一、概要

NTT（日本电报电话公司）发表了《2021年全球威胁情报报告》，该公司在报告中总结了过去一年全球范围内面临的威胁，并提出了进一步应对威胁的行动、战术和战略建议。

在本次报告中，NTT继续强化了“网络弹性”和“设计安全”解决方案的概念，也包括了与信任相关的讨论。NTT建议相关组织应改变以往对合作伙伴或供应商的盲目信任，并且限制对内部数据未经验证的访问。

和前几年一样，NTT继续分析了针对多个行业的攻击，包括金融、医疗、教育、制造业和技术。通过共享各个行业的安全态势情报，密切关注恶意网络攻击活动的变化。该报告分享的见解，使网络安全领导者和捍卫者能够在投资和改善其安全能力时，更容易做出明智的决策。该报告还能够评估可能造成影响的威胁因素，并帮助安全人员确定哪些地方可以减少风险，以及哪些地方可以提高检测和反应能力。

值得注意的是，在过去新冠肺炎流行的一年中，88%的网络安全专业人士表示，过去六个月的网络安全风险有所增加。具体而言：

● 对金融、制造业和医疗保健行业的攻击加剧

● 恶意软件的改变，挖矿软件和木马取代间谍软件成为全球最常见的恶意软件家族

● 加密货币挖矿软件飙升至新的高度

● COVID-19助长了APT组织的间谍、破坏和网络犯罪活动

● 在家办公和远程访问加剧了网络和应用程序的攻击

● 隐私和保护成为下一年的“新常态”

二、COVID-19的影响

2020年，新型冠状病毒大流行对世界造成了严重的影响，迫使许多行业进行运营方面的变革，为了减轻疾病蔓延而实行的全球封锁政策，更将继续对企业产生深刻的影响。

风险管理应该是每个行业组织运作的内在内容。虽然每个行业都有其特定的一组威胁因素，但所有行业通常都受到一些共同威胁的影响。其中包括第三方供应商风险、供应链攻击和声誉损害（例如因公开披露或丢失客户敏感数据或知识产权被盗而造成的）等相关威胁，以及对不合规行为的罚款:

● 制造过程、机械设计和制造的产品有被窃取的风险。

● 对技术的威胁也随之而来，因为知识产权盗窃和数据盗窃是技术面临的两大威胁。

● 个人身份信息(PlI)保护在医疗保健和金融领域至关重要。

● 在美国，Pll在医疗保健领域的外流违反了1996年的《医疗保险可携带性和责任法案》(HIPAA)，可能会对医疗保健机构造成巨额罚款

● 金融行业受法规监管需要保护客户数据。

● 教育，特别是开展新冠肺炎疫苗研究的教育机构，正面临着计算资源和研究数据流失的危险。

● 新冠病毒的流行给组织带来了一些战略偏差，只有53%的组织声称，他们的安全战略与他们的业务战略需求完全一致。而事实上，31%的组织表示，他们仍在评估疫情对其安全和治理态势的影响。

COVID-19继续演变，影响着全球各地的行业、企业和人类互动。NTT认为我们必须继续寻求方法来管理与病毒流行相关的各种形式的风险，并调整我们的战略，重点是业务改变、保障对客户和员工的支持以及与COVID-19相关的研究分析和疫苗开发工作。这些都是高度复杂的问题，只会使受影响的组织的安全配置和实施更加复杂。因此，所有组织都必须继续创新，为更安全的人类和网络环境创造弹性解决方案。

三、全球分析

在全球范围内，组织面临的攻击类型大致相同，但攻击者针对不同的目标往往使用不同的技术。金融、制造业和医疗保健行业的组织经历了比其他行业更大的影响。多功能恶意软件呈现出一定程度的复兴，冷门的恶意软件开始被广泛使用，并且从观察到的大部分恶意软件看来，它们似乎都是被以更有针对性的方式使用。攻击者的偏好和所采用的攻击技术取决于被攻击的产业类型。各组织适应了新冠肺炎大流行所需的新商业模式，增加了对基于web的基础设施的依赖。

下图显示了使用NTT的网络安全咨询(CA)服务进行的2018年、2019年和2020年基准评分的比较。CA评分是基于0-6的等级，它定义了组织在几个领域的安全程序的成熟度(数字越高表示程序越成熟)。

基线分数(根据组织当前的成熟度衡量)基本上保持在与前一年相同的范围内。金融业连续第三年表现出最高的基准得分。基线分数的小幅下降可能是由于面临着更强的挑战，这潜在地影响了资源的分配，并且使组织难以实施成熟的计划。这在医疗保健领域也并不例外，在病毒流行期间，该行业面临着基础设施问题的挑战。制造业的得分连续三年下降，很可能是由于运营环境的变化、攻击的演变以及更倾向于衡量其整体网络安全状况。

下图显示了几个行业的当前状态和期望状态之间的差距。寻求缩小差距的行业必须持续关注工具、执行支持和底层流程的成熟度。然而，各种因素，如成本、执行力和资源的可用性，可能导致行业无法实现其期望的目标。NTT通过委托调查1350名技术和业务决策者，其中包括1046名IT和网络安全专业人士，以确定哪些业务和技术问题是重点领域。研究结果发现，企业对其网络安全状况的认知与实际得分之间存在差距。

金融是受攻击最多的行业，占2020年所有攻击的23%。而在金融领域受到的攻击中，针对特定应用程序的攻击占比最高，占所有攻击的42%。针对特定应用程序和web应用程序的攻击加在一起占对金融系统所有攻击的73%以上。

