網(wǎng)絡(luò)威脅形勢分析報告

孫舒揚

2019年1月，歐盟網(wǎng)絡(luò)與信息安全局（ENISA）發(fā)布第七份年度《網(wǎng)絡(luò)威脅形勢分析報告》，分析了2018年網(wǎng)絡(luò)威脅情報現(xiàn)狀，對15項主要網(wǎng)絡(luò)威脅進(jìn)行了年度評估，總結(jié)了相關(guān)威脅代理和攻擊向量的發(fā)展趨勢，并提出了政策、企業(yè)和研究方面的建議。報告認(rèn)為威脅代理動機和策略的調(diào)整使2018年網(wǎng)絡(luò)威脅形式發(fā)生了重大的變化。報告建議歐盟各成員國應(yīng)消除收集網(wǎng)絡(luò)威脅情報方面的監(jiān)管障礙，并協(xié)調(diào)行動，共享情報，同時需開發(fā)相關(guān)能力，以降低對歐盟以外資源的依賴，提高網(wǎng)絡(luò)威脅情報質(zhì)量。賽迪智庫網(wǎng)絡(luò)安全研究所對該報告進(jìn)行了編譯，期望對我國網(wǎng)絡(luò)安全產(chǎn)業(yè)有所幫助。

網(wǎng)絡(luò)威脅情報現(xiàn)狀

2018年，網(wǎng)絡(luò)威脅情報相關(guān)最佳實踐、工具、培訓(xùn)課程和標(biāo)準(zhǔn)不斷改善，這些進(jìn)展源于對情境化、可執(zhí)行威脅信息需求的日益增長。與2017年相同，大型機構(gòu)依舊是網(wǎng)絡(luò)威脅情報的主要客戶群。值得一提的是，網(wǎng)絡(luò)威脅情報與安全運營中心、威脅搜尋、安全信息與事件管理等網(wǎng)絡(luò)安全領(lǐng)域共同成熟起來了。

網(wǎng)絡(luò)威脅情報的積極進(jìn)展：1.很好地收集公開網(wǎng)絡(luò)威脅情報信息，已有信息收集引擎和工具，包括根據(jù)威脅/攻擊類型的綜合收集。2.良好的信息共享，尤其是低機密性威脅事件，已有臨時或正式的網(wǎng)絡(luò)威脅情報信息共享網(wǎng)絡(luò)。松散耦合的個人和用戶群利用網(wǎng)絡(luò)威脅情報信息建立了常見威脅資源庫。3.網(wǎng)絡(luò)威脅情報大多數(shù)方面都有充分培訓(xùn)機會，專業(yè)和非營利組織都可提供網(wǎng)絡(luò)威脅情報全面培訓(xùn)。4.內(nèi)容全面的網(wǎng)絡(luò)威脅情報實踐，各國學(xué)術(shù)和私營機構(gòu)已公布了成熟的網(wǎng)絡(luò)威脅最佳實踐。5.收集和關(guān)聯(lián)層面良好的工具支持，尤其是操作性網(wǎng)絡(luò)威脅情報，已有大量可提高網(wǎng)絡(luò)威脅情報信息關(guān)聯(lián)度、促進(jìn)減輕威脅糾正措施識別的工具（商業(yè)來源和開放來源）。

