1、 版权声明 本报告版权属于中国信息通信研究院安全研究所和腾 讯安全联合所有,并受法律保护。转载、摘编或利用其它方 式使用本报告文字或者观点的,应注明“来源:中国信息通 信研究院”。 违反上述声明者, 本院将追究其相关法律责任。 目录 前言 . 1 一、2019 年�����威胁情报态势总览 . 3 二、企业面临的网络安全威胁现状 . 4 2.1 网络安全威胁 . 4 2.1.1 DDoS 攻击 . 4 2.1.2 BGP 劫持 . 6 2.2 终端安全威胁 . 7 2.2.1 终端安全性 . 7 2.2.2 终端脆弱性 . 9 2.2.3 终端失陷后的横向扩散 . 12 2.3 云安全威胁 . 14 2
2、.3.1 云安全威胁全景 . 14 2.3.2 基础攻击面 . 16 三、重点网络安全威胁说明 . 23 3.1 勒索病毒攻击情况 . 23 3.2 挖矿木马活动情况 . 24 3.2.1 挖矿木马活跃家族 . 25 3.2.2 主要入侵方式 . 25 3.2.3 挖矿木马技术特点 . 27 3.3 邮件安全威胁 . 29 3.3.1 垃圾邮件 . 29 3.3.2 恶意邮件 . 29 3.3.3 ������邮件安全案例 . 30 四、网络安全威胁成因分析 . 31 4.1 安全意识淡薄,重视程度不足. 31 4.2 管理制度不健全,责任落实不到位 . 31 4.3 教育培训缺失,实战能力不足. 32
3、4.4 防护体系不完善,威胁应对�������不足 . 32 五、建议举措 . 32 5.1 强化网络安全意�������识,筑牢网络安全防线 . 32 5.2 健全安全管理制度,强化主体责任担当 . 33 5.3 加强人才能力建设,激发人才资源活力 . 34 5.4 强化技术防护措施,提升安全防护能力 . 34 第 1 页 共 34 页 前言 2020 年 3 月 4 日,中共中央政治局常务委员会召开会议,强调要加快 5G 基建、特高 压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联 网等“新型基础设施建设”的建设进度。新型基础设施建设,是我国立足当前、着眼未来的 重大战略部署, 对构建
4、数字经济时代的关键基础设施、 支撑经济社会数字化转型具有重大意 义。 在新基建的七大领域中,工业互联网、大数据、人工智能(以及 5G 网络的应用)可以 称之为“数字新基建”,重点是����通过数字技术的投入、积累与发展,激发传统行业通过数字 化改造升级实现价值的跃����升。“新基建”的提出,打破了传统的产业边界,加速了产业间的 融合创新,为众多企业提供了数字化转型抢先加速、弯道超车的窗口期。但是,“新基建” 在助力产业新秩序重新建立的同时, 也将面临网络安全带来的新挑战。 网络安全将成为提升 企业数字化转型核心竞争力的关键因素。为充分应对数字化转型过程中面临的网络安全威 胁,数字化转型企业需要从战略角度切入
5、,改变过去被动防御的传统思维,做好主动规划和 安全管理,从“情报攻防管理规划”四个维度构建企业安全免疫系统。 而威胁情报作为企业网络安全防护能力的重要差异化因素之一, 对企业优化风险应对策 略,强化应急处置能力,完善企业纵深防御体系、提升企业整体安全防御�����能力,助推企业数 字化转型具有重要意义。 为提升数字化转型企业的网络安全意识, 鼓励企业充分利用威胁情 报应对层出不穷的网络安全风险, 督促数字化转型企业履行网络安全主体责任, 中国信息通 信研究院安全研究所产业互联网安全实验室联合腾讯安全威胁情报中心从网络安全、 终端安 第 2 页 共 34 页 全、云安全等维度对 2019 年的威胁情报现状
