(2)受害行業(yè)分布
從勒索病毒攻擊目標(biāo)來(lái)看,企業(yè)、教育成為勒索病毒的主要目標(biāo)行業(yè),總占比達(dá)到52%;在企業(yè)受害用戶中,文件服務(wù)器���、財(cái)務(wù)服務(wù)器等存儲(chǔ)重要數(shù)據(jù)文件的服務(wù)器通常是攻擊者的首要目標(biāo):
(3)攻擊傳播方式
從勒索病毒攻擊方式來(lái)看,RDP暴力破解仍然是使用最為廣泛的攻擊方式�。因此,將服務(wù)器3389端口映射到公網(wǎng)并使用簡(jiǎn)單密碼,是非常容易受到勒索病毒入侵的;并且內(nèi)網(wǎng)如果使用了相同的弱密碼,可能導(dǎo)致多臺(tái)終端遭到入侵�。其次,社會(huì)工程也成為攻擊者獲取密碼的一種方式,使用公司郵箱注冊(cè)挖礦賬號(hào)、注冊(cè)不良網(wǎng)站賬號(hào)等行為可能會(huì)帶來(lái)密碼泄漏的風(fēng)險(xiǎn):
勒索病毒攻擊方式如下:
2. 數(shù)字貨幣價(jià)格持續(xù)走高,挖礦病毒比重增加
近來(lái)加密貨幣價(jià)格走勢(shì)如過(guò)山車般跌宕起伏,2019年6月比特幣成功翻身,價(jià)格重返五位數(shù),幾人歡喜幾人悲傷,這其中最歡喜莫過(guò)于惡意挖礦黑產(chǎn)從業(yè)者,由于其隱匿性�、低成本、無(wú)中間商賺差價(jià),導(dǎo)致挖礦木馬是近年來(lái)最流行的病毒之一,而企業(yè)的服務(wù)器則成為黑產(chǎn)眼中的盛宴�����。
(1)挖礦流量攔截趨勢(shì)
據(jù)深信服安全云腦統(tǒng)計(jì),挖礦木馬六月份攔截?cái)?shù)達(dá)到峰值10.46億次,三月份爆發(fā)WinnerMine等安全事件,攔截?cái)?shù)量整體呈增長(zhǎng)的趨勢(shì)��。
(2)挖礦木馬家族及攻擊方式
2019上半年Top10活躍挖礦木馬家族包括WannaMine��、Xmrig、CoinMiner�、BitcoinMiner、Tanlang����、ShadowMiner、ZombieBoyMiner��、Myking�、Malxmr和Bluehero。
惡意挖礦幣種及病毒攻擊方式如下所示:
(3)惡意挖礦攔截量地域分布
在挖礦木馬危害地域分布上,廣東省(挖礦木馬攔截量)位列全國(guó)第一,占TOP20總量的19.58%,其次為浙江省和北京市����。
(4)挖礦黑產(chǎn)主要攻擊行業(yè)分布
從挖礦木馬攻擊的行業(yè)分布來(lái)看,黑產(chǎn)更傾向于攻擊企業(yè)、政府��、教育行業(yè),企業(yè)的攔截?cái)?shù)量占攔截總量的37.87%����。
3. 供應(yīng)鏈木馬攻擊的速度增長(zhǎng)迅猛
(1)木馬遠(yuǎn)控各家族攔截情況
深信服安全云腦上半年全國(guó)檢測(cè)到木馬遠(yuǎn)控病毒樣本31780個(gè),共攔截13.46億次。其中最活躍的木馬遠(yuǎn)控家族是DriveLife,DriveLife木馬家族作為供應(yīng)鏈木馬,在2019年上半年有多次變種,其攻擊態(tài)勢(shì)迅速增長(zhǎng),半年攔截?cái)?shù)量達(dá)1.72億次��。遠(yuǎn)控木馬攔截量排在其后的是Zusy���、Injector��。具體分布數(shù)據(jù)如下圖所示:
(2)木馬遠(yuǎn)控病毒區(qū)域感染情況
對(duì)木馬遠(yuǎn)控病毒區(qū)域攔截量進(jìn)行分析統(tǒng)計(jì)發(fā)現(xiàn),惡意程序攔截量最多的地區(qū)為廣東省,占TOP10攔截量的27%;其次為浙江省(14%)�、北京市(12%)�����、四川省(9%)和廣西壯族自治區(qū)(7%)�。此外湖北省、湖南省�����、山東省��、江蘇省����、上海市的木馬遠(yuǎn)控?cái)r截量也排在前列。
