1、从网络安全态势洞察关基安全防护落地思路助力安全中国，助推数字经济杨方宇Yang Fangyu安恒信息副总裁VP OF DBAPPSECURITYCONTENTS目 录01.2021网络安全态势观察报告解读02.关基防护已成为国家安全战略落地工作重点03.基于安全运营构建关基安全防护体系2022 WEST L AKECYBERSECURITYCONFERENCE01 2021网络安全态势观察报告解读2021网络安全态势洞察0勒索软件对抗升级以政治、经济利益为目的的信息破坏事件不可忽视网络安全形式分析挖矿病毒依然活跃度较高供应链攻击频发，关键基础设施面临新的挑战MTTH加速事

2、件响应攻防演练成为检验防护措施的有效手段33.33%20.00%25.71%17.65%10.00%22.22%25.00%18.28%6.15%25.71%41.18%25.00%8.60%6.15%11.11%60.00%7.53%3.08%2.86%10.00%11.11%50.00%40.00%6.45%32.31%22.86%5.88%60.00%11.11%100.00%6.45%4.62%29.41%4.30%7.69%5.71%5.00%3.23%3.08%5.71%15.00%11.83%16.92%11.43%5.88%44.44%虚拟挖矿漏洞攻击网页篡改流量异常勒索软件业

3、务安全黑链暗链主机异常其他事件运营商交通教育互联网能源医疗金融企业政府2%16%41%23%12%2%2% 2%交通教育企业医疗政府其他金融运营商01.勒索软件威胁对抗升级勒索软件威胁六大趋势地域、行业特征明显4%4%19%2%6%2%4%2%12%8%2%23%10%2%安徽省北京市广东省贵州省江苏省内蒙古山西省陕西省上海市四川省云南省浙江省重庆市泄漏数据，DDOS等“多重勒索”或将成为主流CaaS服务模型降低攻击门槛攻击呈多平台、轻量化攻击趋势针对小型企业的攻击事件上升NIST发布勒索软件风险管理指南文件，勒索防护升级国家层面Top3:政府、企业、医疗Top3:浙江、广东、上海 avadd

4、on勒索团伙官网公布使用DDOS攻击策略； BlackMatter 将攻击目标瞄准为年收入超过 1 亿美元、网络中有 500-15,000 台主机的大企业身上。 降低网络犯罪门槛； 溯源困难； 促进高级威胁的发展。 2021年小型勒索软件团体的数量有所增加，遭受Conti勒索攻击的受害者达300多个 。 2021年10月，31个国家和欧盟在美国反勒索软件会议后发布联合声明采取行动瓦解勒索软件中使用虚拟资产的商业模式和相关洗钱活动。3%15%5%2%21%3%51%交通教育金融能源企业医疗政府02.挖矿病毒依然活跃度较高挖矿木马快速集成新漏洞，感染能力更强 HolesWarm挖矿木马漏洞利用模块

5、达到了31种 H2Miner、Muhstik等挖矿家族在距Log4j2漏洞披露不到36小时，便已集成该漏洞并发起攻击挖矿木马攻击目标云化安全对抗技术愈加纯熟32%8%24%4%4%8%12%8%DTLMiner8220MinercoinminerNSAGluptebaMinerNSABuffMinersystemdminerwannaminerzombieboyminer2021活跃挖矿类型分布2021行业分布top3:政府、企业、教育2021地区分布Top3：浙江、江苏、上海云环境恶意软件类型占比 黑客通过 Docker 的未授权访问漏洞或使用者在认证上的不安全设置入侵Docker 容器并进

6、行感染 黑客通过在 Docker Hub 发布带有挖矿木马的恶意镜像 无文件技术 RootKit技术 远控技术 进程注入 命令替换0246810comcnIPnet8%6%40%31%6%6%3%互联网教育政府企业其他交通医疗46%23%8%23%博彩网站色情网站木马病毒其他03.以政治、经济利益为目的的信息破坏事件不可忽视37%48%3%9%3%黑链暗链网页篡改数据篡改数据丢失数据泄露 2021信息破坏事件分布：网页篡改、黑链暗链占比85%02468101214恶意操作 非法引流 勒索诈骗 数据攻击政治其他 政治、经济利益为主要目的反共黑客非法引流攻击网站类型.com/.cn/IP暗链类型：

