歐盟網(wǎng)絡(luò)安全局（ENISA）成立于 2004 年，近日該機(jī)構(gòu)發(fā)布了歐盟 2022 年度威脅報(bào)告。該年度報(bào)告的跟蹤時(shí)間范圍為 2021 年下半年到 2022 年上半年，ENISA 表示攻擊在持續(xù)增加。并且由于國(guó)際地緣政治局勢(shì)動(dòng)蕩，預(yù)計(jì)未來(lái)會(huì)觀察到更多網(wǎng)絡(luò)攻擊。

在報(bào)告中，歐盟網(wǎng)絡(luò)安全局指出歐盟認(rèn)定當(dāng)前面臨的主要威脅為：

1. 勒索軟件

2. 惡意軟件

3. 社會(huì)工程學(xué)威脅

4. 數(shù)據(jù)安全威脅

5. 拒絕服務(wù)攻擊

6. 互聯(lián)網(wǎng)威脅

7. 虛假信息

8. 供應(yīng)鏈攻擊

不過(guò) 2022 年整體來(lái)看的事件量相比 2021 年還是呈下降態(tài)勢(shì)，但與歐盟緊密相關(guān)的事件數(shù)量仍然較為穩(wěn)定。

按照行業(yè)來(lái)看，政府占到了總事件的四分之一。再加上數(shù)字服務(wù)提供商、一般公眾服務(wù)、服務(wù)業(yè)、金融業(yè)、醫(yī)療，能夠超過(guò)總量的四分之三。

在受到攻擊時(shí)，政府部門受到的聲譽(yù)影響最大，其次是金融行業(yè)。

ENISA 威脅態(tài)勢(shì)分析報(bào)告主要基于公開(kāi)披露的信息，結(jié)合自有情報(bào)進(jìn)行數(shù)據(jù)統(tǒng)計(jì)與趨勢(shì)分析。ENISA 的分析人員與聘請(qǐng)的外部專家，對(duì)這些內(nèi)容進(jìn)行了深入地分析與研究。

攻擊者趨勢(shì)

主要考慮以下四類網(wǎng)絡(luò)安全攻擊者：國(guó)家資助的攻擊者、黑產(chǎn)犯罪攻擊者、受雇傭的攻擊者與黑客主義攻擊者。

國(guó)家資助的攻擊者演變趨勢(shì)

此類攻擊者最常見(jiàn)的入侵手段就是漏洞利用，而報(bào)告期內(nèi) 0day 漏洞的利用激增。這可能是因?yàn)椋?

• 此類攻擊者越來(lái)越多地將資源投入到漏洞的研究中

• 此類攻擊者更關(guān)注供應(yīng)鏈攻擊，更希望通過(guò) 0day 漏洞發(fā)起攻擊

• 威脅狩獵更加成熟，能夠發(fā)現(xiàn)更多的在野 0day 漏洞利用

• 安全檢測(cè)技術(shù)更加成熟，高級(jí)攻擊者被迫轉(zhuǎn)向更高級(jí)的技術(shù)手段

報(bào)告認(rèn)為未來(lái)將會(huì)有更多的國(guó)家資助的攻擊者加強(qiáng)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的偵察、攻擊與破壞。在俄烏沖突中，網(wǎng)絡(luò)攻擊與軍事行動(dòng)協(xié)同出擊，攻擊者使用惡意軟件來(lái)破壞關(guān)鍵基礎(chǔ)設(shè)施。微軟稱在 2022 年 2 月 23 日到 2022 年 4 月 8 日，發(fā)現(xiàn)了針對(duì)數(shù)十個(gè)烏克蘭組織的數(shù)百個(gè)系統(tǒng)的四十余次破壞性攻擊。俄烏沖突前有攻擊者就入侵了商業(yè)衛(wèi)星通信公司 Viasat，導(dǎo)致沖突期間的衛(wèi)星互聯(lián)網(wǎng)受到巨大影響。

