欧盟2020年度网络威胁态势综述

点击 蓝字 关注我们

欧盟网络安全局（ENISA）于2020年10月6日召开会议，对即将发布的年度报告做最后的修改。10月20日，ENISA发布报告的最终版，文章最后可下载相关文件PDF版。

本报告是ENISA发布的第八份年度报告，相比去年，今年的报告质量得到进一步提升。本次报告主要有以下7个主题：

• 年度回顾

• 网络威胁情报概述

• 部门与主题威胁分析

• 欧盟及世界范围内的重大安全事件

• 研究课题

• 新兴趋势

• 15大威胁清单

01

报告中包含几个关键部分，我们将相应内容整理为调查期间观察到的“十大趋势”：

1. 随着数字化转型进度的加快，网络安全攻击面也在持续扩大；

2. 经历了新冠疫情之后，新的社会与经济秩序将逐步建立，并且对网络空间的安全性与可靠性提出更高要求；

3. 在针对性攻击中，对社交媒体平台的使用已经成为一种显著趋势，而且涉及诸多不同威胁领域与威胁类型；

4. 有国家支持背景的攻击者正针对高价值数据（例如知识产权与国家机密）开展精心策划且极具针对性的持续攻击。

5. 持续时间较短、影响范围极大的分布式攻击活动往往预设有多个目标，例如凭证盗窃；

6. 大多数网络攻击的基本动机仍然由金钱驱动；

7. 勒索软件仍然普遍，而且给众多组织带来巨大的经济损失；

8. 相当一部分网络安全事件仍未被发现，或者时隔甚久才被曝光；

9. 随着安全自动化程度的提升，组织逐渐将网络威胁情报作为一项主动防御功能并给予持续投资；

10. 网络钓鱼受害者数量不断增加，这也彰显出人为因素在安全体系内仍然属于薄弱环节。

此外，本报告的另一个重要内容为“趋势预测”，主要从以下三个方面展开：国家、网络进攻与网络犯罪。在国家层面，ENISA认为新一年中将出现“不受控制的网络军备竞赛”，届时所有国家都将争相获取“网络空间战域”中的最佳攻击工具，并借此实施对抗。

在“网络犯罪预测”方面，ENISA预计BEC（企业电子邮件威胁）、BPC（企业流程威胁）、以及针对托管服务供应商恶意软件还将继续肆虐。报告还指出，“用于欺诈的Deep Fakes”趋势可能有所上升。或许Deep Fakes在2021年不会造成巨大的危害，但其确实是一个值得关注的领域。

其他发展趋势包括：随着青少年群体在网络上的活动时间不断延长，加上父母对此类活动的监督能力有限（忙于居家办公），因此青少年遭受网络欺凌事件有可能大大增加。

02

在这一领域中，ENISA提供培训资源链接，不过同时也在报告中提醒了在高效CTI实践和普通用户可用的培训及工具之间存在着巨大差距。在对如MITRE: ATT&CK等现有框架表示高度赞赏的同时，也指出了其在解决特定行业中特定系统、新兴系统以及云计算/托管服务等威胁方面的缺陷。

报告呼吁人们将更多精力投入到预防、检测及响应上 ，而不应过度痴迷于IOCs及APT命名等华而不实的工作。考虑到设备及实践的特殊性，某些行业在CTI层面表现得尤其落后。所有部门都应大幅提升自身在PDR方面（即预防、检测与响应）的能力。报告还提示关注以下问题：各类组织对于事件追踪部门的信任度往往不高。当一个公司与其他同行间的距离越远时，现有体系发生安全问题的几率就越大。因此，改善信息共享能力正是关键所在。援引报告原文，“应该指出的是，这里描述的缺陷并非组织自身缺乏CTI知识，而是跨部门、跨组织之间漫长的CTI知识交流与交换协调周期。”

