2019年,频繁的信息泄露、网络攻击事件,以及等保2.0国家标准等网络安全政策法规的发布,都使得网络安全在全国范围内获得相比往年更高的关注度。那么,在这一年里,中国的网络安全现状究竟如何?
深信服千里目安全实验室从恶意软件、网站安全、漏洞、APT攻击等方面分析整体网络安全态势情况,发布《2019年网络安全态势报告》(以下简称报告)。
知己知彼,方能百战 不殆。本文摘取自报告关键内容,为您直观呈现2019年网络安全态势,与您共同关注2020年网络安全新趋势!
恶意软件态势
恶意软件在2019年表现非常活跃,深信服安全云脑检测到的活跃恶意程序拦截量为181.07亿次。其中挖矿类恶意软件感染占比最多(占58%),其次为远控木马(占14%),企业或组织内文件共享等机制也使得感染型病毒的比例在9%左右。
此外,勒索即服务(RaaS)模式、勒索软件窃密威胁、不同恶意软件相互合作等正在使得恶意软件不断变得复杂。用户或者组织面对的威胁也上升到更高的层次。因此了解最新的恶意软件,了解它们的攻击方式以及这些攻击可能带来的影响,并定期更新防病毒软件、浏览器和操作系统变得更加重要,以便用户和组织最好地防御自己。
1、勒索病毒方面:整体勒索攻击次数减少,但勒索软件目标明显从用户转向政企,且勒索软件出现不交赎金即公开数据新模式 ,政企用户防范难度加大。
2、挖矿软件方面:挖矿软件攻击仍然流行,加密货币挖矿流量较去年增长约100%,在类型上也趋向隐性更好的币种;隐蔽性更好的无文件挖矿也给企业或组织机构带来了严峻的考验。
3、远控木马病毒方面:企业、教育及政府行业是木马远控病毒的主要攻击对象。由于其具有非常高的隐蔽性,接受远程指令执行信息窃取传输,下发文件上传等,对科技企业等信息敏感行业造成巨大伤害 。此外,供应链感染是2019年远控木马传播的一大特点。
4、蠕虫病毒方面:近年来,恶意软件出现大量病毒蠕虫化,2019年蠕虫病毒活跃情况全年整体在波动中呈上升趋势。这对用户的网络造成了巨大威胁。而且蠕虫较难清理,会不断尝试横向传播。
网站安全态势
近年大规模、持续的恶意软件活动不断发展,攻击媒介已经发生了变化,攻击者利用流行的第三方组件中的漏洞来攻击网站。典型的网络犯罪分子的目标是获利,针对网站的攻击黑客依然选择能够快速赚钱的攻击方式,包括利用垃圾邮件和恶意软件、网页篡改、钓鱼邮件等方式。
此外,无论是否采取安全措施,Web应用程序都是对各地任何规模组织安全性的重大威胁,这更加需要企业注意关注漏洞威胁情报。
1、网站攻击趋势及类型分析:2019年攻击数量呈波动上升状态,下半年网站攻击尝试量增长了59%;其中46%以上攻击流量来源于网站扫描,在大规模批量扫描中被嗅探到大量漏洞的Web站点更容易成为攻击者下手的对象。此外,网站信息泄漏攻击、系统命令注入、弱密码等也是攻击者尝试攻击的主要类型。
2、Web站点漏洞状况:Web站点漏洞普遍存在,高危漏洞占比高达10%,中高危的漏洞类型以CSRF跨站请求伪造为首。
3、站点感染恶意软件分类:垃圾邮件仍然是站点上最常见的感染类型。40%左右的站点向外发送垃圾邮件;邮件诈骗类的钓鱼邮件较多;网站篡改仍以经济利益目的搜索引擎优化(SEO)类篡改为主。
漏洞态势
回顾2019年,漏洞利用攻击的网络安全事件高发,航空、医疗、保险、电信、酒店、零售等行业均受影响。漏洞利用的网络攻击次数在后半年有所缓减,但是仍有较多高危严重漏洞持续爆出,漏洞的不断挖掘、曝光和修复实际上可以很大程度提升系统的安全性,但如果不能及时修复,会失去攻防大战的先机,处于被动的地位。
1、漏洞收录情况:根据CNVD监测数据显示,2019年新增安全漏洞14208个,高危漏洞4886个,可被利用来实施远程攻击的漏洞14151个,漏洞新增收录数量呈现上升趋势。
2、漏洞利用情况:深信服全网安全态势感知平台检测到2019年拦截漏洞利用攻击总量为46.8亿次。其中漏洞利用攻击依然以WebServer漏洞利用为首。
3、2019年重要漏洞TOP8:分别为WinRAR 路径穿越漏洞、Chrome 0Day漏洞、BlueKeep 漏洞、Thrangrycat 漏洞、Coremail 多版本配置文件读取漏洞、Linux本地提权漏洞、Samba共享目录逃逸漏洞、Oracle WebLogic CVE-2019-2891高危漏洞。
高级持续威胁(APT)分析
APT攻击作为一种有效的威胁手段不断在各类网络对抗中出现。尤其是2019年以来很多APT团伙的攻击数据集被泄露,使得高水平的工具/漏洞日益被普遍使用,对不同类型企业的网络安全也造成了很大的威胁。
