韩国国情院等联合发布《2021年网络威胁主要特征及2022年展望》

（本文关键词：网络威胁 网络技术 展望）

12月15日，韩国国家情报院（NIS，以下简称国情院）和韩国国家网络安全中心（NCSC）联合公布了《2021年网络威胁主要特征及2022年展望》。

图片来源于韩国国情院官网

一、2021年网络威胁主要特征

一是与去年相比，2021年韩国国情院掌握的韩国国内因黑客攻击造成的损失减少了21%。

这被认为是韩国原子能研究所遭黑客攻击事件曝光后，韩国政府部门发布网络危机警告等加强应对措施产生的效果。黑客使用的攻击手法主要是冒充国家机关等发送的钓鱼电子邮件攻击和针对远程办公支援系统等计算机软件漏洞的攻击。

二是某些国家幕后支持的黑客组织加强对外交、安全问题及尖端武器、产业技术的情报窃取。

为了掌握以“美国新政府上台”和“终战宣言提案”等为契机引发的对朝政策变化，黑客组织曾试图对外交和安保人员发动网络攻击窃取情报。另外，随着全球技术霸权竞争的加剧，韩国所掌握的航空和海洋领域的军工技术以及核电、医疗和机器人领域的产业技术成为黑客攻击的主要目标。

三是由于国际黑客组织等的勒索软件和供应链攻击，出现了网络安全危机感。

美国输油管道公司和肉类加工企业遭到勒索软件攻击等类似案例屡见不鲜，导致油价暴涨等对民众日常工作生活产生严重影响，黑客组织甚至威胁要在暗网上公开敏感资料。另外，美国联邦政府由于“太阳风”（Solarwinds）、微软等软件漏洞而遭到黑客组织的供应链攻击，引发了国家间的矛盾，导致外交官遭驱逐等。

二、2022年网络威胁展望——5大焦点问题

图片来源于韩国安全新闻网站

第一个焦点问题：美中等对抗加剧，将表现为一场国际网络战。

据韩国国情院分析，随着美国和英国在内的西方国家将中国、俄罗斯、伊朗列为 “网络威胁国家”，两大阵营的对峙和霸权竞争已经表现为一场国际网络战，其中一方可能会要求韩方参与或应对网络攻击。鉴于韩国将于2022年3月和6月分别举行总统选举和地方选举，届时另一方的黑客组织可能会散布虚假新闻或敏感信息，给韩国社会造成混乱。

第二个焦点问题：针对尖端科技和安全问题的情报窃取攻击盛行。

为了在疫苗制造技术等因新冠疫情引发的尖端技术竞争中占据优势，各国将不分敌我，专注于窃取半导体等韩国的超前领先技术。同时，为了收集韩国新政府上台后韩国的对朝政策、安全问题等相关情报，预计2022年某些国家幕后支持的黑客组织窃取情报的网络攻击将进一步加剧。

第三个焦点问题：新的勒索技术的出现，勒索软件攻击变得更加智能化和多样化。

勒索软件攻击被黑客组织认为是“低成本、高效率”的攻击方式，“订购型勒索软件”等攻击方式也呈现出有组织、智能化的趋势。此外，通过暗网进行勒索软件和“窃取个人信息”交易的增加，以及针对元界虚拟商品、非同质化代币（NFT）等新型勒索攻击的出现等，预计勒索软件威胁将会持续下去。

第四个焦点问题：进入后新冠时代，针对新技术的黑客威胁增加。

随着家庭网络、自动驾驶和超连接等新技术应用在全社会变得普及，预计在普及初期针对安全漏洞的黑客攻击将会频繁发生。此外，随着云服务的扩张，其进入外卖、快递等各个领域平台的业务变得更加活跃等，数字化转型加速所带来的薄弱因素将会逐渐增多，安全风险也会逐渐显现。