ENISA在“全面CTI调查”部分发布了调查结果，相关要点如下：

• 在大多数组织内，CTI主要通过手动过程实现；

• 大部分CTI数据仍主要通过电子表格与电子邮件进行传递；

• CTI要求越来越明确，并开始从实际业务需求与执行人员的建议中汲取经验；

• 目前，将公共来源的CTI与内部网络及系统监控的观察结果相结合已经成为新的趋势；

• 由CTI供应商提供的威胁情报极大充实的了开源信息库，这种“显著上升的趋势”表明人们越来越关注内部CTI产出；

• 以IOC为基础的威胁检测被视为CTI的主要用途；而在威胁行为与敌对方战术领域，TTP得到的关注度更高。

• 只有4%的受访者表示他们有能力衡量CTI计划的有效性！其中机器学习的排名极低，大多数受访者认为分析师技能仍是决定预测效能的关键所在。

“未来展望”部分有以下几点内容值得关注：

• 强调对CTI要求加以协调。虽然报告主要呼吁各欧盟成员国开展协调，但这应该是一项覆盖全球网络安全领域，共同确定适当CTI要求、并通过全面协同推动整个行业实现改进的共同性目标。

• 开发CTI成熟度模型与威胁层级结构模型。

• 确保CTI充分考虑到全球地缘政治状态，而不仅仅是比特与字节层面的安全状态。

03

04

遗憾的是，本份报告的正式编撰时间为2019年1月至2020年4月，所以其中涉及的不少“重大安全事件”已经过时。虽然这部分事件能够较好地反映历史趋势，但继续作为第一手材料进行分析已经缺乏价值。报告中提及的重大数据泄露事件包括从MEGA（新西兰「Kim.com」运营的云数据存储服务）流出的7.7亿个电子邮件地址。其中还提到了ElasticSearch、Canva、Dream Market、Verifications.io以及几次有关MongoDB的重大违规案例。

根据这份报告， 目前网络攻击事件的主要目标集中在数字服务、政府管理、科技行业、金融机构以及医疗保健实体 。在数字服务领域，攻击者的主要手段在于窃取电子邮件地址/密码对，随后发动密码重放攻击，即利用掌握的凭证对其他在线平台进行“撞库”。ENISA表示“企业平均每月遭受12次凭证撞库攻击！”

报告还指出，84%的网络攻击“依赖于社会工程方法”；而且在遭遇恶意软件侵扰的组织中，有71%出现了恶意软件在员工之间往来传播的状况。

与我们从其他来源处看到的结论不符，ENISA将以下团伙描述为“最活跃的网络攻击组织”：

• TURLA-攻击微软Exchange服务器;

• APT27-针对中东政府SharePoint服务器发动攻击;

• Vicious Panda-针对蒙古政府发动攻击;

• Gamaredon-于2019年12月对乌克兰国防部发动鱼叉式钓鱼攻击。

报告还提到，ENISA认定大部分网络攻击都来自于有组织犯罪集团。

攻击者的五大动机是：财务、间谍、破坏、政治与报复。

网络犯罪活动中的五大“目标资产”分别为：

• 工业知识产权与商业机密

• 国家/军事机密信息

• 服务器基础设施

• 身份验证数据

• 财务数据

受篇幅所限，这里无法展开叙述。但报告中也提到了关于“新冠疫情在未来可能引发变化”的相关建议。相关内容，请参考ENISA之前就此主题发表的几篇出版物。

05

ENISA表示，“除了基本的网络安全卫生与培训之外，研究与创新已经成为防御方最具可行性的方案选项。”他们鼓励推动研究的几个关键领域包括：

• 深入剖析人为因素的安全影响；

• 网络安全研究与创新——侧重于建立能够更好反映实际部署的“测试实验室与网络范围”；

• 5G安全；

• 欧盟网络安全研究与创新项目；

• 快速传播CTI方法与内容。

06

报告首先指出，新冠疫情已经引发“物理世界与网络空间中一波新型深远变化”，并指出“由于威胁态势与对抗关系的日益复杂，网络安全风险已经变得更加难以评估与解释。对抗生态系统与攻击面也在持续扩大。”