2019年无论是APT组织数量,还是APT攻击频率都较以往有较大增加。
1、在国内活跃的APT组织:在国内活跃的APT组织有摩诃草、蓝宝菇、毒云藤、蔓灵花、海莲花、Darkhotel、Group 123、Sidewinder(响尾蛇)、肚脑虫等。
其中,影响TOP6 的APT组织如下图所示:
2、APT攻击态势:政府、科研教育、大型企业是APT攻击者的主要目标,这也与 APT攻击的主要意图和目的有关。值得注意的是,基础性行业也面临着高级威胁攻击的风险,如能源电力、工业制造业、医疗服务行业等。
2020年网络安全威胁趋势展望及应对建议
1、大型数据泄露事件频发,数据安全越来越受到重视
根据Risk Based Security发布的数据泄露报告,2019年上半年在被泄露的41亿条数据中,有32亿的数据泄露归咎于8起泄露事件,泄露数据占到了总数的78%。
数据是企业的核心资产,如果数据被破坏或盗取,不仅仅给企业,同时也会给企业的客户会造成巨大的损失,只有保障数据安全,才能避免攻击带来的影响。建议组织单位构建全生命周期的数据安全体系,而非仅仅依赖DLP。比如在数据产生过程中,确保数据源真实性,可追溯性。在数据传输过程中通过VPN技术确保数据传输完整性,保密性。在数据存储过程中,关注存储平台本身存在的漏洞或者安全配置缺陷等,及时进行脆弱性检测。在数据使用过程关注数据使用的规范,进行全量审计及细粒度权限控制。在数据转移共享过程中,确保数据脱敏不外泄。
2、针对基础性行业和网络设施的APT攻击会增多
一些APT组织的攻击意图不再只是窃取情报,而是转为破坏关键民生基础设施,针对能源、电信等基础行业的攻击活动已经屡见不鲜,例如电力系统等。
由于APT攻击具备高隐蔽性及高持续性,难以通过单一产品进行防护。组织单位需要建立覆盖网络、端点、云端的纵深协同防御体系,并通过威胁情报结合有经验的安全专家构建持续对抗高级威胁的安全能力。
3、加密货币价值起伏,但挖矿软件的攻击未来仍会持续很长一段时间
与勒索软件相比,挖矿软件被捕获和识别的风险要低得多。当前恶意挖矿远未摆脱网络犯罪分子的注意,尽管总体活动未来可能会有所减少,但网络犯罪分子仍在这一领域进行“创新”。一旦一些网络犯罪分子发现他们仍然能够在这一领域赚钱,很可能恶意攻击者仍会在未来一段时间内继续推动恶意加密挖矿活动。
4、针对工控企业的勒索病毒正在增加
2019年针对工控企业的勒索病毒攻击越来越多,工控企业网络安全形势将越来越严峻。病毒攻击的主要目标是工业主机,然而根据中国国家信息安全漏洞共享平台统计显示,工业主机大多数处于裸奔状态,截止到2019年12月,CNVD收录的与工业控制系统相关的漏洞高达2306个。
因此工控企业需要加强工控各层级的综合安全防护,包括工控漏洞管理、工控网边界隔离防护、工控态势感知、工控安全监测与审计等。
5、攻击面扩张攻击场景更加复杂化
随着全国IT基础设施投资不断增加,传统的PC、服务器已经远不能满足黑客胃口,攻击面早已从传统的网站及系统扩展到各类暴露于互联网的业务应用(WebApp、文件共享服务)、各类新的互联网业务(区块链等)、移动应用、电信基础设施等以及供应链的各个环节。已经监测到的攻击场景除传统的僵尸网络以及面向Web应用的各类漏洞利用攻击之外,新的场景如各种自动化的批量黑帽SEO篡改攻击、勒索病毒、数据窃取、钓鱼、挖矿、面向IoT的僵尸网络攻击(DDoS)等。
面对日益复杂化的攻击形势,组织单位的网络安全建设需要通过智能化来持续提升防御、检测、响应、运营能力,持续应对新的风险和挑战,保障信息资产的保密性、完整性、可用性达到预期要求。
6、新基建给网络安全带来了新的挑战
新基建的实施对于网络安全是机遇,同时也带来了新的挑战。随着新型基础设施建设和应用的开展,相关业务安全风险、应用场景安全风险和关键技术安全风险将逐渐浮出水面。
以5G技术为例,5G时代可以接入更多物联网设备,数量庞大的终端设备,带来了认证难、审查难、控制难等安全问题。5G也使得互联网的数据实时吞吐量更大,泄露风险加剧。同样人工智能、工业互联等技术的发展也会引入各式各样的安全风险。
因此网络安全行业需要考虑更多的网络安全因素,来满足新基建带来的数字化、智能化时代的信息化安全保障需求。
如需下载完整报告,点击《2019年网络安全态势报告》下载获取
*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM