论文部分内容阅读
2019年1月,欧盟网络与信息安全局(ENISA)发布第七份年度《网络威胁形势分析报告》,分析了2018年网络威胁情报现状,对15项主要网络威胁进行了年度评估,总结了相关威胁代理和攻击向量的发展趋势,并提出了政策、企业和研究方面的建议。报告认为威胁代理动机和策略的调整使2018年网络威胁形式发生了重大的变化。报告建议欧盟各成员国应消除收集网络威胁情报方面的监管障碍,并协调行动,共享情报,同时需开发相关能力,以降低对欧盟以外资源的依赖,提高网络威胁情报质量。赛迪智库网络安全研究所对该报告进行了编译,期望对我国网络安全产业有所帮助。
网络威胁情报现状
2018年,网络威胁情报相关最佳实践、工具、培训课程和标准不断改善,这些进展源于对情境化、可执行威胁信息需求的日益增长。与2017年相同,大型机构依旧是网络威胁情报的主要客户群。值得一提的是,网络威胁情报与安全运营中心、威胁搜寻、安全信息与事件管理等网络安全领域共同成熟起来了。
网络威胁情报的积极进展:1.很好地收集公开网络威胁情报信息,已有信息收集引擎和工具,包括根据威胁/攻击类型的综合收集。2.良好的信息共享,尤其是低机密性威胁事件,已有临时或正式的网络威胁情报信息共享网络。松散耦合的个人和用户群利用网络威胁情报信息建立了常见威胁资源库。3.网络威胁情报大多数方面都有充分培训机会,专业和非营利组织都可提供网络威胁情报全面培训。4.内容全面的网络威胁情报实践,各国学术和私营机构已公布了成熟的网络威胁最佳实践。5.收集和关联层面良好的工具支持,尤其是操作性网络威胁情报,已有大量可提高网络威胁情报信息关联度、促进减轻威胁纠正措施识别的工具(商业来源和开放来源)。
虽然网络威胁情报取得了上述进展,但专家认为网络威胁情报在以下方面仍有待完善:1.较高机密性事件网络威胁情报信息的共享,有专家认为,网络威胁情报需渗透到网络安全的重要领域,尤其是应对紧急情况时网络威胁情报的使用问题尚未充分解决。2.网络威胁情报信息收集行为的法律要求,需进一步分析网络威胁情报收集的法律框架。多数国家/行业仍将收集情报视为犯罪行为,限制了相应活动。3.更好/准确地识别操作环境,网络威胁情报不仅应遵循技术趋势,还需尽早与业务对接。4.网络安全领域周期不同步,由于网络威胁情报及相关领域(事件管理、事件响应、威胁搜寻和漏洞管理)存在一定的灵活性,难以与企业风险管理周期适当对接。必须将这些周期相互连接起来,以免失去协同优势。5.需确定网络威胁情报相关方,并整合到网络威胁情报周期中,这是网络威胁情报专业人员主要关注点之一,需要在需求分析阶段改善与相关方的互动。6.战略性网络威胁情报需更好地在战略层面传达给企业。为此,应使用标准化术语,并与管理层进行适当沟通。7.网络威胁情报需更好地对接主题,如果网络威胁情报能够对准机构的特定主题、业务或IT组件会更有意义。8.需加强网络威胁情报报告的展示、利用和分析技术,目前,在对网络威胁情报团队以外受众方面并未投入太多精力。应针对受众制定网络威胁情报信息样式指南,主要内容包括可视化、分析技术和结论在先模式。9.需开发网络威胁情报技能文件和职责,并使其适应所采用的网络威胁情报(成熟度)模型,事实上,这是网络威胁情报存在的技能短缺问题。尽管该建议有望扩大网络威胁情报技能的覆盖面,但现有的网络威胁情报技能文件描述并未考虑到各级网络威胁情报成熟度水平的要求。10.情报与网络威胁情报之间的对接,迄今为止,大多数网络威胁情报最佳实践都是基于信息收集与分析技术。而2018年网络威胁情报和传统情报之间的相关性成为重中之重。专家认为,将这两个学科联系起来将使网络威胁情报更贴近于众多非技术相关方,同时也将提高评估质量。11.将网络威胁情报视为一项功能,网络威胁情报需脱离纯技术领域,成为植根于经济、地理、监管、经济和战略领域的独立功能。
