欧盟发布关于网络安全、通信网络弹性的综合风险评估报告:具有战略意义的十大网络安全风险场景

在欧盟委员会和欧盟网络安全局 ENISA 的支持下,欧盟成员国近日发布了一份报告,详细介绍了欧洲通信基础设施和网络的网络安全和弹性。

该报告概述了对欧盟具有战略意义的十种风险情景。

1、 擦除器/勒索软件攻击

2、 供应链攻击

3、 攻击托管服务、托管服务提供商和其他第三方服务商

4、 网络入侵

5、 DDOS攻击

6、 物理攻击/破坏

7、 民政国家对供应商的干预

8、 攻击运营商之间的互联

9、 影响通信网络和基础设施的停电

10、内部威胁

此次风险评估中确定的、从欧盟角度来看具有战略重要性的主要威胁包括勒索软件攻击,其目标是加密文件并索要解密密钥的赎金,最近影响了网络安全格局。擦除器攻击使用类似的方法,但旨在删除或不可逆地加密数据,通常由国家行为者或黑客组织执行,这与勒索软件攻击不同,勒索软件攻击通常是有组织的犯罪集团所为。从针对关键基础设施的大规模擦除器或勒索软件攻击中恢复可能会很漫长且充满挑战。

风险评估报告指出,供应链攻击通常分两个阶段展开——首先针对供应商的网络或系统,例如在硬件或软件中引入漏洞,然后针对实际目标(例如通信网络运营商)进行攻击。这些攻击可以由国家行为者、有组织犯罪或黑客活动团体精心策划,并且影响力特别大,因为它们使攻击者能够同时针对多个操作员。

SolarWinds 事件就是一个例子,该事件影响了全球数百个关键实体。供应链攻击对攻击者很有吸引力,因为他们可以通过利用供应商可能较弱的防御来绕过电信运营商或服务提供商的防御。供应商定期获取设备进行维护,从而增加了风险,从而提供了充分的利用机会。

在针对托管服务提供商 (MSP) 或其他第三方服务的网络攻击中,攻击者间接瞄准电信或服务提供商以绕过其防御。这种方法类似于供应链攻击,可以由国家行为者、有组织犯罪、黑客活动分子甚至不太复杂的攻击者执行,具体取决于 MSP 或第三方的安全措施。这些提供商通常可以定期访问系统以获得支持、维护和更新,这使它们成为有吸引力的目标。

网络入侵通常旨在间谍活动、数据泄露或为进一步的网络攻击奠定基础,这些入侵是隐蔽的且难以检测,可能会产生长期且不可预测的影响。虽然通常是国家行为者从事间谍活动,但有组织的犯罪集团也从事此类活动,以获取有价值的数据以进行出售、勒索或进一步的网络攻击。公共电子通信网络是间谍活动的主要目标,这使得检测和预防网络入侵成为电信运营商面临的严峻挑战,尤其是针对复杂的国家行为者。

DDoS(分布式拒绝服务)攻击会导致网络或系统过载,导致其无法运行,这种攻击可能由国家行为者、有组织的犯罪集团、黑客活动分子甚至缺乏经验的攻击者发起。虽然电信运营商由于对网络的控制而通常对 DDoS 攻击拥有强大的防御能力,但其他关键部门的运营商可能没有做好充分的准备,尽管商业服务可用于缓解大规模 DDoS 攻击。

由于这些基础设施(例如国际水域的海底电缆)的暴露性质,对数据中心、地下和海底电缆、电缆着陆点或卫星站的物理攻击和破坏会带来重大风险。一些成员国严重依赖一些关键的国际连接,缺乏有效的替代方案来改变交通路线。协调一致的攻击,尤其是针对海底电缆的攻击,可能会严重破坏网络功能和连续性,由于深水或冰雪覆盖的位置以及电缆修复船的可用性有限,修复工作面临着挑战。

来自第三国的国家行为者可能会强迫供应商在其产品中植入后门或漏洞,以实施符合其国家利益的网络攻击。风险级别很大程度上受到供应商网络访问和风险状况的影响。将高风险供应商技术纳入成员国的基础设施会增加发生重大网络中断的可能性,这可能源于供应中断、服务故障、更新问题或被利用的后门。供应商通常可以定期访问系统以获得支持、维护和更新,这增加了风险。此外,供应链风险包括威胁停止更新或服务的潜在勒索。

该报告还指出,无论电信运营商的性质如何,断电都是电信运营商的主要担忧。网络攻击可能会针对欧盟电网,将其局部瘫痪,从而导致特定区域(例如边境地区)的无线电网络中断。断电还可能影响依赖中继器的海底电缆。

电信运营商和服务提供商可能会成为内部人员的攻击目标,例如作为民族国家或有组织犯罪集团代理人运作的受感染人员。这些攻击的影响取决于内部人员对敏感数据或关键基础设施的访问权限。如果运营商将关键业务流程外包,特别是外包给第三国,这种风险可能会加剧。