2020 年的供應(yīng)鏈攻擊還不足 1 %，自從 2020 年 12 月 SolarWinds 供應(yīng)鏈攻擊被曝光后，國(guó)家資助的攻擊者意識(shí)到供應(yīng)鏈攻擊的巨大潛力，2021年占比已經(jīng)躍升至17%。云服務(wù)提供商（CSP）、托管服務(wù)提供商（MSP）與 IT 服務(wù)提供商都是此類攻擊的重災(zāi)區(qū)，報(bào)告認(rèn)為未來(lái)國(guó)家資助的攻擊者將會(huì)繼續(xù)瞄準(zhǔn)供應(yīng)鏈進(jìn)行攻擊。

值得注意的是，2022 年 2 月 26 日烏克蘭副總理宣布成立烏克蘭網(wǎng)絡(luò)部隊(duì)，在公告中呼吁志愿者通過(guò) Telegram 頻道協(xié)調(diào)進(jìn)行統(tǒng)一的網(wǎng)絡(luò)攻擊。最初烏克蘭并沒(méi)有網(wǎng)絡(luò)部隊(duì)指揮中心，參考愛(ài)沙尼亞網(wǎng)絡(luò)防御聯(lián)盟的模式建立了一個(gè)組織架構(gòu)，其中包含烏克蘭與國(guó)際上其他國(guó)家的平民、私營(yíng)公司、烏克蘭軍事人員等，但很難對(duì)其進(jìn)行歸類。這可能會(huì)是未來(lái)網(wǎng)絡(luò)空間中沖突發(fā)生時(shí)，非國(guó)家力量參與其中的樣板。

黑產(chǎn)犯罪攻擊者

黑產(chǎn)犯罪攻擊者對(duì)供應(yīng)鏈攻擊也十分青睞，尤其是與勒索軟件的聯(lián)動(dòng)日益緊密，以此來(lái)快速擴(kuò)大攻擊規(guī)模。未來(lái)，此類攻擊者一定會(huì)對(duì)供應(yīng)鏈更加關(guān)注，建議組織將供應(yīng)鏈攻擊納入威脅建模的過(guò)程。

隨著云的采用越來(lái)越普及，攻擊者也緊隨其后瞄準(zhǔn)云環(huán)境進(jìn)行攻擊。云上主要有以下方式：

• 針對(duì)云上漏洞發(fā)起攻擊：虛擬化基礎(chǔ)設(shè)施（如 VMware vSphere、ESXi 等）被攻擊者當(dāng)作重點(diǎn)攻擊目標(biāo)。

• 利用云服務(wù)部署攻擊基礎(chǔ)設(shè)施：利用云服務(wù)的可擴(kuò)展性和可靠性作為攻擊基礎(chǔ)設(shè)施，并且使用合法云服務(wù)將惡意流量隱藏在正常流量中，以此繞過(guò)安全管控。

• 竊取云服務(wù)憑證：利用社會(huì)工程學(xué)手段竊取云服務(wù)憑證，如Office 365、Okta 等。

• 針對(duì)配置錯(cuò)誤的容器鏡像發(fā)起攻擊：配置不當(dāng)?shù)?Docker、Kubernetes 容易受到攻擊。

• 利用云實(shí)例進(jìn)行挖礦（不再贅述，以 TeamTNT 為代表）。

未來(lái)黑產(chǎn)犯罪攻擊者肯定會(huì)持續(xù)濫用、破壞云環(huán)境，會(huì)有更多的惡意軟件從通用的 Linux 系統(tǒng)擴(kuò)展到容器平臺(tái)上。

