2022年7月15日,日本信息处理推进机构(IPA)发布了2022年版《信息安全白皮书》。IPA自2008年开始发布年度《信息安全白皮书》,内容包括与信息安全有关的日本国内外政策、威胁动向、发生事件情况、所受影响情况等。除了这些固定内容之外,IPA每年还会选择代表性事件,采用官方和民间的各种数据和资料并进行分析。
今年白皮书以“动摇的常识,增强的威胁:面对预想之外”为年度标题,分章节阐述了信息安全事件及脆弱性的现状和对策;介绍了日本国内和国际的信息安全政策、信息安全人才的现状、信息安全措施;最后概述了控制系统、物联网、云的信息安全,以及美国和欧洲的信息安全政策等。本文对其中部分内容进行译介评论,仅供参考。
2022年版《信息安全白皮书》
情報セキュリティ白書2022
①表:2021.4-2022.3主要信息安全事件与政策动向
机构介绍
日本IPA致力于研究IT界技术动向、强化信息安全对策、培养优秀IT人才,追求实现安全且便利的“可依赖的IT社会”;下设有产业网络安全中心、安全中心、社会基础中心、IT人才培养中心等。
01
2022年信息安全十大威胁
日本IPA从2006年开始,每年都会由信息安全专家投票,从上一年度发生的安全事故中选出对信息安全的十大威胁,并向社会公布。具体分为“个人”和“组织”信息安全威胁两类。
2022年版个人信息安全威胁排名依次为:钓鱼骗取个人信息、网络诽谤中伤造谣、使用邮件和短消息服务工具通过胁迫和诈骗等手法获利、信用卡信息的非法使用、手机支付的非法使用、伪装成虚假警告的网络欺诈、非法app对手机用户的损害、网络服务窃取个人信息、网络银行的非法使用、因特网上服务的非法登录。
2022年版组织信息安全威胁排名依次为:勒索软件攻击、被标靶型攻击窃取机密信息、滥用供应链弱点的攻击、针对远程办公等新型办公方式的攻击、内部非法泄露信息、随着脆弱性对策信息的公开而导致滥用、针对补丁公开前的攻击(零日攻击)、商务邮件诈骗导致金钱损失、IT基础故障导致业务停止、不慎而导致信息泄露。
图:2022年版信息安全十大威胁
“钓鱼欺诈”成为个人信息最大威胁。2022年版“个人信息威胁”方面排名虽然有变动,但是威胁内容与去年及前年都基本相同。从2019年开始连续两年排名第二的“钓鱼骗取个人信息等”,此次首次获得第一名。钓鱼欺诈是指通过发送伪称实际存在的官方机构或著名企业的邮件和短消息服务(SMS)等,将受害者引导到模仿正规网站的钓鱼网站上,使其输入个人信息和认证信息等。2021年还发现了很多伪装大型EC网站和金融机构等的手法。
“受到勒索软件攻击”位居“组织信息威胁”榜首。2021年,日本的企业和医院也多次遭遇勒索软件攻击,从而引起社会关注。近年来的勒索软件攻击,以与标靶型攻击同样的手段侵入企业组织的网络,不仅加密数据,还威胁将数据公开,从而导致受害者不得不支付赎金。2022年版白皮书称,针对勒索软件的猖獗,须切实进采取多方面措施,例如病毒对策、非法访问对策、脆弱性对策等。另外,考虑到任何组织都有可能遭受袭击,须做好事前准备,例如制定备份和恢复计划等。
“针对补丁公开前的攻击(零日攻击)”成为组织信息安全最新威胁。“组织信息威胁”方面10项威胁中有9项和去年相同。“针对补丁公开前的攻击(零日攻击)”首次上榜,且位列第7,取代了去年排在第8位的“非法登录互联网服务”。零日攻击是一种利用打补丁前脆弱性的攻击。2021年12月,Java用的日志输出库“Apache Log4j”的脆弱性对策信息与已经观测到攻击的信息同时公开。“Apache Log4j”具有记录网站后端的Web服务器等所进行操作的功能,在全世界的程序中广泛使用,因此广受关注。在零日攻击的情况下,在提供补丁的时候已经进行了攻击,所以除了脆弱性对策之外,引进检测/防御外部入侵的机器等准备措施也很重要。
02
信息安全事件与应对策略
