2019年度網絡安全威脅情報分析
前言
在新基建的七大領域中,工業互聯網、大數據、人工智能(以及5G網絡的應用)可以稱之為“數字新基建”,重點是通過數字技術的投入、積累與發展,激發傳統行業通過數字化改造升級實現價值的躍升。“新基建”的提出,打破了傳統的產業邊界,加速了產業間的融合創新,為眾多企業提供了數字化轉型搶先加速、彎道超車的窗口期。但是,“新基建”在助力產業新秩序重新建立的同時,也將面臨網絡安全帶來的新挑戰。網絡安全將成為提升企業數字化轉型核心競爭力的關鍵因素。為充分應對數字化轉型過程中面臨的網絡安全威脅,數字化轉型企業需要從戰略角度切入,改變過去被動防御的傳統思維,做好主動規劃和安全管理,從“情報—攻防—管理—規劃”四個維度構建企業安全免疫系統。
而威脅情報作為企業網絡安全防護能力的重要差異化因素之一,對企業優化風險應對策略,強化應急處置能力,完善企業縱深防御體系、提升企業整體安全防御能力,助推企業數字化轉型具有重要意義。為提升數字化轉型企業的網絡安全意識,鼓勵企業充分利用威脅情報應對層出不窮的網絡安全風險,督促數字化轉型企業履行網絡安全主體責任,中國信息通信研究院安全研究所產業互聯網安全實驗室聯合騰訊安全威脅情報中心從網絡安全、終端安全、云安全等維度對2019年的威脅情報現狀進行監測匯總,同時對重點網絡安全威脅事件進行復盤說明,詳細分析威脅成因并給出了針對性的對策建議,供相關機構人員參考。
一、2019年威脅情報態勢總覽
就2019年全年網絡安全態勢而言,網絡安全事件數量仍然呈現上升趨勢。DDoS攻擊憑借其極低的技術門檻和成本位居網絡攻擊之首,大量 DDoS 黑產通過惡意流量擠占網絡帶寬,擾亂正常運營,尤其給企業服務(如通信服務、常用軟件工具等)、游戲、電商等領域帶來了不小困擾。
其次,2019年度針對企業終端的攻擊依然未有放緩。一方面,攻擊者通過漏洞利用、爆破攻擊、社工釣魚等主流攻擊方式攻陷企業服務器,進而通過內網橫向滲透進一步攻陷更多辦公機器。另一方面,企業員工的不良上網習慣也同樣會給企業帶來一定的威脅,包括使用盜版系統、破解補丁、游戲外掛等。值得注意的是,近年來針對Linux平臺的攻擊活動也呈現逐漸上升趨勢,企業安全運營者需引起關注。
此外,針對云平臺傳統網絡架構的入侵、病毒等安全問題也逐漸呈常態化趨勢,針對云平臺架構的虛擬機逃逸、資源濫用、橫向穿透等新的安全問題層出不窮。而且由于云服務具有成本低、便捷性高、擴展性好的特點,利用云平臺提供服務或資源去攻擊其他目標也成為一種新的安全問題。
除了上述提到的網絡安全威脅,勒索病毒、挖礦木馬已成為近年主流的PC端惡意軟件,并形成了完整的產業鏈。通過垃圾郵件、釣魚郵件實現勒索病毒、挖礦木馬定向傳播,利用Office 高危漏洞構造攻擊文件、在 Office 文檔中嵌入惡意攻擊宏代碼、結合社會工程欺騙等手法成為常用技巧。
暗流涌動的網絡黑產、重新崛起的 DDoS 攻擊、層出不窮的各類木馬、趨于常態的病毒勒索,影響深遠的數據泄露都為企業的數字化轉型帶來了巨大的挑戰。頻發的網絡安全事件,加重了企業在數字化轉型過程中關于網絡安全的思考。
二、企業面臨的網絡安全威脅現狀
2.1網絡安全威脅
根據 2019 年威脅情報監測數據顯示,在網絡攻擊方面,主要的網絡側攻擊為 DDoS攻擊和BGP劫持。
2.1.1 DDoS攻擊
在信息技術高速革新的背景下,網絡空間面臨的安全威脅不斷升級,越來越多的服務器、個人電腦以及IoT設備淪為黑客的攻擊目標。在企業面臨的網絡安全威脅中,DDoS攻擊憑借其技術門檻低、攻擊速度快等特點,成為了大量黑產的“核武器”,通過惡意流量擠占網絡資源,擾亂正常運營,給企業發展帶來極大威脅。
DDoS攻擊的歷史由來已久,同時在云生態環境下愈演愈烈。一方面,隨著云計算和物聯網技術的發展,越來越多的可利用設備暴露在公共網絡中;另一方面,某些國外用戶甚至以個人名義申請成為通信服務運營商,以此來獲取更多的帶寬資源以及自行配置路由器選項的權限。這都導致攻擊者對 DDoS 資源的獲取變得更加容易。同時,隨著云服務提供商對網絡外部資源的使用增加,DDoS攻擊對云服務提供商網絡級別上的威脅也同步增強。
在攻擊目標方面,根據 2019 年威脅情報監測數據顯示,約三分之二的 DDoS 攻擊事件以云平臺上的IP作為攻擊目標,云平臺已成為DDoS攻擊事件發生的重災區;超過四分之一的目標IP是專門的IDC機房IP或高防機房IP,針對個人或單獨組織的相對較少。