在黑產(chǎn)犯罪攻擊者中，大放異彩的當(dāng)屬勒索軟件攻擊者。一些國(guó)家的政府開(kāi)始將勒索軟件列為國(guó)家安全威脅，例如美國(guó)政府協(xié)調(diào)國(guó)際社會(huì)應(yīng)對(duì)勒索軟件攻擊、美國(guó)政府頒布的《贖金披露法》規(guī)定受害者有義務(wù)在支付贖金 48 小時(shí)內(nèi)通知美國(guó)政府、荷蘭政府將借助情報(bào)部隊(duì)與武裝部隊(duì)的力量來(lái)對(duì)應(yīng)勒索軟件攻擊。某些勒索軟件團(tuán)伙可能會(huì)宣布退休，其原因有很多：

• 攻擊基礎(chǔ)設(shè)施遭到嚴(yán)重破壞

• 受到執(zhí)法者與媒體的強(qiáng)烈關(guān)注

• 阻礙分析人員的歸因

• 解決團(tuán)伙內(nèi)部矛盾

值得注意的是，勒索軟件攻擊者開(kāi)始意識(shí)到僅僅進(jìn)行數(shù)據(jù)盜竊而不需要數(shù)據(jù)加密也可以進(jìn)行敲詐勒索。這樣可以使得攻擊更快速、規(guī)模更大，攻擊者也會(huì)嘗試招募“內(nèi)鬼”。

網(wǎng)絡(luò)犯罪生態(tài)正在蓬勃發(fā)展，相互協(xié)作與犯罪專業(yè)化水平得以提高。不同的犯罪分子在攻擊的不同階段提供了各種服務(wù)，使得攻擊的門檻一降再降。這是一方面，另一方面也催生了提供定制與高級(jí)犯罪工具的外包服務(wù)。

受雇傭的攻擊者

受雇傭的攻擊者是指提供“訪問(wèn)即服務(wù)”（AaaS）的攻擊者，其客戶通常是政府。一攬子服務(wù)包括：漏洞研究與利用、惡意軟件開(kāi)發(fā)、C&C 運(yùn)營(yíng)與相關(guān)培訓(xùn)等。此類公司非常多，可以參見(jiàn) https://xorl.wordpress.com/offensive-security-private-companies-inventory/。典型事件為：

• 攻擊者利用 NSO 與 Candiru 的攻擊工具來(lái)監(jiān)視他人，甚至是平民。

• Candiru 一直在向政府機(jī)構(gòu)出售 0day 漏洞，并且發(fā)現(xiàn)了在中東的活動(dòng)痕跡。

• DeathStalker 網(wǎng)絡(luò)雇傭軍持續(xù)以律所與金融機(jī)構(gòu)為目標(biāo)發(fā)起攻擊。

• Google 發(fā)現(xiàn)的 9 個(gè)在野 0day 中，相關(guān)公司開(kāi)發(fā)了七個(gè)。更具體來(lái)說(shuō)，Cytrox 將 Google Chrome 與 Goolge Android 的 5 個(gè) 0day 漏洞賣給了多個(gè)國(guó)家資助的攻擊者。

影子經(jīng)紀(jì)人在 2016 年竊取了 NSA 的攻擊工具，引發(fā)了全球的攻擊風(fēng)波。2022 年 5 月 23 日，國(guó)際刑警組織秘書(shū)長(zhǎng)表示對(duì)國(guó)家開(kāi)發(fā)的網(wǎng)絡(luò)武器泄露在暗網(wǎng)或者公開(kāi)渠道存在擔(dān)心。

報(bào)告認(rèn)為，攻擊者很可能會(huì)持續(xù)購(gòu)買“訪問(wèn)即服務(wù)”（AaaS），這會(huì)使威脅形勢(shì)更加復(fù)雜。

其中最為出名的是總部位于以色列的 NSO 公司開(kāi)發(fā)的 Pegasus 惡意軟件，全球三萬(wàn)余個(gè)記者、律師、甚至是國(guó)家領(lǐng)導(dǎo)人都成為攻擊目標(biāo)。隨后，美國(guó)宣布對(duì)其進(jìn)行出口管制、歐盟開(kāi)始調(diào)查此類侵權(quán)行為。

