孙舒扬

2019年1月，欧盟网络与信息安全局（ENISA）发布第七份年度《网络威胁形势分析报告》，分析了2018年网络威胁情报现状，对15项主要网络威胁进行了年度评估，总结了相关威胁代理和攻击向量的发展趋势，并提出了政策、企业和研究方面的建议。报告认为威胁代理动机和策略的调整使2018年网络威胁形式发生了重大的变化。报告建议欧盟各成员国应消除收集网络威胁情报方面的监管障碍，并协调行动，共享情报，同时需开发相关能力，以降低对欧盟以外资源的依赖，提高网络威胁情报质量。赛迪智库网络安全研究所对该报告进行了编译，期望对我国网络安全产业有所帮助。

网络威胁情报现状

2018年，网络威胁情报相关最佳实践、工具、培训课程和标准不断改善，这些进展源于对情境化、可执行威胁信息需求的日益增长。与2017年相同，大型机构依旧是网络威胁情报的主要客户群。值得一提的是，网络威胁情报与安全运营中心、威胁搜寻、安全信息与事件管理等网络安全领域共同成熟起来了。

网络威胁情报的积极进展：1.很好地收集公开网络威胁情报信息，已有信息收集引擎和工具，包括根据威胁/攻击类型的综合收集。2.良好的信息共享，尤其是低机密性威胁事件，已有临时或正式的网络威胁情报信息共享网络。松散耦合的个人和用户群利用网络威胁情报信息建立了常见威胁资源库。3.网络威胁情报大多数方面都有充分培训机会，专业和非营利组织都可提供网络威胁情报全面培训。4.内容全面的网络威胁情报实践，各国学术和私营机构已公布了成熟的网络威胁最佳实践。5.收集和关联层面良好的工具支持，尤其是操作性网络威胁情报，已有大量可提高网络威胁情报信息关联度、促进减轻威胁纠正措施识别的工具（商业来源和开放来源）。

虽然网络威胁情报取得了上述进展，但专家认为网络威胁情报在以下方面仍有待完善：1.较高机密性事件网络威胁情报信息的共享，有专家认为，网络威胁情报需渗透到网络安全的重要领域，尤其是应对紧急情况时网络威胁情报的使用问题尚未充分解决。2.网络威胁情报信息收集行为的法律要求，需进一步分析网络威胁情报收集的法律框架。多数国家/行业仍将收集情报视为犯罪行为，限制了相应活动。3.更好/准确地识别操作环境，网络威胁情报不仅应遵循技术趋势，还需尽早与业务对接。4.网络安全领域周期不同步，由于网络威胁情报及相关领域（事件管理、事件响应、威胁搜寻和漏洞管理）存在一定的灵活性，难以与企业风险管理周期适当对接。必须将这些周期相互连接起来，以免失去协同优势。5.需确定网络威胁情报相关方，并整合到网络威胁情报周期中，这是网络威胁情报专业人员主要关注点之一，需要在需求分析阶段改善与相关方的互动。6.战略性网络威胁情报需更好地在战略层面传达给企业。为此，应使用标准化术语，并与管理层进行适当沟通。7.网络威胁情报需更好地对接主题，如果网络威胁情报能够对准机构的特定主题、业务或IT组件会更有意义。8.需加强网络威胁情报报告的展示、利用和分析技术，目前，在对网络威胁情报团队以外受众方面并未投入太多精力。应针对受众制定网络威胁情报信息样式指南，主要内容包括可视化、分析技术和结论在先模式。9.需开发网络威胁情报技能文件和职责，并使其适应所采用的网络威胁情报（成熟度）模型，事实上，这是网络威胁情报存在的技能短缺问题。尽管该建议有望扩大网络威胁情报技能的覆盖面，但现有的网络威胁情报技能文件描述并未考虑到各级网络威胁情报成熟度水平的要求。10.情报与网络威胁情报之间的对接，迄今为止，大多数网络威胁情报最佳实践都是基于信息收集与分析技术。而2018年网络威胁情报和传统情报之间的相关性成为重中之重。专家认为，将这两个学科联系起来将使网络威胁情报更贴近于众多非技术相关方，同时也将提高评估质量。11.将网络威胁情报视为一项功能，网络威胁情报需脱离纯技术领域，成为植根于经济、地理、监管、经济和战略领域的独立功能。