當前 DDoS 的攻擊趨勢整體呈現攻擊目標所屬行業分布廣泛、超大流量規模性攻擊次數上升、整體攻擊次數降低、目標攻擊越發精準等趨勢。在攻擊目標所屬行業分布方面,DDoS對包含互聯網、游戲、電商、金融等多個行業都造成了極大的威脅,其中遭受DDoS攻擊最多的行業分別是行業工具、游戲、電商。
從全年的攻擊流量分布情況上看,98.8%以上的攻擊流量為小于100G的流量,99.6%以上的攻擊為小于200G流量。2019年度300-400G梯度的大流量攻擊與往年相比基本持平,而大于400G的超大型流量攻擊的次數明顯超過往年。
結合數據分析發現,雖然基于超大流量的規模性攻擊次數有所上升,但全年對云平臺的流量攻擊總次數有所減少。目前的 DDoS 攻擊呈現出高度集成管理的態勢,攻擊者通過不斷優化手段,試圖以最小的攻擊成本達到最優的攻擊效果。從結果來看,攻擊者的嘗試也確實取得了一定效果,全年總體的攻擊次數雖有所回落,但攻擊成效大大提升。據此可推斷,隨著云平臺的廣泛使用,攻擊者對云服務平臺防御手段和防御策略的研究投入了大量的精力。為實現以最小攻擊成本達到最佳效果,通過對 DDoS 攻擊策略實現個性化定制提升攻擊精準化水平將是今后DDoS攻擊的一大趨勢。
2.1.2 BGP劫持
BGP 劫持即偽造網絡層可達性信息,云服務提供商為了實現快速網絡查找目標,使得路由盡可能高效查找到目標 IP 并進行通信,會使用 BGP 協議,即邊界網關協議。在 BGP劫持的情況下,某個獨立運營的網絡或自治系統(AS)公告實際上不屬于其控制的自治系統地址空間,而此公告未被過濾,傳播到正常的 BGP 路由表中,從而引發全球性的路由查找錯誤。這種錯誤通常是由于配置錯誤而發生的,但一旦發生有很大可能影響云資源的可用性。
2.2終端安全威脅
2019 年威脅情報監測數據顯示,2019 年針對企業網絡終端的攻擊依然未有放緩。企業的終端安全威脅主要來源于三方面,一是攻擊者通過漏洞利用、爆破攻擊、社工釣魚等方式攻陷企業服務器,通過內網橫向滲透進一步攻陷更多辦公機器;二是企業員工不良的上網習慣也給企業帶來了巨大的安全威脅,比如使用盜版系統、破解補丁、游戲外掛等;三是針對Linux平臺的攻擊活動逐漸增加。
2.2.1終端安全性
根據2019年威脅情報監測數據顯示,在平均每周都攔截到病毒木馬的終端中,約12%的機器為企業終端。全年內攔截過病毒木馬攻擊的企業終端中,40%的機器平均每周攔截至少一次病毒木馬攻擊。在企業終端染毒類型分布方面,占比前兩位的分別是風險類軟件和后門遠控類木馬,占比分別為44%和21%。
從各行業的感染病毒類型分布情況來看,風險木馬類軟件在各行業的染毒事件中占比最高,均在 40%以上。風險木馬軟件感染主要是由不良的上網習慣及缺乏安全意識引起,如使用盜版軟件或外掛工具等。因此,相較于政府、金融、醫療和教育行業,科技行業感染風險木馬軟件的比例更小。后門遠控類木馬是除了風險軟件之外感染量最大的染毒類型,占比在 20%左右。后門遠控類木馬有著極高的隱蔽性,可接受遠程指令執行信息竊取、截屏、文件上傳等操作,造成信息泄露等嚴重后果。
2.2.2終端脆弱性
當前,數量龐大且安全性薄弱的智能終端設備已然成為攻擊者的新目標。漏洞利用及端口爆破是攻陷終端設備的重要手段,攻擊者通過漏洞利用或爆破攻擊公網環境下的服務器,隨后進行內網橫向滲透。
從企業終端漏洞修復角度來看,根據2019年威脅情報監測數據顯示,截至2019年12月底,有 79%的企業終端上至少存在一個未修復的高危漏洞。在主要的高危漏洞中,LNK漏洞(CVE-2017-8464)補丁安裝比例最高,RTF漏洞(CVE-2017-0199)補丁安裝比例最低,仍有74%的機器未安裝該補丁。而RTF漏洞文檔常被攻擊者通過郵件釣魚的方式利用,進而發起APT攻擊,一旦機器失陷將會給企業造成極大的損失。
從常見服務器漏洞攻擊類型來看,如果企業、政府開放的服務器存在高危漏洞,可能導致災難性的后果,其實許多黑客攻擊和惡意軟件入侵是可以預防的。通過對暴露在公網的服務器做抽樣分析發現,常見的攻擊類型中,遠程代碼執行(RCE)、SQL 注入、XSS 攻擊類型比例較高,探測性掃描(Probe Scan)發生的頻率也較高。