7、博彩、色情经济利益的驱使是导致黑链暗链事件频发的主要因素 。攻击行业top2:政府、企业04.安全漏洞变化分析2021年活跃漏洞产品或所属厂商简约统计如下图：用于网络边界突破的Web漏洞热度不减2021年全年，监测发现偏Web类的云管理平台、Web应用服务、中间件组件的远程代码执行漏洞等依然是出现较多的高危风险点 。网络设备安全需重点关注庞大的5G供应链更容易受到例如恶意软件或硬件漏洞的影响，许多为5G网络提供软/硬件的企业可能都存在产品安全漏洞。05.全球网络安全热点事件回顾日常维护和主动发现威胁能力十分重要关键信息基础设施正面临着巨大的现实威胁 ，需加快构建关键信息基础设施安全保障体系供应

8、链安全亟待解决2022年该漏洞会成为攻击者主要的攻击手段之一。网络安全法、数据安全法以及仍在立法进程中的个人信息保护法（草案），共同构成我国数据保护与数据安全法律体系的三大支柱 ，助力网络安全立法体系更完善 。2021.12021.5.72021.6.102021.10.142021.12incaseformat蠕虫病毒大规模传播美国最大输油管道公司Colonial Pipeline遭勒索软件攻击中华人民共和国数据安全法ATW利用sonarqube漏洞窃取多家单位源代码Log4j2史诗级漏洞波及全球6万+开源软件06.应对新型网络威胁的防护建议010203增强个人防护意识，加强企业安全防护体系

9、建设增强安全意识增加口令强度定期做好数据备份管理做好漏洞全生命周期管理做好网络边界防护创新网络安全人才培养机制新型智慧城市安全运营中心建设项目校企合作网络安全专业“少年班”、“特长班”发挥专家智库作用城市安全治理能力现代化、体系化、数字化、精细化未知威胁分析研判、联动处置利用“实时”、“全样”、“精准”的安全大数据建立全程在线、全域覆盖、实时反馈的“城市网络安全态势地图”02 关基防护已成为国家安全战略落地工作重点关键信息基础设施逐渐成为网络战角逐“焦点”勒索软件威胁对抗升级挖矿病毒依然活跃度较高2021年，某科研机构由于内网密码复用问题，导致黑客进入内网后使用通用密码控制多台主机，并植入后门

10、程序及挖矿程序。据统计受影响资产超过300+。以政治、经济利益为目的的信息破坏事件不可忽视2021年2月，某单位官网被攻击者入侵并植入黑链用于色情网站的引流。经济利益的驱使是导致黑链暗链事件频发的主要因素。供应链攻击频发，关键基础设施面临新的挑战2021年12月，log4j 2超危漏洞爆发，该漏洞影响大量Java应用，涉及全球6w+开源软件，关键基础设施安全再次面临新的挑战。2021年5月7日，美国大型成品油管道系统运营商Colonial Pipeline因遭勒索软件攻击，导致其被迫关闭管道系统，支付近500万美元赎金。关键信息基础设施78.7%其他21.3%政府 51%教育 19%卫生 10

11、%金融 9%其他 11%关基面临的风险挑战震网病毒成功攻击伊朗核设施Havex病毒席卷全球能源行业DDoS攻击导致半个美国互联网瘫痪BlackEnergy病毒攻击乌克兰电力系统Flame病毒肆虐中东石油行业Wannacry病毒肆虐基础设施行业委内瑞拉电力系统遭受攻击，导致全国大范围停电以色列供水设施遭攻击，紧急停工美国最大燃油管道公司遭遇勒索病毒20001920202021政治博弈的新战场：利用网络攻击破坏或瘫痪关键基础设施，或利用网络媒体捏造、炒作涉及种族、宗教、地域的敏感问题，破坏社会稳定。军事对抗的新手段：利用网络渗透捕获情报，通过大数据分析定

