歐盟網(wǎng)絡(luò)安全局2022年度威脅報(bào)告 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2022-12-28 瀏覽次數(shù): |
歐盟網(wǎng)絡(luò)安全局(ENISA)成立于 2004 年,近日該機(jī)構(gòu)發(fā)布了歐盟 2022 年度威脅報(bào)告。該年度報(bào)告的跟蹤時間范圍為 2021 年下半年到 2022 年上半年,ENISA 表示攻擊在持續(xù)增加。并且由于國際地緣政治局勢動蕩,預(yù)計(jì)未來會觀察到更多網(wǎng)絡(luò)攻擊。 在報(bào)告中,歐盟網(wǎng)絡(luò)安全局指出歐盟認(rèn)定當(dāng)前面臨的主要威脅為:
不過 2022 年整體來看的事件量相比 2021 年還是呈下降態(tài)勢,但與歐盟緊密相關(guān)的事件數(shù)量仍然較為穩(wěn)定。
按照行業(yè)來看,政府占到了總事件的四分之一。再加上數(shù)字服務(wù)提供商、一般公眾服務(wù)、服務(wù)業(yè)、金融業(yè)、醫(yī)療,能夠超過總量的四分之三。
在受到攻擊時,政府部門受到的聲譽(yù)影響最大,其次是金融行業(yè)。
ENISA 威脅態(tài)勢分析報(bào)告主要基于公開披露的信息,結(jié)合自有情報(bào)進(jìn)行數(shù)據(jù)統(tǒng)計(jì)與趨勢分析。ENISA 的分析人員與聘請的外部專家,對這些內(nèi)容進(jìn)行了深入地分析與研究。 攻擊者趨勢主要考慮以下四類網(wǎng)絡(luò)安全攻擊者:國家資助的攻擊者、黑產(chǎn)犯罪攻擊者、受雇傭的攻擊者與黑客主義攻擊者。 國家資助的攻擊者演變趨勢此類攻擊者最常見的入侵手段就是漏洞利用,而報(bào)告期內(nèi) 0day 漏洞的利用激增。這可能是因?yàn)椋?
報(bào)告認(rèn)為未來將會有更多的國家資助的攻擊者加強(qiáng)對關(guān)鍵基礎(chǔ)設(shè)施的偵察、攻擊與破壞。在俄烏沖突中,網(wǎng)絡(luò)攻擊與軍事行動協(xié)同出擊,攻擊者使用惡意軟件來破壞關(guān)鍵基礎(chǔ)設(shè)施。微軟稱在 2022 年 2 月 23 日到 2022 年 4 月 8 日,發(fā)現(xiàn)了針對數(shù)十個烏克蘭組織的數(shù)百個系統(tǒng)的四十余次破壞性攻擊。俄烏沖突前有攻擊者就入侵了商業(yè)衛(wèi)星通信公司 Viasat,導(dǎo)致沖突期間的衛(wèi)星互聯(lián)網(wǎng)受到巨大影響。 2020 年的供應(yīng)鏈攻擊還不足 1 %,自從 2020 年 12 月 SolarWinds 供應(yīng)鏈攻擊被曝光后,國家資助的攻擊者意識到供應(yīng)鏈攻擊的巨大潛力,2021年占比已經(jīng)躍升至17%。云服務(wù)提供商(CSP)、托管服務(wù)提供商(MSP)與 IT 服務(wù)提供商都是此類攻擊的重災(zāi)區(qū),報(bào)告認(rèn)為未來國家資助的攻擊者將會繼續(xù)瞄準(zhǔn)供應(yīng)鏈進(jìn)行攻擊。 值得注意的是,2022 年 2 月 26 日烏克蘭副總理宣布成立烏克蘭網(wǎng)絡(luò)部隊(duì),在公告中呼吁志愿者通過 Telegram 頻道協(xié)調(diào)進(jìn)行統(tǒng)一的網(wǎng)絡(luò)攻擊。最初烏克蘭并沒有網(wǎng)絡(luò)部隊(duì)指揮中心,參考愛沙尼亞網(wǎng)絡(luò)防御聯(lián)盟的模式建立了一個組織架構(gòu),其中包含烏克蘭與國際上其他國家的平民、私營公司、烏克蘭軍事人員等,但很難對其進(jìn)行歸類。