從高危端口開放情況來看,我們將黑客攻擊頻次較高且較為常見的端口(如21、22、53 等端口)定義為高危端口,并對 Web 服務器等互聯網空間資產做抽樣空間測繪,發現有大量網絡資產開放了高危端口,存在較高的安全隱患。除了22、1900等端口之外,還有較大比例的郵件服務、數據庫服務等端口暴露在公共互聯網上。
2.2.3終端失陷后的橫向擴散
迄今為止,絕大多數企業都還是通過部署防火墻進行內外網隔離構建安全體系。企業內網被認為是可信區間,為了便于日常工作的開展,通常不會嚴格限制員工對內網資源的訪問。因此,當病毒突破外圍防火墻進入內網環境之后,將會在內網肆意擴散。病毒為了讓其自身惡意行為實現效益最大化,首先會通過開機啟動實現用戶系統常駐,進而嘗試內網橫向傳播。常見的攻擊形式主要包括漏洞利用傳播、弱口令爆破以及文件共享傳播等。
➢ 常見攻擊形式
(1) 漏洞利用傳播
從針對系統組件的漏洞攻擊情況來看,2019年發生頻率最高的內網病毒傳播事件仍然是利用內網SMB共享服務漏洞進行傳播的“永恒之藍”木馬下載器,該木馬通過多種方式在企業內網攻擊傳播,以組建僵尸網絡挖礦為主要目的。有多個企業因未及時修補“永恒之藍漏洞”而被反復攻陷。
(2) 弱口令爆破攻擊
弱密碼爆破攻擊在入侵內網以及作為橫向擴散的手段上效果顯著。對部分已檢測的服務器做抽樣分析發現,弱密碼爆破攻擊集中發生在凌晨12點到6點之間的非工作時段。實際上,黑客成功入侵局域網之后對內網的爆破攻擊,使用的協議與外網有較大不同,SMB 攻擊最為常見,其次是遠程桌面連接爆破和SSH爆破。
(3) 文件共享傳播
根據企業的應急處置經驗發現,文件共享目錄、可移動介質是蠕蟲病毒、感染型病毒、Office文檔病毒在內網的感染重災區。這三類病毒一般都以竊取敏感信息為主要目的。
➢ 企業終端失陷的后果
(1) 敲詐勒索
勒索病毒通過恐嚇、綁架用戶文件或破壞用戶計算機等方式,向用戶勒索數字貨幣。通過加密用戶系統內的重要資料文檔,再結合虛擬貨幣交易實施犯罪依然為當前勒索病毒使用的最主要勒索形式。
(2) 挖礦木馬
根據監測數據發現,2019年3月份挖礦木馬感染處于峰值,隨后逐步下降,感染量基本穩定持平。感染了挖礦木馬的機器會被消耗掉大量的系統資源,造成系統卡慢,此外還存在信息竊取、植入后門等潛在風險。
(3) 信息竊密
信息竊密類木馬其主要目的是獲取機器上的機密敏感信息,科研機構、高校、高科技企業及政府機關等最易受到這類木馬攻擊,竊取的信息包括失陷機器相關信息(MAC 及 IP地址、操作系統版本等),個人或企業信息(如企業員工聯系方式,企業郵箱等),重要機密文件等。
(4) 肉雞后門
攻擊者攻陷一臺主機獲得其控制權后,往往會在主機上植入后門,安裝木馬程序,以便下一次入侵時使用。后門木馬會長期駐留在受害機器上,接受遠控指令執行定期更新、遠程下載執行、鍵盤監控、文件竊取上傳等功能。此外,隨著IoT物聯網設備的增加,針對IoT設備的攻擊也越來越頻繁,攻擊成功后通過植入后門、組建僵尸網絡、開展挖礦、DDoS攻擊等進行獲利。
(5) 刷量推廣
刷量推廣類病毒木馬主要是通過下載器、盜版 ghost 系統、流氓軟件推裝、游戲外掛等傳播,還會通過搜索引擎競價排名推廣以獲得更大的受眾面。為了誘導用戶下載,此類病毒木馬往往會偽裝成知名的第三方軟件,如flashplayer、photoshop等。其獲利渠道主要是主頁鎖定、軟件推裝、暗刷流量、廣告彈窗等。
2.3云安全威脅
隨著云計算解決方案優勢逐漸顯現,越來越多的企業機構選擇將其業務上云,為云計算服務提供商提供了更為廣闊的市場。但與此同時,由于云技術本身共享的特性,內部各層次有相互關聯,暴露在公共互聯網的資產、服務、接口更多,影響的用戶也更多,“云”的安全問題被提升到至關重要的位置。
2.3.1云安全威脅全景
在云平臺上,除了DDoS、入侵、病毒等傳統安全問題,針對云平臺架構的虛擬機逃逸、資源濫用、橫向穿透等新安全問題也層出不窮。此外,由于云服務具有成本低、便捷性高、擴展性好的特點,利用云提供的服務或資源去攻擊其他目標的也成為一種新的安全問題。
根據2019年威脅情報監測數據顯示,云資源作為攻擊源的比例在所有國內攻擊源中已接近一半。在云計算生態環境下,暴露給攻擊者的信息表面看與傳統架構中基本一致,但是由于云生態環境下虛擬化技術、共享資源、復雜的架構以及邏輯層次的增加,導致可利用的攻擊面增加,攻擊者可使用的攻擊路徑和復雜度也大大增加。
惡意攻擊者從互聯網環境下攻擊云租戶和平臺(包括云平臺的底層資源、管理軟件、管理界面、服務器集群等)的攻擊路徑包括如下幾類:
⚫ 裸金屬服務器管理接口:潛在攻擊者利用裸金屬服務開放的IPMI等管理接口存在的漏洞和缺陷,控制服務器底層硬件,并進一步利用帶外管理網絡橫向擴展,作為跳板訪問云管理和控制平臺的內部接口,嘗試對平臺和其他租戶發起攻擊;
⚫ 租戶虛擬機逃逸:潛在攻擊者通過租戶應用的數據庫、Web 等應用程序漏洞,進入云服務使用者(IaaS 平臺的租戶所擁有的虛擬機實例)的操作系統,并進一步通過潛在的虛擬化逃逸漏洞進入云資源底層的 Hypervisor,進而控制云平臺底層資源并進行橫向擴展;
⚫ 獨立租戶 VPC 實例模式的容器和微服務網絡攻擊:潛在攻擊者通過微服務管理系統的脆弱性或容器安全漏洞,進入云服務提供商所使用的虛擬機實例操作系統,隨后進一步通過潛在的虛擬化逃逸漏洞進入云資源底層的 Hypervisor,進而控制云平臺底層資源并進行橫向擴展;
⚫ 共享集群模式容器和微服務網絡攻擊:潛在攻擊者通過容器逃逸或微服務組件漏洞,直接控制物理服務器執行惡意操作或進行橫向擴展;
⚫ SaaS 服務共享集群模式攻擊:潛在攻擊者通過云服務提供商所提供的 SaaS 類服務能夠使用的API、中間件、數據庫等漏洞,直接逃逸或越權訪問進入提供服務的底層服務器集群,執行惡意操作,竊取數據或進行橫向擴展;
⚫ 惡意攻擊者針對云服務平臺業務互聯網絡的旁路攻擊:惡意攻擊者通過對于云平臺業務連接的相關企業內部網絡進行APT攻擊,并進一步迂回橫向擴展返回攻擊云平臺業務、運維或管理網絡;
⚫ 惡意攻擊者針對云服務平臺開發/運營網絡的旁路攻擊:惡意攻擊者通過對于云平臺連接的運維或管理內部網絡進行 APT 攻擊,并進一步迂回橫向擴展返回攻擊云平臺業務、運維或管理網絡;
⚫ 針對云用戶控制臺界面或開放式 API 的攻擊:潛在攻擊者通過云服務提供商提供的控制臺或開放式API,利用控制臺應用漏洞或API漏洞訪問,對租戶資源或平臺進行攻擊。
此外,在攻擊路徑圖中還存在一系列橫向擴展路徑。橫向擴展指當攻擊者成功獲取到租戶或平臺系統的一定權限后,利用網絡或共享資源進行橫向遷移,進一步擴大攻擊范圍,獲取其他租戶和系統的資源、數據或訪問權限的情況,具體路徑包括:
⚫ 利用租戶資源和訪問權限,在 VPC 內進行橫向遷移攻擊,或作為跳板攻擊其他用戶;
⚫ 利用微服務不同功能組件間共享資源或權限的橫向遷移;
⚫ 利用共享數據庫集群間的資源或數據進行橫向遷移;
⚫ 當成功實現虛擬機逃逸后,利用Hypervisor和硬件層面的控制面網絡和接口進行橫向遷移;
⚫ 利用網絡虛擬化的共享資源、威脅接觸面和控制面網絡進行橫向遷移;
⚫ 利用存儲虛擬化的共享資源、威脅接觸面和控制面網絡進行橫向遷移;
⚫ 利用云平臺管理面/控制面和業務面間的接口進行橫向遷移;
⚫ BMC 等固件破壞后獲取進行物理機層面的潛伏,或利用底層硬件權限反向獲取Hypervisor OS或租戶虛擬機OS的數據和系統訪問權限。
2.3.2基礎攻擊面
➢ 云主機安全
云主機是云服務提供商為客戶提供的海量虛擬化服務器,企業可根據實際業務需求在云主機實現資源的靈活配置。企業租用的云主機與企業自有終端在管理維護上具有一定的相似性,因此云主機同樣會面臨傳統終端可能遭遇的威脅。
為了在黑客入侵前發現系統風險點,安全管理人員通常通過專業的風險評估工具,對網絡風險進行檢測、移除和控制,以此來減小攻擊面。
(1) 風險來源
常見的云主機安全風險主要源自安全補丁、漏洞、弱密碼、應用風險、賬號風險等。
⚫ 云主機高危端口開放
在對Web服務器等互聯網空間資產做空間測繪后發現,有大量的資產開放了高危端口,存在較高的安全隱患。除了22、1900等端口之外,還有較大比重的郵件服務、數據庫服務等端口暴露在公網上。
⚫ 云主機軟件弱密碼
不同服務都具有各自服務特色的弱口令,比如MySQL數據庫的默認密碼為空。通過分析發現,主機軟件弱密碼主要集中在MySQL、SSH、SVN、Redis、vsftpd這五類應用上,其中MySQL和SSH超過云主機弱密碼風險總數的30%。
⚫ 高風險主機賬號普遍存在
主機系統賬號普遍存在各類風險,尤其是那些擁有Root權限的高風險賬號,更需要實時進行監控。根據風險賬號檢測結果,刪除主機中無用的賬號,按照權限最小化原則限制主機中可疑賬號的權限。通過對主機賬號分析發現,超過 95%的賬號都屬于高危賬號,這些高危賬號通常都存在不合規的配置問題。
⚫ 中高危漏洞修復不及時