雖然網(wǎng)絡(luò)威脅情報取得了上述進(jìn)展，但專家認(rèn)為網(wǎng)絡(luò)威脅情報在以下方面仍有待完善：1.較高機密性事件網(wǎng)絡(luò)威脅情報信息的共享，有專家認(rèn)為，網(wǎng)絡(luò)威脅情報需滲透到網(wǎng)絡(luò)安全的重要領(lǐng)域，尤其是應(yīng)對緊急情況時網(wǎng)絡(luò)威脅情報的使用問題尚未充分解決。2.網(wǎng)絡(luò)威脅情報信息收集行為的法律要求，需進(jìn)一步分析網(wǎng)絡(luò)威脅情報收集的法律框架。多數(shù)國家/行業(yè)仍將收集情報視為犯罪行為，限制了相應(yīng)活動。3.更好/準(zhǔn)確地識別操作環(huán)境，網(wǎng)絡(luò)威脅情報不僅應(yīng)遵循技術(shù)趨勢，還需盡早與業(yè)務(wù)對接。4.網(wǎng)絡(luò)安全領(lǐng)域周期不同步，由于網(wǎng)絡(luò)威脅情報及相關(guān)領(lǐng)域（事件管理、事件響應(yīng)、威脅搜尋和漏洞管理）存在一定的靈活性，難以與企業(yè)風(fēng)險管理周期適當(dāng)對接。必須將這些周期相互連接起來，以免失去協(xié)同優(yōu)勢。5.需確定網(wǎng)絡(luò)威脅情報相關(guān)方，并整合到網(wǎng)絡(luò)威脅情報周期中，這是網(wǎng)絡(luò)威脅情報專業(yè)人員主要關(guān)注點之一，需要在需求分析階段改善與相關(guān)方的互動。6.戰(zhàn)略性網(wǎng)絡(luò)威脅情報需更好地在戰(zhàn)略層面?zhèn)鬟_(dá)給企業(yè)。為此，應(yīng)使用標(biāo)準(zhǔn)化術(shù)語，并與管理層進(jìn)行適當(dāng)溝通。7.網(wǎng)絡(luò)威脅情報需更好地對接主題，如果網(wǎng)絡(luò)威脅情報能夠?qū)?zhǔn)機構(gòu)的特定主題、業(yè)務(wù)或IT組件會更有意義。8.需加強網(wǎng)絡(luò)威脅情報報告的展示、利用和分析技術(shù)，目前，在對網(wǎng)絡(luò)威脅情報團隊以外受眾方面并未投入太多精力。應(yīng)針對受眾制定網(wǎng)絡(luò)威脅情報信息樣式指南，主要內(nèi)容包括可視化、分析技術(shù)和結(jié)論在先模式。9.需開發(fā)網(wǎng)絡(luò)威脅情報技能文件和職責(zé)，并使其適應(yīng)所采用的網(wǎng)絡(luò)威脅情報（成熟度）模型，事實上，這是網(wǎng)絡(luò)威脅情報存在的技能短缺問題。盡管該建議有望擴大網(wǎng)絡(luò)威脅情報技能的覆蓋面，但現(xiàn)有的網(wǎng)絡(luò)威脅情報技能文件描述并未考慮到各級網(wǎng)絡(luò)威脅情報成熟度水平的要求。10.情報與網(wǎng)絡(luò)威脅情報之間的對接，迄今為止，大多數(shù)網(wǎng)絡(luò)威脅情報最佳實踐都是基于信息收集與分析技術(shù)。而2018年網(wǎng)絡(luò)威脅情報和傳統(tǒng)情報之間的相關(guān)性成為重中之重。專家認(rèn)為，將這兩個學(xué)科聯(lián)系起來將使網(wǎng)絡(luò)威脅情報更貼近于眾多非技術(shù)相關(guān)方，同時也將提高評估質(zhì)量。11.將網(wǎng)絡(luò)威脅情報視為一項功能，網(wǎng)絡(luò)威脅情報需脫離純技術(shù)領(lǐng)域，成為植根于經(jīng)濟、地理、監(jiān)管、經(jīng)濟和戰(zhàn)略領(lǐng)域的獨立功能。

