《网宿科技:中国互联网安全报告(2021年上半年)(24页).pdf》由会员分享,可在线阅读,更多相关《网宿科技:中国互联网安全报告(2021年上半年)(24页).pdf(24页珍藏版)》请在三个皮匠报告上搜索。
1、分析网宿主机探针采集到的公网开放端口情况,发现与2020年同期相比,2021上半年公网开放端口数量大规模下降。其中管理类端口(如22端口、3389端口)、数据库端口(如3306端口、5432端口)、测试类端口(如8000端口、8099端口)降幅达到约90%,正式业务类端口(如80端口、443端口)降幅也超过了50%。公网开放端口数量下降主要源于规律性的网络攻防演练,有效提升了网宿安全平台客户管理端口的规范度,改变了过去业务部门未严格按照安全规范使用端口,导致管理端口、临时的测试端口经常被作为黑客入侵的入口点的情况,大大缩减攻击面。针对高危漏洞的入侵依然是以应用、组件漏洞为主,尤其是与Web应用
2、相关的通用组件漏洞。应用组件漏洞比操作系统漏洞具备更容易获得的执行环境,比业务漏洞具有更强的通用性。通常黑产团队会选择用户数量较多、漏洞利用条件简单且稳定的漏洞来开发自动化工具,以较低的成本实现“肉鸡”控制、自动化挖矿等牟利行为。另外,从漏洞分布来看,开源组件更受安全研究人员青睐,由于更容易获取源码与分析环境,从数量上看开源软件暴露出来的漏洞往往比商业软件更多。但这并不代表商业软件比开源软件更安全,相反,开源软件由于漏洞发现得更快,有利于企业及时修复漏洞,而商业软件则存在更多的潜在漏洞未被发掘。从网宿主机探针识别到的异常进程数据可看出,主机上出现的异常进程大量使用了规避检测的技术,以干扰安全软件检测及人工入侵分析。规避检测的手段中,使用最多的是隐藏进程,网宿主机探针在超过50%的入侵事件中均检测到了此技术。隐藏进程可使恶意进程在进程列表中不显示。检出率排行第二的伪造进程名,也是攻击者规避入侵检测、排查的常用方式,通过将显示出的进程名伪造成系统常用进程名或内核进程名,以达到混淆的目的。链接库感染与异常启动方式则是使用合法的进程去加载恶意代码,以绕过杀毒软件的检测。