各種軟件的漏洞修復不及時已經成為大規模網絡與信息安全事件、重大信息泄露事件發生的主要原因之一。從漏洞等級上來說,漏洞可分為高危、中危、低危三大類。根據樣本數據分析發現,未修復的漏洞大部分是高危或者中危的,其中未修復的高危漏洞比例更是高達45.77%。在 2019年基于漏洞所影響的主機數量排名TOP10漏洞數據中,這些漏洞均已在2016年至2018年爆出,漏洞的不及時修復為企業帶來了嚴重的安全威脅。
(2) 入侵分析
通過對暴露在公網的服務器做抽樣分析發現,在常見的攻擊類型中,遠程代碼執行(RCE)、SQL 注入、XSS 攻擊類型比例較高,同時黑客為了獲取服務器、網站的基本信息,常見的探測性掃描(Probe Scan)量同樣非常高。
⚫ 全國主機感染病毒木馬的情況
2019 年,全國企業用戶服務器病毒木馬感染事件超百萬起。其中,Webshell 惡意程序感染事件近80萬起,占73.27%;Windows惡意程序感染事件占18.05%;Linux惡意程序感染事件占8.68。可見Webshell是攻擊者針對服務器攻擊的重要手段。
從感染主機中共發現超1萬種木馬病毒,其中Webshel木馬病毒l約占27%,Windows木馬病毒約占61%,Linux木馬病毒約占12%。Webshell是一類專門針對服務器攻擊的惡意程序,隨著云服務器的大量增長,Webshell的種類也在快速增加。值得注意的是,Linux平臺的木馬病毒也隨著云時代的到來而快速增長。
單從感染 Webshell 的服務器操作系統看,約 44%的 Windows 服務器曾經感染過Webshell,而 Linux服務器感染過Webshell的僅0.2%。從感染的Webshell語言類型來看,PHP類型的Webshell最多,其次是ASP語言。
⚫ 暴力破解目標
攻擊者利用軟件對那些暴露在公網上的RDP、SSH、Telnet、FTP等服務進行掃描,然后進行暴力破解,進而以存在弱口令的主機為基本立足點,借此攻陷整個系統。互聯網中存在大量的掃描系統會對云主機是否存在弱密碼進行掃描。據有關報告顯示,端口暴露的單個Linux 系統,平均遭受超過 40000 次/天的網絡攻擊,攻擊頻率約 5 次/秒。存在弱口令的Linux系統,每月約有17000次被入侵成功。
⚫ 云上挖礦
根據不同操作系統樣本數據進行分析,總共發現超過3000臺Windows服務器感染了挖礦木馬,超2000臺Linux服務器感染了挖礦木馬。通過對被感染的主機進行分析,發現挖礦木馬主要挖比特幣與門羅幣。Windows 平臺挖礦事件主要發生在夜晚23 點以及3 點到8點之間,Linux平臺挖礦事件主要發生在凌晨2點到6點之間。
(3) 合規分析
所有企事業單位的網絡安全建設都需要滿足國家或監管單位的安全標準,如等保2.0、CIS安全標準等,網絡安全管理的合規化建設是企事業單位需首要履行的義務。
⚫ 主機賬號的合規分析
在樣本分析過程中,我們發現很多賬號存在不合規情況,例如未設置密碼嘗試次數鎖定、未設置密碼復雜度限制等,這不符合國家等級保護相關要求。
⚫ 主機系統配置合規分析
缺乏對主機底層的操作系統的適當配置,可能引發許多安全問題。通過研究分析樣本數據,發現GRUB密碼設置、UMASK值異常、未開啟SYN COOKIE這三類問題是所有主機系統風險中所占比例最多的三類。
⚫ 主機應用合規分析
主機服務器承載了非常多的應用,如果應用中存在不合規的情況,例如配置錯誤、安全漏洞未及時修復等。黑客就可能通過主機中的非合規應用進入主機系統內部,進而產生安全風險。
➢ 云上數據安全
對于任何企業而言,數據都是最寶貴的資產,尤其是業務數據和用戶數據,更是關乎其企業存亡的關鍵信息,企業上云后的數據安全一直是在云存儲數據的主要問題之一。隨著越來越多的企業將業務遷移到云上,部分敏感數據也將存儲在云上,數據安全已經成為所有企業在產業互聯網時代必須直面的挑戰。
(1) 數據泄露
云服務使用方可以在數據庫使用之初進行完善的配置和良好的身份驗證訪問和管理機制,使用云服務提供商提供的多重身份認證以及密鑰管理服務進行數據庫訪問的相關操作,對流程中的數據使用加密傳輸和加密存儲;同時加強內部員工的安全意識培訓,防止在內部出現數據泄露。
(2) 數據丟失
數據丟失的可能原因包括:文件意外刪除、惡意軟件(勒索軟件)、硬盤故障、電源故障、賬號劫持/入侵等情況。
三、重點網絡安全威脅說明
