惡意軟件在2019年表現非?�;钴S��,深信服安全云腦檢測到的活躍惡意程序攔截量為181.07億次���。其中挖礦類惡意軟件感染占比最多(占58%)�����,其次為遠控木馬(占14%),企業或組織內文件共享等機制也使得感染型病毒的比例在9%左右��。
此外����,勒索即服務(RaaS)模式、勒索軟件竊密威脅����、不同惡意軟件相互合作等正在使得惡意軟件不斷變得復雜�。用戶或者組織面對的威脅也上升到更高的層次����。因此了解最新的惡意軟件,了解它們的攻擊方式以及這些攻擊可能帶來的影響��,并定期更新防病毒軟件����、瀏覽器和操作系統變得更加重要,以便用戶和組織最好地防御自己�。
1����、勒索病毒方面:整體勒索攻擊次數減少����,但勒索軟件目標明顯從用戶轉向政企����,且勒索軟件出現不交贖金即公開數據新模式,政企用戶防范難度加大。
2�����、挖礦軟件方面:挖礦軟件攻擊仍然流行�,加密貨幣挖礦流量較去年增長約100%,在類型上也趨向隱性更好的幣種�;隱蔽性更好的無文件挖礦也給企業或組織機構帶來了嚴峻的考驗��。
3、遠控木馬病毒方面:企業、教育及政府行業是木馬遠控病毒的主要攻擊對象。由于其具有非常高的隱蔽性,接受遠程指令執行信息竊取傳輸����,下發文件上傳等��,對科技企業等信息敏感行業造成巨大傷害 。此外,供應鏈感染是2019年遠控木馬傳播的一大特點。
4���、蠕蟲病毒方面:近年來,惡意軟件出現大量病毒蠕蟲化,2019年蠕蟲病毒活躍情況全年整體在波動中呈上升趨勢�����。這對用戶的網絡造成了巨大威脅��。而且蠕蟲較難清理����,會不斷嘗試橫向傳播���。
二
近年大規模��、持續的惡意軟件活動不斷發展�,攻擊媒介已經發生了變化����,攻擊者利用流行的第三方組件中的漏洞來攻擊網站。典型的網絡犯罪分子的目標是獲利���,針對網站的攻擊黑客依然選擇能夠快速賺錢的攻擊方式,包括利用垃圾郵件和惡意軟件��、網頁篡改�、釣魚郵件等方式。
此外,無論是否采取安全措施�,Web應用程序都是對各地任何規模組織安全性的重大威脅���,這更加需要企業注意關注漏洞威脅情報�����。
1、網站攻擊趨勢及類型分析:2019年攻擊數量呈波動上升狀態,下半年網站攻擊嘗試量增長了59%;其中46%以上攻擊流量來源于網站掃描�,在大規模批量掃描中被嗅探到大量漏洞的Web站點更容易成為攻擊者下手的對象���。此外�,網站信息泄漏攻擊�����、系統命令注入�����、弱密碼等也是攻擊者嘗試攻擊的主要類型����。
2、Web站點漏洞狀況:Web站點漏洞普遍存在��,高危漏洞占比高達10%�,中高危的漏洞類型以CSRF跨站請求偽造為首。
3����、站點感染惡意軟件分類:垃圾郵件仍然是站點上最常見的感染類型����。40%左右的站點向外發送垃圾郵件�����;郵件詐騙類的釣魚郵件較多����;網站篡改仍以經濟利益目的搜索引擎優化(SEO)類篡改為主����。
三
回顧2019年,漏洞利用攻擊的網絡安全事件高發����,航空�、醫療��、保險�����、電信�、酒店、零售等行業均受影響。漏洞利用的網絡攻擊次數在后半年有所緩減�,但是仍有較多高危嚴重漏洞持續爆出�,漏洞的不斷挖掘�����、曝光和修復實際上可以很大程度提升系統的安全性����,但如果不能及時修復,會失去攻防大戰的先機�����,處于被動的地位�。
1、漏洞收錄情況:根據CNVD監測數據顯示���,2019年新增安全漏洞14208個,高危漏洞4886個��,可被利用來實施遠程攻擊的漏洞14151個���,漏洞新增收錄數量呈現上升趨勢�。
2、漏洞利用情況:深信服全網安全態勢感知平臺檢測到2019年攔截漏洞利用攻擊總量為46.8億次��。其中漏洞利用攻擊依然以WebServer漏洞利用為首�����。
3�、2019年重要漏洞TOP8:分別為:WinRAR 路徑穿越漏洞���、Chrome 0Day漏洞���、BlueKeep 漏洞��、Thrangrycat 漏洞、Coremail 多版本配置文件讀取漏洞、Linux本地提權漏洞�����、Samba共享目錄逃逸漏洞�����、Oracle WebLogic CVE-2019-2891高危漏洞��。
四
APT攻擊作為一種有效的威脅手段不斷在各類網絡對抗中出現。尤其是2019年以來很多APT團伙的攻擊數據集被泄露,使得高水平的工具/漏洞日益被普遍使用,對不同類型企業的網絡安全也造成了很大的威脅��。
2019年無論是APT組織數量�,還是APT攻擊頻率都較以往有較大增加。