黑客主義攻擊者

俄烏沖突成了黑客主義攻擊者的表演舞臺(tái)，大約 70 個(gè)黑客激進(jìn)主義團(tuán)伙參與其中。在俄烏沖突結(jié)束后，黑客主義活動(dòng)是否會(huì)恢復(fù)到此前的較低水平則不得而知。

• Cyber Partisans 在 2021 年 7 月入侵了白俄羅斯內(nèi)政部，泄露了大量數(shù)據(jù)。2022 年 1 月 24 日，入侵了白俄羅斯鐵路系統(tǒng)。

• NB65 使用 Conti 泄露的勒索軟件對(duì)俄羅斯公司進(jìn)行攻擊，并宣布將贖金捐贈(zèng)給烏克蘭。

勒索軟件趨勢(shì)

勒索軟件的威脅仍然在增長(zhǎng)，勒索軟件相關(guān)事件有增無(wú)減。

ENISA 曾在 2022 年 7 月針對(duì) 623 起攻擊事件進(jìn)行分析，相關(guān)報(bào)告可見(jiàn) https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-ransomware-attacks。

事件的數(shù)量與被盜數(shù)據(jù)量也不是成正比的：

LockBit、Conti 與 BlackCat 是年初最活躍的勒索軟件團(tuán)伙，其受害者占到一半以上。在 2022 年 5 月，Conti 宣布“退休”后，相關(guān)人員就分散到其他團(tuán)伙中，例如 Hive、AvosLocker 與 ALPHV。犯罪人員的交叉導(dǎo)致勒索軟件的源碼經(jīng)常被重用，使得分析這些勒索軟件之間的關(guān)聯(lián)性極具挑戰(zhàn)。

網(wǎng)絡(luò)釣魚(yú)仍然是最常用的攻擊媒介，而 RDP 爆破作為第二大媒介仍然在持續(xù)下降。其他攻擊方式在逐漸增加，例如其他社會(huì)工程學(xué)攻擊或者直接招募組織內(nèi)部的“內(nèi)鬼”。

Conti 勒索軟件團(tuán)伙在“退休”前，其內(nèi)部聊天記錄被泄露。對(duì)勒索軟件團(tuán)伙的組織架構(gòu)、運(yùn)作方式提供了說(shuō)明，甚至披露了成員享受帶薪休假等福利制度。

勒索軟件已經(jīng)進(jìn)一步將漏洞的平均利用時(shí)間縮短至廠商披露的八天內(nèi)，這進(jìn)一步凸顯了補(bǔ)丁管理與以威脅為導(dǎo)向的漏洞風(fēng)險(xiǎn)管理方法的重要性。

執(zhí)法機(jī)構(gòu)對(duì)勒索軟件的制裁越來(lái)越密集。如 2021 年因 NetWalker 勒索軟件被逮捕的加拿大國(guó)民，于 2022 年 2 月被判處 7 年監(jiān)禁。不過(guò)執(zhí)法部門的行動(dòng)未必會(huì)對(duì)勒索軟件產(chǎn)生根本性影響。如 2022 年 1 月，俄羅斯聯(lián)邦安全局逮捕了 REvil 團(tuán)伙的八名成員。但在 2022 年 3 月與 4 月的樣本中，REvil 的源碼仍然在開(kāi)發(fā)演進(jìn)。

美國(guó)北卡羅萊納州與佛羅里達(dá)州宣布禁止公共實(shí)體或機(jī)構(gòu)支付贖金，《網(wǎng)絡(luò)事件報(bào)告法》中也規(guī)定在遭到網(wǎng)絡(luò)攻擊 72 小時(shí)內(nèi)以及支付贖金 24 小時(shí)內(nèi)需要進(jìn)行報(bào)告。

惡意軟件趨勢(shì)