根據 2019 年威脅情報監測數據顯示,2019 年勒索病毒主要呈現出傳統勒索家族轉向精準化、勒索病毒定制個性化、勒索病毒與僵尸網絡融合化、中文定制化等趨勢。
3.1 勒索病毒攻擊情況
從2019年的勒索病毒攻擊事件來看,勒索病毒的主要攻擊方式是通過加密用戶系統內的重要資料文檔、數據,來進行虛擬貨幣勒索。當加密數據勒索不成功時,再以泄露數據脅迫企業進行盈利(Maze 和 Sodinokibi 已使用)。此外,使用群發勒索恐嚇郵件,命中收件人隱私信息后,再利用收件人的恐慌心理,實施欺詐勒索的方式也較為流行。
2019年國內遭受勒索病毒攻擊最為嚴重的省市分別為廣東、北京、江蘇、上海、河北、山東,其它省份也遭受到不同程度攻擊。從勒索病毒入侵行業方面看,傳統企業、教育、政府機構遭受攻擊最為嚴重,互聯網、醫療、金融、能源緊隨其后。而在勒索病毒攻擊方式方面,以弱口令爆破為主,其次為通過海量的垃圾郵件傳播以及借助僵尸網絡傳播。
3.2 挖礦木馬活動情況
黑客入侵控制大量計算機并植入礦機程序后,利用計算機的 CPU 或 GPU 資源完成大量運算,從而獲得數字加密貨幣。同時,黑產在暗網進行非法數據或數字武器售賣時大部分采用比特幣作為交易貨幣,數字加密貨幣成為黑灰產業的流通媒介,進而推動了挖礦產業的持續繁榮。從2017年爆發之后,挖礦木馬逐漸成為網絡世界主要的威脅之一。
2019 年威脅情報監測數據顯示,2019 年挖礦木馬攻擊呈“上升—下降—保持平穩”的趨勢。2019年上半年挖礦木馬非常活躍,高峰時檢出攻擊樣本超過10萬個/日;5月之后攻擊趨勢有所減緩,下降到了 6 萬個/日。從地區分布情況上來看,2019 年挖礦木馬在全國各地均有分布,其中感染最嚴重的省市分別為廣東、浙江、北京以及江蘇。受到挖礦木馬影響最為嚴重的行業分別為互聯網、制造業、科研和技術服務以及房地產業。
3.2.1 挖礦木馬活躍家族
根據 2019 年威脅情報監測數據顯示,2019 年挖礦木馬最活躍的三個家族分別為WannaMiner、MyKings、DTLMiner(永恒之藍下載器木馬)。其中 MyKings 是老牌的僵尸網絡家族,而WannaMiner 和DTLMiner 分別在 2018 年初和年底出現。在 2019年這幾個家族都有超過 2 萬用戶的感染量,他們的共同特點為利用“永恒之藍”漏洞進行蠕蟲式傳播,使用多種類的持久化攻擊技術,難以被徹底清除。
3.2.2主要入侵方式
2019年排名前三的挖礦木馬入侵方式分別是漏洞攻擊、弱口令爆破和借助僵尸網絡。由于挖礦木馬需要獲取更多的計算資源,所以利用普遍存在的漏洞和弱口令,或者是控制大量機器的僵尸網絡進行大規模傳播成為挖礦木馬的主要手段。
3.2.3挖礦木馬技術特點
(1) 供應鏈感染
2018年底出現的DTLMiner是利用現有軟件的升級功能進行木馬分發,屬于供應鏈感染的典型案例。黑客在后臺配置文件中插入木馬下載鏈接,導致軟件在升級時下載木馬文件。由于軟件本身擁有巨大的用戶量,導致木馬在短時間內感染了大量的機器。
(2) 跨平臺攻擊和多種手段混合攻擊
挖礦木馬經歷了從以控制普通電腦為主到以控制企業主機為主,從只控制 Windows挖礦到混合感染多個平臺的變化。我們監測發現了“Agwl”、“蘿莉幫”、WannaMine、Satan等多個針對linux的挖礦木馬。黑產為了實現的利益最大化,還會將挖礦木馬與勒索軟件、遠控后門、剪貼板大盜、DDoS等木馬打包進行混合攻擊。
(3) 社交網絡
根據監測,研究團隊在2019年12月發現了通過社會工程騙術傳播的“老虎”挖礦木馬(LaofuMiner)。攻擊者將遠控木馬程序偽裝成“火爆新聞”、“色情內容”、“隱私
資料”、“詐騙技巧”等文件名,通過社交網絡發送到目標電腦,當受害者雙擊查看文件,會立刻被安裝“大灰狼”遠控木馬。然后,攻擊者通過遠控木馬控制中毒電腦下載挖礦木馬,中毒電腦隨即淪為礦工。
(4) VNC爆破
2019 年 3 月,Phorpiex 僵尸網絡針對被廣泛使用的遠程管理工具“VNC”默認端口5900進行爆破攻擊,在高價值服務器上下載運行GandCrab 5.2勒索病毒,加密重要系統資料實施敲詐勒索;若攻破有數字貨幣交易的電腦,則運行數字貨幣錢包劫持木馬搶錢;若被攻擊的只是普通電腦,則植入門羅幣挖礦木馬,將之變成Phorpiex控制的礦工電腦。
(5) 惡意代碼檢測難度提升
⚫ “無文件”攻擊