6、进行监测汇总,同时对重点网络安全威胁事件 进行复盘说明,详细分析威胁成因并给出了针对性的对策建议,供相关机构人员参考。 第 3 页 共 34 页 一、2019 年威胁情报态势总览 就 2019 年全年网络安全态势而言,网络安全事件数量仍然呈现上升趋势。DDoS 攻击 凭借其极低的技术门槛和成本位居网络攻击之首,大量 DDoS 黑产通过恶意流量挤占网络 带宽,扰乱正常运营,尤其给企业服务(如通信服务、常用软件工具等)、游戏、电商等领 域带来了不小困扰。 其次,2019 年度针对企业终端的攻击�����依然未有放缓。一方面,攻击者通过漏洞利用、 爆破攻击、 社工钓鱼等主流攻击方式攻陷企业服务器, 进而通过内
7、网横向渗透进一步攻陷更 多办公机器。另一方面,企业员工的不良上网习惯也同样会给企业带来一定的威胁,包������括使 用盗版系统、破解补丁、游戏外挂等。值得注意的是,近年来针对 Linux 平台的攻击活动也 呈现逐渐上升趋势,企业安全运营者需引起关注。 此外,针对云平台传统网络架构的入侵、病毒等安全问题也逐渐呈常态化趋势,针对云 平台架构的虚拟机逃逸、资源滥用、横向穿透等新的安全问题层出不穷。而且由于云服务具 有成本低、便捷性高、扩展性好的特点,利用云平台提供服务或资源去攻击其他目标也成为 一种新的安全问题。 除了上述提到的网络安全威胁, 勒索病毒、 挖矿木马已成为近年主流的 PC 端恶意软件, 并形成了
8、完整的产业链。通过垃圾邮件、钓鱼邮件实现勒索病毒、挖矿木马定向传播,利用 O������ffice 高危漏洞构造攻击文件、在 Office 文档中嵌入恶意攻击宏代码、结合社会工程欺骗 等手法成为常用技巧。 暗流涌动的网络黑产、重新崛起的 DDoS 攻击、层出不穷的各类木����马、趋于常态的病 毒勒索, 影响深远的数据泄露都为企业的数字化转型带来了巨大的挑战。 频发的网络安全事 第 4 页 共 34 页 件,加重了企业在数字化转型过程中关于网络安全的思考。 二、企业面临的网络安全威胁现状 2.1 网络安全威胁 根据 2019 年威胁情报监测数据显示,在网络攻击方面,主要的网络侧攻击为 DDoS 攻击和 BGP 劫
9、持。 2.1.1 DDoS 攻击 在信息技术高速革新的背景下, 网络空间面临的安全威胁不断升级, 越来越多的服务器、 个人电脑以及 IoT 设备沦为黑客的攻击目标。 在企业面临的网络安全威胁中, DDoS 攻击凭 借其技术门槛低、攻击速度快等特点,成为了大量黑产的“核武器”,通过恶意流量挤占网 络资源,扰乱正常运营,给企业发展带来极大威胁。 DDoS 攻击的历史由来已久,同时在云生态环境下愈演愈烈。一方面,随着云计算和物 �������联网技术的发展,越来越多的可利用设备暴露在公共网络中;另一方面,某些国外用户甚至 以个人名义申请成为通信服务运营商, 以此来获取更多的带宽资源以及自行配置路由器选项 的权限。
10、这都导致攻击者对 DDoS 资源的获取变得更加容易。同时,随着云服务提供商对 ����网络外部资源的使用增加,DDoS 攻击对云服务提供商网络级别上的威胁也同步增强。 在攻击目标方面,根据 2019 年威胁情报监测数据显示,约三分之二的 DDoS 攻击事 件以云平台上的 IP 作为攻击目标,云平台已成为 DDoS 攻击事件发生的重灾区;超过四分 之一的目标 IP 是专门的 IDC 机房 IP 或高防机房 IP,针对个人或单独组织的相对较少。 第 5 页 共 34 页 图 1 DDoS 攻击目标分布 当前 DDoS 的攻击趋势整体呈现攻击目标所属行业分布广泛、超大流量规模性攻击次 数上升、整体攻击次数降
11、低、目标攻击越发精准等趋势。在攻击目标所属行业分布方面, DDoS 对包含互联网、游戏、电商、金融等多个行业都造成了极大的威胁,其中遭受 DDoS 攻击最多的行业分别是行业工具、游戏、电商。 图 2 DDoS 攻击行业分布情况 从全年的攻击流量分布情况上看,98.8%以上的攻击流量为小于 100����G 的流量,99.6% 以上的攻击为小于 200G 流量。 2019 年度 300-400G 梯度的大流量攻击与往年相比基本持 第 6 页 共 34 页 平,而大于 400G 的超大型流量攻击的次数明显超过往年。 图 3 DDoS 攻击流量分布 结合数据分析发现, 虽然基于超大流量的规模性攻击次数有所上