12、位线索，指挥军事行动实现精准打击。经济竞争的新领域：通过恶意排斥，打击竞争对手供应链，破坏科技竞争力，试图长期霸占科技领域的主导地位。俄乌战争之冰山一角关键信息基础设施安全2022-01-24Belarusian Cyber-Partisans组织攻击了白俄罗斯铁路系统，获取了大量的内部资料2022-03-01ATW组织攻击了Prom-Engineering公司，窃取了发电站蓝图，设计图纸等信息2022-03-06Anonymous组织攻击了俄罗斯某个工厂的SCADA系统，并将该工厂相关RTU设施进行关闭2022-03-23ATW组织攻击了俄罗斯天然气工业股份公司的某个系统，影响到部分地区天然

13、气供应2022-04-18Anonymous组织攻击了俄罗斯Gazregion天然气管道设施公司，泄露了设计图纸等数据2022-04-20GhostSec组织攻击了俄罗斯地铁控制烟雾系统，可对每节车厢的空调、电池系统等操作。国家关键基础设施电厂：2800政府设施：3000银行：4893公共机场：5000医院：7569消防局：51450化学和有害物质生产工厂：6.6万水坝：7.5万石油天然气生产基地：30万公路桥梁：50万管道：200万英里（320万千米）援助呼叫：22616500电缆：20亿英里（32 亿干米）交换中心BANK电厂：104沿海港口：300城市公共交通运营商：500电话交换中心：

14、1000设施类型数量设施类型数量核电站104消防局51450沿海港口300化学和有害物质生产工厂6.6万城市公共交通运营商500水坝7.5万电话交换中心1000石油天然气生产基地30万电厂2800公路桥梁50万政府设施3000管道200万英里（320万千米）银行4893援助呼叫22616500公共机场5000电缆20亿英里（32 亿干米）医院7569摘自：CRITICAL INFORMATION INFRASTRUCTURES: RESILIENCE AND PROTECTIONMaitland Hyslop1996-72000--22016-21998-52001-1

15、02006-62014-22018-11美国关键基础设施保护政策演进2017-52021-52021-82021-10定目标克林顿政府颁布第 13010号行政命令第一个针对关键信息基础设施的保护计划信息系统保护国家计划 小布什政府的 第号国土安全总统指令奥巴马政府的第21号总统政策指令奥巴马政府发布网络安全国家行动计划网络安全和基础设施安全局法案国家安全备忘录：改进关键基础设施控制系统网络安全克林顿政府颁布第63号总统决策指令小布什政府颁布美国爱国者法案美国国土安全部颁布国家关键基础设施保护计划关键基础设施网络安全改进框架V1.0版本。特朗普签署行政令增强联邦政府与关键基础设施网络安全美国网络

16、安全和基础设施安全局网络演习法案保护5G云基础设施安全指南划范围建体系立法案关基的政策法规与标准规范公信安201521号、1851号“4.19”讲话、中网办发【2016】3号文国家网络空间安全战略国家网络安全法关键信息基础设施保护条例（征求意见）全国公安机关社会治安防控体系建设指南大城市战略网络空间安全综合防控体系、公网安20201960号国家十四五规划数字化改革“三化六防”关键信息基础设施保护条例关键信息基础设施保护发展路径2015年1月、7月2016年4月、7月2019年3月2020年4月2021年-2022年2017年6月关键信息基础设施要素识别方法安全保护关键信息基础设施安全保护要求关