2019年4月3日,DTLMiner在Powershell中反射加載PE映像,達到“無文件”形式執行挖礦程序。這種方法直接在 Powershell.exe 進程中運行惡意代碼,注入“白進程”執行的方式可能造成難以檢測和清除挖礦代碼的后果。這也是被首次發現的大規模利用“無文件”形式執行的挖礦木馬。
⚫ DLL側加載
為逃避殺軟檢測,KingMiner啟動挖礦木馬時采用DLL側加載(DLL Side-Loading)技術,也就是“白+黑”技術,利用正常的有數字簽名的白文件來調用惡意DLL。其使用到的有微軟系統文件“Credential Backup and Restore Wizard(憑據備份和還原向導)”和多個知名公司的數字簽名的文件。
(6) 阻斷其他木馬入侵,獨占挖礦資源
挖礦木馬會修改設置禁止其他機器通過遠程桌面服務訪問本機,以此來阻止其他木馬進入系統,從而達到獨占挖礦資源的目的。
3.3郵件安全威脅
本節我們將通過監測到的實際案例總結2019年惡意郵件的影響情況。
3.3.1垃圾郵件
根據2019年威脅情報監測數據,每天有大量垃圾郵件通過摻雜成語釋義、敏感詞混淆等手段與各類郵箱反過濾機制的對抗。
3.3.2惡意郵件
從惡意行為的角度來看,惡意郵件可以分為如下幾種:誘導回復敏感信息、誘導打開釣魚頁面鏈接、誘導打開帶毒附件。企業用戶日常容易遇到后兩種案例,典型代表如帶惡意附件的魚叉郵件。魚叉郵件是一種針對特定人員或特定公司的員工進行定向傳播攻擊的惡意郵件。網絡犯罪分子首先會精心收集目標對象的信息,使“誘餌”更具誘惑力。然后結合目標對象信息,制作相應主題的郵件和內容,騙取目標運行惡意附件。
如下圖與“訂單”相關的郵件,通過將帶有精心構造的“CVE-2017-8570”漏洞利用代碼的word文檔偽裝為附件“訂單列表”,誘使用戶打開文檔以觸發漏洞代碼邏輯,最終實現投放“NetWiredRC”遠控木馬。在2017年爆發了WannaCry(永恒之藍)勒索病毒后,很多變形后的勒索軟件通過空白主題的郵件進行廣泛傳播。
3.3.3郵件安全案例
魚叉郵件主要以投遞“竊密”、“遠控”、“勒索”木馬為目的。近年來,為了快速變現,投遞勒索病毒的趨勢日益加劇。其中,最受攻擊者青睞的是 Office 漏洞CVE-2017-11882。利用Office軟件的公式編輯器漏洞CVE-2017-11882實現隱秘遠程下載的惡意郵件是十分常見的。由于郵件來源和內容被高度偽裝,用戶很容易放下防備心打開文檔,進而釋放病毒。雖然該漏洞的補丁早在2017年11 月已被公布以供修復,但實際上Office安全漏洞的修復率比系統補丁修復率要低得多,導致該漏洞被廣泛利用。
四、網絡安全威脅成因分析
隨著“新基建”的持續推進,企業的數字化轉型步伐將逐步加快,未知的網絡安全風險持續攀升,面臨的網絡安全形勢日趨嚴峻。當前,企業在數字化轉型過程中面臨的網絡安全問題主要包括安全意識淡薄、管理制度不健全、教育培訓缺失、防護體系不完善等。加快提升企業網絡安全防護水平,助推企業數字化轉型迫在眉睫。
4.1安全意識淡薄,重視程度不足
當攻擊者無法通過傳統技術手段對企業資產進行攻擊時,由于企業員工的網絡安全意識淡薄,使得人員管理上的漏洞成為攻擊者的突破口。例如源代碼不小心上傳到了開源的網站、應用設置了簡單的密碼口令、個人密碼企業密碼共用、隨意設置共享目錄、防毒軟件更新不及時等問題,降低了企業的網絡安全防護水平。企業需充分認識到提高員工網絡安全意識的重要性,對內部員工進行安全意識教育和崗位技能培訓,并告知相關的安全責任和懲戒措施,幫助企業內部員工成為企業數據安全的優秀屏障。
4.2管理制度不健全,責任落實不到位
健全的網絡安全管理制度是落實網絡安全主體責任的重要前提。網絡安全管理是一項系統化的工作,當前大部分企業均在管理制度規范建設、安全崗位人員配備、網絡技術力量投入等方面做了大量基礎工作,但整體還存在一些不容忽視的共性問題,如管理制度不健全,缺乏配套的考核和獎懲機制,網絡安全責任人、安全管理人員職責分工不明確,未建立企業內部跨部門的網絡安全聯動機制,未制定企業網絡安全應急處置預案等。這使得企業內部的網絡安全管理工作無法做到有章可循,網絡安全主體責任落實不到位,企業整體網絡安全管理水平不高。
4.3教育培訓缺失,實戰能力不足