12、升, 但全年对云平台的 流量攻击总次数有所减少。目前的 DDoS 攻击呈现出高度集成管理的态势,攻击者通过不 断优化手段,试图以最小������的攻击成本达����到最优的攻击效果。从结果来看,攻击者的尝试也确 实取得了一定效果,全年总体的攻击次数虽有所回落,但攻击成效大大提升。据此可推断, 随着云平台的广泛使用,攻击者对云服务平台防御手段和防御策略的研究投入了大量的精 力。为实现以最小攻击成本达到最佳效果,通过对 DDoS 攻击策略实现个性化定制提升攻 击精准化水平将是今后 DDoS 攻击的一大趋势。 2.1.2 BGP 劫持 BGP 劫持即伪造网络层可达性信息,云服务提供商为了实现快速网络查找目标,使得 路由
13、尽可能高效查找到目标 IP 并进行通信,会使用 BGP 协议,即边界网关协议。在 BGP 劫持的情况下,某个独立运营的网络或自治系统(AS)公告实际上不属于其控制的自治系 统地址空间,而此公告未被过滤,传播到正常的 BGP 路由表中,从而引发全球性的路由查 找错误。 这种错������误通常是由于配置错误而发生的, 但一旦发生有很大可能影响云资源的可用 第 7 页 共 34 页 性。 2.2 终端安全威胁 2019 年威胁情报监测数据显示,2019 年针对企业网络终端的攻击依然未有放缓。企业 的终端安全威胁主要来源于三方面,一是攻击者通过漏洞利用、爆破攻击、社工钓鱼等方式 攻陷企业服务器, 通过内网横向渗
14、透进一步攻陷更多办公机器; 二是企业员工不良的上网习 惯也给企业带来了巨大的安全威胁,比如使用盗版系统、破解补丁、游戏外挂等;三是针对 Linux 平台的攻击活动逐渐增加。 2.2.1 终端安全性 根据 2019 年威胁情报监测数据显示, 在平均每周都拦截到病毒木马的终端中, 约 12% 的机器为企业终端。全年内拦截过病毒木马攻击的企业终端中,40%的机器平均每周拦截 至少一次病毒木马攻击。 在企业终端染毒类型分布方面, 占比前两位的分别是风险类软件������和 后门远控类木马,占比分别为 44%和 21%。 第 8 页 共 34 页 图 4 企业终端染毒类型分布 从各行业的感染病毒类型分布情况来看,
15、风险木马类软件在各行业的染毒事件中占比最 高,均在 40%以上。风险木马软件感染主要是由不良的上网习惯及缺乏安全意识引起,如 使用盗版软件或外挂工具等。因此,相较于政府、金融、医疗和教育行业,科技行业感染风 险木马软件的比例更小。 后门远控类木马是除了风险软件之外感染量最大的染毒类型, 占比 在 20%左右。后门远控类木马有着极高的隐蔽性,可接受远程指令执行信息窃取、截屏、 文件上传等操作,造成信息泄露等严重后果。 第������ 9 页 共 34 页 图 5 不同行业感染病毒的类型分布 2.2.2 终端脆弱性 当前, 数量庞大且安全性薄弱的智能终端设备已然成为攻击者的新目标�����。 漏洞利用及端 口爆破是攻陷
16、终端设备的重要手段,攻击者通过漏洞利用或爆破攻击公网环境下的服务器, 随后进行内网横向渗透。 从企业终端漏洞修复角度来看, 根据 2019 年威胁情报监测数据显示, 截至 2019 年 12 月底,有 79%的企业终端上至少存在一个未修复的高危漏洞。在主要的高危漏洞中,LNK 漏洞(CVE-2017-8464)补丁安装比例最高,RTF 漏洞(CVE-2017-0199)补丁安装比������������例 最低,仍有 74%的机器未安装该补丁。而 RTF 漏洞文档常被攻击者通过邮件钓鱼的方式利 用,进而发起 APT 攻击,一旦机器失陷将会给企业造成极大的损失。 第 10 页 共 34 页 图 6 指定漏洞修复情况 从
