欧盟发布关于网络安全、通信网络弹性的综合风险评估报告

阅读量80607

发布时间 : 2024-02-27 12:02:04

在欧盟委员会和欧盟网络安全局 ENISA 的支持下,欧盟成员国本周发布了一份报告,详细介绍了欧洲通信基础设施和网络的网络安全和弹性。这些数据代表了欧盟层面在加强电信安全方面的合作取得了重大进展,进一步巩固了5G 网络安全领域取得的进展。

作为 2022 年 3 月 9 日讷韦尔呼吁的后续行动,并在欧盟层面为加强 5G 网络安全而开展的协调工作的基础上,成员国对欧洲通信基础设施和网络进行了风险评估。

该风险评估报告题为“欧洲通信基础设施和网络的网络安全和弹性:2022 年 3 月 9 日讷韦尔呼吁的后续行动”,确定了由成员国共同确定的范围,包括威胁和场景。该评估以及差距分析重点关注网络攻击对欧盟通信网络和基础设施造成的风险。它包括对网络和信息系统的物理攻击,与NIS2 指令倡导的综合方法保持一致。

该评估考虑了来自敌对第三国的威胁,包括民族国家黑客、有组织犯罪团体和支持民族国家的黑客活动分子。已识别的通信网络和基础设施威胁范围从擦除器和勒索软件攻击到供应链攻击、物理攻击和破坏。这些威胁利用了现有的漏洞,并对欧盟连接基础设施的安全和弹性构成重大风险。

去年6月,欧盟成员国在欧盟委员会和ENISA的支持下,发布了欧盟5G网络安全工具箱实施情况的第二份进展报告,旨在应对5G网络网络安全相关风险。该报告提供了成员国实施工具箱的最新概况,并涵盖了欧盟工具箱战略和技术措施的实施情况。

根据最新报告中的这些见解,并补充之前在欧盟 5G 网络协调风险评估中确定的九种风险情景,该报告概述了对欧盟具有战略意义的十种额外风险情景。例如,旨在访问运营商基础设施的 供应链攻击或对数字基础设施进行协调一致的物理破坏。

此次风险评估中确定的、从欧盟角度来看具有战略重要性的主要威胁包括勒索软件攻击,其目标是加密文件并索要解密密钥的赎金,最近影响了网络安全格局。擦除器攻击使用类似的方法,但旨在删除或不可逆地加密数据,通常由国家行为者或黑客组织执行,这与勒索软件攻击不同,勒索软件攻击通常是有组织的犯罪集团所为。从针对关键基础设施的大规模擦除器或勒索软件攻击中恢复可能会很漫长且充满挑战。

风险评估报告指出,供应链攻击通常分两个阶段展开——首先针对供应商的网络或系统,例如在硬件或软件中引入漏洞,然后针对实际目标(例如通信网络运营商)进行攻击。这些攻击可以由国家行为者、有组织犯罪或黑客活动团体精心策划,并且影响力特别大,因为它们使攻击者能够同时针对多个操作员。

SolarWinds 事件就是一个例子,该事件影响了全球数百个关键实体。供应链攻击对攻击者很有吸引力,因为他们可以通过利用供应商可能较弱的防御来绕过电信运营商或服务提供商的防御。供应商定期获取设备进行维护,从而增加了风险,从而提供了充分的利用机会。

在针对托管服务提供商 (MSP) 或其他第三方服务的网络攻击中,攻击者间接瞄准电信或服务提供商以绕过其防御。这种方法类似于供应链攻击,可以由国家行为者、有组织犯罪、黑客活动分子甚至不太复杂的攻击者执行,具体取决于 MSP 或第三方的安全措施。这些提供商通常可以定期访问系统以获得支持、维护和更新,这使它们成为有吸引力的目标。

网络入侵通常旨在间谍活动、数据泄露或为进一步的网络攻击奠定基础,这些入侵是隐蔽的且难以检测,可能会产生长期且不可预测的影响。虽然通常是国家行为者从事间谍活动,但有组织的犯罪集团也从事此类活动,以获取有价值的数据以进行出售、勒索或进一步的网络攻击。公共电子通信网络是间谍活动的主要目标,这使得检测和预防网络入侵成为电信运营商面临的严峻挑战,尤其是针对复杂的国家行为者。