在总结了网络威胁情报的现状之后，本报告认为，欧洲各企业、成员国和机构需建立以下网络威胁情报工具：1.欧洲原始数据存储库，将网络威胁情报建立在从运营系统收集的大量信息之上。欧洲需发展此类信息收集能力，在这一关键领域拥有自主权。2.利用欧盟网络威胁情报能力（规划、收集、整理、分析、评估、传播），欧洲需开发其网络威胁情报能力，建立独立的网络威胁情报知识库，并将网络威胁情报能力作为一项功能纳入到需要网络威胁情报处理紧急事件的欧洲倡议中。3.网络威胁情报成熟度模型，需与国内外合作伙伴共同开发网络威胁情报成熟度模型。4.根据成熟度开发网络威胁情报技能文件/职责，需定义各种网络威胁情报职责与文件，并使其适应成熟度模型。欧洲在该领域展开的活动将成为相关教育活动的基础。反过来，这也将加强欧洲网络威胁情报行业的就业市场，强化欧洲网络威胁情报资源的独立性。5.网络威胁情报能力，针对中小型企业的网络威胁情报即服务（CaaS），中小企业是实施IT系统的主体，也是网络威胁情报知识的重要受体。然而，由于缺乏相关技能，这类机构几乎无网络威胁情报消费，需开发并实施使用工具和自动化技术的新型网络威胁情報模型。6.提升网络威胁情报文化，网络威胁情报从业者需组织为一个共同体，以便基于最佳实践、知识和经验共享提升网络威胁情报文化。

2018年主要网络威胁及趋势

（一）恶意软件。2018年，恶意软件仍是最常见的网络威胁，占所报告全部数据泄露事件的30%。虽然并未爆发类似WannaCry和Petya的全球性恶意软件事件，2018年恶意软件攻击形势也有所变化，值得注意的趋势包括：网络威胁正从勒索软件向非法加密挖矿转移;针对物联网设备的恶意软件攻击逐渐增多;网络罪犯和网络间谍之间的界限更加模糊;非文件式攻击技术的攻击效能提高，成为普遍现象;攻击软件套件减少使恶意软件更难传播;开源恶意软件应用持续增多;移动威胁不断增加;金融木马攻击逐年下降。

（二）网页攻击。网页攻击是针对网站系统和服务的攻击，由于传播面较广，多个高级持续性威胁小组持续利用这一技术发起攻击，使其依旧是最重要的威胁之一。在端到端攻击路径中，恶意软件和攻击技术越来越依赖将网站系统和服务用作传输机制，因此这一威胁预计将进一步加剧。

（三）网络应用程序攻击。网络应用程序攻击是指企图直接或间接利用网络服务和应用程序中的漏洞滥用其应用程序接口、运行时环境或服务，这类攻击通常与网页攻击相重叠。由于企业越来越依赖网络服务，网络应用程序日益成为攻击者的重点目标。2018年这类攻击略有减少，但攻击者的攻击能力也变得更加高效且自动化。另一方面，由于网络应用程序攻击在互联网攻击中占比较大，各企业和机构也加大了对网络应用程序检测、保护和防御系统的投资。

（四）网络钓鱼。网络钓鱼是一种信息制作机制，即利用社交工程技术来诱骗接收者“上钩”。具体来说，网络钓鱼者试图引诱信息接收者打开恶意附件，点击不安全链接。目前，网络钓鱼仍是攻击机构的首选方式，利用率非常之高，据调查，90%以上的恶意软件感染和 72%的数据泄露都源于网络钓鱼攻击。