新兴趋势具体分为三份趋势性清单：十大网络安全挑战；五大网络威胁趋势；以及攻击向量层面的十大新兴趋势。再次强调，请参阅完整报告以获取全部详细信息。下面是我个人认为比较重要的几点内容：

网络安全挑战1——处理系统性与复杂风险。 系统与网络之间的互联，意味着驻留在环境中特定部分的风险可能迅速扩散到整个组织当中。遗憾的是，为了降低复杂性并缓解管理难度，大部分组织建立起扁平化的网络结构，其中单一活动目录域可能会触及环境内的所有资源，且几乎不存在网络分段机制。

另外，报告在网络安全挑战领域提出的一些其他“新兴趋势”并不能算是真正的趋势，而更多是种片面看法。减少意外错误、实现CTI摄取自动化、减少警报倦怠/误报以及保护云迁移流程都是我们的努力目标，而绝不能算是什么“新兴趋势”。当然，我对报告中强调的CTI重要作用、以及目前市场上缺乏熟练劳动力等结论表示十分赞同。

网络威胁情报（CTI）需要有能力解决为什么、如何做以及是什么几个核心问题。报告指出，“任何CTI功能或计划的价值主张，都在于提高组织的安全防范能力，借此保证关键资产免受未知威胁的侵害。”要想预知未知，我们必须对威胁及攻击方都建立起更深刻的理解——不仅是以特定威胁指标（IOC）的形式，更应该以TTP的形式（即基于战术、技术与程序），通过公开观察得出实证公开来源情报（OSINT）与同部门/跨部门间情报共享，帮助组织加强并准备应对即将出现的攻击活动（而非单纯针对已知攻击做出反应）。

正如我们看到像美国那样，网络安全技能的短缺正给欧盟带来沉重打击。70%的受访企业表示，缺乏技能已经成为新兴技术正常发展中的严重阻碍；46%的企业表示，由于缺乏技能娴熟的求职者，他们一直难以填补网络安全方面的职位空缺。在美国，我经常向学生们推荐由Cyberseek.org网站维护的网络安全供求热图。目前，单在美国一地，就存在521617个网络安全职位空缺！

最后一个“新兴趋势”为攻击向量层面的十大新兴趋势。在这方面，我认为以下几点需要高度关注：

1. 攻击将在短时间内大规模传播，且影响范围更广；

2. 将出现精心策划、极具针对性的持续攻击，并辅以明确的长期攻击目标；

3. 恶意攻击者将在针对性攻击中使用数字化平台；

4. 对业务流程的恶意利用将持续增加；

5. 攻击面将持续扩大；

6. 远程办公的普及将导致家用设备成为新的攻击目标；

7. 攻击者的准备工作将更加完备；

8. 模糊技术将更加复杂；

9. 对修复系统及非连续应用程序的自动化入侵将持续增加；

10. 网络威胁正逐步走向边缘。

贯穿以上趋势中的一条关键线索，在于攻击将转移到防御较为薄弱的新“软肋”之上。报告还提到，从Google Play商店下载到的银行木马可能针对路由器、交换机及防火墙（而非服务器）开展攻击；并可能通过个人及企业应用（例如短信、WhatsApp、SnapChat以及各类消息传递平台）进行往来传播，最终感染“居家办公”设备上的各类游戏及流媒体应用。

07

相关报告下载链接：

• https://www.enisa.europa.eu/publications/year-in-review/at_download/fullReport

• https://www.enisa.europa.eu/publications/cyberthreat-intelligence-overview/at_download/fullReport 

• https://www.enisa.europa.eu/publications/sectoral-thematic-threat-analysis/at_download/fullReport

• https://www.enisa.europa.eu/publications/enisa-threat-landscape-2020-research-topics/at_download/fullReport 

• https://www.enisa.europa.eu/publications/emerging-trends/at_download/fullReport

原文链接：

• http://garwarner.blogspot.com/2020/11/the-enisa-cybersecurity-threat-landscape.html