(3)木馬遠(yuǎn)控病毒行業(yè)感染情況
行業(yè)分布上,企業(yè)����、教育及政府行業(yè)是木馬遠(yuǎn)控病毒的主要攻擊對(duì)象。
4. 蠕蟲(chóng)病毒清理難,政企單位易感染
(1)蠕蟲(chóng)病毒家族攔截情況
2019上半年深信服安全云腦在全國(guó)檢測(cè)到蠕蟲(chóng)病毒樣本20461個(gè),共攔截9.48億次�。通過(guò)數(shù)據(jù)統(tǒng)計(jì)分析來(lái)看,大多數(shù)攻擊都是來(lái)自于Gamarue、Ramnit�����、Jenxcus、Dorkbot�����、Conficker���、Faedevour���、Mydoom家族,這些家族占據(jù)了上半年全部蠕蟲(chóng)病毒攻擊的95%,其中攻擊態(tài)勢(shì)最活躍的蠕蟲(chóng)病毒是Gamarue,占蠕蟲(chóng)病毒總量的43.97%。
(2)蠕蟲(chóng)病感染地域分布
從感染地域上看,廣東省地區(qū)用戶受蠕蟲(chóng)病毒感染程度最為嚴(yán)重,其攔截量占TOP10總量的32%;其次為湖南省(14%)、江西省(9%)����。
(3)蠕蟲(chóng)病毒感染行業(yè)分布
從感染行業(yè)上看,企業(yè)、教育等行業(yè)受蠕蟲(chóng)感染程度較為嚴(yán)重�。
網(wǎng)站安全態(tài)勢(shì)
1. 攻擊量持續(xù)增加,信息泄漏問(wèn)題依然嚴(yán)峻
根據(jù)深信服全網(wǎng)安全態(tài)勢(shì)感知平臺(tái)對(duì)全球44501個(gè)IP所受網(wǎng)站攻擊進(jìn)行監(jiān)測(cè)的數(shù)據(jù)顯示,網(wǎng)絡(luò)攻擊數(shù)量整體呈上升趨勢(shì),其中攻擊類型以網(wǎng)站掃描�、信息泄漏和弱口令攻擊等類型為主。
上半年攻擊趨勢(shì)如下:
主要網(wǎng)站攻擊類型統(tǒng)計(jì)分布:
詳細(xì)攻擊種類和比例如下:
2. 網(wǎng)站漏洞類型以WebApp漏洞和Web服務(wù)器漏洞為主
通過(guò)深信服網(wǎng)站安全監(jiān)測(cè)平臺(tái)對(duì)國(guó)內(nèi)上半年已授權(quán)的網(wǎng)站進(jìn)行漏洞監(jiān)控,共收集漏洞2522個(gè),漏洞類別占比前三的分別是WebApp漏洞、Web服務(wù)器漏洞和Web_Activex漏洞�。詳細(xì)高危漏洞類型分布如下:
具體比例如下:
3. 網(wǎng)站漏洞以安全設(shè)施薄弱的教育行業(yè)為高發(fā)地
2019年上半年,深信服在對(duì)國(guó)內(nèi)網(wǎng)站進(jìn)行安全漏洞監(jiān)測(cè)過(guò)程中發(fā)現(xiàn),科研教育��、企業(yè)�、政府單位的安全漏洞數(shù)分別占20%、12%�、12%,占發(fā)現(xiàn)安全漏洞的大部分;安全設(shè)施薄弱的教育和企業(yè)持續(xù)成為安全漏洞高發(fā)地,醫(yī)療衛(wèi)生行業(yè)和服務(wù)業(yè)也存在安全漏洞較為普遍的現(xiàn)象。
4. 網(wǎng)站篡改仍以搜索引擎優(yōu)化類篡改為主
深信服在2019年上半年的篡改監(jiān)測(cè)過(guò)程中發(fā)現(xiàn),博彩�、色情、游戲類篡改是黑客搜索引擎優(yōu)化(SEO)的主流類型���。醫(yī)療廣告���、代孕類比例較低。
漏洞態(tài)勢(shì)
1. 高危以上漏洞新增數(shù)量呈現(xiàn)上升趨勢(shì)