为了减轻这些风险,报告向成员国、欧盟委员会和 ENISA 提出了建议,这些建议将在欧洲电子通信监管机构的支持下实施。

在战略方面,报告建议评估国际互联的弹性;评估核心互联网基础设施(例如海底电缆)的关键性、弹性和冗余性;实施欧盟工具箱实施第二次进度报告中与供应商相关的建议;为固定网络、光纤技术、海底电缆、卫星网络和其他重要 ICT 供应商的供应商和托管服务提供商或托管安全服务提供商的情况创造透明度。

它还建议让电子通信部门参与网络演习和业务合作;促进信息共享并提高运营商对威胁的态势感知;为运营商提供资金支持,以采取技术措施应对其网络中的网络攻击;国家当局之间交流关于数字基础设施物理攻击的良好做法;并将关键基础设施的物理压力测试扩展到包括数字基础设施。

总之,风险评估报告指出,鉴于基础设施和网络范围的重要性以及快速变化的威胁形势,并且在不损害成员国在国家安全方面的能力的情况下,成员国、委员会和 ENISA鼓励在已经开始实施一些建议的工作基础上尽快实施这些增强复原力的措施。

此外,报告还提供了理事会关于欧盟网络态势的结论所要求的正在进行的跨部门网络风险评估以及电信和部分能源部门情景的信息。

去年 7 月,欧盟委员会通过了关键实体复原力指令 (CER) 涵盖的 11 个部门的基本服务清单,旨在增强复原力并进一步确定关键部门的关键实体。成员国必须在 2026 年 7 月 17 日之前确定 CER 指令中规定的部门的关键实体。他们将使用这份基本服务清单来进行风险评估并确定关键实体。一旦确定,关键实体将必须采取措施增强其弹性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/706867.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

HarmonyOS—使用数据模型和连接器

Serverless低代码开发平台是一个可视化的平台, 打通了HarmonyOS云侧与端侧能力,能够轻松实现HMS Core、AGC Serverless能力调用。其中,数据模型和连接器是两大主要元素。开发者在使用DevEco Studio的低代码功能进行开发时,可以使用…

Redis有哪些原子命令?

SET key value [NX|XX]:将键key设置为指定的字符串value,如果键不存在,则创建,如果键已经存在,则覆盖原有值。可选参数NX表示仅在键不存在时设置值,XX表示仅在键已存在时设置值。 GETSET key value&#x…

给生成出来的a链接或其他dom节点添加点击事件

onMounted(() > {nextTick(() > {const domNodes document.querySelectorAll(a)console.log(domNodes)domNodes.forEach((item, index) > {item.addEventListener(click, async () > {// 点击文章后进行统计console.log(点击了节点!, index)})})}) })q…

npm install的-S和-D的区别

在npm install参数中,-S代表 --save,-D标志--save-dev。 1、-S (--save) 用于将包添加到项目的 dependencies,表示这是在生产环境中运行时所需的依赖。例如:npm install package-name -S,这将把 package-name 添加到 …

express+mysql+vue,从零搭建一个商城管理系统5--用户注册

提示:学习express,搭建管理系统 文章目录 前言一、新建user表二、安装bcryptjs、MD5、body-parser三、修改config/db.js四、新建config/bcrypt.js五、新建models文件夹和models/user.js五、index.js引入使用body-parser六、修改routes/user.js七、启动项…

书生·浦语大模型全链路开源体系介绍

背景介绍 随着人工智能技术的迅猛发展,大模型技术已成为当今人工智能领域的热门话题。2022 年 11 月 30 日,美国 OpenAI 公司发布了 ChatGPT 通用型对话系统 并引发了全球 的极大关注,上线仅 60 天月活用户数便超过 1 亿,成为历史…

淘宝问大家植入广告

随着电子商务的迅猛发展,各大电商平台都在努力提升用户体验,打造更加互动和有趣的购物环境。淘宝作为中国最大的电商平台之一,其“问大家”功能作为社区互动的重要一环,不仅为买家提供了提问和分享经验的平台,也成为卖…

【实践总结】文件上传可能导致的DoS

通过CVE-2023-24998了解上传的可能隐患 Apache Commons FileUpload场景 条件1&#xff1a; &#xff08;影响版本&#xff09; <!-- Apache Commons FileUpload --><dependency><groupId>commons-fileupload</groupId><artifactId>commons-file…

【小沐学QT】QT学习之OpenGL开发笔记

文章目录 1、简介2、Qt QOpenGLWidget gl函数3、Qt QOpenGLWidget qt函数4、Qt QOpenGLWindow5、Qt glut6、Qt glfw结语 1、简介 Qt提供了与OpenGL实现集成的支持&#xff0c;使开发人员有机会在更传统的用户界面的同时显示硬件加速的3D图形。 Qt有两种主要的UI开发方…