（五）拒绝服务。（分布式）拒绝服务是网络环境中极具影响力的威胁之一，几乎可以针对任何企业或机构。虽然清除“webstressor.org”服务执法活动在打击此类恶意活动方面发挥了關键作用，但诸如此类雇佣服务的分布式拒绝服务攻击仍屡见不鲜。另一方面，全球联网服务数量不断增加，设备运行与服务提供对物联网的依赖性越来越高，引发对拒绝服务攻击等威胁的担忧，这些威胁可能导致医疗等相关服务业务和关键系统的全国性瘫痪。世界各地的报告和研究表明，分布式拒绝服务活动的数量正在不断增加（增加了16%），且可能有大量大型攻击尚未发现。

（六）垃圾邮件。垃圾邮件是指滥用电子邮件和消息传递技术，自发向用户发送大量邮件。由于发送成本非常低，而对垃圾邮件收件人和服务供应商会产生很高的时间和经济成本，因此其仍是流行的主要攻击途径之一。但是，近年来清除僵尸网络的联合执法活动的展开以及反垃圾邮件技术的进步都使得垃圾邮件有所减少。

（七）僵尸网络。2018年，僵尸网络参与多种恶意活动，十分活跃。阿卡迈公司报告指出，每个僵尸网络每小时可创建30万次恶意登录尝试，美国、俄罗斯和越南的此类攻击最多。2018年还有一个有趣的趋势，即更新与补丁增强了VpnFilter、HideN Seek等僵尸网络的功能。

（八）数据泄露。数据泄露是对数据外泄或暴露事件的统称，与其他网络威胁结果直接相关。根据欧洲刑警组织报告，数据泄露事件中 73%为外部个人恶意行为体所为，50%为有组织的犯罪集团所为，此外，约12%是国家支持的行为体所为。在地域方面，北美是最受欢迎的攻击对象，其数据泄露事件占比57%，被泄露记录占比72%。欧洲的数据泄露事件减少了36%，但泄露记录却增加了28%。

（九）内部威胁。每家企业或机构都可能存在内部威胁。常见的内部威胁类型有三种：恶意的内部员工——故意滥用访问权限;粗心大意的内部员工——草率或未按政策和安全指令滥用访问权限;被连累的内部员工——无意中成为真正的攻击者的攻击途径。2018年内部威胁趋势有所下降，主要是因为机构内部并不经常公开披露威胁事件。根据卡巴斯基公司的调查，约53%的企业至少发生过一起内部威胁事件，约20%的企业发生过6起以上的内部威胁事件。

（十）物理操作/破坏/盗窃/损失。虽然物理攻击不是通常意义上的网络威胁，但在当今的企业中仍然存在。在《通用数据保护条例》时代，企业越来越关注设备内部的数据，尤其是个人识别信息数据和知识产权。虽然加密存储足以缓解物理攻击的主要风险，但企业中一致性企业级加密策略普及度停滞不前。对设备的物理访问也使攻击者有机会实施恶意行动，如自助取款机欺诈、刷卡机攻击等。据调查，金融行业25%的数据泄露事件是由设备丢失或被盗引起。

（十一）信息泄露。信息泄露是主要网络威胁之一，受损失的信息涵盖通过互联网企业和在线服务收集的个人数据到存储在IT基础设施中的业务数据。信息泄露通常是个人行为或机构内的流程故障所致，有时技术失误或配置错误也可能导致信息泄露。近期报告表明，无意泄露是2018年信息泄露的主要原因。在数据泄露所涉及的人员中，内部人员占29%，其中26%是系统管理员，22%是终端用户，12%是医生或护士，22%是其他人。

（十二）身份盗用。身份盗用是指窃取个人的身份信息，此类欺诈威胁因公民个人数据的大规模数字化而得以加剧。由于攻击者往往需要多项个人信息才能准确“创建”某一特定人物的完整档案，因此身份盗用会涉及各种类型的数据。如果这些信息不足以拼凑成完整档案，攻击者之间还会通过暗网交换数据。身份盗用威胁与各行业领域的企业或机构中的数据泄露密切相关。2018年，泄露记录的平均数量增加了 2.2%，由此可以断定，在报告期内，身份盗用趋势也在增加。

