ENISA网络威胁图谱2022

报告识别了8个主要的威胁类别，分别是：

勒索软件；恶意软件；社会工程；针对数据的威胁；针对可用性的威胁（DoS拒绝服务攻击）；针对互联网可用性的威胁；虚假信息和错误信息；供应链攻击。

①勒索软件

从2021年7月到2022年6月，全球发生了许多与勒索软件相关的网络安全事件，表明勒索软件威胁持续增长。ENISA监测到的2021年7月到2022年6月发生的主要网络安全事件数量如下所示：

2021年5月到2022年6月期间勒索软件攻击活动数量以及累计窃取的数据量如下图所示：

勒索软件威胁趋势：

②恶意软件

2021年7月到2022年6月与恶意软件相关的网络攻击活动数量如下所示：

恶意软件趋势：

③社会工程

社会工程融合了大量尝试利用人为错误或人的行为来获取信息或服务的访问权限的活动。常见的社会工程攻击方法包括：钓鱼、鱼叉式钓鱼、商业邮件入侵、欺诈、冒充和假冒。2021年7月到2022年6月与社会工程相关的攻击活动数量如下所示：

社会工程攻击趋势：

④针对数据的威胁

针对数据的威胁包括攻击者非授权访问数据引发的数据泄露，攻击者利用漏洞、错误配置、人为错误等引发的数据泄露，对数据的恶意操纵修改、数据投毒等。

针对数据的威胁趋势：

⑤针对可用性的威胁：DoS攻击

从下图可以看出，有大量与DoS（拒绝服务）攻击相关的网络安全事件。针对欧洲用户的最大规模DoS攻击峰值为853.7 Gbps，持续14小时。

DoS攻击趋势：

⑥针对互联网可用性的威胁

影响互联网可用性的威胁主要包括：

⑦虚假信息和错误信息

目前，互联网上充斥着各种深度伪造、宣传、错误信息和虚假信息，对人们的日常生活和社会都带来了影响。

错误信息和虚假信息趋势：

⑧供应链攻击

供应链攻击的目标对象是组织与其供应者之间的关系。供应链攻击占比从2020年的1%增加到了2021年的17%。

供应链攻击趋势：

02

四类网络威胁者

报告共识别出了4类主要的网络安全威胁者，包括有国家（政府）背景的攻击者、以网络犯罪为目的的攻击者、被雇佣的黑客、黑客行动主义者。

2.1 有国家（政府）背景的攻击者趋势

利用更多的0 day漏洞（未发布安全补丁的漏洞）和其他关键漏洞。漏洞利用是入侵网络最常用的攻击方式。2021年，欧盟范围内公开的0 day漏洞利用达到历史最高值——66个。

破坏性攻击是有政府背景的攻击活动的主要组成。在国家冲突中，有政府背景的网络攻击者发起网络攻击以配合军事行动。其中包括使用数据擦除软件来破坏和攻击政府机构和关键基础设施所有者（运营者）网络。目的是破坏特定机构的正常运行，降低民众对国家的信任，传播恐惧、怀疑的情绪。

越来越关注供应链攻击。供应链的入侵占入侵总数的17%，而2020年只占不到1%。通过2020年的SolarWinds供应链攻击，有政府背景的攻击者意识到供应链攻击带来的巨大影响，并越来越多的通过攻击第三方来扩大网络攻击带来的影响。

地缘政治影响网络攻击活动。许多针对乌克兰机构的网络攻击活动都是由于持续的军事冲突。攻击者在入侵乌克兰相关机构网络后，收集相关的情报以为军事机构带来战术或战略优势。有政府背景的攻击者还攻击了支持乌克兰的42个国家的128个政府机构，包括美国、欧盟、波兰和俄罗斯周边国家等。

网络志愿者组成的IT网军。2022年2月，乌克兰公开招募网络志愿者组建IT网军，以应对网络攻击活动。IT网军由于组成复杂，所以很难分类，应该是由志愿者、政府背景的黑客组织组成的混合体。

科技公司越来越多地参与网络活动。在军事冲突发生后，许多科技公司站队并在网络空间实施支持。比如，微软向乌克兰网络安全机构提供应对恶意软件方面的支持，以及提供网络作战相关的感知和情报内容。

2.2 以网络犯罪为目的的攻击者

网络犯罪分子展示出对供应链攻击的兴趣。供应链攻击主要与有国家背景的攻击者有关，但网络犯罪分子也开始对供应链感兴趣。2021-2022年，越来越多的供应链攻击与勒索软件攻击活动相关联，使得攻击者可以扩大攻击的范围。此类供应链攻击一般会引发勒索软件部署、加密货币挖矿、加密货币窃取、凭证窃取。当前，供应链攻击与投毒的开发者库和软件平台入侵有关。软件供应链攻击的影响很大，不仅会影响关键服务甚至还能够对没有直接影响的服务产生影响。

云的大规模采用为网络犯罪分子带来新的机会。新冠疫情加速了基于云服务的采用，来支持企业商业流程。网络犯罪分子也顺应这一趋势来攻击云环境。网络犯罪分子主要通过以下方式攻击云服务：

网络犯罪分子继续破坏工业行业。今年，工业领域网络攻击主要是勒索软件。制造业是被攻击最多的行业。破坏性攻击对食品、医疗健康、交通和能源行业带来的影响最大。

军事冲突影响网络犯罪生态。军事冲突为网络犯罪行为获得经济收益提供了新的机会。许多网络黑客组织在冲突中都表示了对某国的支持。有的黑客组织还对敌对国的关键基础设施进行了威胁。在军事冲突后，许多网络犯罪分子通过支持社会工程邮件来获利。

数据泄露和数据勒索（不使用勒索软件）。2021年-2022年发生了更多的数据窃取与数据勒索事件。数据泄露事件中有许多企业没有使用数据加密。此外，网络犯罪分子意识到可以在无需部署勒索软件的情况下对数据要求赎金。因为没有加密，攻击者在获取了数据的访问权限后就能够以大范围公开数据为条件要求其支付赎金。

2.3 被雇佣的黑客

访问即服务（Access as a service）市场持续发展。被雇佣的黑客是指访问即服务市场中的攻击者，主要由提供网络防护能力的企业组成。其客户主要是政府，一般是以包含多个服务的单一服务包的形式出现。

针对公民的监控。访问即服务企业提供的工具可被用来监控持不同政见者、人权活动家、记者和其他公民。

2.4 黑客行动主义者

黑客行动主义者（Hacktivists）是指因政治或社团目的而产生的黑客行为，或者是入侵计算机系统的个人。

新一代黑客行动主义攻击活动。军事冲突爆发后，黑客行动主义者发起的攻击活动明显增加，包括DDoS（分布式拒绝服务攻击）、数据窃取等。从战略角度看，军事冲突为黑客行动主义、其角色和其对冲突的影响定义了一个新时代。

ENISA发布的《网络威胁图谱2022》对2021年7月到2022年6月之间网络安全事件进行了分析，共识别出了勒索软件、恶意软件、社会工程、针对数据的威胁、针对可用性的威胁、针对互联网可用性的威胁、虚假信息和错误信息、供应链攻击等8个主要的网络威胁类别，以及有国家（政府）背景的攻击者、以网络犯罪为目的的攻击者、被雇佣的黑客、黑客行动主义者4类主要的网络安全威胁者。虽然分析的相关安全事件主要集中在欧洲，但识别出的网络威胁与网络威胁攻击者趋势同样适用于其他国家和地区。