17、常见服务器漏洞攻击类型来看,如果企业、政府开放的服务器存在高危漏洞,可能导 致灾难性的后果, 其实许多黑客攻击�������和恶意软件入侵是可以预防的。 通过对暴露在公网的服 务器做抽样分析发现,常见的攻击类型中,远程代码执行(RCE)、SQL 注入、XSS 攻击 类型比例较高,探测性扫描(Probe Scan)发生的频率也较高。 第 11 页 共 34 页 图 7 常见攻击类型 从高危端口开放情况来看,我们将黑客攻击频次较高且较为常见的端口(如 21、22、 53 等端口)定义为高危端口,并对 W�����eb 服务器等互联网空间资产做抽样空间测绘,发现 有大量网络资产开放了高危端口,存在较高的安全隐患。除了 22
18、、1900 等端口之外,还有 较大比例的邮件服务、数据库服务等端口暴露在公共互联网上。 图 8 常见高危端口开放情况 第 12 页 共 34 页 2.2.3 终端失陷后的横向扩散 迄今为止, 绝大多数企业都还是通过部署防火墙进行内外网隔离构建安全体系。 企业内 网被认为是可信区间, 为了便于日常工作的开展, 通常不会严格限制员工对内网资源���������的访问。 因此,当病毒突破外围防火墙进入内网环境之后,将会在内网肆意扩散。病毒为了让其自身 恶意行为实现效益最大化, 首先会通过开机启动实现用户系统常驻, 进而尝试内网横向传播。 常见的攻击形式主要包括漏洞利用传播、弱口令爆破以及文件共享传播等。 常见攻击形式
19、 (1) 漏洞利用传播 从针对系统组件的漏洞攻击情况来看,2019 年发生频率最高的内网病毒传播事件仍然 是利用内网 SMB 共享服务漏洞进行传播的“永恒之蓝”木马下载器,�������该木马通过多种方式 在企业内网攻击传播, 以组建僵尸网络挖矿为主要目的。 有多个企业因未及时修补“永恒之 蓝漏洞”而被反复攻陷。 (2) 弱口令爆破攻击 弱密码爆破攻击在入侵内网以及作为横向扩散的手段上效果显著。 对部分已检测的服务 器做抽样分析发现,弱密码爆破攻击集中发生在凌晨 12 点到 6 点之间的非工作时段。实际 上,黑客成功入侵局域网之后对内网的爆破攻击,使用的协议与外网有较大不同,������SMB 攻 击最为常见,其次是远
20、程桌面连接爆破和 SSH 爆破。 (3) 文件共享传播 根据企业的应急处置经验发现,文件共享目录、可移动介质是蠕虫病毒、感染型病毒、 第 13 页 共 34 页 Office 文档病毒在内网的感染重灾区。这三类病毒一般都以�����窃取敏感信息为主要目的�������。 企业终端失陷的后果 (1) 敲诈勒索 勒索病毒通过恐吓、绑架用户文件或破坏用户计算机等方式,向用户勒索数字货币。通 过加密用户系统内的重要资料文档, 再结合虚拟货币交易实施犯罪依然为当前勒索病毒使用 的最主要勒索形式。 (2) 挖矿木马 根据监测数据发现,2019 年 3 月份挖矿木马感染处于峰值,随后逐步下降,感染量基 本稳定持平。感染了挖矿木马的
21、机������器会被消耗掉大量的系统资源,造成系统卡慢,此外还存 在信息窃取、植入后门等潜在风险。 (3) 信息窃密 信息窃密类木马其主要目的是获取机器上的机密敏感信息,科研机构、高校、高科技企 业及政府机关等最易受到这类木马攻击,窃取的信息包括失陷机器相关信息(MAC 及 IP 地址、操作系统版本等),个人或��������企业信息(如企业员工联系方式,企业邮箱等),重要机 密文件等。 (4) 肉鸡后门 攻击者攻陷一台主机获得其控制权后,往往会在主机上植入后门,安装木马程序,以便 下一次入侵时使用。后门木马会长期驻留在受害机器上,接受远控指令执行定期更新、远程 下载执行、键盘监控、文件窃取上传等功能。此外,随着 IoT
22、 物联网设备的增加,����针对 IoT 第 14 页 共 34 页 设备的攻击也越来越频繁,攻击成功后通过植入后门、组建僵尸网络、开展挖矿、DDoS 攻击等进行获利。 (5) 刷量推广 刷����量推广类病毒木马主要是通过下载器、盗版 ghost 系统、流氓软件推装、游戏外挂 等传播,还会通过搜索引擎竞价排名推广以获得更大的受众面。为了诱导用户下载,此类病 毒木马往往会伪装成知名的第三方软件,如 flashplayer、photoshop 等。其获利渠道主要 是主页锁定、软件推装、暗刷流量、广告弹窗等。 2.3 云安全威胁 随着云计算解决方案优势逐渐显现, 越来越多的企业机构选择将其业务上云, 为云计算 服