（十三）非法加密挖矿。2018年可以称为是非法加密挖矿之年。非法加密挖矿（也称加密货币挖矿）是一个新术语，指的是可在未经受害者同意的情况下，利用受害者的设备处理能力挖掘加密货币的程序。网络罪犯利用受害者的处理能力（通常为70%至 80%未使用的处理能力）挖掘加密货币，在合法交换和交易后完成货币化，赚取现实世界的金钱。2018年第一季度，非法加密挖矿恶意软件增长了629%。加密货币挖矿在不断增长。此外，由于越来越多的员工使用其所在机构的（超级）计算机牟取利润，因此可以预测，“内部矿工”即将崛起。

（十四）勒索软件。出于盈利目的，攻击者每年都会对各种各样的机构发起勒索软件攻击。勒索软件攻击者获得文件和/或各种设备的所有权，并阻止真正的所有者访问。为了返还所有权，攻击者会要求在加密货币中支付赎金。根据多个安全研究小组调查，2018年勒索软件事件总量有所减少，但其中对加密货币挖矿的攻击却有所增加。

在对加密货币挖矿的攻击中，攻击者更注重掌控机器的计算能力，并不断镬取财富，而不是一次性支付赎金。即使勒索软件状况不断变化，但仍有许多行业遭受此类攻击。例如，2018年，在针对医疗设备的恶意软件中，85%以上是勒索软件。此外，在所有领域的30362起安全漏洞事件中，有973起（3.2%）是勒索软件所致，勒索软件威胁仍不容忽视。

（十五）网络间谍。全球安全研究机构的各种报告显示，网络间谍活动越来越普遍。此类威胁通常针对的是全球工业领域的关键性和战略性基础设施，包括政府、铁路、电信供应商、能源企业、医院和银行。网络间谍专注于窃取国家和商业机密以及战略领域的知识产权和专有信息，还可鼓动经济、工业、外国情报机构中的行为体及其代表行为体。据Hackmageddon 调查显示，2018年网络间谍在网络攻击动机的占比略有下降，约下降了2%。

威胁代理及趋势

任何导致、携带、传播或支持威胁的人或物都可以被认为是威胁代理（Threat Agents）。2018年底，对威胁代理的认定出现重大飞跃，主要是因为各国打击恐怖主义投入持续增加以及越来越多地将网络战和网络间谍活动用于政治和外交方面。

威胁代理的识别目前已成为网络威胁缓解的核心要素，从防御者的角度看，威胁代理的趋势/进步中值得注意的是：1.动机可视化、方法识别等方法有助于识别威胁代理种类与来源。2.防御者在向威胁代理关键基础设施渗透方面做了很多努力，通过结合网络威胁情报和情报技能，已经取得了一些令人印象深刻的成就。3.威胁情报专家强调基于杀伤链的防御策略将防御置于后期阶段（即指挥和控制，对目标的行动），早期阶段的防御策略往往被忽视，防御效率低。

从威胁代理的角度看：1.传统的国家赞助威胁代理人正随着不断变化的地缘政治空间重新自我定位， 虽然监测到某些群体的活动似乎有所减少，但有可能是因为战术和目标发生了变化。2.攻击策略转变。一些威胁代理能力增强，对行业开展针对性攻击时多采用与时间相关的攻击策略，通过改进的社会工程策略进行选择性网络钓鱼，通过远程访问工具接口安装有效负载等。3.发现的漏洞数量增加。2018年总体漏洞数达到最高，软件供应商的漏洞修补工作也有所增加。4.威胁代理引入了避免攻击归因和检测的新方法。无文件和内存驻留威胁以及常见攻击工具的使用既能有效达成目的，同时有效地隐藏了特征。这是一种普遍趋势，一方面表现为攻击模式多样化，另一方面表现为监测到已知威胁代理人活动的减少。5.威胁行为者正在利用供应链实现其目标。供应链攻击主要是由高能力代理发起的，应被视为“关键威胁”。

结论

ENISA2018年网络威胁形势报告的结论分为三类，即政策类、企业类和研究/教育类。

（一）政策方面。各国政府、欧盟成员国及欧盟机构需促进对网络威胁情报人员的培训。由于该技能的市场需求不断增加，行业部门提供的待遇较为丰厚，政府部门需创造能够吸引人才、挽留人才的就业条件。

