵尸網絡來發起DDoS攻擊或分發惡意軟件。這在工業物聯網(IIoT)中尤其重要，因為在工業物聯網中， 設備漏洞可以中斷業務運營并造成重大損害。

（3）針對 DDoS 攻擊的先進技術層出不窮

在虛擬化環境中共享資源是 DDoS 攻擊的放大器。物理資源過載會導致通信、服務和數據訪問中斷。DDoS 攻擊者正在采用技術先進的智能攻擊策略。在 2020-21 年，智能攻擊使用公開可用信息來監控目標采用的對策，并在運行時調整攻擊策略。在這種情況下，短攻擊的持續時間減少，而長攻擊的持續時間增加。從絕對數量上看， 2021 年第一季度短攻擊的數量大幅增加， 而長攻擊的數量減少，但總持續時間增加了 589 次。

（4）DDoS 行動變得更有針對性、多向量和持久性

2021 年的 DDoS 活動變得更具針對性、多矢量和持久性。 攻擊者尋找弱點來開發和嘗試不同的攻擊向量組合。 據統計， 65%的 DDoS 攻擊都是多向量攻擊，大多數攻擊向量集中在 UDP 協議上，如網絡時間協議（NTP）、無連接輕型目錄訪問協議（CLDAP）、Internet 控制消息協議（ICMP）和域名系統（DNS）。

（5）規模較小的組織正成為攻擊目標

DDoS 越來越多地以小型企業為目標， 網絡犯罪分子越來越多地針對安全標準較低的小型組織，確保用較小的數據量和最大的收入成功攻擊。 但是公共機構和關鍵基礎設施仍然是 DDoS 攻擊的主要目標。

（6）增加了基于 Web 和 DDoS 攻擊的組合

DDoS 和基于 web 的攻擊通常是協同活動， web 應用仍易受到與 web相關的威脅，如注入和跨站點腳本， 并可能成為 DDoS 攻擊的載體。根據最近的一份報告， SQL 注入漏洞和 PHP 注入漏洞是最常被利用的漏洞， 盡管 XSS 是發現最多的漏洞。

7.  虛假信息和錯誤信息威脅的發展特點

（1）人工智能支持了攻擊者進行虛假信息攻擊

人工智能被用來建立逼真的個人資料和圖像， 改變帖子的內容和措辭，并避免被人注意到，可以說人工智能社交媒體是虛假信息傳播的基礎， 造成了社會混亂。當前深度造假技術發展非常迅速， 人工智能技術的支持使得深度造假更加簡單、可信，而社交媒體則有助于其廣泛傳播。

（2）新冠病毒-19 大流行擴大了攻擊活動

新冠病毒- 19 是虛假信息攻擊的熱門話題， 虛假信息活動旨在傳播對冠狀病毒疫苗有效性的恐懼、不確定性和懷疑。 企業和個人是虛假信息活動的目標，這些攻擊活動側重于綠色通行證、強制性疫苗接種、健康護照、大規模免疫測試和封鎖等。

（3）虛假信息即服務 (DaaS)

專業虛假信息主要是政府、政黨和公關公司大規模制造的。2019 年以來， 越來越多的第三方提供虛假信息服務， 代表客戶進行有針對性的攻擊。許多國家都提供服務，越來越多的非國有和私營商業組織正在使用這些服務。 在此背景下， 虛假信息已從政治和社會領域轉移到企業界。 牛津大學監測了政府和政黨利用社交媒體操縱輿論的情況，以及與它們合作傳播虛假信息的各種私人公司和其他組織。從地理的角度來看，虛假信息和錯誤信息正在針對世界上的每個國家。

8.  非惡意威脅的發展特點

（1）錯誤和系統配置錯誤是最常見的根本原因

2020 年， 在根據 NIS 指令報告的具有重大影響的事件中， 有 17%被標記為人為錯誤， 而系統故障仍然是報告事件最常見的根本原因， 比率為 48%。這些事件的原因是軟件缺陷和硬件故障。這是一個持續的趨勢， 2019 年報告了類似的數據。