這可能會是未來網(wǎng)絡(luò)空間中沖突發(fā)生時,非國家力量參與其中的樣板。 黑產(chǎn)犯罪攻擊者黑產(chǎn)犯罪攻擊者對供應(yīng)鏈攻擊也十分青睞,尤其是與勒索軟件的聯(lián)動日益緊密,以此來快速擴(kuò)大攻擊規(guī)模。未來,此類攻擊者一定會對供應(yīng)鏈更加關(guān)注,建議組織將供應(yīng)鏈攻擊納入威脅建模的過程。 隨著云的采用越來越普及,攻擊者也緊隨其后瞄準(zhǔn)云環(huán)境進(jìn)行攻擊。云上主要有以下方式:
未來黑產(chǎn)犯罪攻擊者肯定會持續(xù)濫用、破壞云環(huán)境,會有更多的惡意軟件從通用的 Linux 系統(tǒng)擴(kuò)展到容器平臺上。 在黑產(chǎn)犯罪攻擊者中,大放異彩的當(dāng)屬勒索軟件攻擊者。一些國家的政府開始將勒索軟件列為國家安全威脅,例如美國政府協(xié)調(diào)國際社會應(yīng)對勒索軟件攻擊、美國政府頒布的《贖金披露法》規(guī)定受害者有義務(wù)在支付贖金 48 小時內(nèi)通知美國政府、荷蘭政府將借助情報(bào)部隊(duì)與武裝部隊(duì)的力量來對應(yīng)勒索軟件攻擊。某些勒索軟件團(tuán)伙可能會宣布退休,其原因有很多:
值得注意的是,勒索軟件攻擊者開始意識到僅僅進(jìn)行數(shù)據(jù)盜竊而不需要數(shù)據(jù)加密也可以進(jìn)行敲詐勒索。這樣可以使得攻擊更快速、規(guī)模更大,攻擊者也會嘗試招募“內(nèi)鬼”。 網(wǎng)絡(luò)犯罪生態(tài)正在蓬勃發(fā)展,相互協(xié)作與犯罪專業(yè)化水平得以提高。不同的犯罪分子在攻擊的不同階段提供了各種服務(wù),使得攻擊的門檻一降再降。這是一方面,另一方面也催生了提供定制與高級犯罪工具的外包服務(wù)。 受雇傭的攻擊者受雇傭的攻擊者是指提供“訪問即服務(wù)”(AaaS)的攻擊者,其客戶通常是政府。一攬子服務(wù)包括:漏洞研究與利用、惡意軟件開發(fā)、C&C 運(yùn)營與相關(guān)培訓(xùn)等。此類公司非常多,可以參見 https://xorl.wordpress.com/offensive-security-private-companies-inventory/。典型事件為:
影子經(jīng)紀(jì)人在 2016 年竊取了 NSA 的攻擊工具,引發(fā)了全球的攻擊風(fēng)波。2022 年 5 月 23 日,國際刑警組織秘書長表示對國家開發(fā)的網(wǎng)絡(luò)武器泄露在暗網(wǎng)或者公開渠道存在擔(dān)心。 報(bào)告認(rèn)為,攻擊者很可能會持續(xù)購買“訪問即服務(wù)”(AaaS),這會使威脅形勢更加復(fù)雜。 其中最為出名的是總部位于以色列的 NSO 公司開發(fā)的 Pegasus 惡意軟件,全球三萬余個記者、律師、甚至是國家領(lǐng)導(dǎo)人都成為攻擊目標(biāo)。隨后,美國宣布對其進(jìn)行出口管制、歐盟開始調(diào)查此類侵權(quán)行為。 黑客主義攻擊者俄烏沖突成了黑客主義攻擊者的表演舞臺,大約 70 個黑客激進(jìn)主義團(tuán)伙參與其中。在俄烏沖突結(jié)束后,黑客主義活動是否會恢復(fù)到此前的較低水平則不得而知。
勒索軟件趨勢勒索軟件的威脅仍然在增長,勒索軟件相關(guān)事件有增無減。