在总结了网络威胁情报的现状之后,本报告认为,欧洲各企业、成员国和机构需建立以下网络威胁情报工具:1.欧洲原始数据存储库,将网络威胁情报建立在从运营系统收集的大量信息之上。欧洲需发展此类信息收集能力,在这一关键领域拥有自主权。2.利用欧盟网络威胁情报能力(规划、收集、整理、分析、评估、传播),欧洲需开发其网络威胁情报能力,建立独立的网络威胁情报知识库,并将网络威胁情报能力作为一项功能纳入到需要网络威胁情报处理紧急事件的欧洲倡议中。3.网络威胁情报成熟度模型,需与国内外合作伙伴共同开发网络威胁情报成熟度模型。4.根据成熟度开发网络威胁情报技能文件/职责,需定义各种网络威胁情报职责与文件,并使其适应成熟度模型。欧洲在该领域展开的活动将成为相关教育活动的基础。反过来,这也将加强欧洲网络威胁情报行业的就业市场,强化欧洲网络威胁情报资源的独立性。5.网络威胁情报能力,针对中小型企业的网络威胁情报即服务(CaaS),中小企业是实施IT系统的主体,也是网络威胁情报知识的重要受体。然而,由于缺乏相关技能,这类机构几乎无网络威胁情报消费,需开发并实施使用工具和自动化技术的新型网络威胁情報模型。6.提升网络威胁情报文化,网络威胁情报从业者需组织为一个共同体,以便基于最佳实践、知识和经验共享提升网络威胁情报文化。
2018年主要网络威胁及趋势
(一)恶意软件。2018年,恶意软件仍是最常见的网络威胁,占所报告全部数据泄露事件的30%。虽然并未爆发类似WannaCry和Petya的全球性恶意软件事件,2018年恶意软件攻击形势也有所变化,值得注意的趋势包括:网络威胁正从勒索软件向非法加密挖矿转移;针对物联网设备的恶意软件攻击逐渐增多;网络罪犯和网络间谍之间的界限更加模糊;非文件式攻击技术的攻击效能提高,成为普遍现象;攻击软件套件减少使恶意软件更难传播;开源恶意软件应用持续增多;移动威胁不断增加;金融木马攻击逐年下降。
(二)网页攻击。网页攻击是针对网站系统和服务的攻击,由于传播面较广,多个高级持续性威胁小组持续利用这一技术发起攻击,使其依旧是最重要的威胁之一。在端到端攻击路径中,恶意软件和攻击技术越来越依赖将网站系统和服务用作传输机制,因此这一威胁预计将进一步加剧。
网络威胁情报现状
2018年,网络威胁情报相关最佳实践、工具、培训课程和标准不断改善,这些进展源于对情境化、可执行威胁信息需求的日益增长。与2017年相同,大型机构依旧是网络威胁情报的主要客户群。值得一提的是,网络威胁情报与安全运营中心、威胁搜寻、安全信息与事件管理等网络安全领域共同成熟起来了。
网络威胁情报的积极进展:1.很好地收集公开网络威胁情报信息,已有信息收集引擎和工具,包括根据威胁/攻击类型的综合收集。2.良好的信息共享,尤其是低机密性威胁事件,已有临时或正式的网络威胁情报信息共享网络。松散耦合的个人和用户群利用网络威胁情报信息建立了常见威胁资源库。3.网络威胁情报大多数方面都有充分培训机会,专业和非营利组织都可提供网络威胁情报全面培训。4.内容全面的网络威胁情报实践,各国学术和私营机构已公布了成熟的网络威胁最佳实践。5.收集和关联层面良好的工具支持,尤其是操作性网络威胁情报,已有大量可提高网络威胁情报信息关联度、促进减轻威胁纠正措施识别的工具(商业来源和开放来源)。