23、务提供商提供了更为广阔的市场。但与此同时,由于云技术本身共享的特性,内部各层次 有相互关联,暴露在公共互联网的资产、服务、接口更多,影响的用户也更多,“云”的安 全问题被提升到至�����关重要的位置。 2.3.1 云安全威胁全景 在云平台上, 除了 DDoS、 入侵、 病毒等传统安全问题, 针对云平台架构的虚拟机逃逸、 资源滥用、横向穿透等新安全问题也层出不穷。此外,由于云服务具有成本低、便捷性高、 扩展性好的特点,利用云提供的服务或资源去攻击其他目标的也成为一种新的安全问题。 根据 2019 年威胁情报监测数据显示, 云资源作为攻击源的比例在所有国内攻击源中已 接近一半。在云计算生态环境下,暴露给攻
24、击者的信息表面看与传统架构中基本一致,但是 由于云生态环境下虚拟化技术、共享资源、复杂的架构以及逻������辑层次的增加,导致可利用的 攻击面增加,攻击者可使用的攻击路径和复杂度也大大增加。 恶意攻击者从互联网环境下攻击云租户和平台(包括云平台的底层资源、管理软件、管 第 15 页 共 34 页 理界面、服务器集群等)的攻击路径包括如下几类: 裸金属服务器管理接口:潜在攻击者利用裸金属服务开放的 IPMI 等管理接口存在 的漏洞和缺陷,控制服务器底层硬件,并进一步利用带外管理网络横向扩展,作为跳板访问 云管理和控制平台的内部接口,尝试对平台和其他租户发起攻击; 租户虚拟机逃逸:潜在��攻击者通过租户应用的数
25、据库、Web 等应用程序漏洞,进 入云服务使用者(IaaS 平台的租户所拥有的虚拟机实例)的操作系统,并进一步通过潜在 的虚拟化逃逸漏洞进入云资源底层的 Hypervisor,进而控制云平台底层资源并进行横向扩 展; 独立租户 VPC������� 实例模式的容器和微服务网络攻击:潜在攻击者通过微服务管理系 统的脆弱性或容器安全漏洞, 进入云服务提供商所使用的虚拟机实例操作系统, 随后进一步 通过潜在的虚拟化逃逸漏洞进入云资源底层的 Hypervisor,进而控制云平台底层资源并进 行横向扩展; 共享集群模�������式容器和微服务网络攻击:潜在攻击者通过容器逃逸或微服务组件漏 洞,直接控制物理服务器执行恶意操作或进行
26、横向扩展; SaaS 服务共享集群模式攻������击:潜在攻击者通过云服务提供商所提供的 SaaS 类服 务能够使用的 API、中间件、数据库等漏洞,直接逃逸或越权访问进入提供服务的底层服务 器集群,执行恶意操作,窃取数据或进行横向扩展; 恶意攻击者针对云服务平台�����业务互联网络的旁路攻击: 恶意攻击者通过对于云平台 业务连接的相关企业内部网络进行 APT 攻击, 并进一步迂回横向扩展返回攻击云平台业务、 运维或管理网络; 恶意攻击者针对云服务平台开发/运营网络的旁路攻击:恶意攻击者通过对于云平 台连接的运维或管理内部网络进行 APT 攻击,并进一步迂回横向扩展返回攻击云平台业 第 16 页 共 34 页
27、务、运维或管理网络; 针对云用户控制台界面或开放式 AP��������I����� 的攻击:潜在攻击者通过云服务提供商提供 的控制台或开放式 API, 利用控制台应用漏洞或 API 漏洞访问, 对租户资源或平台进行攻击。 此外, 在攻击路径图中还存在一系列横向扩展路径。 横向扩展指当攻击者成功获取到租 户或平台系统的一定权限后,利用网络或共享资源进行横向迁移,进一步扩大攻击范围,获 取其他租户和系统的资源、数据或访问权限的情况,具体路径包括: 利用租户资源和访问权限,在 VPC 内进行横向迁移攻击,或作为跳板攻击其他用 户; 利用微服务不同功能组件间共享资源或权限的横向迁移; 利用共享数据库集群间的资源或数据进行横向