ENISA 曾在 2022 年 7 月針對 623 起攻擊事件進(jìn)行分析,相關(guān)報(bào)告可見 https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-ransomware-attacks。 事件的數(shù)量與被盜數(shù)據(jù)量也不是成正比的:
LockBit、Conti 與 BlackCat 是年初最活躍的勒索軟件團(tuán)伙,其受害者占到一半以上。在 2022 年 5 月,Conti 宣布“退休”后,相關(guān)人員就分散到其他團(tuán)伙中,例如 Hive、AvosLocker 與 ALPHV。犯罪人員的交叉導(dǎo)致勒索軟件的源碼經(jīng)常被重用,使得分析這些勒索軟件之間的關(guān)聯(lián)性極具挑戰(zhàn)。 網(wǎng)絡(luò)釣魚仍然是最常用的攻擊媒介,而 RDP 爆破作為第二大媒介仍然在持續(xù)下降。其他攻擊方式在逐漸增加,例如其他社會工程學(xué)攻擊或者直接招募組織內(nèi)部的“內(nèi)鬼”。 Conti 勒索軟件團(tuán)伙在“退休”前,其內(nèi)部聊天記錄被泄露。對勒索軟件團(tuán)伙的組織架構(gòu)、運(yùn)作方式提供了說明,甚至披露了成員享受帶薪休假等福利制度。 勒索軟件已經(jīng)進(jìn)一步將漏洞的平均利用時間縮短至廠商披露的八天內(nèi),這進(jìn)一步凸顯了補(bǔ)丁管理與以威脅為導(dǎo)向的漏洞風(fēng)險(xiǎn)管理方法的重要性。 執(zhí)法機(jī)構(gòu)對勒索軟件的制裁越來越密集。如 2021 年因 NetWalker 勒索軟件被逮捕的加拿大國民,于 2022 年 2 月被判處 7 年監(jiān)禁。不過執(zhí)法部門的行動未必會對勒索軟件產(chǎn)生根本性影響。如 2022 年 1 月,俄羅斯聯(lián)邦安全局逮捕了 REvil 團(tuán)伙的八名成員。但在 2022 年 3 月與 4 月的樣本中,REvil 的源碼仍然在開發(fā)演進(jìn)。 美國北卡羅萊納州與佛羅里達(dá)州宣布禁止公共實(shí)體或機(jī)構(gòu)支付贖金,《網(wǎng)絡(luò)事件報(bào)告法》中也規(guī)定在遭到網(wǎng)絡(luò)攻擊 72 小時內(nèi)以及支付贖金 24 小時內(nèi)需要進(jìn)行報(bào)告。 惡意軟件趨勢惡意軟件是一個永恒的命題,并且經(jīng)久不衰。
2021 年最常見的惡意軟件類別是遠(yuǎn)控木馬、銀行木馬、信息竊密程序與勒索軟件,最常見的惡意軟件家族為Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBot 和 GootLoader336。其中很多家族已經(jīng)保持了超過五年的活躍,像 Emotet 的強(qiáng)勢崛起也表明攻擊者會持續(xù)更新惡意軟件。 針對物聯(lián)網(wǎng)的惡意軟件幾乎翻了一番,在 2022 年前六個月的累計(jì)攻擊量已經(jīng)超過過去四年的總和。 在 NPM、PyPi、RubyGems 中進(jìn)行供應(yīng)鏈攻擊越來越常見,不斷會有此類事件被發(fā)現(xiàn)。 微軟在 2022 年 7 月宣布 Office 將默認(rèn)阻止來自互聯(lián)網(wǎng)的文件中的宏代碼,攻擊者也從宏代碼開始轉(zhuǎn)移。2021 年 10 月到 2022 年 6 月,使用容器文件(ISO、ZIP、RAR)與 Windows 快捷方式(LNK)文件來傳播惡意軟件的情況越來越多。使用 VBA 宏的惡意軟件活動已經(jīng)從 70% 極具下降到 20%,而使用 LNK 的活動從 5% 增長到 70%。 