孫舒揚

2019年1月，歐盟網絡與信息安全局（ENISA）發(fā)布第七份年度《網絡威脅形勢分析報告》，分析了2018年網絡威脅情報現狀，對15項主要網絡威脅進行了年度評估，總結了相關威脅代理和攻擊向量的發(fā)展趨勢，并提出了政策、企業(yè)和研究方面的建議。報告認為威脅代理動機和策略的調整使2018年網絡威脅形式發(fā)生了重大的變化。報告建議歐盟各成員國應消除收集網絡威脅情報方面的監(jiān)管障礙，并協調行動，共享情報，同時需開發(fā)相關能力，以降低對歐盟以外資源的依賴，提高網絡威脅情報質量。賽迪智庫網絡安全研究所對該報告進行了編譯，期望對我國網絡安全產業(yè)有所幫助。

網絡威脅情報現狀

2018年，網絡威脅情報相關最佳實踐、工具、培訓課程和標準不斷改善，這些進展源于對情境化、可執(zhí)行威脅信息需求的日益增長。與2017年相同，大型機構依舊是網絡威脅情報的主要客戶群。值得一提的是，網絡威脅情報與安全運營中心、威脅搜尋、安全信息與事件管理等網絡安全領域共同成熟起來了。

網絡威脅情報的積極進展：1.很好地收集公開網絡威脅情報信息，已有信息收集引擎和工具，包括根據威脅/攻擊類型的綜合收集。2.良好的信息共享，尤其是低機密性威脅事件，已有臨時或正式的網絡威脅情報信息共享網絡。松散耦合的個人和用戶群利用網絡威脅情報信息建立了常見威脅資源庫。3.網絡威脅情報大多數方面都有充分培訓機會，專業(yè)和非營利組織都可提供網絡威脅情報全面培訓。4.內容全面的網絡威脅情報實踐，各國學術和私營機構已公布了成熟的網絡威脅最佳實踐。5.收集和關聯層面良好的工具支持，尤其是操作性網絡威脅情報，已有大量可提高網絡威脅情報信息關聯度、促進減輕威脅糾正措施識別的工具（商業(yè)來源和開放來源）。

雖然網絡威脅情報取得了上述進展，但專家認為網絡威脅情報在以下方面仍有待完善：1.較高機密性事件網絡威脅情報信息的共享，有專家認為，網絡威脅情報需滲透到網絡安全的重要領域，尤其是應對緊急情況時網絡威脅情報的使用問題尚未充分解決。2.網絡威脅情報信息收集行為的法律要求，需進一步分析網絡威脅情報收集的法律框架。多數國家/行業(yè)仍將收集情報視為犯罪行為，限制了相應活動。3.更好/準確地識別操作環(huán)境，網絡威脅情報不僅應遵循技術趨勢，還需盡早與業(yè)務對接。4.網絡安全領域周期不同步，由于網絡威脅情報及相關領域（事件管理、事件響應、威脅搜尋和漏洞管理）存在一定的靈活性，難以與企業(yè)風險管理周期適當對接。必須將這些周期相互連接起來，以免失去協同優(yōu)勢。5.需確定網絡威脅情報相關方，并整合到網絡威脅情報周期中，這是網絡威脅情報專業(yè)人員主要關注點之一，需要在需求分析階段改善與相關方的互動。6.戰(zhàn)略性網絡威脅情報需更好地在戰(zhàn)略層面?zhèn)鬟_給企業(yè)。為此，應使用標準化術語，并與管理層進行適當溝通。7.網絡威脅情報需更好地對接主題，如果網絡威脅情報能夠對準機構的特定主題、業(yè)務或IT組件會更有意義。8.需加強網絡威脅情報報告的展示、利用和分析技術，目前，在對網絡威脅情報團隊以外受眾方面并未投入太多精力。應針對受眾制定網絡威脅情報信息樣式指南，主要內容包括可視化、分析技術和結論在先模式。9.需開發(fā)網絡威脅情報技能文件和職責，并使其適應所采用的網絡威脅情報（成熟度）模型，事實上，這是網絡威脅情報存在的技能短缺問題。盡管該建議有望擴大網絡威脅情報技能的覆蓋面，但現有的網絡威脅情報技能文件描述并未考慮到各級網絡威脅情報成熟度水平的要求。10.情報與網絡威脅情報之間的對接，迄今為止，大多數網絡威脅情報最佳實踐都是基于信息收集與分析技術。而2018年網絡威脅情報和傳統情報之間的相關性成為重中之重。專家認為，將這兩個學科聯系起來將使網絡威脅情報更貼近于眾多非技術相關方，同時也將提高評估質量。11.將網絡威脅情報視為一項功能，網絡威脅情報需脫離純技術領域，成為植根于經濟、地理、監(jiān)管、經濟和戰(zhàn)略領域的獨立功能。