（2）由于遷移到云端而導致非惡意事件數量增加

COVID- 19 的流行迫使人們遷移到云端，導致 2019 年 10 月至 2021 年2 月期間全球云端工作量大幅增加： 亞太地區 70%，歐洲、中東和非洲地區 69%，美國地區65%，日本58%。根據Palo Alto networks 的數據，因COVID- 19 大流行而顯著增加了云計算負載，安全事件顯著增長， 增長率最高的行業， 零售業 402%、制造業 230%、政府 205%以及制藥和生命科學 127%。

（3）漏洞和 bug 繼續扮演著重要角色

2020 年，物聯網惡意軟件也出現了前所未有的激增， 這些惡意軟件利用的設備在大多數情況下是不安全的， 也從未正確地打過補丁。同時， 有些漏洞已經相當古老，攻擊者仍然在積極利用它們， 根據 Verizon 的數據，20%的組織暴露了早在 2010 年的漏洞， SonicWall 發現類似的舊漏洞仍在被利用。

9.  供應鏈攻擊的發展特點

（1）供應鏈攻擊的四大分類

在網絡安全方面， 供應鏈涉及廣泛的資源(硬件和軟件)、存儲(云或本地)、分發機制(網絡應用程序、在線商店)和管理軟件。供應商、供應商資產、客戶、客戶資產是供應鏈的四個關鍵要素。而供應鏈攻擊是至少兩次攻擊的組合，第一個攻擊是對供應商進行攻擊，然后用來攻擊目標以獲得對其資產的訪問權。目標可以是最終客戶或其他供應商。因此，要將攻擊歸類為供應鏈攻擊，供應商和客戶都必須成為攻擊的目標。對于供應商來說， 第一部分稱為“危害供應鏈的攻擊技術”， 它確定了供應商是如何受到攻擊的。供應商的第二部分稱為“以供應鏈攻擊為目標的供應商資產”， 它確定了對供應商的攻擊目標是什么。對于客戶來說，第一部分稱為“用于危害客戶的攻擊技術”， 它確定了客戶是如何受到攻擊的。客戶的第二部分稱為“供應鏈攻擊所針對的客戶資產”， 它確定了對客戶的攻擊目標是什么，具體如表 2 所示。

表 2  供應鏈攻擊的分類

（2）以目標為導向的攻擊者

在66%的供應鏈攻擊事件中， 攻擊者將注意力集中在供應商的代碼上，目的是進一步危害目標客戶。 在 20%的攻擊事件中，攻擊者的目標數據，以及 12%的供應商攻擊目標是內部流程。 了解這些對于網絡安全保護工作至關重要， 組織應重點驗證第三方代碼和軟件， 以確保其未被篡改或操縱。這些供應鏈攻擊所針對的最終客戶資產似乎主要是客戶數據，包括個人數據和知識產權。 攻擊者還以其他資產（包括人員、軟件和財務資源） 為目標， 但攻擊程度較低。

（3）大多數攻擊載體都是未知的

調查結果表明， 在 66%  的供應鏈攻擊中， 供應商不知道他們是如何受到威脅的。  相比之下， 通過供應鏈攻擊而受損的客戶中， 只有不到 9%  不知道攻擊是如何發生的。  這凸顯了供應商和面向最終用戶的公司之間在網絡安全事件報告成熟度方面的差距。83%的供應商在技術部門， 缺乏對攻擊是如何發生的了解， 可能表明在供應商基礎設施的網絡防御方面成熟度不高，或者不愿意共享相關信息。 此外， 還有其他因素， 包括攻擊的復雜性和攻擊的緩慢性， 都可能會使信息不透明。

（4）大部分是 APT 集團發起的復雜攻擊

超過 50%的供應鏈攻擊是由著名的網絡犯罪集團造成的， 其中包括APT 29、APT 41、Thallium APT、CD 2546、Lazarus APT、TA 413 和 TA 428。分析表明， APT 集團似乎對具有區域影響的目標略有偏愛，并且有相當數量的攻擊旨在獲取客戶數據。

三、幾點認識

（一） 網絡威脅情報已成為網絡安全保障領域的重要組成部分

為應對激增的新型網絡威脅， 確保歐盟在網絡空間的優勢， 消除成員國間的猜疑和威脅情報共享的障礙， 提升應對網絡威脅的能力，歐盟先后發布了系列戰略和法規標準， 均明確指出了網絡安全信息共享的重要性，歐盟成員國也在本國的網絡安全戰略中強調建立信息共享機制，逐步形成多層次的網絡威脅情報共享規劃， 確立了網絡威脅情報共享的戰略地位。