1、國內活躍的APT組織:在國內活躍的APT組織有摩訶草���、藍寶菇、毒云藤、蔓靈花、海蓮花���、Darkhotel、Group 123、Sidewinder(響尾蛇)�����、肚腦蟲等��。
2���、APT攻擊態勢:政府��、科研教育、大型企業是APT攻擊者的主要目標�,這也與 APT攻擊的主要意圖和目的有關。值得注意的是�����,基礎性行業也面臨著高級威脅攻擊的風險�����,如能源電力�、工業制造業���、醫療服務行業等����。
五
1. 大型數據泄露事件頻發,數據安全越來越受到重視
根據Risk Based Security發布的數據泄露報告����,2019年上半年在被泄露的41億條數據中�����,有32億的數據泄露歸咎于8起泄露事件��,泄露數據占到了總數的78%。
數據是企業的核心資產�����,如果數據被破壞或盜取,不僅僅給企業��,同時也會給企業的客戶會造成巨大的損失,只有保障數據安全,才能避免攻擊帶來的影響。建議組織單位構建全生命周期的數據安全體系,而非僅僅依賴DLP。比如在數據產生過程中,確保數據源真實性,可追溯性�。在數據傳輸過程中通過VPN技術確保數據傳輸完整性,保密性�����。在數據存儲過程中,關注存儲平臺本身存在的漏洞或者安全配置缺陷等���,及時進行脆弱性檢測��。在數據使用過程關注數據使用的規范,進行全量審計及細粒度權限控制�。在數據轉移共享過程中��,確保數據脫敏不外泄�����。
2. 針對基礎性行業和網絡設施的APT攻擊會增多
一些APT組織的攻擊意圖不再只是竊取情報�����,而是轉為破壞關鍵民生基礎設施��,針對能源���、電信等基礎行業的攻擊活動已經屢見不鮮�,例如電力系統等。
由于APT攻擊具備高隱蔽性及高持續性,難以通過單一產品進行防護。組織單位需要建立覆蓋網絡�、端點����、云端的縱深協同防御體系��,并通過威脅情報結合有經驗的安全專家構建持續對抗高級威脅的安全能力。
3. 加密貨幣價值起伏,但挖礦軟件的攻擊未來仍會持續很長一段時間
與勒索軟件相比�,挖礦軟件被捕獲和識別的風險要低得多��。當前惡意挖礦遠未擺脫網絡犯罪分子的注意�,盡管總體活動未來可能會有所減少,但網絡犯罪分子仍在這一領域進行“創新”。一旦一些網絡犯罪分子發現他們仍然能夠在這一領域賺錢,很可能惡意攻擊者仍會在未來一段時間內繼續推動惡意加密挖礦活動��。
4. 針對工控企業的勒索病毒正在增加
2019年針對工控企業的勒索病毒攻擊越來越多���,工控企業網絡安全形勢將越來越嚴峻����。病毒攻擊的主要目標是工業主機���,然而根據中國國家信息安全漏洞共享平臺統計顯示�,工業主機大多數處于裸奔狀態,截止到2019年12月����,CNVD收錄的與工業控制系統相關的漏洞高達2306個��。
因此工控企業需要加強工控各層級的綜合安全防護�,包括工控漏洞管理����、工控網邊界隔離防護、工控態勢感知、工控安全監測與審計等����。
5. 攻擊面擴張攻擊場景更加復雜化
隨著全國IT基礎設施投資不斷增加��,傳統的PC、服務器已經遠不能滿足黑客胃口���,攻擊面早已從傳統的網站及系統擴展到各類暴露于互聯網的業務應用(WebApp、文件共享服務)�����、各類新的互聯網業務(區塊鏈等)��、移動應用��、電信基礎設施等以及供應鏈的各個環節。已經監測到的攻擊場景除傳統的僵尸網絡以及面向Web應用的各類漏洞利用攻擊之外�����,新的場景如各種自動化的批量黑帽SEO篡改攻擊���、勒索病毒�����、數據竊取����、釣魚����、挖礦���、面向IoT的僵尸網絡攻擊(DDoS)等���。
面對日益復雜化的攻擊形勢�����,組織單位的網絡安全建設需要通過智能化來持續提升防御�、檢測�、響應、運營能力�,持續應對新的風險和挑戰��,保障信息資產的保密性、完整性��、可用性達到預期要求�����。
6.新基建給網絡安全帶來了新的挑戰
新基建的實施對于網絡安全是機遇�����,同時也帶來了新的挑戰��。隨著新型基礎設施建設和應用的開展,相關業務安全風險�、應用場景安全風險和關鍵技術安全風險將逐漸浮出水面��。
以5G技術為例����,5G時代可以接入更多物聯網設備�,數量龐大的終端設備,帶來了認證難���、審查難��、控制難等安全問題����。5G也使得互聯網的數據實時吞吐量更大����,泄露風險加劇。同樣人工智能����、工業互聯等技術的發展也會引入各式各樣的安全風險��。
因此網絡安全行業需要考慮更多的網絡安全因素��,來滿足新基建帶來的數字化���、智能化時代的信息化安全保障需求。