第五个焦点问题：人工智能、区块链等最新技术被应用于黑客攻击。

为应对美国等主要国家所采取的起诉黑客、追回赎金等制裁措施，黑客组织将积极利用人工智能、区块链等最新技术。特别是，运用人工智能技术提高攻击自动化和生存能力，以及通过恶性代码的区块链技术增强攻击速度及规避追踪的能力等。

三、2022年5大网络安全技术预测

近期，韩国安全公司Igloo Security 公司发布《2022 年安全威胁和技术预测报告》，其中 2022年安全威胁部分与韩国国情院的预测大同小异，这里不做赘述。本文着重对Igloo Security公司预测的2022年网络安全领域的5大技术或方法论进行介绍，希望对感兴趣者能有所帮助。

一是确保跨IT和OT环境的可视化和融合安全

随着与异构设备的联系加强，信息技术（IT）和运营技术（OT）环境之间的连通性增加，为了识别 IT 和 OT 环境中的安全因素，掌握安全现状，预计确保安全可视化的重要性将会增加。最近的一项调查显示，OT/ICS 环境中发生安全事故造成的损失比预期高出9倍多。随着在 OT/ICS 环境中发现的安全漏洞数量持续增加，一旦发生事故，可能会造成超出预期的巨大损失。

然而，在准备一个融合安全管理系统来应对这种攻击企图方面存在着不少困难。 OT环境在网络、操作系统、更换周期、运营理念等方面具有与IT系统不同的特点。由于OT系统针对每个厂商使用不同的协议、专用操作系统和开发语言，因此很难集成和管理多个设备并使资产具有实时性。此外，与重视“机密性”的IT不同，OT把确保“可用性”放在首位，因此，通常缺乏专业的安全组织来更换产品和执行安全补丁。换句话说，包括OT/ICS漏洞在内的威胁信息共享平台的缺失，很有可能导致安全事故响应能力出现问题。

为了应对针对OT/ICS环境的安全威胁，必须以优先考虑IT、OT环境特点的融合安全管理为基础，构建能够确保企业IT•OT资产安全的可视化的“融合安全监测体系（Convergence Security by Design）”。 安全组织应通过OT安全咨询、OT安全管理解决方案、OT安全服务、OT/ICS网络威胁信息共享等方式进行监控、周期性安全审查以及模拟黑客攻击，确保包括IT和OT领域的识别-探测-分析-应对能力。

二是通过 SOAR 实现的第 4 代安全管理（Playbook with SOC）

为了应对日益有组织和复杂化的网络犯罪，如今的安全组织正在运营基于各种安全解决方案的安全控制（SOC, Security Operation Center）平台，识别和应对威胁要素。然而，随着高级网络攻击的数量日益增加，安全人员短缺、人员能力差距等问题也随之显现，几乎无法识别和应对所有安全威胁。因此，作为提高安全控制效率和降低安全控制中心复杂性的解决方案，预计对“安全协调•自动化及应对(SOAR, Security Orchestration, Automation and Response) ”技术的需求将进一步增大。

为了有效引入SOAR技术，△着眼于规范响应流程，缩小人员能力差距，解决专业人才短缺问题的“安全事故响应平台（SIRP, Security Incident Response Ploratforms）”，△通过运营多种安全解决方案，以减少联动复杂性和管理负担的“安全协调和自动化（SOA, Security Orchestration and Automation）”， 以及△通过收集和分析威胁数据提前构建响应体系的“威胁情报平台”，应该正确配置、紧密结合起来。

与所有安全技术一样，并非所有安全威胁都可以通过采用SOAR来进行检测和响应。但是，利用以标准化的安全控制流程为基础，将不同攻击类型的响应要素组合到一个流程的“剧本”，使安全组织可以防止在众多安全业务之间出现“孤岛”现象，并能更快地找出潜在的威胁因素。通过这种方式，可以缩短从威胁检测到响应的过程，从而建立更先进的安全控制系统。