在總結了網絡威脅情報的現狀之后，本報告認為，歐洲各企業(yè)、成員國和機構需建立以下網絡威脅情報工具：1.歐洲原始數據存儲庫，將網絡威脅情報建立在從運營系統收集的大量信息之上。歐洲需發(fā)展此類信息收集能力，在這一關鍵領域擁有自主權。2.利用歐盟網絡威脅情報能力（規(guī)劃、收集、整理、分析、評估、傳播），歐洲需開發(fā)其網絡威脅情報能力，建立獨立的網絡威脅情報知識庫，并將網絡威脅情報能力作為一項功能納入到需要網絡威脅情報處理緊急事件的歐洲倡議中。3.網絡威脅情報成熟度模型，需與國內外合作伙伴共同開發(fā)網絡威脅情報成熟度模型。4.根據成熟度開發(fā)網絡威脅情報技能文件/職責，需定義各種網絡威脅情報職責與文件，并使其適應成熟度模型。歐洲在該領域展開的活動將成為相關教育活動的基礎。反過來，這也將加強歐洲網絡威脅情報行業(yè)的就業(yè)市場，強化歐洲網絡威脅情報資源的獨立性。5.網絡威脅情報能力，針對中小型企業(yè)的網絡威脅情報即服務（CaaS），中小企業(yè)是實施IT系統的主體，也是網絡威脅情報知識的重要受體。然而，由于缺乏相關技能，這類機構幾乎無網絡威脅情報消費，需開發(fā)并實施使用工具和自動化技術的新型網絡威脅情報模型。6.提升網絡威脅情報文化，網絡威脅情報從業(yè)者需組織為一個共同體，以便基于最佳實踐、知識和經驗共享提升網絡威脅情報文化。

2018年主要網絡威脅及趨勢

（一）惡意軟件。2018年，惡意軟件仍是最常見的網絡威脅，占所報告全部數據泄露事件的30%。雖然并未爆發(fā)類似WannaCry和Petya的全球性惡意軟件事件，2018年惡意軟件攻擊形勢也有所變化，值得注意的趨勢包括：網絡威脅正從勒索軟件向非法加密挖礦轉移;針對物聯網設備的惡意軟件攻擊逐漸增多;網絡罪犯和網絡間諜之間的界限更加模糊;非文件式攻擊技術的攻擊效能提高，成為普遍現象;攻擊軟件套件減少使惡意軟件更難傳播;開源惡意軟件應用持續(xù)增多;移動威脅不斷增加;金融木馬攻擊逐年下降。

（二）網頁攻擊。網頁攻擊是針對網站系統和服務的攻擊，由于傳播面較廣，多個高級持續(xù)性威脅小組持續(xù)利用這一技術發(fā)起攻擊，使其依舊是最重要的威脅之一。在端到端攻擊路徑中，惡意軟件和攻擊技術越來越依賴將網站系統和服務用作傳輸機制，因此這一威脅預計將進一步加劇。

（三）網絡應用程序攻擊。網絡應用程序攻擊是指企圖直接或間接利用網絡服務和應用程序中的漏洞濫用其應用程序接口、運行時環(huán)境或服務，這類攻擊通常與網頁攻擊相重疊。由于企業(yè)越來越依賴網絡服務，網絡應用程序日益成為攻擊者的重點目標。2018年這類攻擊略有減少，但攻擊者的攻擊能力也變得更加高效且自動化。另一方面，由于網絡應用程序攻擊在互聯網攻擊中占比較大，各企業(yè)和機構也加大了對網絡應用程序檢測、保護和防御系統的投資。

（四）網絡釣魚。網絡釣魚是一種信息制作機制，即利用社交工程技術來誘騙接收者“上鉤”。具體來說，網絡釣魚者試圖引誘信息接收者打開惡意附件，點擊不安全鏈接。目前，網絡釣魚仍是攻擊機構的首選方式，利用率非常之高，據調查，90%以上的惡意軟件感染和 72%的數據泄露都源于網絡釣魚攻擊。