除了將網絡威脅情報共享提升到戰略地位， 歐盟還成立了專門的網絡信息安全機構，并積極與情報部門協作，形成了歐盟、成員國、民間組織與情報機構協作的多層次網絡威脅共享機制。 而歐盟作為一個超國家集合體，發展不均衡引發眾多網絡安全隱患。為此歐盟成立了多種機構負責網絡信息安全工作， 實現不同國家和機構的協調互聯，歐盟網絡和信息安全局（ENISA）就是在這樣的背景下成立的機構之一， ENISA 作為歐盟的一個獨立的、 永久性政府機構， 成立于 2004 年，  主要協調歐盟層面的網絡安全調研、協調、 落實等，主要職能包括提供咨詢和建議、支持政策制定和實施，以及協調各成員國在相關產業方面的合作， 為歐洲國家網絡空間戰略發展提供重要的技術和政策支撐。ENISA 連續 9 年不間斷的對歐盟及相關國家和地區面臨的主要網絡威脅態勢、易受攻擊的行業和目標、網絡攻擊者情況、網絡攻擊動機、常用技術等進行分析研究。要求歐盟各成員國消除監管障礙， 開發內部網絡威脅情報系統，擺脫對美國等情報源的依賴，開發新技術， 擴大網絡威脅情報收集范圍，提升歐盟網絡威脅情報能力，提高網絡威脅情報的獨立性和質量。 基于這些戰略情報， 歐盟這些年在安全技術、 能力建設、保持優勢和國際合作等方面提出了多項切實有力措施，在空間上覆蓋各成員國， 時間上涉及網絡安全預防、抵御沖擊及事后追查犯罪等全過程，在產業體系上試圖涵蓋數字供應鏈全鏈， 全面提升了歐盟網絡安全管理及應對威脅的能力和水平。

當前網絡威脅情報共享已融入到歐盟及成員國網絡安全建設的諸多方面，不但多角度確立了網絡威脅情報共享的戰略地位， 而且構建了網絡威脅情報共享機制，還多渠道推動著網絡威脅情報共享能力的建設，這些都對我國更好地應對網絡威脅、 提高網絡抗風險能力提供了借鑒。

（二） 網絡安全威脅已全面泛化，我國應以實際行動轉危為機

當前， 全球網絡安全風險已達峰值。攻擊者的目標越來越多， 采用的攻擊方式也愈加難以預測。 同時， 新冠疫情催化了云計算等技術的應用，以及辦公場景的變革， 線上辦公的廣泛普及加劇了信息傳遞對網絡的依賴，需要應對更加復雜多樣的網絡安全風險。此外， 網絡攻擊的產業化發展趨勢使得攻擊工具和手法變得愈加復雜多樣， 傳統的防火墻、入侵檢測技術、惡意代碼掃描、網絡監控等被動防御手段顯得捉襟見肘疲于應付。面對日益嚴峻的網絡空間安全威脅，更加需要了解自身的網絡安全脆弱點，掌握已知、未知的網絡安全風險點， 不斷提升自身在實戰中的檢測與響應能力。

首先應在網絡體系構建方面高度強調韌性的重要性， 提高關鍵基礎設施及服務的網絡韌性水平，特別是提高電力、金融、交通運輸等關鍵部門的網絡韌性； 保護通信基礎設施和 5G 網絡安全，重視人工智能、量子計算等關鍵技術的開發與應用，未來數年內部署安全量子通訊基礎設施， 以一種極安全的加密形式抵御網絡攻擊。其次提高網絡安全技術水平，打造網絡安全屏障。加強對基礎設施聯網軟硬件的風險排查， 減少或消除安全隱患。對關鍵基礎設施上的進口零部件，有必要加緊國產替代步伐，提高安全系數。二是健全安全協調機制，匯集各方力量共保網絡安全。各部門之間建立協調聯動機制，針對重大跨境網絡事件及威脅提供技術，通過信息共享，提供持續共享的風險態勢感知能力。加強網絡安全執法隊伍規模及能力建設，并獲得其他部門支持。三是努力提升我國在網絡安全領域的國際話語權。  一方面繼續推進數字技術、網絡安全技術的進步。在優勢領域保持領先，使其他國家在短時間內難以找到替代方案。在追趕領域持續發力， 減少被“卡脖子””的領域。 另一方面加大人才培養力度， 推動網絡安全等實用技能人才的培養，全面提高公民的數字素養， 穩步接近世界發達國家和地區水平。