28、迁移; 当成功实现虚拟机逃逸后,利用 Hypervisor 和硬件层面的控制面网络和接口进行 横向迁移; 利用网络虚拟化的共享资�����源、威胁接触面和控制面网络进行横向迁移; 利用存储虚拟化的共享资源、威胁接触面和控制面网络进行横向迁移; 利用云平台管理面/控制面和业务面间的接口进行横向迁移; BMC 等固件破坏后获取进����行物理机层面的潜伏,或利用底层硬件权限反向获取 Hypervisor OS 或租户虚拟机 OS 的数据和系统访问权限。 2.3.2 基础攻击面 云主机安全 云主机是云服务提供商为客户提供的海量虚拟化服务器, 企业可根据实际业务需求在 云主机实现资源的灵活配置。 企业租用的云主机与企业
29、自有终端在管理维护上具有一定的 第 17 页 共 34 页 相似性,因此云主机同样会面临传统终端可能遭遇的威胁。 为了在黑客入侵前发现系统风险点,安全管理人员通常通过专业的风险评估工具,对 网络风险进行检测、移除和控制,以此来减小攻击面。 (1) 风险来源 常见的云主机安全风险主要源自安全补丁、漏洞、弱密码、应用风险、账号风险等。 云主机高危端口开放 在对Web服务器等�������互联网空间资产做空间测绘后发现, 有大量的资产开放了高危端口, 存在较高的安全隐患。除了 22、1900 等端口之外,还有较大比重的邮件服务、数据库服务 等端口暴露在公网上。 云主机软件弱密码 不同服务都具有各自服务特色的弱口令
30、,比如 MySQL 数据库的默认密码为空。通过分 析发现,主机软件弱密码主要集中在 MySQL、SSH、SVN、Redis、vsftpd 这五类应用上, 其中 MySQL 和 SSH 超过云主机弱密码风险总数的 30%。 高风险主机账号普遍存在 主机系统账号普遍存在各类风险,尤其是那些拥有 Root 权限的�����高风险账号,更需要实 时进行监控。根据风险账号检测结果,删除主机中无用的账号,按照权限最小化原则限制主 机中可疑账号的权限。通过对主机账号分析发现,超过 95%的账号都属于高危账号,这些 高危账号通常都存在不合规的配置问题。 中高危漏洞修复不及时 第 18 页 共 34 页 各种软件的漏洞修
31、复不及时已经成为大规模网络与信息安全事件、 重大信息泄露事件发 生的主要原因之一。从漏洞等级上来说,漏洞可分为高危、中危、低危三大类。根据样本数 据分析发现, 未修复的漏洞大部分是高危或者中危的, 其中未修复的高危漏洞比例更是高达 45.77%。在 2019 年基于漏洞所影响的主机数量排名 TOP10 漏洞数据中,这些漏洞均已在 2016 年至 2018 年爆����出,漏洞的不及时修复为企业带来了严重的安全威胁。 图 9 2019 年影响主机 TOP10 的漏洞 (2) 入侵分析 通过对暴露在公网的服务器做抽样分析发现,在常见的攻击类型中,远程代码执行 (RCE)、SQL 注入、XSS 攻击类型比例
32、较高,同时黑客为了获取服务器、网站的基本信 息,常见的探测性扫描(Probe Scan)量同样非常高。 全国主机感染病毒�����木马的情况 2019 年,全国企业用户服务器病毒木马感染事件超百万起。其中,Webshell 恶意程 序感染事件近 80 万起,占 73.27%;Windows 恶意程序感染事件占 18.05%;Linux 恶意 第 19 页 共 34 页 程序感染事件占 8.68。可见 Webshell 是攻击者针对服务器攻击的重要手段。 从感染主机中共发现超1万种木马病毒, 其中Webshel木马病毒l约占27%, Windows 木马病毒约占 61%, Linux 木马病毒约占 12%