17、键信息基础设施安全控制措施关键信息基础设施安全从业人员要求关键信息基础设施安全运维要求关键信息基础设施安全检查评估指南关键信息基础设施安全防护能力评价方法关键信息基础设施安全测评要求关键信息基础设施安全测评过程指南关键信息基础设施攻防对抗技术要求关键信息基础设施安全监测预警要求关键信息基础设施安全威胁信息接口要求关键信息基础设施安全事件处置要求关键信息基础设施安全应急演练指南分析识别检测评估监测预警技术对抗事件处置关键信息基础设施网络安全应急体系框架保障流程标准法规政策要求技术规范实施指南关键信息基础设施的定义关键信息基础设施，网络安全法、国家网络空间安全战略、关键信息基础设施安全保护条例（征

18、求意见稿）以及国家网络安全检查操作指南中均采用了“特定行业范围+严重危害后果”的方式来进行定义，明确涉及一些特定的行业。l公共服务类行业：社会保障、教育、医疗（卫生）、环境保护、公用事业；l国家基础性行业：交通、水利、金融、能源；l信息服务类行业：提供大数据、云计算和其他大型公共信息网络服务；l工业制造类行业：大型装备、国防科工、食品药品、化工等行业领域科研生产单位；l公共通信类行业：广播电视网、电信网、互联网；l其他行业：电子政务，电视台、通讯社、广播电台等新闻单位。关键信息基础设施涉及的行业领域和定义关键信息基础设施的5个基本特征0304050102关键信息基础设施为国家正常运转提供必需的

19、产品和服务关键信息基础设施是结构体系中被强依赖的关键节点关键信息基础设施可能是高危设施，被攻击可导致直接的破坏后果存储或传输的信息数据大量集中或极其敏感关键信息基础设施可以具备象征意义，被攻击和破坏可影响社会稳定03 基于安全运营构建关基安全防护体系基于技术对抗的关键信息基础设施安全保护框架关键信息基础设施安全防护能力关键信息基础设施安全保护体系运营框架政策法规与标准规范网络安全法ITIL、ITSS、ISO27001行业管理规范一个平台等保2.0关保条例网络安全审查关基安全建设战略业务场景风险驱动安全服务.智慧政务智慧水利智慧交通智慧市政基础个人信息保护法通信关保攻防运营平台一张网通览、一块屏

20、通析、一朵云通防、一个脑通智AiLPHA平台、全链路、探针数据安全法交通能源金融医疗公共服务电子政务水利.安全资产检测平台第三方漏洞平台收集暴露面监测能力域威胁情报平台互联网敏感信息侦测互联网边界安全防护内部边界安全防护边界防御能力域EDR网页防篡改SIEM管理平台审计类、UEBA威胁狩猎能力域NTA类、DLP类终端防护、主动诱捕应急响应平台IRP应急响应工具箱应急响应能力域文件威胁分析平台应急取证类安全运营管理平台运营指挥决策平台运营管理能力域运营能力提升平台安全运营工具类攻击行为识别攻击行为分析技术对抗能力域蜜罐沙箱安全防护（IPDRO+）关基协助识别服务关基防护能力贯标咨询关基密评咨询服

21、务关基协助监管检查服务关基安全规划咨询关基安全培训服务关基监管合规咨询服务关基供应链安全咨询服务关基风险管理咨询服务关基数据安全咨询服务资产管理威胁管理风险管理事件管理应急管理攻防演练重大安保运营组织运营团队运营流程平时机制战时机制安全咨询服务安全运营服务关基安全保护要求-供应链安全防护网络安全法数据络安全法等保2.0网络安全审查办法关键信息基础设施安全保护条例供应链安全合规构建安全技术验证能力全生命周期风险可见、可管、可控规避系统性安全风险形成本组织供应商信息画像图谱完善制度体系要求规范供应商行为，促使供应商清单优化运营管理组织机构合规要求保障措施能力支撑供应链要素梳理供应链安全评估框架管控