總體來看， 隨著數字經濟進入新的發展階段， 網絡安全領域還將面臨更多的新挑戰和新機遇。對此，我們要不斷提升網絡安全意識； 進一步細化網絡安全管理體系，加快相關監管政策的落地和標準體系的建設；加強核心技術創新， 全面提升網絡安全防護能力；加快推進網絡安全產業發展；創新網絡安全人才培養模式，加強網絡安全人才市場供需對接。

附錄：

（1）防范和應對勒索軟件的建議：

?  實施安全和冗余備份戰略。

? 身份和訪問管理的實施和審核（最低特權和職責分離）。

?  培訓和提高用戶（包括特權用戶） 的意識。

?  開發和生產環境分離。

?  與政府和企業共享事故信息。

?  限制對已知勒索軟件網站的訪問。

?  應為授權設備、用戶和流程頒發、管理、驗證、撤銷和審核身份和憑證。

? 應管理訪問權限和授權， 納入最低特權和職責分離原則。

?  應定期測試勒索軟件響應和恢復計劃， 以確保風險和響應假設和流程與不斷演變的勒索軟件威脅相關。

?  使用阻止進入已知勒索軟件網站的安全產品或服務。

? 執行勒索軟件準備就緒評估（RRA），這是 CISA 針對 IT 和 ICS （工業控制系統）網絡開發的一個工具， 用于評估不同級別勒索軟件威脅準備就緒情況下的安全性。

?  向政府報告任何攻擊或企圖攻擊， 并幫助限制其傳播。

?  系統監測， 以快速識別感染。

?  跟蹤勒索軟件的最新趨勢、發展和預防建議。

（2）防范和應對惡意軟件的建議：

?  對所有入站/出站通道實施惡意軟件檢測， 包括所有適用平臺（即服務器、網絡基礎設施、個人計算機和移動設備） 中的電子郵件、網絡、 web和應用系統。

?  檢查 SSL/TLS 流量，允許防火墻解密網站、電子郵件通信和移動應用程序之間的傳輸內容。

? 在惡意軟件檢測功能和安全事件管理之間建立接口， 以建立有效的響應能力。

?  使用可用于惡意軟件分析的工具共享惡意軟件信息和惡意軟件緩解（即

MISP）。

?  制定安全政策， 規定發生感染時應遵循的流程。

? 了解各種安全工具的功能， 并開發新的安全解決方案。找出差距并應用縱深防御原則。

? 對惡意電子郵件采用郵件過濾（或垃圾郵件過濾），并刪除可執行附件。

? 定期監控防病毒測試的結果。

? 對容器基礎設施使用補丁管理。

?  利用安全事件和事件管理（ SIEM）解決方案進行日志監控。指示日志源包括防病毒警報、端點檢測和響應（EDR）、代理服務器日志、 Windows事件和系統日志、入侵檢測系統（IDS）日志等。