在總結(jié)了網(wǎng)絡(luò)威脅情報的現(xiàn)狀之后，本報告認(rèn)為，歐洲各企業(yè)、成員國和機構(gòu)需建立以下網(wǎng)絡(luò)威脅情報工具：1.歐洲原始數(shù)據(jù)存儲庫，將網(wǎng)絡(luò)威脅情報建立在從運營系統(tǒng)收集的大量信息之上。歐洲需發(fā)展此類信息收集能力，在這一關(guān)鍵領(lǐng)域擁有自主權(quán)。2.利用歐盟網(wǎng)絡(luò)威脅情報能力（規(guī)劃、收集、整理、分析、評估、傳播），歐洲需開發(fā)其網(wǎng)絡(luò)威脅情報能力，建立獨立的網(wǎng)絡(luò)威脅情報知識庫，并將網(wǎng)絡(luò)威脅情報能力作為一項功能納入到需要網(wǎng)絡(luò)威脅情報處理緊急事件的歐洲倡議中。3.網(wǎng)絡(luò)威脅情報成熟度模型，需與國內(nèi)外合作伙伴共同開發(fā)網(wǎng)絡(luò)威脅情報成熟度模型。4.根據(jù)成熟度開發(fā)網(wǎng)絡(luò)威脅情報技能文件/職責(zé)，需定義各種網(wǎng)絡(luò)威脅情報職責(zé)與文件，并使其適應(yīng)成熟度模型。歐洲在該領(lǐng)域展開的活動將成為相關(guān)教育活動的基礎(chǔ)。反過來，這也將加強歐洲網(wǎng)絡(luò)威脅情報行業(yè)的就業(yè)市場，強化歐洲網(wǎng)絡(luò)威脅情報資源的獨立性。5.網(wǎng)絡(luò)威脅情報能力，針對中小型企業(yè)的網(wǎng)絡(luò)威脅情報即服務(wù)（CaaS），中小企業(yè)是實施IT系統(tǒng)的主體，也是網(wǎng)絡(luò)威脅情報知識的重要受體。然而，由于缺乏相關(guān)技能，這類機構(gòu)幾乎無網(wǎng)絡(luò)威脅情報消費，需開發(fā)并實施使用工具和自動化技術(shù)的新型網(wǎng)絡(luò)威脅情報模型。6.提升網(wǎng)絡(luò)威脅情報文化，網(wǎng)絡(luò)威脅情報從業(yè)者需組織為一個共同體，以便基于最佳實踐、知識和經(jīng)驗共享提升網(wǎng)絡(luò)威脅情報文化。

2018年主要網(wǎng)絡(luò)威脅及趨勢

（一）惡意軟件。2018年，惡意軟件仍是最常見的網(wǎng)絡(luò)威脅，占所報告全部數(shù)據(jù)泄露事件的30%。雖然并未爆發(fā)類似WannaCry和Petya的全球性惡意軟件事件，2018年惡意軟件攻擊形勢也有所變化，值得注意的趨勢包括：網(wǎng)絡(luò)威脅正從勒索軟件向非法加密挖礦轉(zhuǎn)移;針對物聯(lián)網(wǎng)設(shè)備的惡意軟件攻擊逐漸增多;網(wǎng)絡(luò)罪犯和網(wǎng)絡(luò)間諜之間的界限更加模糊;非文件式攻擊技術(shù)的攻擊效能提高，成為普遍現(xiàn)象;攻擊軟件套件減少使惡意軟件更難傳播;開源惡意軟件應(yīng)用持續(xù)增多;移動威脅不斷增加;金融木馬攻擊逐年下降。

（二）網(wǎng)頁攻擊。網(wǎng)頁攻擊是針對網(wǎng)站系統(tǒng)和服務(wù)的攻擊，由于傳播面較廣，多個高級持續(xù)性威脅小組持續(xù)利用這一技術(shù)發(fā)起攻擊，使其依舊是最重要的威脅之一。在端到端攻擊路徑中，惡意軟件和攻擊技術(shù)越來越依賴將網(wǎng)站系統(tǒng)和服務(wù)用作傳輸機制，因此這一威脅預(yù)計將進(jìn)一步加劇。