（五）拒絕服務。（分布式）拒絕服務是網絡環(huán)境中極具影響力的威脅之一，幾乎可以針對任何企業(yè)或機構。雖然清除“webstressor.org”服務執(zhí)法活動在打擊此類惡意活動方面發(fā)揮了關鍵作用，但諸如此類雇傭服務的分布式拒絕服務攻擊仍屢見不鮮。另一方面，全球聯網服務數量不斷增加，設備運行與服務提供對物聯網的依賴性越來越高，引發(fā)對拒絕服務攻擊等威脅的擔憂，這些威脅可能導致醫(yī)療等相關服務業(yè)務和關鍵系統的全國性癱瘓。世界各地的報告和研究表明，分布式拒絕服務活動的數量正在不斷增加（增加了16%），且可能有大量大型攻擊尚未發(fā)現。

（六）垃圾郵件。垃圾郵件是指濫用電子郵件和消息傳遞技術，自發(fā)向用戶發(fā)送大量郵件。由于發(fā)送成本非常低，而對垃圾郵件收件人和服務供應商會產生很高的時間和經濟成本，因此其仍是流行的主要攻擊途徑之一。但是，近年來清除僵尸網絡的聯合執(zhí)法活動的展開以及反垃圾郵件技術的進步都使得垃圾郵件有所減少。

（七）僵尸網絡。2018年，僵尸網絡參與多種惡意活動，十分活躍。阿卡邁公司報告指出，每個僵尸網絡每小時可創(chuàng)建30萬次惡意登錄嘗試，美國、俄羅斯和越南的此類攻擊最多。2018年還有一個有趣的趨勢，即更新與補丁增強了VpnFilter、HideN Seek等僵尸網絡的功能。

（八）數據泄露。數據泄露是對數據外泄或暴露事件的統稱，與其他網絡威脅結果直接相關。根據歐洲刑警組織報告，數據泄露事件中 73%為外部個人惡意行為體所為，50%為有組織的犯罪集團所為，此外，約12%是國家支持的行為體所為。在地域方面，北美是最受歡迎的攻擊對象，其數據泄露事件占比57%，被泄露記錄占比72%。歐洲的數據泄露事件減少了36%，但泄露記錄卻增加了28%。

（九）內部威脅。每家企業(yè)或機構都可能存在內部威脅。常見的內部威脅類型有三種：惡意的內部員工——故意濫用訪問權限;粗心大意的內部員工——草率或未按政策和安全指令濫用訪問權限;被連累的內部員工——無意中成為真正的攻擊者的攻擊途徑。2018年內部威脅趨勢有所下降，主要是因為機構內部并不經常公開披露威脅事件。根據卡巴斯基公司的調查，約53%的企業(yè)至少發(fā)生過一起內部威脅事件，約20%的企業(yè)發(fā)生過6起以上的內部威脅事件。

（十）物理操作/破壞/盜竊/損失。雖然物理攻擊不是通常意義上的網絡威脅，但在當今的企業(yè)中仍然存在。在《通用數據保護條例》時代，企業(yè)越來越關注設備內部的數據，尤其是個人識別信息數據和知識產權。雖然加密存儲足以緩解物理攻擊的主要風險，但企業(yè)中一致性企業(yè)級加密策略普及度停滯不前。對設備的物理訪問也使攻擊者有機會實施惡意行動，如自助取款機欺詐、刷卡機攻擊等。據調查，金融行業(yè)25%的數據泄露事件是由設備丟失或被盜引起。

（十一）信息泄露。信息泄露是主要網絡威脅之一，受損失的信息涵蓋通過互聯網企業(yè)和在線服務收集的個人數據到存儲在IT基礎設施中的業(yè)務數據。信息泄露通常是個人行為或機構內的流程故障所致，有時技術失誤或配置錯誤也可能導致信息泄露。近期報告表明，無意泄露是2018年信息泄露的主要原因。在數據泄露所涉及的人員中，內部人員占29%，其中26%是系統管理員，22%是終端用戶，12%是醫(yī)生或護士，22%是其他人。

（十二）身份盜用。身份盜用是指竊取個人的身份信息，此類欺詐威脅因公民個人數據的大規(guī)模數字化而得以加劇。由于攻擊者往往需要多項個人信息才能準確“創(chuàng)建”某一特定人物的完整檔案，因此身份盜用會涉及各種類型的數據。如果這些信息不足以拼湊成完整檔案，攻擊者之間還會通過暗網交換數據。身份盜用威脅與各行業(yè)領域的企業(yè)或機構中的數據泄露密切相關。2018年，泄露記錄的平均數量增加了 2.2%，由此可以斷定，在報告期內，身份盜用趨勢也在增加。