（3）如何防范和應對加密劫持的建議：

? 監控用戶設備上的電池使用情況， 如果 CPU 使用率出現可疑峰值，則掃描是否存在基于文件的礦工。

? 實現常見加密挖掘協議的 web 過濾， 以及將流行加密挖掘 IP 池的 IP 地址和域列入黑名單。

?  監控網絡異常和塊挖掘協議。

?  通過防病毒程序或 cryptominer 阻止瀏覽器插件安裝端點保護。

?  定期進行安全審計，以檢測網絡異常。

?  實施強大的漏洞和補丁管理，以防范新出現的威脅和漏洞。

?   針對已知漏洞實施補丁和修復。

? 使用白名單防止在端點執行未知的可執行文件。

?  使用允許列表僅允許在端點上執行已知的可執行文件。監視和阻止公共加密挖掘可執行文件。

?  投資于提高用戶對加密劫持的意識，特別是在安全瀏覽行為方面。

? 在安全意識培訓的背景下討論加密挖掘。

（4）防范和應對與電子郵件相關的威脅的建議：

? 提供關于如何識別可疑鏈接和附件以及如何報告這些鏈接和附件的定期用戶培訓。

? 在電子郵件網關上實施垃圾郵件過濾器； 隨時更新簽名和規則。盡可能使用安全的電子郵件網關， 并自動維護過濾器（反垃圾郵件、反惡意軟件、基于策略的過濾）。

? 在電子郵件網關上設置安全控制， 以減少誘餌到達員工收件箱的頻率或可能性。

? 實施“了解需求”訪問政策，以限制任何妥協的影響。

?  確保來自組織外部的電子郵件在收到前自動標記。

? 對賬戶實施多因素認證（MFA）。

? 檢查可疑惡意域的壽命及其所有權。

?  盡可能采用安全解決方案，使用機器學習技術實時識別釣魚網站。

?  禁止在郵件客戶端自動執行代碼、宏、圖形渲染和預加載郵件鏈接， 并經常更新它們。

?  實施減少垃圾郵件的標準之一。

? 在可能的情況下， 對于關鍵金融交易或交換敏感信息時， 通過使用數字

簽名或加密實現安全的電子郵件通信。

? 盡可能在網絡級別對入站和出站電子郵件實施欺詐和異常檢測。

?  如果對電子郵件來源沒有絕對信心，請勿單擊隨機鏈接或下載附件。

?   檢查訪問的網站的域名是否存在拼寫錯誤， 尤其是敏感網站（如銀行網站）。威脅參與者通常注冊與合法域相似的假域，并使用其來“釣魚”。

? 為每項在線服務使用強大且唯一的密碼。為各種服務重復使用相同的密碼是一個嚴重的安全問題， 應始終避免。

? 實施內容過濾以定位不需要的附件、包含惡意內容的電子郵件、垃圾郵件和不需要的網絡流量。

?  避免回復未知發件人在電子郵件或短信中收到的新鏈接，最重要的是，在跟蹤此類鏈接時不要輸入自己的憑據。

（5）防范和應對數據威脅的建議：

? 制定和維護網絡安全意識計劃。

?  根據“需要知道”原則限制用戶訪問權限。撤銷非員工的訪問權限。

?  建立和維護事件響應團隊，并經常評估事件響應計劃。

?  發現和分類敏感/個人數據， 并采取措施對傳輸中和靜止的此類數據進行加密。換句話說，部署數據丟失預防功能。

? 增加與檢測、警報工具以及遏制和應對數據泄露能力相關的投資。

? 制定并維護強有力的政策， 強制執行強有力的密碼（密碼管理） 和使用多因素身份驗證（MFA）。

?   制定與治理、風險管理和合規團隊合作的政策和計劃。

? 僅在安全的 IT 資產上存儲數據。

?  定期對人員進行教育和培訓。

? 使用技術工具避免可能的數據泄漏， 如漏洞掃描、惡意軟件掃描和數據丟失預防（DLP）工具。部署數據和便攜式系統和設備加密，以及安全網關。

? 業務連續性計劃（BCP）在發生數據泄露時至關重要。該計劃概述了存儲的數據類型、位置以及在實施數據安全和恢復措施時可能產生的潛在責任。

?  在公司內部實施“威脅搜尋”以加強安全計劃。

?  基于velocity 的規則等策略可用于緩解身份欺詐， 尤其是對于支付卡交易。有效交易的機器數據可為最佳策略定義提供足夠的信息。

? 單點登錄（SSO）身份驗證方法（如果可用） 允許用戶使用同一組數字憑據訪問多個應用程序。

? 在采取任何進一步措施之前， 應首先根據 IP 地址、與 IP 關聯的 ASN、域所有者以及該域與其他域之間的關系檢查通過電子郵件發送或隨機訪問的 URL。

? 采用云服務的組織應具有強大的云安全運營能力，并更喜歡同時使用內部存儲、私有云存儲和公共云存儲的體系結構， 以保護其客戶的個人信息。