（三）網(wǎng)絡(luò)應(yīng)用程序攻擊。網(wǎng)絡(luò)應(yīng)用程序攻擊是指企圖直接或間接利用網(wǎng)絡(luò)服務(wù)和應(yīng)用程序中的漏洞濫用其應(yīng)用程序接口、運行時環(huán)境或服務(wù)，這類攻擊通常與網(wǎng)頁攻擊相重疊。由于企業(yè)越來越依賴網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)應(yīng)用程序日益成為攻擊者的重點目標(biāo)。2018年這類攻擊略有減少，但攻擊者的攻擊能力也變得更加高效且自動化。另一方面，由于網(wǎng)絡(luò)應(yīng)用程序攻擊在互聯(lián)網(wǎng)攻擊中占比較大，各企業(yè)和機構(gòu)也加大了對網(wǎng)絡(luò)應(yīng)用程序檢測、保護(hù)和防御系統(tǒng)的投資。

（四）網(wǎng)絡(luò)釣魚。網(wǎng)絡(luò)釣魚是一種信息制作機制，即利用社交工程技術(shù)來誘騙接收者“上鉤”。具體來說，網(wǎng)絡(luò)釣魚者試圖引誘信息接收者打開惡意附件，點擊不安全鏈接。目前，網(wǎng)絡(luò)釣魚仍是攻擊機構(gòu)的首選方式，利用率非常之高，據(jù)調(diào)查，90%以上的惡意軟件感染和 72%的數(shù)據(jù)泄露都源于網(wǎng)絡(luò)釣魚攻擊。

（五）拒絕服務(wù)。（分布式）拒絕服務(wù)是網(wǎng)絡(luò)環(huán)境中極具影響力的威脅之一，幾乎可以針對任何企業(yè)或機構(gòu)。雖然清除“webstressor.org”服務(wù)執(zhí)法活動在打擊此類惡意活動方面發(fā)揮了關(guān)鍵作用，但諸如此類雇傭服務(wù)的分布式拒絕服務(wù)攻擊仍屢見不鮮。另一方面，全球聯(lián)網(wǎng)服務(wù)數(shù)量不斷增加，設(shè)備運行與服務(wù)提供對物聯(lián)網(wǎng)的依賴性越來越高，引發(fā)對拒絕服務(wù)攻擊等威脅的擔(dān)憂，這些威脅可能導(dǎo)致醫(yī)療等相關(guān)服務(wù)業(yè)務(wù)和關(guān)鍵系統(tǒng)的全國性癱瘓。世界各地的報告和研究表明，分布式拒絕服務(wù)活動的數(shù)量正在不斷增加（增加了16%），且可能有大量大型攻擊尚未發(fā)現(xiàn)。

（六）垃圾郵件。垃圾郵件是指濫用電子郵件和消息傳遞技術(shù)，自發(fā)向用戶發(fā)送大量郵件。由于發(fā)送成本非常低，而對垃圾郵件收件人和服務(wù)供應(yīng)商會產(chǎn)生很高的時間和經(jīng)濟成本，因此其仍是流行的主要攻擊途徑之一。但是，近年來清除僵尸網(wǎng)絡(luò)的聯(lián)合執(zhí)法活動的展開以及反垃圾郵件技術(shù)的進(jìn)步都使得垃圾郵件有所減少。

（七）僵尸網(wǎng)絡(luò)。2018年，僵尸網(wǎng)絡(luò)參與多種惡意活動，十分活躍。阿卡邁公司報告指出，每個僵尸網(wǎng)絡(luò)每小時可創(chuàng)建30萬次惡意登錄嘗試，美國、俄羅斯和越南的此類攻擊最多。2018年還有一個有趣的趨勢，即更新與補丁增強了VpnFilter、HideN Seek等僵尸網(wǎng)絡(luò)的功能。

（八）數(shù)據(jù)泄露。數(shù)據(jù)泄露是對數(shù)據(jù)外泄或暴露事件的統(tǒng)稱，與其他網(wǎng)絡(luò)威脅結(jié)果直接相關(guān)。根據(jù)歐洲刑警組織報告，數(shù)據(jù)泄露事件中 73%為外部個人惡意行為體所為，50%為有組織的犯罪集團所為，此外，約12%是國家支持的行為體所為。在地域方面，北美是最受歡迎的攻擊對象，其數(shù)據(jù)泄露事件占比57%，被泄露記錄占比72%。歐洲的數(shù)據(jù)泄露事件減少了36%，但泄露記錄卻增加了28%。