移動惡意軟件影響范圍越來越大,盡管 Google 在發(fā)現(xiàn)后都會迅速刪除惡意應(yīng)用程序,但往往這些惡意軟件已經(jīng)潛伏了很長時間。移動端針對性的惡意軟件也愈發(fā)增多,例如 NSO 的 Pegasus、Cytrox350 的 Predator 等。 社會工程學(xué)攻擊趨勢Verizon 的數(shù)據(jù)泄露調(diào)查報(bào)告顯示,大約 82% 的數(shù)據(jù)泄露涉及人相關(guān)的因素。攻擊者也利用社會工程學(xué)進(jìn)行大量攻擊,包括釣魚郵件、商業(yè)電子郵件泄露(BEC)等。
Europol 與 FBI 均認(rèn)為網(wǎng)絡(luò)釣魚與社會工程學(xué)攻擊仍然是支付欺詐的主要載體。Ponemon Institute 認(rèn)為 2021 年相比 2015 年,網(wǎng)絡(luò)釣魚帶來的損失增加了兩倍多。而 Mandiant 的調(diào)查中,網(wǎng)絡(luò)釣魚入侵的比例從 2020 年的 23% 下降到 2021 年的 11%。 網(wǎng)絡(luò)犯罪分子越來越多地轉(zhuǎn)向使用網(wǎng)絡(luò)釣魚工具包、網(wǎng)絡(luò)釣魚即服務(wù),這樣來減輕基礎(chǔ)工作量。IBM 的威脅情報(bào)分析報(bào)告指出,網(wǎng)絡(luò)釣魚工具包的存活時間較短,約三分之一的使用時間都不超過一天。微軟在分析報(bào)告中表示,犯罪分子也面臨“黑吃黑”的情況,有些網(wǎng)絡(luò)釣魚工具包會將憑據(jù)偷偷發(fā)給開發(fā)者或者中間商,這些犯罪分子吃了不能獨(dú)立開發(fā)的虧。整體來說,近年來網(wǎng)絡(luò)釣魚即服務(wù)越來越專業(yè)化,而且技術(shù)水平越來越高。攻擊者入侵后將訪問權(quán)限移交給其他攻擊者,本身只提供初始訪問代理(IAB) 根據(jù) FBI 的犯罪報(bào)告,商業(yè)電子郵件泄露(BEC)是經(jīng)濟(jì)影響最大的網(wǎng)絡(luò)犯罪之一。該攻擊方式并不需要完整解決多階段攻擊中的各種問題,而只需要催促執(zhí)行金融交易即可(或者其他變種)。盡管 BEC 被認(rèn)為是網(wǎng)絡(luò)釣魚的一種,但并不像其他攻擊那樣依賴惡意軟件或者惡意鏈接。根據(jù) Verizon 的數(shù)據(jù)泄露調(diào)查報(bào)告,BEC 攻擊的中位數(shù)進(jìn)一步擴(kuò)大。 2022 年 1 月,F(xiàn)BI 警告犯罪分子使用二維碼將受害者重定向到釣魚網(wǎng)站。這種攻擊需要被格外注意,因?yàn)檫@種攻擊不僅會發(fā)生在網(wǎng)絡(luò)空間,還可能發(fā)生在實(shí)際的物理環(huán)境中。 數(shù)據(jù)安全趨勢數(shù)據(jù)已經(jīng)成為網(wǎng)絡(luò)犯罪分子的主要攻擊目標(biāo),數(shù)據(jù)安全的范圍很廣,此處不對具體定義進(jìn)行探討。2021 年 ENISA 供應(yīng)鏈攻擊威脅態(tài)勢報(bào)告中提到,58% 的攻擊事件中攻擊者目標(biāo)為客戶數(shù)據(jù),包括個人身份信息(PII)與知識產(chǎn)權(quán)等。 根據(jù) Verizon 的數(shù)據(jù)泄露調(diào)查報(bào)告:
ITRC 總裁 Eva Velasquez 表示,自從 2003 年第一部數(shù)據(jù)泄露告知法案通過以來,2021 年發(fā)生的數(shù)據(jù)泄露事件比過往的任意一年都多。但只有不到 5% 的事件會在確認(rèn)數(shù)據(jù)泄露后,能夠采取有效的保護(hù)措施。 攻擊者竊取數(shù)據(jù)后就可以盜用身份,根據(jù)美國聯(lián)邦貿(mào)易委員會(FTC)的數(shù)據(jù),2021 年確認(rèn)了 140 萬次身份盜用。據(jù) FiVerity 估計(jì),損失將會增加到 200 億美元。 歐盟的 H2020 CONCORDIA 項(xiàng)目將數(shù)據(jù)投毒確定為數(shù)據(jù)安全領(lǐng)域中的主要威脅之一。勒索軟件與深度偽造都針對數(shù)據(jù)的完整性與可用性提出了挑戰(zhàn),為完全基于未經(jīng)驗(yàn)證的數(shù)據(jù)的決策帶來巨大風(fēng)險(xiǎn)。已經(jīng)發(fā)生過的案例是,一通深度偽造語音通話欺詐受害者進(jìn)行了 3500 萬美元的銀行轉(zhuǎn)賬。 實(shí)際上,目前有很多找不到原因的數(shù)據(jù)泄露。歐盟范圍內(nèi)“原因未知”的比例已經(jīng)在 2022 年第一季度攀升至攻擊媒介的首位,而在美國自 2020 年以來增加了 190%。 IBM 的報(bào)告認(rèn)為 2021 年數(shù)據(jù)泄露導(dǎo)致的損失達(dá)到 424 萬美元。根據(jù) Tenable Research 的數(shù)據(jù)顯示,數(shù)據(jù)泄露事件急劇增加。相比 2020 年增加了 2.5 倍以上,相比 2021 年增加了 78%。被盜數(shù)據(jù)超過 18 億個,總量超過 260TB。 拒絕服務(wù)攻擊趨勢2022 年 7 月,在 Akamai 平臺上發(fā)現(xiàn)了針對歐洲客戶發(fā)起有史以來最大規(guī)模的 DDoS 攻擊,峰值流量達(dá)到 853.7 Gbps。
報(bào)告認(rèn)為,俄烏沖突前所未有地影響了 DDoS 攻擊的形態(tài),使網(wǎng)絡(luò)空間成為繼海陸空與太空之外的第五維戰(zhàn)場。烏克蘭稱自己成為大規(guī)模 DDoS 攻擊的目標(biāo),俄羅斯數(shù)字發(fā)展與通信部也宣布該國經(jīng)受的 DDoS 攻擊量是“前所未有”的。 DDoS 攻擊規(guī)模越來越大且越來越復(fù)雜。根據(jù) F5Lab 的數(shù)據(jù),2021 年多了許多 Tbps 級的 DDoS 攻擊。Neustar 也支持這個說法,表示2021 年是 DDoS 攻擊規(guī)模最大、強(qiáng)度最高、攻擊時間最長的一年。利用多種攻擊方式組合發(fā)起攻擊也越來越普遍。Cloudfare 發(fā)現(xiàn) Meris 僵尸網(wǎng)絡(luò)針對某金融行業(yè)組織利用 DNS 反射放大攻擊+ UDP 洪水攻擊,在一分鐘內(nèi)打出了接近 2Tbps 的峰值流量。 與疫情相關(guān)的網(wǎng)站仍然是 DDoS 攻擊的主要目標(biāo)。8 月,菲律賓疫苗接種登記網(wǎng)站受到 DDoS 攻擊。9 月,荷蘭分發(fā)場所碼網(wǎng)站 CoronaCheck 受到 DDoS 攻擊。 勒索拒絕服務(wù)(RDoS)是涌現(xiàn)出來的新技術(shù),這種攻擊方式跳出了傳統(tǒng)的“雙重勒索”模式。迫使受害者交付贖金,從一次性贖金也進(jìn)化到每天 1 比特幣的持續(xù)贖金。在“三重勒索”模式中,攻擊者威脅對組織進(jìn)行 DDoS 攻擊。在”四重勒索”模式中,DDoS 攻擊范圍擴(kuò)大到了合作伙伴與客戶。根據(jù) Cloudfare 的數(shù)據(jù),2021 年第四季度勒索拒絕服務(wù)攻擊同比增長 29%、環(huán)比增長 175%。 