惡意軟件是一個(gè)永恒的命題，并且經(jīng)久不衰。

2021 年最常見(jiàn)的惡意軟件類別是遠(yuǎn)控木馬、銀行木馬、信息竊密程序與勒索軟件，最常見(jiàn)的惡意軟件家族為Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBot 和 GootLoader336。其中很多家族已經(jīng)保持了超過(guò)五年的活躍，像 Emotet 的強(qiáng)勢(shì)崛起也表明攻擊者會(huì)持續(xù)更新惡意軟件。

針對(duì)物聯(lián)網(wǎng)的惡意軟件幾乎翻了一番，在 2022 年前六個(gè)月的累計(jì)攻擊量已經(jīng)超過(guò)過(guò)去四年的總和。

在 NPM、PyPi、RubyGems 中進(jìn)行供應(yīng)鏈攻擊越來(lái)越常見(jiàn)，不斷會(huì)有此類事件被發(fā)現(xiàn)。

微軟在 2022 年 7 月宣布 Office 將默認(rèn)阻止來(lái)自互聯(lián)網(wǎng)的文件中的宏代碼，攻擊者也從宏代碼開(kāi)始轉(zhuǎn)移。2021 年 10 月到 2022 年 6 月，使用容器文件（ISO、ZIP、RAR）與 Windows 快捷方式（LNK）文件來(lái)傳播惡意軟件的情況越來(lái)越多。使用 VBA 宏的惡意軟件活動(dòng)已經(jīng)從 70% 極具下降到 20%，而使用 LNK 的活動(dòng)從 5% 增長(zhǎng)到 70%。

移動(dòng)惡意軟件影響范圍越來(lái)越大，盡管 Google 在發(fā)現(xiàn)后都會(huì)迅速刪除惡意應(yīng)用程序，但往往這些惡意軟件已經(jīng)潛伏了很長(zhǎng)時(shí)間。移動(dòng)端針對(duì)性的惡意軟件也愈發(fā)增多，例如 NSO 的 Pegasus、Cytrox350 的 Predator 等。

社會(huì)工程學(xué)攻擊趨勢(shì)

Verizon 的數(shù)據(jù)泄露調(diào)查報(bào)告顯示，大約 82% 的數(shù)據(jù)泄露涉及人相關(guān)的因素。攻擊者也利用社會(huì)工程學(xué)進(jìn)行大量攻擊，包括釣魚(yú)郵件、商業(yè)電子郵件泄露（BEC）等。

Europol 與 FBI 均認(rèn)為網(wǎng)絡(luò)釣魚(yú)與社會(huì)工程學(xué)攻擊仍然是支付欺詐的主要載體。Ponemon Institute 認(rèn)為 2021 年相比 2015 年，網(wǎng)絡(luò)釣魚(yú)帶來(lái)的損失增加了兩倍多。而 Mandiant 的調(diào)查中，網(wǎng)絡(luò)釣魚(yú)入侵的比例從 2020 年的 23% 下降到 2021 年的 11%。

網(wǎng)絡(luò)犯罪分子越來(lái)越多地轉(zhuǎn)向使用網(wǎng)絡(luò)釣魚(yú)工具包、網(wǎng)絡(luò)釣魚(yú)即服務(wù)，這樣來(lái)減輕基礎(chǔ)工作量。IBM 的威脅情報(bào)分析報(bào)告指出，網(wǎng)絡(luò)釣魚(yú)工具包的存活時(shí)間較短，約三分之一的使用時(shí)間都不超過(guò)一天。微軟在分析報(bào)告中表示，犯罪分子也面臨“黑吃黑”的情況，有些網(wǎng)絡(luò)釣魚(yú)工具包會(huì)將憑據(jù)偷偷發(fā)給開(kāi)發(fā)者或者中間商，這些犯罪分子吃了不能獨(dú)立開(kāi)發(fā)的虧。整體來(lái)說(shuō)，近年來(lái)網(wǎng)絡(luò)釣魚(yú)即服務(wù)越來(lái)越專業(yè)化，而且技術(shù)水平越來(lái)越高。攻擊者入侵后將訪問(wèn)權(quán)限移交給其他攻擊者，本身只提供初始訪問(wèn)代理（IAB）