（九）內(nèi)部威脅。每家企業(yè)或機構(gòu)都可能存在內(nèi)部威脅。常見的內(nèi)部威脅類型有三種：惡意的內(nèi)部員工——故意濫用訪問權(quán)限;粗心大意的內(nèi)部員工——草率或未按政策和安全指令濫用訪問權(quán)限;被連累的內(nèi)部員工——無意中成為真正的攻擊者的攻擊途徑。2018年內(nèi)部威脅趨勢有所下降，主要是因為機構(gòu)內(nèi)部并不經(jīng)常公開披露威脅事件。根據(jù)卡巴斯基公司的調(diào)查，約53%的企業(yè)至少發(fā)生過一起內(nèi)部威脅事件，約20%的企業(yè)發(fā)生過6起以上的內(nèi)部威脅事件。

（十）物理操作/破壞/盜竊/損失。雖然物理攻擊不是通常意義上的網(wǎng)絡(luò)威脅，但在當(dāng)今的企業(yè)中仍然存在。在《通用數(shù)據(jù)保護(hù)條例》時代，企業(yè)越來越關(guān)注設(shè)備內(nèi)部的數(shù)據(jù)，尤其是個人識別信息數(shù)據(jù)和知識產(chǎn)權(quán)。雖然加密存儲足以緩解物理攻擊的主要風(fēng)險，但企業(yè)中一致性企業(yè)級加密策略普及度停滯不前。對設(shè)備的物理訪問也使攻擊者有機會實施惡意行動，如自助取款機欺詐、刷卡機攻擊等。據(jù)調(diào)查，金融行業(yè)25%的數(shù)據(jù)泄露事件是由設(shè)備丟失或被盜引起。

（十一）信息泄露。信息泄露是主要網(wǎng)絡(luò)威脅之一，受損失的信息涵蓋通過互聯(lián)網(wǎng)企業(yè)和在線服務(wù)收集的個人數(shù)據(jù)到存儲在IT基礎(chǔ)設(shè)施中的業(yè)務(wù)數(shù)據(jù)。信息泄露通常是個人行為或機構(gòu)內(nèi)的流程故障所致，有時技術(shù)失誤或配置錯誤也可能導(dǎo)致信息泄露。近期報告表明，無意泄露是2018年信息泄露的主要原因。在數(shù)據(jù)泄露所涉及的人員中，內(nèi)部人員占29%，其中26%是系統(tǒng)管理員，22%是終端用戶，12%是醫(yī)生或護(hù)士，22%是其他人。

（十二）身份盜用。身份盜用是指竊取個人的身份信息，此類欺詐威脅因公民個人數(shù)據(jù)的大規(guī)模數(shù)字化而得以加劇。由于攻擊者往往需要多項個人信息才能準(zhǔn)確“創(chuàng)建”某一特定人物的完整檔案，因此身份盜用會涉及各種類型的數(shù)據(jù)。如果這些信息不足以拼湊成完整檔案，攻擊者之間還會通過暗網(wǎng)交換數(shù)據(jù)。身份盜用威脅與各行業(yè)領(lǐng)域的企業(yè)或機構(gòu)中的數(shù)據(jù)泄露密切相關(guān)。2018年，泄露記錄的平均數(shù)量增加了 2.2%，由此可以斷定，在報告期內(nèi)，身份盜用趨勢也在增加。

（十三）非法加密挖礦。2018年可以稱為是非法加密挖礦之年。非法加密挖礦（也稱加密貨幣挖礦）是一個新術(shù)語，指的是可在未經(jīng)受害者同意的情況下，利用受害者的設(shè)備處理能力挖掘加密貨幣的程序。網(wǎng)絡(luò)罪犯利用受害者的處理能力（通常為70%至 80%未使用的處理能力）挖掘加密貨幣，在合法交換和交易后完成貨幣化，賺取現(xiàn)實世界的金錢。2018年第一季度，非法加密挖礦惡意軟件增長了629%。加密貨幣挖礦在不斷增長。此外，由于越來越多的員工使用其所在機構(gòu)的（超級）計算機牟取利潤，因此可以預(yù)測，“內(nèi)部礦工”即將崛起。

