在欧盟委员会和欧盟网络安全局 ENISA 的支持下,欧盟成员国近日发布了一份报告,详细介绍了欧洲通信基础设施和网络的网络安全和弹性。

该报告概述了对欧盟具有战略意义的十种风险情景。

1、擦除器/勒索软件攻击

2、供应链攻击

3、攻击托管服务、托管服务提供商和其他第三方服务商

4、网络入侵

5、DDOS攻击

6、物理攻击/破坏

7、民政国家对供应商的干预

8、攻击运营商之间的互联

9、影响通信网络和基础设施的停电

10、内部威胁

此次风险评估中确定的、从欧盟角度来看具有战略重要性的主要威胁包括勒索软件攻击,其目标是加密文件并索要解密密钥的赎金,最近影响了网络安全格局。擦除器攻击使用类似的方法,但旨在删除或不可逆地加密数据,通常由国家行为者或黑客组织执行,这与勒索软件攻击不同,勒索软件攻击通常是有组织的犯罪集团所为。从针对关键基础设施的大规模擦除器或勒索软件攻击中恢复可能会很漫长且充满挑战。

风险评估报告指出,供应链攻击通常分两个阶段展开——首先针对供应商的网络或系统,例如在硬件或软件中引入漏洞,然后针对实际目标(例如通信网络运营商)进行攻击。这些攻击可以由国家行为者、有组织犯罪或黑客活动团体精心策划,并且影响力特别大,因为它们使攻击者能够同时针对多个操作员。

SolarWinds事件就是一个例子,该事件影响了全球数百个关键实体。供应链攻击对攻击者很有吸引力,因为他们可以通过利用供应商可能较弱的防御来绕过电信运营商或服务提供商的防御。供应商定期获取设备进行维护,从而增加了风险,从而提供了充分的利用机会。

在针对托管服务提供商 (MSP) 或其他第三方服务的网络攻击中,攻击者间接瞄准电信或服务提供商以绕过其防御。这种方法类似于供应链攻击,可以由国家行为者、有组织犯罪、黑客活动分子甚至不太复杂的攻击者执行,具体取决于 MSP 或第三方的安全措施。这些提供商通常可以定期访问系统以获得支持、维护和更新,这使它们成为有吸引力的目标。

网络入侵通常旨在间谍活动、数据泄露或为进一步的网络攻击奠定基础,这些入侵是隐蔽的且难以检测,可能会产生长期且不可预测的影响。虽然通常是国家行为者从事间谍活动,但有组织的犯罪集团也从事此类活动,以获取有价值的数据以进行出售、勒索或进一步的网络攻击。公共电子通信网络是间谍活动的主要目标,这使得检测和预防网络入侵成为电信运营商面临的严峻挑战,尤其是针对复杂的国家行为者。

DDoS(分布式拒绝服务)攻击会导致网络或系统过载,导致其无法运行,这种攻击可能由国家行为者、有组织的犯罪集团、黑客活动分子甚至缺乏经验的攻击者发起。虽然电信运营商由于对网络的控制而通常对 DDoS 攻击拥有强大的防御能力,但其他关键部门的运营商可能没有做好充分的准备,尽管商业服务可用于缓解大规模 DDoS 攻击。

由于这些基础设施(例如国际水域的海底电缆)的暴露性质,对数据中心、地下和海底电缆、电缆着陆点或卫星站的物理攻击和破坏会带来重大风险。一些成员国严重依赖一些关键的国际连接,缺乏有效的替代方案来改变交通路线。协调一致的攻击,尤其是针对海底电缆的攻击,可能会严重破坏网络功能和连续性,由于深水或冰雪覆盖的位置以及电缆修复船的可用性有限,修复工作面临着挑战。

来自第三国的国家行为者可能会强迫供应商在其产品中植入后门或漏洞,以实施符合其国家利益的网络攻击。风险级别很大程度上受到供应商网络访问和风险状况的影响。将高风险供应商技术纳入成员国的基础设施会增加发生重大网络中断的可能性,这可能源于供应中断、服务故障、更新问题或被利用的后门。供应商通常可以定期访问系统以获得支持、维护和更新,这增加了风险。此外,供应链风险包括威胁停止更新或服务的潜在勒索。

该报告还指出,无论电信运营商的性质如何,断电都是电信运营商的主要担忧。网络攻击可能会针对欧盟电网,将其局部瘫痪,从而导致特定区域(例如边境地区)的无线电网络中断。断电还可能影响依赖中继器的海底电缆。

电信运营商和服务提供商可能会成为内部人员的攻击目标,例如作为民族国家或有组织犯罪集团代理人运作的受感染人员。这些攻击的影响取决于内部人员对敏感数据或关键基础设施的访问权限。如果运营商将关键业务流程外包,特别是外包给第三国,这种风险可能会加剧。

为了减轻这些风险,报告向成员国、欧盟委员会和 ENISA 提出了建议,这些建议将在欧洲电子通信监管机构的支持下实施。

在战略方面,报告建议评估国际互联的弹性;评估核心互联网基础设施(例如海底电缆)的关键性、弹性和冗余性;实施欧盟工具箱实施第二次进度报告中与供应商相关的建议;为固定网络、光纤技术、海底电缆、卫星网络和其他重要 ICT 供应商的供应商和托管服务提供商或托管安全服务提供商的情况创造透明度。

它还建议让电子通信部门参与网络演习和业务合作;促进信息共享并提高运营商对威胁的态势感知;为运营商提供资金支持,以采取技术措施应对其网络中的网络攻击;国家当局之间交流关于数字基础设施物理攻击的良好做法;并将关键基础设施的物理压力测试扩展到包括数字基础设施。

总之,风险评估报告指出,鉴于基础设施和网络范围的重要性以及快速变化的威胁形势,并且在不损害成员国在国家安全方面的能力的情况下,成员国、委员会和 ENISA鼓励在已经开始实施一些建议的工作基础上尽快实施这些增强复原力的措施。

此外,报告还提供了理事会关于欧盟网络态势的结论所要求的正在进行的跨部门网络风险评估以及电信和部分能源部门情景的信息。

去年 7 月,欧盟委员会通过了关键实体复原力指令 (CER) 涵盖的 11 个部门的基本服务清单,旨在增强复原力并进一步确定关键部门的关键实体。成员国必须在 2026 年 7 月 17 日之前确定 CER 指令中规定的部门的关键实体。他们将使用这份基本服务清单来进行风险评估并确定关键实体。一旦确定,关键实体将必须采取措施增强其弹性。