三是通过攻击面管理，最大程度减少攻击的可能性

预计到2022年，“攻击面管理（ASM）”这一企业和组织拥有的所有基础设施和资产的安全管理方案的重要性将进一步提高。随着数字化转型的加速，许多组织的数据和基础设施从本地环境转移到可以灵活利用资源的云环境，包括数据收集、储存、处理、分析和再利用等流程在内的数据利用的效率进一步提高。

但是，正是由于这些变化，△基础设施方面、△数据方面、△软件方面、△用户方面的攻击面变得更加广阔，信息泄露及供应链攻击等攻击也呈现迅速增加的趋势。网络攻击者为了有效执行旨在窃取企业信息和破坏系统的攻击，正在不断研究新的漏洞和威胁因素。据韩国互联网振兴院（KISA）的资料显示，2021年上半年披露的8950个漏洞中，大部分与用于远程访问的虚拟专用网络（VPN）和远程桌面协议（RDP）等有关，针对非接触性远程工作环境漏洞的攻击正在迅速增加。另外，利用通过深网（Deep Web）和暗网（Dark Web）交易的非法信息的网络攻击也在持续增加。

因此，相关组织将需要致力于“攻击面管理（ASM）”，以发现基于组织内部和外部资产的威胁因素，并采取访问控制、网络分离和安全应用等适当的应对措施。

四是振兴数据经济，权衡个人信息的保护与运用

随着数据成为智能化基础产业创新的基本要素，通过改善数据利用限制，将数据利用最大化的趋势正在加快。在韩国，通过数据3法制定了数据激活策略和安全增强计划，并将“数据大坝”列为“韩国版新政”的10大核心课题之一。此外，通过“我的数据”项目，将引入各种满足信息主体需求的定制化数据服务，允许信息主体向自己或第三方请求传输个人信息。

随着数据经济时代的蓬勃发展，很多组织具备了“数据货币化（Data Monetization）”的能力，为应对无差别的数据滥用和信息泄露问题，能够安全利用数据的技术的重要性也将进一步凸显。目前，隐私保护模型（K-Anonymity）、联合学习（Federated Learning）、合成数据（Synthetic Data）、隐私保护的数据挖掘（PPDM）、同态加密（Homomomorphic Encryption）等技术，主要采用对可识别个人的要素进行去识别化处理或加密技术来保护隐私。除了上述技术要素之外，应该更加积极地进行制度创新和技术投资，最大限度地减少数据利用的副作用。

五是安全的“绝对指环”——人工智能

与电影《指环王》中出现的“绝对指环”一样，对具有两面性的人工智能（AI）的期待和担忧将会持续共存。人工智能被广泛应用于包括网络安全在内的各个领域。但是，也存在一些副作用，例如散布恶意利用“深度伪装（Deepfake）”技术的虚假新闻，以及通过干预人工智能过程的“中毒（Poisoning）”和“规避（Evasion）”攻击导致自动驾驶汽车发生事故等案例，这些都是恶意使用人工智能技术或根据偏向的数据、算法得出偏向的结果。

为了解决人工智能功能障碍可能导致的问题，必须得到制度、技术和社会层面的支持。在此背景下，以经济合作与发展组织（OECD）、二十国集团（G20）峰会、国际电气与电子工程师协会（IEEE）、世界经济论坛（WEF）等为中心，制定了“伦理人工智能开发指南”和切实可行的应用标准，准备工作正在加快进行。主要目标是确保基于以人为本价值观的人工智能技术具有透明性、坚固性、安全性、责任性等基本价值。

此外，正在积极开展各种研究，以提高人工智能技术的安全性，降低恶意滥用和侵犯隐私的可能性。基于人工智能的黑客防御技术、利用人工智能技术的安全威胁检测技术、基于自我引导和复杂识别技术的安全威胁自主响应、可处理加密数据的同态加密技术等各种技术正在快速发展。此外，考虑到AI系统开发的生命周期，预计人工智能技术的指导方针和标准的重要性也将进一步提高。

（资料来源：韩国安全新闻网站、dailysecu.com网站等相关文章。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。如果相关作者认为摘选不妥，请联系我们删除。）