（十四）勒索軟件。出于盈利目的，攻擊者每年都會對各種各樣的機構(gòu)發(fā)起勒索軟件攻擊。勒索軟件攻擊者獲得文件和/或各種設(shè)備的所有權(quán)，并阻止真正的所有者訪問。為了返還所有權(quán)，攻擊者會要求在加密貨幣中支付贖金。根據(jù)多個安全研究小組調(diào)查，2018年勒索軟件事件總量有所減少，但其中對加密貨幣挖礦的攻擊卻有所增加。

在對加密貨幣挖礦的攻擊中，攻擊者更注重掌控機器的計算能力，并不斷鑊取財富，而不是一次性支付贖金。即使勒索軟件狀況不斷變化，但仍有許多行業(yè)遭受此類攻擊。例如，2018年，在針對醫(yī)療設(shè)備的惡意軟件中，85%以上是勒索軟件。此外，在所有領(lǐng)域的30362起安全漏洞事件中，有973起（3.2%）是勒索軟件所致，勒索軟件威脅仍不容忽視。

（十五）網(wǎng)絡(luò)間諜。全球安全研究機構(gòu)的各種報告顯示，網(wǎng)絡(luò)間諜活動越來越普遍。此類威脅通常針對的是全球工業(yè)領(lǐng)域的關(guān)鍵性和戰(zhàn)略性基礎(chǔ)設(shè)施，包括政府、鐵路、電信供應(yīng)商、能源企業(yè)、醫(yī)院和銀行。網(wǎng)絡(luò)間諜專注于竊取國家和商業(yè)機密以及戰(zhàn)略領(lǐng)域的知識產(chǎn)權(quán)和專有信息，還可鼓動經(jīng)濟、工業(yè)、外國情報機構(gòu)中的行為體及其代表行為體。據(jù)Hackmageddon 調(diào)查顯示，2018年網(wǎng)絡(luò)間諜在網(wǎng)絡(luò)攻擊動機的占比略有下降，約下降了2%。

威脅代理及趨勢

任何導(dǎo)致、攜帶、傳播或支持威脅的人或物都可以被認(rèn)為是威脅代理（Threat Agents）。2018年底，對威脅代理的認(rèn)定出現(xiàn)重大飛躍，主要是因為各國打擊恐怖主義投入持續(xù)增加以及越來越多地將網(wǎng)絡(luò)戰(zhàn)和網(wǎng)絡(luò)間諜活動用于政治和外交方面。

威脅代理的識別目前已成為網(wǎng)絡(luò)威脅緩解的核心要素，從防御者的角度看，威脅代理的趨勢/進(jìn)步中值得注意的是：1.動機可視化、方法識別等方法有助于識別威脅代理種類與來源。2.防御者在向威脅代理關(guān)鍵基礎(chǔ)設(shè)施滲透方面做了很多努力，通過結(jié)合網(wǎng)絡(luò)威脅情報和情報技能，已經(jīng)取得了一些令人印象深刻的成就。3.威脅情報專家強調(diào)基于殺傷鏈的防御策略將防御置于后期階段（即指揮和控制，對目標(biāo)的行動），早期階段的防御策略往往被忽視，防御效率低。