根據(jù) FBI 的犯罪報(bào)告，商業(yè)電子郵件泄露（BEC）是經(jīng)濟(jì)影響最大的網(wǎng)絡(luò)犯罪之一。該攻擊方式并不需要完整解決多階段攻擊中的各種問(wèn)題，而只需要催促執(zhí)行金融交易即可（或者其他變種）。盡管 BEC 被認(rèn)為是網(wǎng)絡(luò)釣魚(yú)的一種，但并不像其他攻擊那樣依賴惡意軟件或者惡意鏈接。根據(jù) Verizon 的數(shù)據(jù)泄露調(diào)查報(bào)告，BEC 攻擊的中位數(shù)進(jìn)一步擴(kuò)大。

2022 年 1 月，F(xiàn)BI 警告犯罪分子使用二維碼將受害者重定向到釣魚(yú)網(wǎng)站。這種攻擊需要被格外注意，因?yàn)檫@種攻擊不僅會(huì)發(fā)生在網(wǎng)絡(luò)空間，還可能發(fā)生在實(shí)際的物理環(huán)境中。

數(shù)據(jù)安全趨勢(shì)

數(shù)據(jù)已經(jīng)成為網(wǎng)絡(luò)犯罪分子的主要攻擊目標(biāo)，數(shù)據(jù)安全的范圍很廣，此處不對(duì)具體定義進(jìn)行探討。2021 年 ENISA 供應(yīng)鏈攻擊威脅態(tài)勢(shì)報(bào)告中提到，58% 的攻擊事件中攻擊者目標(biāo)為客戶數(shù)據(jù)，包括個(gè)人身份信息（PII）與知識(shí)產(chǎn)權(quán)等。

根據(jù) Verizon 的數(shù)據(jù)泄露調(diào)查報(bào)告：

• 大約 80% 的數(shù)據(jù)泄露源于外部攻擊，其余來(lái)自內(nèi)部出賣。

• 九成的動(dòng)機(jī)為獲利，間諜竊密目的的只占不到一成。

• 漏洞作為數(shù)據(jù)泄露的動(dòng)因翻了一番，已經(jīng)達(dá)到了 7%。

• 頭號(hào)攻擊媒介仍然是被竊憑證（40%），其次是勒索軟件（25%）。

ITRC 總裁 Eva Velasquez 表示，自從 2003 年第一部數(shù)據(jù)泄露告知法案通過(guò)以來(lái)，2021 年發(fā)生的數(shù)據(jù)泄露事件比過(guò)往的任意一年都多。但只有不到 5% 的事件會(huì)在確認(rèn)數(shù)據(jù)泄露后，能夠采取有效的保護(hù)措施。

攻擊者竊取數(shù)據(jù)后就可以盜用身份，根據(jù)美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）的數(shù)據(jù)，2021 年確認(rèn)了 140 萬(wàn)次身份盜用。據(jù) FiVerity 估計(jì)，損失將會(huì)增加到 200 億美元。

歐盟的 H2020 CONCORDIA 項(xiàng)目將數(shù)據(jù)投毒確定為數(shù)據(jù)安全領(lǐng)域中的主要威脅之一。勒索軟件與深度偽造都針對(duì)數(shù)據(jù)的完整性與可用性提出了挑戰(zhàn)，為完全基于未經(jīng)驗(yàn)證的數(shù)據(jù)的決策帶來(lái)巨大風(fēng)險(xiǎn)。已經(jīng)發(fā)生過(guò)的案例是，一通深度偽造語(yǔ)音通話欺詐受害者進(jìn)行了 3500 萬(wàn)美元的銀行轉(zhuǎn)賬。