根據(jù)CNNVD監(jiān)測(cè)數(shù)據(jù)顯示,2019年上半年新增安全漏洞7859個(gè)�。其中超危漏洞779個(gè),高危漏洞2364個(gè),中危漏洞3686個(gè),低危漏洞412個(gè),暫未分級(jí)漏洞546個(gè)���。根據(jù)6個(gè)月來(lái)漏洞新增數(shù)量統(tǒng)計(jì),每月平均新增漏洞數(shù)量達(dá)到1309個(gè),高危以上漏洞新增數(shù)量為524個(gè)����。根據(jù)歷史數(shù)據(jù)及歷年情況發(fā)現(xiàn),近半年漏洞每月新增數(shù)量在900-1500之間來(lái)回波動(dòng),預(yù)測(cè)未來(lái)新增漏洞數(shù)量仍在此范圍區(qū)間內(nèi),而高危以上漏洞新增數(shù)量近半年總體呈現(xiàn)上升趨勢(shì)�。
2. 漏洞類型以Application和System漏洞為主
根據(jù)深信服安全云腦收集的漏洞類型分布數(shù)據(jù)顯示,應(yīng)用漏洞(Application)達(dá)220條,占比最大,約為 26.54%,系統(tǒng)(System)漏洞達(dá)202條,占比7.52%��。
3. 用戶關(guān)注度較高的漏洞
根據(jù)用戶查閱CNVD漏洞信息次數(shù)的統(tǒng)計(jì)結(jié)果,上半年用戶關(guān)注度最高的5個(gè)漏洞如表所示�。
4. 高危漏洞類型以CSRF跨站請(qǐng)求偽造為主
深信服網(wǎng)站安全監(jiān)測(cè)平臺(tái)對(duì)國(guó)內(nèi)上半年已授權(quán)的7087個(gè)站點(diǎn)進(jìn)行漏洞監(jiān)控,發(fā)現(xiàn)高危站點(diǎn)7689個(gè),高危漏洞72308個(gè),漏洞類別占比前三的分別是CSRF跨站請(qǐng)求偽造���、信息泄漏和點(diǎn)擊劫持。詳細(xì)高危漏洞類型分布如下:
具體比例如下:
趨勢(shì)展望
1. 弱口令爆破�、社會(huì)工程為主要威脅,社會(huì)工程仍然是郵件攻擊的重要“啟動(dòng)入口”
安全對(duì)抗的本質(zhì)是成本對(duì)抗,投入產(chǎn)出比是黑產(chǎn)團(tuán)伙首要考慮的因素。出于成本和效率的考慮,黑產(chǎn)常常通過(guò)弱口令爆破���、釣魚(yú)郵件等方式對(duì)服務(wù)器攻擊,隨后對(duì)滲透成功的服務(wù)器做標(biāo)記、留后門,最終長(zhǎng)期控制服務(wù)器����。
網(wǎng)絡(luò)釣魚(yú)和魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)是盜取用戶憑證和各種敏感信息的慣用伎倆,實(shí)際上它們非常奏效�。值得注意的是,網(wǎng)絡(luò)釣魚(yú)和魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件近年來(lái)導(dǎo)致了多個(gè)造成大規(guī)模影響的違規(guī)安全事件����。
2. 我國(guó)網(wǎng)絡(luò)安全法律法規(guī)政策保障體系進(jìn)一步完善
等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)的發(fā)布,是具有里程碑意義的一件大事,標(biāo)志著國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作步入新時(shí)代��。對(duì)于保障和促進(jìn)國(guó)家信息化發(fā)展,提升國(guó)家網(wǎng)絡(luò)安全保護(hù)能力,維護(hù)國(guó)家網(wǎng)絡(luò)空間安全具有重要的意義�����。