從威脅代理的角度看：1.傳統(tǒng)的國家贊助威脅代理人正隨著不斷變化的地緣政治空間重新自我定位， 雖然監(jiān)測到某些群體的活動似乎有所減少，但有可能是因為戰(zhàn)術(shù)和目標(biāo)發(fā)生了變化。2.攻擊策略轉(zhuǎn)變。一些威脅代理能力增強，對行業(yè)開展針對性攻擊時多采用與時間相關(guān)的攻擊策略，通過改進(jìn)的社會工程策略進(jìn)行選擇性網(wǎng)絡(luò)釣魚，通過遠(yuǎn)程訪問工具接口安裝有效負(fù)載等。3.發(fā)現(xiàn)的漏洞數(shù)量增加。2018年總體漏洞數(shù)達(dá)到最高，軟件供應(yīng)商的漏洞修補工作也有所增加。4.威脅代理引入了避免攻擊歸因和檢測的新方法。無文件和內(nèi)存駐留威脅以及常見攻擊工具的使用既能有效達(dá)成目的，同時有效地隱藏了特征。這是一種普遍趨勢，一方面表現(xiàn)為攻擊模式多樣化，另一方面表現(xiàn)為監(jiān)測到已知威脅代理人活動的減少。5.威脅行為者正在利用供應(yīng)鏈實現(xiàn)其目標(biāo)。供應(yīng)鏈攻擊主要是由高能力代理發(fā)起的，應(yīng)被視為“關(guān)鍵威脅”。

結(jié)論

ENISA2018年網(wǎng)絡(luò)威脅形勢報告的結(jié)論分為三類，即政策類、企業(yè)類和研究/教育類。

（一）政策方面。各國政府、歐盟成員國及歐盟機構(gòu)需促進(jìn)對網(wǎng)絡(luò)威脅情報人員的培訓(xùn)。由于該技能的市場需求不斷增加，行業(yè)部門提供的待遇較為豐厚，政府部門需創(chuàng)造能夠吸引人才、挽留人才的就業(yè)條件。

歐盟和歐盟成員國需投資建設(shè)網(wǎng)絡(luò)威脅情報能力，開發(fā)技能和基礎(chǔ)設(shè)施（技術(shù)、人力）。此類活動將有助于改善歐洲的網(wǎng)絡(luò)威脅情報能力，并增強其獨立性，提高網(wǎng)絡(luò)威脅情報知識質(zhì)量水平，并使其成為成功管理歐洲內(nèi)部關(guān)鍵活動（尤其是針對關(guān)鍵基礎(chǔ)設(shè)施的活動）的有效資源。

網(wǎng)絡(luò)威脅情報知識的質(zhì)量在很大程度上取決于所獲取的信息。歐洲和世界范圍內(nèi)仍存在一些阻礙獲取信息的障礙，如監(jiān)管框架各不相同、無法獲得可靠的事件信息、缺乏信息共享等。應(yīng)制定能夠消除法律和監(jiān)管障礙的政策，以更好地獲取信息，從而獲得網(wǎng)絡(luò)威脅情報。從某種程度上來說，網(wǎng)絡(luò)威脅情報是一種公共產(chǎn)品。政府部門需資助創(chuàng)建網(wǎng)絡(luò)威脅情報知識中心，支持開發(fā)適用于各類機構(gòu)的成熟經(jīng)驗和工具，這將直接增強對關(guān)鍵資產(chǎn)的保護(hù)。目前，許多組織已加入網(wǎng)絡(luò)空間的網(wǎng)絡(luò)活動，政府部門需采取預(yù)防措施，以免因活動和職責(zé)交叉而造成曲解。此類措施應(yīng)能促進(jìn)網(wǎng)絡(luò)威脅情報信息共享，并避免各國之間的重復(fù)工作。

主管部門需努力縮小終端用戶與高端網(wǎng)絡(luò)威脅情報運營商之間的差距。這就需要提供易于非專業(yè)用戶理解的網(wǎng)絡(luò)威脅情報知識和服務(wù)。在制定政策時，需引入基于新興網(wǎng)絡(luò)安全挑戰(zhàn)和威脅的更高層級的全面篩查活動，并將其作為決策考慮因素。此類活動應(yīng)以場景設(shè)想為基礎(chǔ)，且應(yīng)能為監(jiān)管活動框架內(nèi)的影響評估提供有價值的見解。