33、。 Webshell 是一类专门针对服务器攻击的恶 意程序,随着云服务器的大量增长,Webshell 的种类也在快速增加。值得注意的是,Linux 平台的木马病毒也随着云时代的到来而快速增长。 单从感染 Webshell 的服务器操作系统看,约 44%的 Windows 服务器曾经感染过 Webshell,而 Linux 服务器感染过 Webshell 的仅 0.2%。从感染的 Webshell 语言类型来 看,PHP 类型的 Webshell 最多,其次是 ASP 语言。 暴力破解目标 攻击者�����利用软件对那些暴露在公网上的 RDP、SSH、Telnet、FTP 等服务进行扫描,然 后进行暴力破
34、解,进而以存在弱口令的主机为基本立足点,借此攻陷整个系统。互联网中存 在大量的扫描系统会对云主机是否存在弱密码进行扫描。 据有关报告显示, 端口暴露的单个 Linux 系统,平均遭受超过 40000 次/天的网络攻击,攻击频率约 5 次/秒。存在弱口令的 Linux 系统,每月约有 17000 次被入侵成功。 云上挖矿 根据不同操作系统样本数据进行分析, 总共发现超过 3000 台 Windows 服务器感染了 挖矿木马,超 2000 台 Linux 服�������务器感染了挖矿木马。通过对被感染的主机进行分析,发现 挖矿木马主要挖比特币与门罗币。Windows 平台挖矿事件主������要发生在夜晚 23 点以及
35、3 点 到 8 点之间,Linux 平台挖矿事件主要发生在凌晨 2 点到 6 点之间。 (3) 合规分析 第 20 页 共 34 页 所有企事业单位的网络安全建设都需要满足国家或监管单位的安全标准,如等保 2.0、 CIS 安全标准等,网络安全管理的合规化建设是企事业单位需首要履行的义务。 主机账号的合规分析 在样本分析过程中, 我们发现很多账号存在不合规情况, 例如未设置密码尝试次数锁定、 未设置密码复杂度限制等,这不符合国家等级保护相关要求。 图 10 主机账号�������的不合规情况 主机系统配置合规分析 缺乏对主机底层的操作系统的适当配置, 可能引发许多安全问题。 通过研究分析样本数 据,发现 G
36、RUB 密码设置、UMASK 值异常、未开启 SYN COOKIE 这三类问题是所有主机 系统风险中所占比例最多的三类。 主机应用合规分析 主机服务器承载了非常多的应用,如果应用中存在不合规的情况,例如配置错误、安全 第 21 页 共 34 页 漏洞未及时修复等。 黑客就可能通过主机中的非合规应用进入主机�����系统内部, 进而产生安全 风险。 图 11 常见应用的配置风险 云上数�������据安全 对于任何企业而言,数据都是最宝贵的资产,尤其是业务数据和用户数据,更是关乎其 企业存亡的关键信息, 企业上云后的数据安全一直是在云存储数据的主要问题之一。 随着越 来越多的企业将业务迁移到云上, 部分敏感数据也将存储
37、在云上, 数据安全已经成为所有企 业在产业互联网时代必须直面的挑战。 (1) 数据泄露 云服务使用方可以在数据库使用之初进行完善的配置和良好的身份验证访问和管理机 制,使用云服务提供商提供的多重身份认证以及密钥管理服务进行数据库访问的相关操作, 对流程中的数据使用加密传输和加密存储; 同时加强内部员工的安全意识培训, 防止在内部 出现数据泄露。 第 22 页 共 34 页 (2) 数据丢失 数据丢失的可能原因包括:文件意外删除、恶意软件(勒索软件)、硬盘故障、电源故 障、账号劫持/入侵等情况。 第 23 页 共 34 页 三、重点网络安全威胁说明 根据 2019 年威胁情报监测数据显示,2019 年勒索病毒主要呈现出传统勒索家族转向 精准化、勒索病毒定制个性化、勒索病毒与僵尸网络融合化、中文定制化等趋势。 表 1 勒索病毒演进趋势 勒索病毒演进趋势 具体�����特征 传统勒索家族转向精准化 老牌勒索家族已经从广撒网、 无差别模式的攻击, 转变
sgpjbg002
工作日 8:30 - 17:30
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产建筑
传统产业
英文报告
其它
扫码登录
手机快捷登录
账号登录