隨著網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入2.0時(shí)代,等級(jí)保護(hù)對(duì)象范圍在傳統(tǒng)系統(tǒng)的基礎(chǔ)上擴(kuò)大到了云計(jì)算���、移動(dòng)互聯(lián)��、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)�����、大數(shù)據(jù)等,對(duì)等級(jí)保護(hù)制度也提出了新的要求�����。
3. 惡意攻擊者越來(lái)越會(huì)隱蔽偽裝,惡意使用合法資源進(jìn)行后門C&C通訊,濫用云服務(wù)等合法的網(wǎng)絡(luò)資源
網(wǎng)絡(luò)黑產(chǎn)越來(lái)越擅于利用依賴合法的網(wǎng)絡(luò)服務(wù)C2渠道,如Google���、Dropbox和GitHub,這樣使得惡意軟件流量可能無(wú)法通過(guò)正常方式進(jìn)行識(shí)別,隱藏手段更加巧妙����。同時(shí)隨著云技術(shù)的廣泛應(yīng)用,各類數(shù)據(jù)和身份信息遷移到云上,云環(huán)境不斷演進(jìn)�、擴(kuò)展和復(fù)雜化,所帶來(lái)的防御挑戰(zhàn)將會(huì)更大。
4. 供應(yīng)鏈攻擊的速度和復(fù)雜性似乎正在日益增加
供應(yīng)鏈攻擊的速度和復(fù)雜性增長(zhǎng)迅速,2019年上半年捕獲到的驅(qū)動(dòng)人生(DriveLife)木馬等病毒多次變種,防御程度難,感染范圍不斷擴(kuò)大,這些病毒可以大規(guī)模影響計(jì)算機(jī),影響周期持續(xù)數(shù)月甚至數(shù)年���。如果使用的軟硬件安全狀況不可靠,則可能存在一定的安全風(fēng)險(xiǎn),用戶應(yīng)該選擇有能力保證構(gòu)建系統(tǒng)不被侵害、能夠迅速解決漏洞攻擊的供應(yīng)商��。
5. 安全防御手段和設(shè)施越來(lái)越復(fù)雜化����、智能化,機(jī)器學(xué)習(xí)普遍應(yīng)用,但在減少“誤報(bào)”上,未來(lái)還需要持續(xù)投入
攻擊者將惡意軟件的復(fù)雜性和影響力進(jìn)一步提升,惡意軟件類型和系列的數(shù)量與種類不斷增多,安全防御的基礎(chǔ)設(shè)施也越來(lái)越復(fù)雜化和智能化����。隨著機(jī)器學(xué)習(xí)和人工智能技術(shù)的普遍應(yīng)用,需要更好地區(qū)分監(jiān)控的網(wǎng)絡(luò)世界中哪些是“正常業(yè)務(wù)”活動(dòng),未來(lái)一段時(shí)間還需要安全防護(hù)者進(jìn)一步優(yōu)化人工智能以提高它們的安全能力��。
安全防護(hù)建議
根據(jù)深信服安全團(tuán)隊(duì)的防護(hù)經(jīng)驗(yàn)來(lái)看,黑客入侵的主要目標(biāo)是存在通用安全漏洞的機(jī)器,所以預(yù)防病毒入侵的主要手段是發(fā)現(xiàn)和修復(fù)漏洞,建議用戶做好以下防護(hù)措施:
1. 杜絕使用弱口令,避免一密多用
系統(tǒng)、應(yīng)用相關(guān)的用戶杜絕使用弱口令,同時(shí),應(yīng)該使用高復(fù)雜強(qiáng)度的密碼,盡量包含大小寫(xiě)字母�����、數(shù)字��、特殊符號(hào)等的混合密碼,盡量避免一密多用的情況�。
2. 及時(shí)更新重要補(bǔ)丁和升級(jí)組件
建議關(guān)注操作系統(tǒng)和組件重大更新,使用正確渠道更新對(duì)應(yīng)補(bǔ)丁漏洞或者升級(jí)組件��。