2020年受攻击最严重的行业包括2019年受攻击最严重的7个行业。然而，如下图所示，今年的前五名有了明显的变化。很大程度上是由于所分析的行业中实际攻击量的变化，因为医疗保健、商业和专业服务都是2020年新进入前五名的行业。

下图表明攻击目标越来越向受攻击最多的行业转变，前三大行业占所有攻击的62%。2019年，51%的攻击锁定了排名前三的行业。这似乎表明，攻击者倾向于把精力集中在更理想的目标上，或至少集中在更理想的行业上。几乎所有其他行业遭遇的攻击都比前一年少。

无论针对哪个特定行业，针对特定应用程序和网络应用程序的攻击率都有所上升。这些攻击类型继续对全球行业产生综合影响，占所有攻击的67%，高于2019年的55%和2018年的32%。

         

最大的原因可能是由于组织加速采用云计算，而导致web应用程序和基础设施的使用增加。简单地说，敌对威胁行动者正在攻击组织新部署的技术和功能。在COVID-19期间，随着各组织竞相走向数字化，越来越多地使用客户门户网站和云技术，以及移动和网络应用程序，加速了这一趋势。

对应用程序安全性的测试分析表明，有些行业只是在管理应用程序安全性方面做得更好。在动态脆弱性评估的基础上，分析人员统计了多个行业和子行业网站的平均漏洞数量。排名如下图所示：实用程序显示的漏洞数量最多，平均每个站点10个。在本报告评估的主要行业中，制造业的平均漏洞数量最高，每个站点有9个。金融业每个站点的平均漏洞数量最低，为4个。一个组织的网站有越多的漏洞，就越容易受到攻击者的攻击。这些漏洞涉及的类型广泛，如SQL注入、跨站点脚本漏洞、目录索引和数据泄漏。

         

虽然攻击类型已经普遍缩小，但恶意软件已经变得更加多样化。例如，蠕虫功能的使用成倍增加；挖矿软件经历了一个激增；勒索软件继续发展；攻击者利用各种木马，包括银行木马和远程访问木马。

         

虽然攻击者继续攻击内容管理系统(cms)，但其攻击水平已不在2019年观察到的水平。如下图所示，针对ThinkPHP的攻击占据了目标技术的主要位置。在针对已确定技术的近30%的攻击统计结果中，ThinkPHP是全球受到攻击最多的技术。它也是金融、制造业和科技领域受到攻击最多的应用，在所有分析的行业中，它都是十大目标技术之一。

       

四、区域分析

一些趋势在全球范围内是普遍的，比如针对特定应用程序和web应用程序的攻击数量增加。但攻击活动的某些细节因其发生的地理区域而不同。例如，挖矿程序在欧洲、中东、非洲和美洲占主导地位，但在亚太地区(APAC)相对较少。同样，OpenSSL在美洲是被攻击最多的技术，但在亚太地区甚至没有进入前10名。通过分析攻击技术和工具的差异，可以洞察威胁行动者是如何针对不同地理区域的组织进行攻击。

美洲

和全球状况相同，美洲的前两种攻击类型是针对特定应用程序和web应用程序的攻击。组合攻击类型占据56%。这低于全球平均水平。这一差距被DoS/DDoS和暴力攻击所填补，这两种攻击在美洲比其他任何地区都要高。

在美洲受到攻击最多的技术也与全球范围内的观察结果不同。ThinkPHP是全球受攻击最多的应用程序，而在美洲其在所有攻击中只占9%，排名第四，这远低于全球平均水平。在美洲，被攻击频率最高的技术是OpenSSL。

欧洲、中东和非洲

欧洲、中东和非洲(EMEA)的攻击与许多的全球趋势保持一致，但在所用技术方面显示出一些显著的差异。医疗保健、制造业和金融业是欧洲、中东和非洲受攻击最严重的行业。

 

在EMEA, 针对ThinkPHP的攻击高于全球平均数值，而与其他地区一样，其他技术的利用占比大幅落后。在EMEA，不同国家的所使用的技术差别很大。Palo Alto的设备在英国是最受欢迎的；德国大量使用Zyxel设备；OpenSSL在法国；ThinkPHP在瑞典，比荷卢经济联盟和荷兰的金融和制造业组织中被高度依赖，这也是欧洲、中东和非洲受攻击最多的两个行业。而医疗保健产业则高度依赖Zeroshell网络服务。

亚太地区

虽然对亚太区域内活动的许多观察结果与全球其他区域数据的细节一致，但也存在显著差异。对教育产业的攻击在这几个国家占主导地位，该行业与金融和制造业一起成为亚太地区最常见的攻击目标。亚太地区的僵尸网络活动水平较高，webshells的影响遍及该地区的大部分区域。

ThinkPHP在所有攻击中占35%，是亚太地区受到攻击最多的应用程序，超过了全球平均水平。ThinkPHP在日本的目标客户比许多其他亚太国家都要多。ThinkPHP被金融、制造业、科技和教育领域的攻击者广泛使用。这也是该地区遭受攻击最多的四个行业。其他几种技术在整个亚太地区广泛分布，其中D-Link设备技术也出现在全球技术列表中。所有五种最具针对性的技术都大量出现在该地区最具针对性的行业中。

     

参考链接：https://hello.global.ntt/en-us/insights/2021-global-threat-intelligence-report

本文为CNTIC整理，不代表本公众号观点，转载请保留出处与链接。

联系信息进入公众号后点击“论坛信息”可见。

本文始发于微信公众号（国家网络威胁情报共享开放平台）：2021全球威胁情报报告-上