（十三）非法加密挖礦。2018年可以稱為是非法加密挖礦之年。非法加密挖礦（也稱加密貨幣挖礦）是一個新術語，指的是可在未經受害者同意的情況下，利用受害者的設備處理能力挖掘加密貨幣的程序。網絡罪犯利用受害者的處理能力（通常為70%至 80%未使用的處理能力）挖掘加密貨幣，在合法交換和交易后完成貨幣化，賺取現實世界的金錢。2018年第一季度，非法加密挖礦惡意軟件增長了629%。加密貨幣挖礦在不斷增長。此外，由于越來越多的員工使用其所在機構的（超級）計算機牟取利潤，因此可以預測，“內部礦工”即將崛起。

（十四）勒索軟件。出于盈利目的，攻擊者每年都會對各種各樣的機構發(fā)起勒索軟件攻擊。勒索軟件攻擊者獲得文件和/或各種設備的所有權，并阻止真正的所有者訪問。為了返還所有權，攻擊者會要求在加密貨幣中支付贖金。根據多個安全研究小組調查，2018年勒索軟件事件總量有所減少，但其中對加密貨幣挖礦的攻擊卻有所增加。

在對加密貨幣挖礦的攻擊中，攻擊者更注重掌控機器的計算能力，并不斷鑊取財富，而不是一次性支付贖金。即使勒索軟件狀況不斷變化，但仍有許多行業(yè)遭受此類攻擊。例如，2018年，在針對醫(yī)療設備的惡意軟件中，85%以上是勒索軟件。此外，在所有領域的30362起安全漏洞事件中，有973起（3.2%）是勒索軟件所致，勒索軟件威脅仍不容忽視。

（十五）網絡間諜。全球安全研究機構的各種報告顯示，網絡間諜活動越來越普遍。此類威脅通常針對的是全球工業(yè)領域的關鍵性和戰(zhàn)略性基礎設施，包括政府、鐵路、電信供應商、能源企業(yè)、醫(yī)院和銀行。網絡間諜專注于竊取國家和商業(yè)機密以及戰(zhàn)略領域的知識產權和專有信息，還可鼓動經濟、工業(yè)、外國情報機構中的行為體及其代表行為體。據Hackmageddon 調查顯示，2018年網絡間諜在網絡攻擊動機的占比略有下降，約下降了2%。

威脅代理及趨勢

任何導致、攜帶、傳播或支持威脅的人或物都可以被認為是威脅代理（Threat Agents）。2018年底，對威脅代理的認定出現重大飛躍，主要是因為各國打擊恐怖主義投入持續(xù)增加以及越來越多地將網絡戰(zhàn)和網絡間諜活動用于政治和外交方面。

威脅代理的識別目前已成為網絡威脅緩解的核心要素，從防御者的角度看，威脅代理的趨勢/進步中值得注意的是：1.動機可視化、方法識別等方法有助于識別威脅代理種類與來源。2.防御者在向威脅代理關鍵基礎設施滲透方面做了很多努力，通過結合網絡威脅情報和情報技能，已經取得了一些令人印象深刻的成就。3.威脅情報專家強調基于殺傷鏈的防御策略將防御置于后期階段（即指揮和控制，對目標的行動），早期階段的防御策略往往被忽視，防御效率低。

從威脅代理的角度看：1.傳統的國家贊助威脅代理人正隨著不斷變化的地緣政治空間重新自我定位， 雖然監(jiān)測到某些群體的活動似乎有所減少，但有可能是因為戰(zhàn)術和目標發(fā)生了變化。2.攻擊策略轉變。一些威脅代理能力增強，對行業(yè)開展針對性攻擊時多采用與時間相關的攻擊策略，通過改進的社會工程策略進行選擇性網絡釣魚，通過遠程訪問工具接口安裝有效負載等。3.發(fā)現的漏洞數量增加。2018年總體漏洞數達到最高，軟件供應商的漏洞修補工作也有所增加。4.威脅代理引入了避免攻擊歸因和檢測的新方法。無文件和內存駐留威脅以及常見攻擊工具的使用既能有效達成目的，同時有效地隱藏了特征。這是一種普遍趨勢，一方面表現為攻擊模式多樣化，另一方面表現為監(jiān)測到已知威脅代理人活動的減少。5.威脅行為者正在利用供應鏈實現其目標。供應鏈攻擊主要是由高能力代理發(fā)起的，應被視為“關鍵威脅”。

結論

ENISA2018年網絡威脅形勢報告的結論分為三類，即政策類、企業(yè)類和研究/教育類。

（一）政策方面。各國政府、歐盟成員國及歐盟機構需促進對網絡威脅情報人員的培訓。由于該技能的市場需求不斷增加，行業(yè)部門提供的待遇較為豐厚，政府部門需創(chuàng)造能夠吸引人才、挽留人才的就業(yè)條件。