? 對敏感數據使用強大且更新的加密方法， 如 TLS 1.3（使用臨時密鑰），以防止黑客攻擊。

? 充分保護所有身份證件和復印件（實物或數字）， 防止未經授權的訪問

?  身份信息不應披露給未經請求的收件人，他們通過電話、電子郵件或親自提出的請求也不應得到答復。

? 安裝并使用內容過濾功能過濾掉不需要的附件、包含惡意內容的郵件、垃圾郵件和不需要的網絡流量。

? 使用數據丟失預防（DLP）解決方案。

（6）防范和應對對可用性和完整性威脅的建議：

DDoS 和基于web 的攻擊都是長期存在的威脅， 緩解 DDoS 攻擊的對策如下：

?  拒絕服務響應計劃對于以恢復能力為優先事項的組織至關重要， 應整合系統檢查表、響應團隊以及有效的溝通和上報程序。

? 安全過程應是一項持續的活動， 跟蹤并適應系統和網絡的演變和生命周期。

?  相關組織之間的協作和協調對于倍增和加強緩解工作至關重要。

? 使用本地解決方案、 DDoS 清理服務或混合解決方案實施 DDoS 保護。

?  同時使用網絡和 web 應用程序防火墻。

?  使用基于網絡的入侵檢測系統。

?  及時應用補丁， 高度重視系統更新。

? 流量分析和流量過濾有助于提供異常流量模式的早期預警信號， 這些異常流量模式是 DDoS 攻擊的一個指標。

?  使用 DDoS 緩解服務來檢測異常流量， 并將流量重定向到遠離網絡的地方，同時使用速率限制來限制傳入流量。

?  保護基于web 的 API 并監控相關漏洞。

?  建立基于主動方法的威脅情報計劃， 使安全態勢適應不斷變化的威脅環境。

? 利用工作人員培訓和網絡安全演習加強能力建設和準備工作。緩解基于web 的攻擊的對策如下：

? 設置 web 應用程序防火墻（WAF）以識別和過濾惡意請求。WAF 必須保持更新，以保護系統免受新發現的漏洞的影響。

?  加強代碼庫（例如輸入隔離、參數化語句），以防止基于注入的攻擊。

?  及時更新軟件， 避免零日攻擊。

? 正確配置和強化web 服務器，并定期修補 Internet 上公開的所有服務器。

?  使用攻擊工具、漏洞掃描程序和滲透測試服務， 持續驗證安全強化的有效性。

?  啟用日志記錄并檢查這些日志。

（7）防范和應對虛假信息/錯誤信息的建議：

緩解方法包括技術和非技術領域。一方面， 是以基于人的方法， 包括培訓、檢查和揭穿、監管和溝通等方法。另一方面，技術解決方案對于限制通過社交網絡傳播錯誤/虛假信息非常重要。

?  培訓和安全意識，為員工處理虛假信息攻擊以及評估任何電子郵件和報告做好準備。

?  錯誤信息/虛假信息識別，例如，檢查來源、作者、交叉引用、引用的數據和日期等。

? 事實核查和揭穿虛假報道。

?   法規：新法規（如擬議的《電子商務數字服務法》）制定，以及對包括社交網絡在內的傳播虛假新聞的網站的處罰。

?  戰略性和透明的溝通：事實性的， 與政治溝通分開。

?  技術對策： 重寫搜索引擎算法；通過廣告開展宣傳活動；可信度評級，顯示可疑行為； 數字水印（標記視覺內容）； 制定以情緒跟蹤和暗網監控為中心的保護戰略。

（8）防范和應對非惡意威脅的建議：

? 必須采取全面的安全方法， 傳統安全通過實物保護和災難恢復得到豐富。

?  采用考慮非惡意威脅以及云服務的風險管理流程。

?  持續監控和測試，及時發現錯誤和錯誤配置。

?  需要強有力的組織政策來減少人為錯誤。

?   對數據和安全采用基于治理的方法，允許對數據進行全面考慮和跟蹤。

?  處理漏洞的補丁管理計劃。

? 補丁管理必須考慮供應鏈風險。

?  針對所有類型用戶的培訓和意識。

?   對物理基礎設施進行工程設計， 使其更能抵御自然事件， 并對公用設施進行適當管理， 以確保在發生意外事件或短缺時的業務連續性。

?  零信任安全方法，假設一切都被認為是惡意和不可信的。

?   提高最高管理層對網絡安全和物理安全必須整合的認識。

? 恢復計劃和備份是提高系統恢復能力的基礎。

?  物理破壞可促進攻擊。例如， 物理訪問控制、無人值守設備中的漏洞可幫助對手進行攻擊。

?  內部設備（加熱、通風和空調） 中的錯誤和故障可能導致火災、潮濕和不穩定電源可能損壞 IT 基礎設施的情況。

? 風險評估、災難恢復技術和人員培訓至關重要。