4 月 20 日,國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)正式發(fā)布《2019 年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》報告。這份報告既總結(jié)了 2019 年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況,也預(yù)測了 2020 年網(wǎng)絡(luò)安全熱點。同時,它還提出相應(yīng)的對策建議,并梳理了網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)。通過這份報告,我們可以大致了解國內(nèi)網(wǎng)絡(luò)安全形勢。
在前言中,報告指出:
2019 年,我國云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、人工智能等新技術(shù)新應(yīng)用大規(guī)模發(fā)展,網(wǎng)絡(luò)安全風險融合疊加并快速演變。互聯(lián)網(wǎng)技術(shù)應(yīng)用不斷模糊物理世界和虛擬世界界限,對整個經(jīng)濟社會發(fā)展的融合、滲透、驅(qū)動作用日益明顯,帶來的風險挑戰(zhàn)也不斷增大,網(wǎng)絡(luò)空間威脅和風險日益增多。
一、2019 年國內(nèi)互聯(lián)網(wǎng)安全狀況
整體上,2019 年, 在國內(nèi)相關(guān)部門持續(xù)開展的網(wǎng)絡(luò)安全威脅治理下,DDoS 攻擊、APT 攻擊、漏洞威脅、數(shù)據(jù)安全隱患、移動互聯(lián)網(wǎng)惡意程序、網(wǎng)絡(luò)黑灰產(chǎn)業(yè)、工業(yè)控制系統(tǒng)安全威脅總體下降,但呈現(xiàn)出許多新特點,帶來新風險與挑戰(zhàn)。
1.DDoS 攻擊
報告指出,黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施等重要單位防護能力顯著增強,但 DDoS 攻擊呈現(xiàn)高發(fā)頻發(fā)態(tài)勢,攻擊組織性和目的性更加凸顯。
據(jù)悉,2019 年 DDoS 攻擊仍然呈現(xiàn)高發(fā)頻發(fā)之勢,CNCERT 抽樣監(jiān)測發(fā)現(xiàn)境內(nèi)峰值超過 10Gbps 的大流量分布式拒絕服務(wù)攻擊(DDoS 攻擊)事件數(shù)量平均每日 220 起,同比增加 40%。
2.APT 攻擊
APT 攻擊逐步向各重要行業(yè)領(lǐng)域滲透,在重大活動和敏感時期更加猖獗。這主要表現(xiàn)在三方面:
a. 投遞高誘惑性釣魚郵件是大部分 APT 組織常用技術(shù)手段,國內(nèi)重要行業(yè)部門對釣魚郵件防范意識不斷提高;
b. 攻擊領(lǐng)域逐漸由黨政機關(guān)、科研院所向各重要行業(yè)領(lǐng)域滲透;
c. APT 攻擊在我國重大活動和敏感時期更為猖獗頻繁。
以釣魚郵件攻擊為例,2019 年,CNCERT 監(jiān)測到重要黨政機關(guān)部門遭受釣魚郵件攻擊數(shù)量達 50 多萬次,月均 4.6 萬封,,其中攜帶漏洞利用惡意代碼的 office 文檔成為主要載荷,主要利用的漏洞包括 CVE-2017-8570 和 CVE-2017-11882 等。
3. 漏洞威脅
報告稱,在漏洞信息共享與通報處置上,國家信息安全漏洞共享平臺(CNVD)在 2019 年聯(lián)合國內(nèi)產(chǎn)品廠商、網(wǎng)絡(luò)安全企業(yè)、科研機構(gòu)、個人白帽子,共同完成對約 3.2 萬起漏洞事件的驗證、通報和處置工作,同比上漲 56.0%。
但是,值得注意的是,漏洞數(shù)量和影響范圍仍然大幅增加。
據(jù)悉,2019 年,CNVD 新收錄通用軟硬件漏洞數(shù)量創(chuàng)下歷史新高,達 16193 個,同比增長 14.0%,影響范圍非常廣。其中,安全漏洞主要涵蓋的廠商或平臺為谷歌、wordPress/ target=_blank class=infotextkey>WordPress 和甲骨文。按影響對象分類統(tǒng)計,排名前三的是應(yīng)用程序漏洞(占 57.8%) 、Web 應(yīng)用漏洞(占 18.7%)、操作系統(tǒng)漏洞(占 10.6%)。