網絡安全是企業實現數字化轉型的重要保障和前提,而網絡安全人才作為網絡安全的根本,是提升企業數字化轉型核心競爭力的關鍵。隨著網絡安全人才需求迅速增長,人才供應缺口巨大是各國各行業亟待解決的重要問題。當前企業網絡安全人才主要來源是高等教育院校畢業生和非科班人員轉化。高等教育院校畢業生存在著重理論、輕實踐,與企業實際需求脫節等問題,短期內無法滿足企業實際的網絡安全人才需求。而職業教育培訓周期短、針對性強是提升網絡安全從業人員專業技能的理想方式。但是目前大多企業都未對網絡安全從業人員和準從業人員開展專業培訓,導致網絡安全從業人員的實戰能力不強,企業的網絡安全防護能力出現“木桶效應”。
4.4防護體系不完善,威脅應對不足
為充分應對企業數字化轉型過程中層出不窮的網絡安全威脅,做好企業的網絡安全防護部署,需充分發揮先進網絡安全技術優勢,利用專業網絡安全解決方案,為企業的數字化轉型保駕護航。但是,通過上述的分析可見,當前仍有部分企業的網絡安全防護體系并不完善,仍然存在網絡安全產品和技術支撐不足,專業技術解決方案的缺失;安全操作配置不當;安全漏洞未及時修復等問題,無法建立從“專業設備安全配置—邊界安全防護—網絡安全態勢感知”的閉環管控,成為企業實現業務數字化、智能化升級的關鍵風險點。
五、建議舉措
5.1強化網絡安全意識,筑牢網絡安全防線
我國相繼出臺《中華人民共和國國家安全法》《中華人民共和國反恐怖主義法》《中華人民共和國網絡安全法》《中華人民共和國密碼法》等法律法規。隨著網絡安全法律的不斷完善,全面規范網絡空間安全管理已邁入法治化軌道。“網絡安全為人民,網絡安全靠人民”維護網絡安全既是我們的權利也是我們的義務。構建網絡安全網,是全社會共同的愿景,也是全社會的共同責任。相關企業從全面貫徹落實總體國家安全觀的高度,深刻把握信息化發展大勢,強化網絡風險意識,踐行網絡安全主體責任和義務,以高度的責任感和歷史使命感構筑網絡安全防線,捍衛國家網絡安全。
5.2健全安全管理制度,強化主體責任擔當
企業應充分認識網絡安全工作的極端重要性,以國家網絡安全部署、行業網絡安全發展規劃為指導,結合企業實際建立和完善相應的管理制度和工作流程,制定網絡安全責任制實施方案,從制度層面體現網絡安全工作人人有責、人人盡責的工作要求,認真落實網絡安全工作責任制。將網絡安全責任明確細化落實到具體部門、具體崗位、具體人員,不斷強化全體職工網絡安全責任意識。此外,不斷強化企業網絡安全責任監督考核制度,完善健全考核機制,明確考核內容、方法、程序并將考核結果作為對相關領導干部及相關共工作人員綜合考核評價的重要內容,不斷推進網絡安全責任制落實,確保國家網絡安全法律法規和黨中央、國務院等決策部署不打折扣地落實到位。嚴肅網絡安全監督考核,強化制度執行,細化考核內容,把網絡安全責任考核嚴起來。
5.3加強人才能力建設,激發人才資源活力
網絡安全人才是網絡安全建設的核心資源,網絡安全人才隊伍建設情況直接影響到企業網絡安全保障能力的強弱。為提高企業的網絡安全實戰能力,建設具有攻防實戰技能的網絡安全人才隊伍相關企業應注重強化網絡安全教育培訓工作,充分發揮網絡安全教育培訓的重大作用。面向企業網絡安全負責人、安全管理人員及相關人員開展網絡安全教育培訓,讓企業員工深入了解國家網絡安全面臨的嚴峻形勢,并通過剖析國內外網絡安全事件,提升公司員工網絡安全意識,普及網絡安全基礎知識和基本技能,鞏固公司網絡空間安全構筑,讓“網絡安全為人民、網絡安全靠人民”的思想深入人心,切實提升網絡安全教育培訓質量。在培訓模式方面,不斷探索新思路、新方法,積極探索培訓內容的時效性、針對性和可操作性,補齊企業網絡安全教育培訓短板,實現網絡安全培訓規范化和常態化發展。此外,要嚴格落實網絡安全教育培訓管理,將企業網絡安全教育培訓納入企業網絡安全從業人員的日常考評中。
5.4強化技術防護措施,提升安全防護能力
強化網絡安全技術防護是提升企業網絡安全防護能力的重要途徑。相關企業應不斷貫徹落實網絡安全等級保護、關鍵信息基礎設施保護等相關制度,定期開展網絡安全風險評估工作,通過引進先進產品及技術對網絡安全防護體系不斷修正,打造涵蓋威脅情報、態勢感知、動態防御、體系聯動、安全閉環等能力在內的多層次立體防御體系。此外,需不斷建立健全常態化的網絡安全事件應急演練工作機制,積極探索企業內部跨部門上下貫通、左右協同的網絡安全應急指揮調度和多方協同配合機制。不斷強化網絡安全事件應急演練,通過開展跨部門的網絡安全應急演練模擬網絡安全事件應急處置流程,不斷完善應急響應預案,持續優化網絡安全技術防護措施,提高網絡安全突發事件應急處置能力。