歐盟和歐盟成員國需投資建設網絡威脅情報能力，開發(fā)技能和基礎設施（技術、人力）。此類活動將有助于改善歐洲的網絡威脅情報能力，并增強其獨立性，提高網絡威脅情報知識質量水平，并使其成為成功管理歐洲內部關鍵活動（尤其是針對關鍵基礎設施的活動）的有效資源。

網絡威脅情報知識的質量在很大程度上取決于所獲取的信息。歐洲和世界范圍內仍存在一些阻礙獲取信息的障礙，如監(jiān)管框架各不相同、無法獲得可靠的事件信息、缺乏信息共享等。應制定能夠消除法律和監(jiān)管障礙的政策，以更好地獲取信息，從而獲得網絡威脅情報。從某種程度上來說，網絡威脅情報是一種公共產品。政府部門需資助創(chuàng)建網絡威脅情報知識中心，支持開發(fā)適用于各類機構的成熟經驗和工具，這將直接增強對關鍵資產的保護。目前，許多組織已加入網絡空間的網絡活動，政府部門需采取預防措施，以免因活動和職責交叉而造成曲解。此類措施應能促進網絡威脅情報信息共享，并避免各國之間的重復工作。

主管部門需努力縮小終端用戶與高端網絡威脅情報運營商之間的差距。這就需要提供易于非專業(yè)用戶理解的網絡威脅情報知識和服務。在制定政策時，需引入基于新興網絡安全挑戰(zhàn)和威脅的更高層級的全面篩查活動，并將其作為決策考慮因素。此類活動應以場景設想為基礎，且應能為監(jiān)管活動框架內的影響評估提供有價值的見解。

（二）企業(yè)方面。各企業(yè)需開發(fā)可行的網絡威脅情報服務，以涵蓋大量網絡威脅情報技能較低甚至沒有網絡威脅情報的企業(yè)。此類服務應面向各種成熟度級別，并基于網絡威脅情報信息提供自動化資產保護。

各企業(yè)需定義網絡威脅情報知識管理流程。此類流程需與其他網絡安全流程同步，尤其是風險管理流程，以提高流程的靈活性，從而適應網絡威脅情報知識管理的敏捷性要求。

各企業(yè)需采取措施應對網絡攻擊自動化趨勢。所制定的解決方案應包含基于網絡威脅情報自動調整控制措施的工具。此類解決方案應根據安全預算較低的企業(yè)的需求專門制定。

各企業(yè)應推測潛在網絡攻擊的影響，從而預估客戶群可能面臨的風險。通過考慮用戶的潛在損失，企業(yè)應減少攻擊面，幫助終端用戶保護資產。這種方法將增強用戶信任，消除技術部署障礙，對于物聯網、電子醫(yī)療保健、移動計算等領域尤為重要。

各企業(yè)應了解供應鏈威脅。這種威脅在涉及多個供應商的復雜產品的開發(fā)過程中較為常見。雖然為各種開發(fā)階段制定定性標準可能會有所幫助，但評估所用組件的端到端特性也非常重要。所用組件的簡化認證過程可能是減少暴露于此類威脅之下的另一種選擇。

（三）技術、研究與教育方面。必須開展行業(yè)威脅評估。此類評估應針對特定技術領域，且應有助于行業(yè)用戶管理其所在環(huán)境中的威脅。

不同層級的網絡犯罪逐漸走向專業(yè)化。網絡犯罪分子正在組合其技能，以提高攻擊途徑的自動化水平和效率。因此，防御方將需要更好地了解這些變化，并提出新的檢測方法和中斷方法。這些方法需考慮到擊殺鏈中各個階段的防御，而不是像當前大多數做法一樣在檢測到攻擊后才能觸發(fā)。

網絡攻擊的效率取決于目標系統中是否存在漏洞。因此，防范策略中應包含漏洞管理措施，終端用戶系統和服務中存在大量漏洞，同時修補已知漏洞需要很長的時間。網絡安全界還需要通過覆蓋地域視角（如歐洲空間）來開發(fā)更好的漏洞檢測與消除手段。

在網絡威脅情報知識獲取方面，有很多地方需要改進。改善共享方案和加強對已知事件的分析是實現這一目標的主要途徑。必須將事件報告與網絡威脅情報處理相結合，這將有助于提高網絡威脅情報的質量和準確性。

需將網絡威脅情報與相關學科相結合，以擴大其范圍和來源。2018 年，網絡威脅情報與傳統情報的結合顯示出了緩解威脅的巨大潛力。然而，這兩個領域的結合仍處于初期階段，因此，需開發(fā)可使這些領域相結合的方法。