该白皮书内列出了2021年4月至2022年3月发生的主要信息安全事件、信息安全政策等,其中引人注目的是勒索软件、非法访问等。2021年发生了多起影响广泛的供应链事件,例如2021年5月,美国东海岸的燃料运输停止了6天,在社会上产生了巨大影响。
信息安全事件表现出以下主要特点:
-
网络犯罪的申报件数和损失金额每年都在增加。美FBI称,网络犯罪的数量和损失金额过去5年持续增长,2021年受害总额达到69亿美元。2021年勒索软件的手法日益巧妙,针对供应链相关的事故和漏洞攻击也不断发生。日本警察厅称,2021年下半年的报案件数是前一年同期的4倍
-
信息泄漏的原因主要是由于Web应用数量的不断增加;还发现了对工业控制系统产生影响的病毒
-
勒索软件所导致的损失也在扩大,其主要感染手法是“钓鱼”和“恶意利用脆弱性”;作为勒索软件病毒的感染途径,VPN和远程桌面的占比正在增加。白皮书中称,这是由于疫情扩大导致远程工作而显现出来的威胁
信息安全事件的应对对策包括:
-
应对标靶型攻击,用户需要提高对“事前调查”和“初期侵入”阶段中可疑邮件的警惕(标靶型攻击分为“事前调查”、“初期侵入”、“系统调查”、“构筑攻击基础”、“完成攻击最终目的”等阶段)
-
应对勒索软件攻击时,可安装检测病毒的杀毒安全软件
-
应对攻击邮件的措施如:邮件过滤功能、检测和隔离可疑邮件、应对非法应用的措施等
-
在已经感染勒索软件时,应对措施包括:从备份恢复数据;通过加密文件来管理访问,控制受害范围;将处理机密信息的网络与普通业务分离;强化企业的应对体制等
-
应对以钓鱼和病毒感染为目标的商业邮件欺诈的措施包括:平时加强员工网络安全意识的培养;实现信息共享,尽快发现可疑邮件等
-
应对恶意利用VPN和Microsoft产品漏洞的攻击的措施包括:每天收集关于新漏洞的信息;在漏洞公开时迅速采取相应措施等
03
日本政府网络安全政策
日本政府“网络安全战略”。日本政府关于网络安全的整体政策,是根据每3年修订一次的“网络安全战略”展开的,且每年都会制定年度计划,作为具体措施。2021年9月政府通过的《网络安全战略》中,列举了4个项目的概要,并根据各政策项目制定了2021年度计划《网络安全2021》,其主要内容是:经济社会活力的提升及持续发展,实现国民安全安心生活的数字社会,国际社会的和平与稳定,日本的安全对保障的贡献等。
日本各省厅的具体政策与措施。例如经济产业省负责建设融合网络空间和物理空间的整体供应链的安全对策,从制度、标准化、经营、人才、商务等各种观点来研究和实施。
相关机构包括:产业网络安全研究会、企业隐私治理模式研讨会、安全经营及人才确保措施研究工作组、网络救援队(J-CRAT)等;制度方面则包括技术等信息管理认证制度、信息安全服务审查登记制度、J-CSIP(网络信息共享倡议)等。
04
评析
日媒有评论称,此次最新版信息安全白皮书概述了信息安全方面的内容,包括国内和国际威胁、实际事件、政策趋势等。2021年,勒索软件的手段越来越复杂,危害不断扩大,供应链相关事件和针对漏洞的攻击不断发生。日本受到的勒索软件危害也迅速增加,其中54%为中小企业,双重勒索则占总数的85%。
总体而言,2021年的攻击变得更加巧妙,主要通过系统漏洞和供应链进行入侵的方式进行,并构成了严重的威胁。另一方面,用于远程办公的VPN等应对漏洞的措施还不充分。随着远程办公的推进,数字化在生活和工作中不断深入,原本认为安全可靠的设备和系统可能会被发现漏洞遭到攻击,所以需要进一步提升信息安全的风险意识并不断更新防护技术与手段,以应对不断变化的新的生活和工作方式与新的安全威胁。
(全文完)
参考链接:
https://www.ipa.go.jp/files/000100472.pdf
推荐阅读
文章来源:学术plus
原文始发于微信公众号(安全内参):日本IPA发布2022年版《信息安全白皮书》
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论