并且,事件型漏洞數(shù)量大幅上升。CNVD 接收的事件型漏洞數(shù)量約 14.1 萬條,首次突破 10 萬條,較 2018 年同比大幅增長 227%。此外,是高危零日漏洞占比增大。近 5 年來,“零日”漏洞收錄數(shù)量持續(xù)走高,年均增長率達 47.5%。
4. 數(shù)據(jù)安全
雖然數(shù)據(jù)風險監(jiān)測與預(yù)警防護能力提升,但數(shù)據(jù)安全防護意識依然薄弱,大規(guī)模數(shù)據(jù)泄露事件頻發(fā)。
2019 年,CNCERT 全年累計發(fā)現(xiàn)我國重要數(shù)據(jù)泄露風險與事件 3000 余起。其中,MongoDB、ElasticSearch、SQL Server、MySQL、redis 等主流數(shù)據(jù)庫的弱口令漏洞、未授權(quán)訪問漏洞導(dǎo)致數(shù)據(jù)泄露,成為 2019 年數(shù)據(jù)泄露風險與事件的突出特點。
此外,報告還指出“涉及公民個人信息的數(shù)據(jù)庫數(shù)據(jù)安全事件頻發(fā),違法交易藏入‘暗網(wǎng)’”。
2019 年針對數(shù)據(jù)庫的密碼暴力破解攻擊次數(shù)日均超過百億次,數(shù)據(jù)泄露、非法售賣等事件層出不窮,數(shù)據(jù)安全與個人隱私面臨嚴重挑戰(zhàn)。
5. 移動互聯(lián)網(wǎng)惡意程序
2019 年移動互聯(lián)網(wǎng)惡意程序增量首次出現(xiàn)下降。據(jù)悉,2019 年,新增移動互聯(lián)網(wǎng)惡意程序數(shù)量 279 萬余個,同比減少 1.4%。同時,報告發(fā)現(xiàn) 2019 年出現(xiàn)的移動惡意程序主要集中在 Android 平臺,其中近 70% 的 App 具有流氓行為、資費消耗等低危惡意行為。
從整治方面看,CNCERT 2019 年累計下架 3057 款惡意 App。
不過,報告也發(fā)現(xiàn):以移動互聯(lián)網(wǎng)仿冒 App 為代表的灰色應(yīng)用大量出現(xiàn),主要針對金融、交通、電信等重要行業(yè)的用戶。2019 年,CNCERT 通過自主監(jiān)測和投訴舉報方式捕獲大量新出現(xiàn)的仿冒 App,主要集中在仿冒公檢法、銀行、社交軟件、支付軟件、搶票軟件等熱門應(yīng)用。
6. 網(wǎng)絡(luò)黑灰產(chǎn)業(yè)
報告稱“網(wǎng)絡(luò)黑產(chǎn)打擊取得階段性成果“,比如每月活躍“黑卡”總數(shù)從約 500 萬個逐步下降到約 200 萬個,降幅超過 60.0%。2019 年底,用于瀏覽器主頁劫持的惡意程序月新增數(shù)量由 65 款降至 16 款,降幅超過 75%;被植入賭博暗鏈的網(wǎng)站數(shù)量從 1 萬余個大幅下降到不超過 1 千個。
不過,報告還發(fā)現(xiàn):網(wǎng)絡(luò)黑產(chǎn)活動專業(yè)化、自動化程度不斷提升,技術(shù)對抗越發(fā)激烈。2019 年,CNCERT 監(jiān)測發(fā)現(xiàn)各類黑產(chǎn)平臺超過 500 個,提供手機號資源的接碼平臺、提供 IP 地址的秒撥平臺、提供支付功能的第四方支付平臺和跑分平臺、專門進行賬號售賣的發(fā)卡平臺、專門用于賭博網(wǎng)站推廣的廣告聯(lián)盟等各類專業(yè)黑產(chǎn)平臺不斷產(chǎn)生。
2019 年監(jiān)測到各類網(wǎng)絡(luò)黑產(chǎn)攻擊日均 70 萬次,電商網(wǎng)站、視頻直播、棋牌游戲等行業(yè)成為網(wǎng)絡(luò)黑產(chǎn)的主要攻擊對象。
此外,值得注意的是,勒索病毒、挖礦木馬在黑色產(chǎn)業(yè)刺激下持續(xù)活躍。2019 年,CNCERT 捕獲勒索病毒 73.1 萬余個,較 2018 年增長超過 4 倍,勒索病毒活躍程度持續(xù)居高不下。分析發(fā)現(xiàn),勒索病毒攻擊活動越發(fā)具有目標性,且以文件服務(wù)器、數(shù)據(jù)庫等存有重要數(shù)據(jù)的服務(wù)器為首要目標,通常利用弱口令、高危漏洞、釣魚郵件等作為攻擊入侵的主要途徑或方式。
2019 年最為活躍的勒索病毒家族:GandCrab、Sodinokibi、Globelmposter、CrySiS、Stop 等
2019 年最為流行的挖礦木馬家族:WannaMine、Xmrig、CoinMiner 等
7. 工業(yè)控制系統(tǒng)安全威脅