DDoS(分布式拒绝服务)攻击会导致网络或系统过载,导致其无法运行,这种攻击可能由国家行为者、有组织的犯罪集团、黑客活动分子甚至缺乏经验的攻击者发起。虽然电信运营商由于对网络的控制而通常对 DDoS 攻击拥有强大的防御能力,但其他关键部门的运营商可能没有做好充分的准备,尽管商业服务可用于缓解大规模 DDoS 攻击。

由于这些基础设施(例如国际水域的海底电缆)的暴露性质,对数据中心、地下和海底电缆、电缆着陆点或卫星站的物理攻击和破坏会带来重大风险。一些成员国严重依赖一些关键的国际连接,缺乏有效的替代方案来改变交通路线。协调一致的攻击,尤其是针对海底电缆的攻击,可能会严重破坏网络功能和连续性,由于深水或冰雪覆盖的位置以及电缆修复船的可用性有限,修复工作面临着挑战。

来自第三国的国家行为者可能会强迫供应商在其产品中植入后门或漏洞,以实施符合其国家利益的网络攻击。风险级别很大程度上受到供应商网络访问和风险状况的影响。将高风险供应商技术纳入成员国的基础设施会增加发生重大网络中断的可能性,这可能源于供应中断、服务故障、更新问题或被利用的后门。供应商通常可以定期访问系统以获得支持、维护和更新,这增加了风险。此外,供应链风险包括威胁停止更新或服务的潜在勒索。

该报告还指出,无论电信运营商的性质如何,断电都是电信运营商的主要担忧。网络攻击可能会针对欧盟电网,将其局部瘫痪,从而导致特定区域(例如边境地区)的无线电网络中断。断电还可能影响依赖中继器的海底电缆。

电信运营商和服务提供商可能会成为内部人员的攻击目标,例如作为民族国家或有组织犯罪集团代理人运作的受感染人员。这些攻击的影响取决于内部人员对敏感数据或关键基础设施的访问权限。如果运营商将关键业务流程外包,特别是外包给第三国,这种风险可能会加剧。

为了减轻这些风险,报告向成员国、欧盟委员会和 ENISA 提出了建议,这些建议将在欧洲电子通信监管机构的支持下实施。

在战略方面,报告建议评估国际互联的弹性;评估核心互联网基础设施(例如海底电缆)的关键性、弹性和冗余性;实施欧盟工具箱实施第二次进度报告中与供应商相关的建议;为固定网络、光纤技术、海底电缆、卫星网络和其他重要 ICT 供应商的供应商和托管服务提供商或托管安全服务提供商的情况创造透明度。

它还建议让电子通信部门参与网络演习和业务合作;促进信息共享并提高运营商对威胁的态势感知;为运营商提供资金支持,以采取技术措施应对其网络中的网络攻击;国家当局之间交流关于数字基础设施物理攻击的良好做法;并将关键基础设施的物理压力测试扩展到包括数字基础设施。

总之,风险评估报告指出,鉴于基础设施和网络范围的重要性以及快速变化的威胁形势,并且在不损害成员国在国家安全方面的能力的情况下,成员国、委员会和 ENISA鼓励在已经开始实施一些建议的工作基础上尽快实施这些增强复原力的措施。

此外,报告还提供了理事会关于欧盟网络态势的结论所要求的正在进行的跨部门网络风险评估以及电信和部分能源部门情景的信息。

去年 7 月,欧盟委员会通过了关键实体弹性指令 (CER) 涵盖的 11 个部门的基本服务清单,旨在增强弹性并进一步确定关键部门的关键实体。成员国必须在 2026 年 7 月 17 日之前确定 CER 指令中规定的部门的关键实体。他们将使用这份基本服务清单来进行风险评估并确定关键实体。一旦确定,关键实体将必须采取措施增强其弹性。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+19赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66