【Azure 架构师学习笔记】-Azure Synapse -- Link for SQL 实时数据加载

本文属于【Azure 架构师学习笔记】系列。 本文属于【Azure Synapse】系列。 前言 Azure Synapse Link for SQL 可以提供从SQL Server或者Azure SQL中接近实时的数据加载。通过这个技术&#xff0c;使用SQL Server/Azure SQL中的新数据能够几乎实时地传送到Synapse&#xff08;…

音视频数字化(视频的数字化)

前面我们已经聊了音频的数字化【音视频数字化(音频数字化)】,并且介绍了音乐CD的那些事儿【音视频数字化(音乐CD)】。从原理上讲,视频的数字化与音频大致相仿,只是相对复杂。 目录 1、模拟视频 2、视频采集 2、压缩标准 1、模拟视频 在【音视频数字化(数字与模拟…

前端路由与后端路由的区别

聚沙成塔每天进步一点点 ⭐ 专栏简介 前端入门之旅&#xff1a;探索Web开发的奇妙世界 欢迎来到前端入门之旅&#xff01;感兴趣的可以订阅本专栏哦&#xff01;这个专栏是为那些对Web开发感兴趣、刚刚踏入前端领域的朋友们量身打造的。无论你是完全的新手还是有一些基础的开发…

react useContext 用法

1 创建createContext import React, { useContext, useEffect, useState } from react const GlobalContext React.createContext() 2 GlobalContext 作为提供者 export default function App(){ const [filmList,setfilmList] useState([]); const [info,setinfo] useS…

SQL注入漏洞解析--less-7

我们先看一下第七关 页面显示use outfile意思是利用文件上传来做 outfile是将检索到的数据&#xff0c;保存到服务器的文件内&#xff1a; 格式&#xff1a;select * into outfile "文件地址" 示例&#xff1a; mysql> select * into outfile f:/mysql/test/one f…

Vue源码系列讲解——实例方法篇【一】(数据相关方法)

目录 0. 前言 1. vm.$watch 1.1 用法回顾 1.2 内部原理 2. vm.$set 2.1 用法回顾 2.2 内部原理 3. vm.$delete 3.1 用法回顾 3.2 内部原理 0. 前言 与数据相关的实例方法有3个&#xff0c;分别是vm.$set、vm.$delete和vm.$watch。它们是在stateMixin函数中挂载到Vue原…

【OnlyOffice】 桌面应用编辑器,版本8.0已发布,PDF表单、RTL支持、Moodle集成、本地界面主题

ONLYOFFICE桌面编辑器v8.0是一款功能强大、易于使用的办公软件&#xff0c;适用于个人用户、企业团队和教育机构&#xff0c;帮助他们高效地处理文档工作并实现协作。无论是在Windows、macOS还是Linux平台上&#xff0c;ONLYOFFICE都能提供无缝的编辑和共享体验。 目录 ONLYOFF…

ESP32语音转文字齐护百度在线语音识别

一、导入(10分钟&#xff09; 学习目的 二、新授(70分钟) 1.预展示结果(5分钟) 2.本节课所用的软硬件(5分钟) 4.图形化块介绍(10分钟) 5.单个模块的简单使用(10分钟) 6.在线语音转换工具逻辑分析(10分钟) 7.在线语音转换工具分步实现(30分钟) 三、巩固练习(5分钟) 四、课堂小结…

腾讯云4核8G的云服务器性能水平?使用场景说明

腾讯云4核8G服务器适合做什么&#xff1f;搭建网站博客、企业官网、小程序、小游戏后端服务器、电商应用、云盘和图床等均可以&#xff0c;腾讯云4核8G服务器可以选择轻量应用服务器4核8G12M或云服务器CVM&#xff0c;轻量服务器和标准型CVM服务器性能是差不多的&#xff0c;轻…

【办公类-21-04】20240227单个word按“段落数”拆分多个Word(三级育婴师操作参考题目 有段落文字和表格 1拆13份)

作品展示 背景需求&#xff1a; 最近学育婴师&#xff0c;老师发了一套doc操作参考 但是老师是一节节授课的&#xff0c;每节都有视频&#xff0c;如果做在一个文档里&#xff0c;会很长很长&#xff0c;容易找不到。所以我需要里面的单独文字的docx。 以前的方法是 1、打开源…

Android studio 六大基本布局详解

Android studio 六大基本布局详解 一、Android studio1.Android studio简介2.架构组成3.地址3.1 [官网地址](https://developer.android.google.cn/)3.2 [官方下载地址](https://developer.android.google.cn/studio?hlzh-cn) 二、Android studio六大基本布局详解1.Android六大…