實(shí)際上，目前有很多找不到原因的數(shù)據(jù)泄露。歐盟范圍內(nèi)“原因未知”的比例已經(jīng)在 2022 年第一季度攀升至攻擊媒介的首位，而在美國(guó)自 2020 年以來(lái)增加了 190%。

IBM 的報(bào)告認(rèn)為 2021 年數(shù)據(jù)泄露導(dǎo)致的損失達(dá)到 424 萬(wàn)美元。根據(jù) Tenable Research 的數(shù)據(jù)顯示，數(shù)據(jù)泄露事件急劇增加。相比 2020 年增加了 2.5 倍以上，相比 2021 年增加了 78%。被盜數(shù)據(jù)超過(guò) 18 億個(gè)，總量超過(guò) 260TB。

拒絕服務(wù)攻擊趨勢(shì)

2022 年 7 月，在 Akamai 平臺(tái)上發(fā)現(xiàn)了針對(duì)歐洲客戶發(fā)起有史以來(lái)最大規(guī)模的 DDoS 攻擊，峰值流量達(dá)到 853.7 Gbps。

報(bào)告認(rèn)為，俄烏沖突前所未有地影響了 DDoS 攻擊的形態(tài)，使網(wǎng)絡(luò)空間成為繼海陸空與太空之外的第五維戰(zhàn)場(chǎng)。烏克蘭稱自己成為大規(guī)模 DDoS 攻擊的目標(biāo)，俄羅斯數(shù)字發(fā)展與通信部也宣布該國(guó)經(jīng)受的 DDoS 攻擊量是“前所未有”的。

DDoS 攻擊規(guī)模越來(lái)越大且越來(lái)越復(fù)雜。根據(jù) F5Lab 的數(shù)據(jù)，2021 年多了許多 Tbps 級(jí)的 DDoS 攻擊。Neustar 也支持這個(gè)說(shuō)法，表示2021 年是 DDoS 攻擊規(guī)模最大、強(qiáng)度最高、攻擊時(shí)間最長(zhǎng)的一年。利用多種攻擊方式組合發(fā)起攻擊也越來(lái)越普遍。Cloudfare 發(fā)現(xiàn) Meris 僵尸網(wǎng)絡(luò)針對(duì)某金融行業(yè)組織利用 DNS 反射放大攻擊+ UDP 洪水攻擊，在一分鐘內(nèi)打出了接近 2Tbps 的峰值流量。

與疫情相關(guān)的網(wǎng)站仍然是 DDoS 攻擊的主要目標(biāo)。8 月，菲律賓疫苗接種登記網(wǎng)站受到 DDoS 攻擊。9 月，荷蘭分發(fā)場(chǎng)所碼網(wǎng)站 CoronaCheck 受到 DDoS 攻擊。

勒索拒絕服務(wù)（RDoS）是涌現(xiàn)出來(lái)的新技術(shù)，這種攻擊方式跳出了傳統(tǒng)的“雙重勒索”模式。迫使受害者交付贖金，從一次性贖金也進(jìn)化到每天 1 比特幣的持續(xù)贖金。在“三重勒索”模式中，攻擊者威脅對(duì)組織進(jìn)行 DDoS 攻擊。在”四重勒索”模式中，DDoS 攻擊范圍擴(kuò)大到了合作伙伴與客戶。根據(jù) Cloudfare 的數(shù)據(jù)，2021 年第四季度勒索拒絕服務(wù)攻擊同比增長(zhǎng) 29%、環(huán)比增長(zhǎng) 175%。

隨著攻擊越來(lái)越復(fù)雜，基于 TCP 的攻擊幾乎翻了一番已經(jīng)占到 27%。2022 年初，Akamai 表示檢測(cè)到基于 TCP 的反射放大攻擊，峰值為 11Gbps。

F5Lab 表示受攻擊最多的行業(yè)是銀行、金融服務(wù)與保險(xiǎn)，吸引了超過(guò) 25% 的攻擊。其次是電信、教育與IT行業(yè)。Cloudfare 的數(shù)據(jù)顯示，2021 年第三季度應(yīng)用層攻擊的首要目標(biāo)是IT與游戲行業(yè)。