（二）企業(yè)方面。各企業(yè)需開發(fā)可行的網(wǎng)絡(luò)威脅情報服務(wù)，以涵蓋大量網(wǎng)絡(luò)威脅情報技能較低甚至沒有網(wǎng)絡(luò)威脅情報的企業(yè)。此類服務(wù)應(yīng)面向各種成熟度級別，并基于網(wǎng)絡(luò)威脅情報信息提供自動化資產(chǎn)保護(hù)。

各企業(yè)需定義網(wǎng)絡(luò)威脅情報知識管理流程。此類流程需與其他網(wǎng)絡(luò)安全流程同步，尤其是風(fēng)險管理流程，以提高流程的靈活性，從而適應(yīng)網(wǎng)絡(luò)威脅情報知識管理的敏捷性要求。

各企業(yè)需采取措施應(yīng)對網(wǎng)絡(luò)攻擊自動化趨勢。所制定的解決方案應(yīng)包含基于網(wǎng)絡(luò)威脅情報自動調(diào)整控制措施的工具。此類解決方案應(yīng)根據(jù)安全預(yù)算較低的企業(yè)的需求專門制定。

各企業(yè)應(yīng)推測潛在網(wǎng)絡(luò)攻擊的影響，從而預(yù)估客戶群可能面臨的風(fēng)險。通過考慮用戶的潛在損失，企業(yè)應(yīng)減少攻擊面，幫助終端用戶保護(hù)資產(chǎn)。這種方法將增強用戶信任，消除技術(shù)部署障礙，對于物聯(lián)網(wǎng)、電子醫(yī)療保健、移動計算等領(lǐng)域尤為重要。

各企業(yè)應(yīng)了解供應(yīng)鏈威脅。這種威脅在涉及多個供應(yīng)商的復(fù)雜產(chǎn)品的開發(fā)過程中較為常見。雖然為各種開發(fā)階段制定定性標(biāo)準(zhǔn)可能會有所幫助，但評估所用組件的端到端特性也非常重要。所用組件的簡化認(rèn)證過程可能是減少暴露于此類威脅之下的另一種選擇。

（三）技術(shù)、研究與教育方面。必須開展行業(yè)威脅評估。此類評估應(yīng)針對特定技術(shù)領(lǐng)域，且應(yīng)有助于行業(yè)用戶管理其所在環(huán)境中的威脅。

不同層級的網(wǎng)絡(luò)犯罪逐漸走向?qū)I(yè)化。網(wǎng)絡(luò)犯罪分子正在組合其技能，以提高攻擊途徑的自動化水平和效率。因此，防御方將需要更好地了解這些變化，并提出新的檢測方法和中斷方法。這些方法需考慮到擊殺鏈中各個階段的防御，而不是像當(dāng)前大多數(shù)做法一樣在檢測到攻擊后才能觸發(fā)。

網(wǎng)絡(luò)攻擊的效率取決于目標(biāo)系統(tǒng)中是否存在漏洞。因此，防范策略中應(yīng)包含漏洞管理措施，終端用戶系統(tǒng)和服務(wù)中存在大量漏洞，同時修補已知漏洞需要很長的時間。網(wǎng)絡(luò)安全界還需要通過覆蓋地域視角（如歐洲空間）來開發(fā)更好的漏洞檢測與消除手段。

在網(wǎng)絡(luò)威脅情報知識獲取方面，有很多地方需要改進(jìn)。改善共享方案和加強對已知事件的分析是實現(xiàn)這一目標(biāo)的主要途徑。必須將事件報告與網(wǎng)絡(luò)威脅情報處理相結(jié)合，這將有助于提高網(wǎng)絡(luò)威脅情報的質(zhì)量和準(zhǔn)確性。

需將網(wǎng)絡(luò)威脅情報與相關(guān)學(xué)科相結(jié)合，以擴大其范圍和來源。2018 年，網(wǎng)絡(luò)威脅情報與傳統(tǒng)情報的結(jié)合顯示出了緩解威脅的巨大潛力。然而，這兩個領(lǐng)域的結(jié)合仍處于初期階段，因此，需開發(fā)可使這些領(lǐng)域相結(jié)合的方法。