3. 部署加固軟件,關(guān)閉非必要端口
服務(wù)器上部署安全加固軟件,通過(guò)限制異常登錄行為�����、開(kāi)啟防爆破功能����、防范漏洞利用,同時(shí)限制服務(wù)器及其他業(yè)務(wù)服務(wù)網(wǎng)可進(jìn)行訪問(wèn)的網(wǎng)絡(luò)��、主機(jī)范圍,有效加強(qiáng)訪問(wèn)控制ACL策略,細(xì)化策略粒度,按區(qū)域按業(yè)務(wù)嚴(yán)格限制各個(gè)網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪問(wèn),采用白名單機(jī)制只允許開(kāi)放特定的業(yè)務(wù)必要端口,提高系統(tǒng)安全基線,防范黑客入侵。
4. 主動(dòng)進(jìn)行安全評(píng)估,加強(qiáng)人員安全意識(shí)
加強(qiáng)人員安全意識(shí)培養(yǎng),不要隨意點(diǎn)擊來(lái)源不明的郵件附件,不從不明網(wǎng)站下載軟件,對(duì)來(lái)源不明的文件包括郵件附件���、上傳文件等要先殺毒處理����。定期開(kāi)展對(duì)系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評(píng)估�、滲透測(cè)試以及代碼審計(jì)工作,主動(dòng)發(fā)現(xiàn)目前系統(tǒng)��、應(yīng)用存在的安全隱患�����。
5. 建立威脅情報(bào)分析和對(duì)抗體系,有效防護(hù)病毒入侵
網(wǎng)絡(luò)犯罪分子采取的戰(zhàn)術(shù)策略也在不斷演變,其攻擊方式和技術(shù)更加多樣化����。對(duì)于有效預(yù)防和對(duì)抗海量威脅,需要選擇更強(qiáng)大和更智能的防護(hù)體系����。深信服下一代安全防護(hù)體系(深信服安全云����、深信服下一代防火墻AF、深信服安全感知平臺(tái)SIP�����、深信服終端檢測(cè)與響應(yīng)平臺(tái)EDR)通過(guò)聯(lián)動(dòng)云端、網(wǎng)絡(luò)��、終端進(jìn)行協(xié)同響應(yīng),建立全面的事前檢測(cè)預(yù)警�、事中防御、事后處理的整套安全防護(hù)體系�。云端持續(xù)趨勢(shì)風(fēng)險(xiǎn)監(jiān)控與預(yù)警、網(wǎng)絡(luò)側(cè)實(shí)時(shí)流量檢測(cè)與防御����、終端事后查殺與溯源,從用戶場(chǎng)景出發(fā),解決系統(tǒng)脆弱性和保證事件響應(yīng)高效性。
系統(tǒng)脆弱性方面,深信服構(gòu)建了強(qiáng)大的脆弱性發(fā)現(xiàn)和修復(fù)機(jī)制,降低系統(tǒng)脆弱性風(fēng)險(xiǎn),主要建設(shè)能力包括:漏洞管理��、滲透測(cè)試、系統(tǒng)和網(wǎng)絡(luò)監(jiān)控�����、基線核查��、日志聚合與數(shù)據(jù)分析���、補(bǔ)丁管理和部署�����、安全運(yùn)營(yíng)中心等����。
事件響應(yīng)高效性方面,深信服構(gòu)建了云網(wǎng)端+安全服務(wù)的一整套解決方案,并且具備完整專業(yè)的勒索病毒響應(yīng)流程,防火墻�、安全感知���、EDR�����、安全云腦能在勒索病毒事件發(fā)生的全生命周期,進(jìn)行檢測(cè)、攔截和封堵,同時(shí)結(jié)合后端強(qiáng)大的安全專家隊(duì)伍,能更大限度�����、更快地保護(hù)企業(yè)核心數(shù)據(jù)資產(chǎn)免受勒索病毒的侵害�����。