22、集成平台全周期流程机制交付标准基线安全服务保障技术、服务能力体系建设供应商管控流程机制要求安全验证、保障技术合同约束条款安全质量承诺供应链安全策略制度规范体系供应商准入管理考核评价要求审核流程可信验证质量评估交付规范规范要求细化招投标要求资质、属性标准设置明确验收标准准入、退出机制安全检测流程合规审核要求交付上线标准规范质量检测证明代码质量检测组件安全检查安全风险监测安全测试规范性安全需求符合性评估解决思路框架安全管理评估风险检查情报监测闭环整改安全目标解决思路原则：合规是底线，制度是准则，技术是保障。红队攻击技术路线同时也是蓝队的防御检测点通过VPN、TeamViewer直接连接或Metas

23、ploit、Cobalt Strike、Core Impact、lcx(HTran)、ew(EarthWorm)工具的HTTP/HTTPS、DNS、ICMP等协议对AD域用户的身份盗用（哈希传递）、身份盗用（票据传递）、NTLM身份验证篡改、NTLM中继攻击（Exchange 帐户）、哈希传递攻击(Kerberos)等内网漫游效果通过Webshell(菜刀、冰蝎等)、Webshell代理（reDuh、reGeorg等）释放，系统凭据盗窃（RDP、SSH、 VNC、TeamViewer等）进行漏洞和非漏洞利用的提取针对Web服务（Tomcat、Weblogic、WebSphere、JBOSS等）

24、，框架组件（Spirng、Shiro、CAS、Fastjson等），OA（泛微、致远、通达）等边界漏洞利用，大量0day使用通过直接访问Web服务、识别框架组件、OA系统、邮件系统、VPN设备、边界网络和安全设备等，并进一步进行弱口令和高危漏洞探测通过全网资产测绘、网络通用搜索引擎（Google）、公开代码库（Github）、DNS历史记录、网盘资料存档、VPN客户端等无感知的信息收集隧道后门横向提权漏洞利用情报刺探无感知关基安全保护要求-技术对抗指导模型关基安全保护-威胁建模关键基础设施保护对象- 关基资产 - 关键数据 - 资产所属区域- 授权访问区域 - 授权访问人员 - 软件供应链关键

25、设施对手交战剧本威胁模型人员链供应链业务链内部链鱼叉钓鱼0DAY/NDAY软件供应链关基横向移动Web/App/其他业务应用治理134实战 / 模拟场景关键基础设施敌手- 组织类型 - 敌手目的 - 潜在技术水平- 攻击可能性 - 攻破影响 - 使用技战术关键设施对手关键基础设施交战剧本- 敌手组织 - 使用工具 - 攻击用例 防护措施- 数据采集 - 威胁狩猎 - 缓解措施 - 应急响应实战 / 模拟场景实战 / 模拟场景2实战 / 模拟场景近源渗透社交欺骗关基隔离测试云服务供应链关键基础设施防御体系优化场景实战 / 模拟紫队平台交战剧本互联网DMZSOC检测-分类-研判-响应核心生产区私有

26、云办公区红队蓝队工控区互联网应用场景WAF、RASP、IPS、防火墙执行TTPs持续改进关键基础设施威胁场景紫队项目管理&促进红蓝协作终端攻击场景EDR、HIDS横向移动场景EDR（微隔离）、IPS、NTA边界隔离场景防火墙、相关隔离技术外联隔离/WEB攻击防火墙、RASP、WAF、IPS核心业务攻击场景防火墙、蜜罐，统一身份认证社会工程场景安全邮件网关、UEBA场景导入勒索软件场景勒索软件威胁场景剧本关键基础设施威胁敌手剧本输入环境数据输入场景订阅SIEM、IMS目标目标：红队和蓝队共同以改善关键基础设施安全态势为目标，实时提升安全人员能力、防御技术、管理流程有效性。方法方法：通过高级威胁情报作为输入，采用实战和模拟的演练方式，紫队协调红蓝队进行实战化、场景化和体系化的细颗粒度安全防御体系评估与优化。APT组织APT组织威胁场景剧本工控场景工控系统威胁场景剧本金融场景银行威胁场景剧本关键基础设施运营防御能力量化