據(jù)悉,根據(jù)國內(nèi)外主流漏洞平臺的最新統(tǒng)計,2019 年收錄的工業(yè)控制產(chǎn)品漏洞數(shù)量依然居高不下且多為高中危漏洞。
同時,隨著工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)的不斷發(fā)展,工業(yè)企業(yè)上云、工業(yè)產(chǎn)業(yè)鏈上下游協(xié)同顯著增強,越來越多的工業(yè)行業(yè)的設(shè)備、系統(tǒng)暴露在互聯(lián)網(wǎng)上。例如,2019 年,暴露在互聯(lián)網(wǎng)上的工業(yè)設(shè)備 7325 臺,相比 2018 年增加 21.7%,涉及西門子、韋益可自控、羅克韋爾等 39 家國內(nèi)外知名廠商的 PLC 設(shè)備、智能樓宇、數(shù)據(jù)采集等 50 種設(shè)備類型,且存在高危漏洞隱患的設(shè)備占比約 35%。
不過,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全在國家層面頂層設(shè)計進一步完善。例如,“等保 2.0”正式將工業(yè)控制系統(tǒng)納入到網(wǎng)絡(luò)安全等級保護的范圍,并出臺了相應(yīng)的測評要求。
二、2020 年網(wǎng)絡(luò)安全關(guān)注方向預(yù)測
1. 規(guī)模性、破壞性急劇上升成為有組織網(wǎng)絡(luò)攻擊新特點
一方面,隨著國際局勢漸趨復(fù)雜,有組織的網(wǎng)絡(luò)攻擊出于政治目的發(fā)起的網(wǎng)絡(luò)攻擊行動持續(xù)高發(fā)。另一方面,常在敏感時間節(jié)點發(fā)起有針對性的攻擊滲透以最大程度博取政治利益。
2. 體系化協(xié)同防護將成關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障新趨勢
報告表示,由于承載服務(wù)、信息的高價值性,預(yù)計在 2020 年,針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)竊密、遠程破壞攻擊、勒索攻擊會持續(xù)增加。
除利用安全漏洞、弱口令等常見方式實施攻擊外,通過軟硬件供應(yīng)鏈、承載服務(wù)的云平臺作為攻擊途徑的事件或呈上升趨勢,關(guān)鍵信息基礎(chǔ)設(shè)施的安全問題將受到強烈關(guān)注。
3. 政策法規(guī)與執(zhí)法監(jiān)管多管齊下為數(shù)據(jù)安全和個人信息保護提供新指引
2019 年,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)安全管理辦法(征求意見稿)》、《個人信息出境安全評估辦法(征求意見稿)》,出臺了《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》,全國人大常委會正在制定《個人信息保護法》。
同時,中央網(wǎng)信辦、工業(yè)和信息化部、公安部等監(jiān)管部門日益提高執(zhí)法監(jiān)管力度,加大對違規(guī)采集和使用個人信息、泄露或售賣用戶數(shù)據(jù)、侵害用戶隱私權(quán)益的企業(yè)查處力度。
4. 精準網(wǎng)絡(luò)勒索集中轉(zhuǎn)向中小型企事業(yè)單位成為網(wǎng)絡(luò)黑產(chǎn)新動向
近年來,勒索攻擊的目標逐漸轉(zhuǎn)向網(wǎng)絡(luò)安全防護較為薄弱的中小型企事業(yè)單位。從攻擊手法來看,勒索軟件逐漸呈現(xiàn)出專業(yè)性高、針對性強的特點,有向“泛 APT 攻擊”發(fā)展的趨勢。
5. 遠程協(xié)同熱度突增引發(fā)新興業(yè)態(tài)網(wǎng)絡(luò)安全風險新思考
2020 年初,全球突發(fā)新型冠狀病毒感染的肺炎疫情,在其影響下,遠程辦公、醫(yī)療、教育等遠程協(xié)同類的業(yè)態(tài)模式熱度突增,大量傳統(tǒng)行業(yè)也正加快轉(zhuǎn)向通過互聯(lián)網(wǎng)開展遠程業(yè)務(wù)協(xié)作,隨之而來的數(shù)據(jù)泄露、網(wǎng)絡(luò)釣魚、勒索病毒、網(wǎng)絡(luò)詐騙等網(wǎng)絡(luò)安全風險和威脅日益凸顯。
報告預(yù)計 2020 年,針對遠程協(xié)同類相關(guān)業(yè)態(tài)的網(wǎng)絡(luò)安全風險和威脅將逐漸出現(xiàn),引發(fā)更多對安全風險的關(guān)注。