互聯(lián)網(wǎng)威脅趨勢(shì)

在俄烏沖突地區(qū)，俄羅斯要求當(dāng)?shù)鼗ヂ?lián)網(wǎng)運(yùn)營(yíng)商接入俄羅斯的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，重定向所有的固網(wǎng)與移動(dòng)互聯(lián)網(wǎng)的流量。烏克蘭政府稱，截至 2022 年 6 月全境大約 15% 的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施被摧毀。

2022 年 2 月以來(lái)，俄羅斯屏蔽了超過(guò)三千個(gè)與俄烏沖突有關(guān)的網(wǎng)站，如 Instagram、Facebook、Twitter 等社交媒體也都被屏蔽。與之對(duì)應(yīng)的，歐洲也暫停了俄羅斯媒體 Sputnik與 RT 在歐洲的廣播活動(dòng)，某些歐洲國(guó)家也阻止了對(duì)俄羅斯媒體的訪問(wèn)。

對(duì)俄羅斯金融機(jī)構(gòu)的制裁，使得俄羅斯用戶無(wú)法更新 TLS 證書(shū)。俄羅斯政府提供了免費(fèi)證書(shū)，但由于對(duì)流量攔截和中間人的擔(dān)憂，只有 Yandex 與 Atom 瀏覽器信任該證書(shū)。

2021 年 BGPStream 發(fā)現(xiàn)了 775 次可能是 BGP 劫持的攻擊事件。攻擊者在 2021 年 2 月針對(duì)韓國(guó)加密貨幣交易所 KLAYswap 的基礎(chǔ)設(shè)施服務(wù)提供商 Kakao Talk 發(fā)起了 BGP 劫持，在兩個(gè)小時(shí)的劫持期間植入了 JavaScript 文件竊取了 200 萬(wàn)美元。2022 年 7 月，蘋果發(fā)現(xiàn)被俄羅斯運(yùn)營(yíng)商 Rostelecom 劫持了十二個(gè)小時(shí)。

保護(hù)免受 BGP 劫持攻擊的資源公鑰基礎(chǔ)設(shè)施（RPKI），采用率提升到 34.7%。盡管在不斷增加，但全面采用的時(shí)刻仍然遙遠(yuǎn)。

虛假信息趨勢(shì)

根據(jù) GlobalData 在 2022 年的分析，Twitter 上 10% 的活躍賬戶都在發(fā)布垃圾內(nèi)容，而 Twitter 聲稱低于 5%。

微軟表示超過(guò) 96% 的 deepfake 視頻都涉及色情內(nèi)容。

供應(yīng)鏈攻擊趨勢(shì)

Mandiant 表示供應(yīng)鏈攻擊是 2021 年第二大攻擊媒介，占到 17%。為此，歐盟發(fā)布了 NIS2 法令，旨在解決供應(yīng)鏈安全問(wèn)題。美國(guó)政府也發(fā)布了行政命令，改善美國(guó)的網(wǎng)絡(luò)安全。根據(jù) PWC 的調(diào)查，只有 40% 的受訪者了解第三方網(wǎng)絡(luò)和隱私風(fēng)險(xiǎn)。

利用漏洞的攻擊在增加，針對(duì)安全研究人員的攻擊也頻頻被發(fā)現(xiàn)。

各種攻擊者都盯上了供應(yīng)鏈，例如 LockBit 竊取了為荷蘭國(guó)防部等政府部門提供通信技術(shù)的 Abiom 公司的 70 萬(wàn)份文件。

漏洞趨勢(shì)

報(bào)告期內(nèi)確認(rèn)了 21920 個(gè)漏洞，其中 134 個(gè)漏洞在 CISA 已知在野利用漏洞清單（KEV），如下所示。