虽然网络威胁情报取得了上述进展,但专家认为网络威胁情报在以下方面仍有待完善:1.较高机密性事件网络威胁情报信息的共享,有专家认为,网络威胁情报需渗透到网络安全的重要领域,尤其是应对紧急情况时网络威胁情报的使用问题尚未充分解决。2.网络威胁情报信息收集行为的法律要求,需进一步分析网络威胁情报收集的法律框架。多数国家/行业仍将收集情报视为犯罪行为,限制了相应活动。3.更好/准确地识别操作环境,网络威胁情报不仅应遵循技术趋势,还需尽早与业务对接。4.网络安全领域周期不同步,由于网络威胁情报及相关领域(事件管理、事件响应、威胁搜寻和漏洞管理)存在一定的灵活性,难以与企业风险管理周期适当对接。必须将这些周期相互连接起来,以免失去协同优势。5.需确定网络威胁情报相关方,并整合到网络威胁情报周期中,这是网络威胁情报专业人员主要关注点之一,需要在需求分析阶段改善与相关方的互动。6.战略性网络威胁情报需更好地在战略层面传达给企业。为此,应使用标准化术语,并与管理层进行适当沟通。7.网络威胁情报需更好地对接主题,如果网络威胁情报能够对准机构的特定主题、业务或IT组件会更有意义。8.需加强网络威胁情报报告的展示、利用和分析技术,目前,在对网络威胁情报团队以外受众方面并未投入太多精力。应针对受众制定网络威胁情报信息样式指南,主要内容包括可视化、分析技术和结论在先模式。9.需开发网络威胁情报技能文件和职责,并使其适应所采用的网络威胁情报(成熟度)模型,事实上,这是网络威胁情报存在的技能短缺问题。尽管该建议有望扩大网络威胁情报技能的覆盖面,但现有的网络威胁情报技能文件描述并未考虑到各级网络威胁情报成熟度水平的要求。10.情报与网络威胁情报之间的对接,迄今为止,大多数网络威胁情报最佳实践都是基于信息收集与分析技术。而2018年网络威胁情报和传统情报之间的相关性成为重中之重。专家认为,将这两个学科联系起来将使网络威胁情报更贴近于众多非技术相关方,同时也将提高评估质量。11.将网络威胁情报视为一项功能,网络威胁情报需脱离纯技术领域,成为植根于经济、地理、监管、经济和战略领域的独立功能。
在总结了网络威胁情报的现状之后,本报告认为,欧洲各企业、成员国和机构需建立以下网络威胁情报工具:1.欧洲原始数据存储库,将网络威胁情报建立在从运营系统收集的大量信息之上。欧洲需发展此类信息收集能力,在这一关键领域拥有自主权。2.利用欧盟网络威胁情报能力(规划、收集、整理、分析、评估、传播),欧洲需开发其网络威胁情报能力,建立独立的网络威胁情报知识库,并将网络威胁情报能力作为一项功能纳入到需要网络威胁情报处理紧急事件的欧洲倡议中。3.网络威胁情报成熟度模型,需与国内外合作伙伴共同开发网络威胁情报成熟度模型。4.根据成熟度开发网络威胁情报技能文件/职责,需定义各种网络威胁情报职责与文件,并使其适应成熟度模型。欧洲在该领域展开的活动将成为相关教育活动的基础。反过来,这也将加强欧洲网络威胁情报行业的就业市场,强化欧洲网络威胁情报资源的独立性。5.网络威胁情报能力,针对中小型企业的网络威胁情报即服务(CaaS),中小企业是实施IT系统的主体,也是网络威胁情报知识的重要受体。然而,由于缺乏相关技能,这类机构几乎无网络威胁情报消费,需开发并实施使用工具和自动化技术的新型网络威胁情報模型。6.提升网络威胁情报文化,网络威胁情报从业者需组织为一个共同体,以便基于最佳实践、知识和经验共享提升网络威胁情报文化。
2018年主要网络威胁及趋势
(一)恶意软件。2018年,恶意软件仍是最常见的网络威胁,占所报告全部数据泄露事件的30%。虽然并未爆发类似WannaCry和Petya的全球性恶意软件事件,2018年恶意软件攻击形势也有所变化,值得注意的趋势包括:网络威胁正从勒索软件向非法加密挖矿转移;针对物联网设备的恶意软件攻击逐渐增多;网络罪犯和网络间谍之间的界限更加模糊;非文件式攻击技术的攻击效能提高,成为普遍现象;攻击软件套件减少使恶意软件更难传播;开源恶意软件应用持续增多;移动威胁不断增加;金融木马攻击逐年下降。
(二)网页攻击。网页攻击是针对网站系统和服务的攻击,由于传播面较广,多个高级持续性威胁小组持续利用这一技术发起攻击,使其依旧是最重要的威胁之一。在端到端攻击路径中,恶意软件和攻击技术越来越依赖将网站系统和服务用作传输机制,因此这一威胁预计将进一步加剧。