欧盟和欧盟成员国需投资建设网络威胁情报能力，开发技能和基础设施（技术、人力）。此类活动将有助于改善欧洲的网络威胁情报能力，并增强其独立性，提高网络威胁情报知识质量水平，并使其成为成功管理欧洲内部关键活动（尤其是针对关键基础设施的活动）的有效资源。

网络威胁情报知识的质量在很大程度上取决于所获取的信息。欧洲和世界范围内仍存在一些阻碍获取信息的障碍，如监管框架各不相同、无法获得可靠的事件信息、缺乏信息共享等。应制定能够消除法律和监管障碍的政策，以更好地获取信息，从而获得网络威胁情报。从某种程度上来说，网络威胁情报是一种公共产品。政府部门需资助创建网络威胁情报知识中心，支持开发适用于各类机构的成熟经验和工具，这将直接增强对关键资产的保护。目前，许多组织已加入网络空间的网络活动，政府部門需采取预防措施，以免因活动和职责交叉而造成曲解。此类措施应能促进网络威胁情报信息共享，并避免各国之间的重复工作。

主管部门需努力缩小终端用户与高端网络威胁情报运营商之间的差距。这就需要提供易于非专业用户理解的网络威胁情报知识和服务。在制定政策时，需引入基于新兴网络安全挑战和威胁的更高层级的全面筛查活动，并将其作为决策考虑因素。此类活动应以场景设想为基础，且应能为监管活动框架内的影响评估提供有价值的见解。

（二）企业方面。各企业需开发可行的网络威胁情报服务，以涵盖大量网络威胁情报技能较低甚至没有网络威胁情报的企业。此类服务应面向各种成熟度级别，并基于网络威胁情报信息提供自动化资产保护。

各企业需定义网络威胁情报知识管理流程。此类流程需与其他网络安全流程同步，尤其是风险管理流程，以提高流程的灵活性，从而适应网络威胁情报知识管理的敏捷性要求。

各企业需采取措施应对网络攻击自动化趋势。所制定的解决方案应包含基于网络威胁情报自动调整控制措施的工具。此类解决方案应根据安全预算较低的企业的需求专门制定。

各企业应推测潜在网络攻击的影响，从而预估客户群可能面临的风险。通过考虑用户的潜在损失，企业应减少攻击面，帮助终端用户保护资产。这种方法将增强用户信任，消除技术部署障碍，对于物联网、电子医疗保健、移动计算等领域尤为重要。

各企业应了解供应链威胁。这种威胁在涉及多个供应商的复杂产品的开发过程中较为常见。虽然为各种开发阶段制定定性标准可能会有所帮助，但评估所用组件的端到端特性也非常重要。所用组件的简化认证过程可能是减少暴露于此类威胁之下的另一种选择。

（三）技术、研究与教育方面。必须开展行业威胁评估。此类评估应针对特定技术领域，且应有助于行业用户管理其所在环境中的威胁。

不同层级的网络犯罪逐渐走向专业化。网络犯罪分子正在组合其技能，以提高攻击途径的自动化水平和效率。因此，防御方将需要更好地了解这些变化，并提出新的检测方法和中断方法。这些方法需考虑到击杀链中各个阶段的防御，而不是像当前大多数做法一样在检测到攻击后才能触发。

网络攻击的效率取决于目标系统中是否存在漏洞。因此，防范策略中应包含漏洞管理措施，终端用户系统和服务中存在大量漏洞，同时修补已知漏洞需要很长的时间。网络安全界还需要通过覆盖地域视角（如欧洲空间）来开发更好的漏洞检测与消除手段。

在网络威胁情报知识获取方面，有很多地方需要改进。改善共享方案和加强对已知事件的分析是实现这一目标的主要途径。必须将事件报告与网络威胁情报处理相结合，这将有助于提高网络威胁情报的质量和准确性。

需将网络威胁情报与相关学科相结合，以扩大其范围和来源。2018 年，网络威胁情报与传统情报的结合显示出了缓解威胁的巨大潜力。然而，这两个领域的结合仍处于初期阶段，因此，需开发可使这些领域相结合的方法。