隨著攻擊越來越復(fù)雜,基于 TCP 的攻擊幾乎翻了一番已經(jīng)占到 27%。2022 年初,Akamai 表示檢測到基于 TCP 的反射放大攻擊,峰值為 11Gbps。 F5Lab 表示受攻擊最多的行業(yè)是銀行、金融服務(wù)與保險(xiǎn),吸引了超過 25% 的攻擊。其次是電信、教育與IT行業(yè)。Cloudfare 的數(shù)據(jù)顯示,2021 年第三季度應(yīng)用層攻擊的首要目標(biāo)是IT與游戲行業(yè)。 互聯(lián)網(wǎng)威脅趨勢在俄烏沖突地區(qū),俄羅斯要求當(dāng)?shù)鼗ヂ?lián)網(wǎng)運(yùn)營商接入俄羅斯的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,重定向所有的固網(wǎng)與移動互聯(lián)網(wǎng)的流量。烏克蘭政府稱,截至 2022 年 6 月全境大約 15% 的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施被摧毀。 2022 年 2 月以來,俄羅斯屏蔽了超過三千個與俄烏沖突有關(guān)的網(wǎng)站,如 Instagram、Facebook、Twitter 等社交媒體也都被屏蔽。與之對應(yīng)的,歐洲也暫停了俄羅斯媒體 Sputnik與 RT 在歐洲的廣播活動,某些歐洲國家也阻止了對俄羅斯媒體的訪問。 對俄羅斯金融機(jī)構(gòu)的制裁,使得俄羅斯用戶無法更新 TLS 證書。俄羅斯政府提供了免費(fèi)證書,但由于對流量攔截和中間人的擔(dān)憂,只有 Yandex 與 Atom 瀏覽器信任該證書。 2021 年 BGPStream 發(fā)現(xiàn)了 775 次可能是 BGP 劫持的攻擊事件。攻擊者在 2021 年 2 月針對韓國加密貨幣交易所 KLAYswap 的基礎(chǔ)設(shè)施服務(wù)提供商 Kakao Talk 發(fā)起了 BGP 劫持,在兩個小時的劫持期間植入了 JavaScript 文件竊取了 200 萬美元。2022 年 7 月,蘋果發(fā)現(xiàn)被俄羅斯運(yùn)營商 Rostelecom 劫持了十二個小時。 保護(hù)免受 BGP 劫持攻擊的資源公鑰基礎(chǔ)設(shè)施(RPKI),采用率提升到 34.7%。盡管在不斷增加,但全面采用的時刻仍然遙遠(yuǎn)。 虛假信息趨勢根據(jù) GlobalData 在 2022 年的分析,Twitter 上 10% 的活躍賬戶都在發(fā)布垃圾內(nèi)容,而 Twitter 聲稱低于 5%。 微軟表示超過 96% 的 deepfake 視頻都涉及色情內(nèi)容。 供應(yīng)鏈攻擊趨勢Mandiant 表示供應(yīng)鏈攻擊是 2021 年第二大攻擊媒介,占到 17%。為此,歐盟發(fā)布了 NIS2 法令,旨在解決供應(yīng)鏈安全問題。美國政府也發(fā)布了行政命令,改善美國的網(wǎng)絡(luò)安全。根據(jù) PWC 的調(diào)查,只有 40% 的受訪者了解第三方網(wǎng)絡(luò)和隱私風(fēng)險(xiǎn)。 利用漏洞的攻擊在增加,針對安全研究人員的攻擊也頻頻被發(fā)現(xiàn)。 各種攻擊者都盯上了供應(yīng)鏈,例如 LockBit 竊取了為荷蘭國防部等政府部門提供通信技術(shù)的 Abiom 公司的 70 萬份文件。 漏洞趨勢報(bào)告期內(nèi)確認(rèn)了 21920 個漏洞,其中 134 個漏洞在 CISA 已知在野利用漏洞清單(KEV),如下所示。
|