近日,綠盟科技發(fā)布“2019安全事件響應(yīng)觀察報告”(簡稱“報告”)。報告稱,在2019年安全事件當中,關(guān)鍵基礎(chǔ)設(shè)施成為網(wǎng)絡(luò)安全的核心戰(zhàn)場,安全事件主要分布在金融、運營商和政府等行業(yè)。經(jīng)濟利益是黑客投身黑產(chǎn)的主要驅(qū)動力,勒索、挖礦依然是安全事件的重頭戲。其中,三分之一的安全事件與安全管理疏忽或員工安全意識薄弱有關(guān)。

據(jù)了解,綠盟科技應(yīng)急響應(yīng)團隊深入整理與分析了2019年處理的安全事件,并綜合國內(nèi)外重要安全事件,編制《綠盟科技2019安全事件響應(yīng)觀察報告》,希望從安全事件的角度分析2019年的安全現(xiàn)狀,與安全行業(yè)從業(yè)者和社會各界交流發(fā)展趨勢,共同探討網(wǎng)絡(luò)安全建設(shè)的發(fā)展方向。

關(guān)鍵信息基礎(chǔ)設(shè)施安全防護愈加緊迫

報告顯示,與2018年相比,2019年的安全事件整體趨勢變化較大。從月度事件數(shù)量分布來看,2018年呈現(xiàn)平緩增長趨勢;2019年上半年整體安全事件增長迅速,并在6月達到全年峰值,當月占全年安全事件總量的16.8%(是月平均安全事件的2倍);下半年整體呈下降趨勢,與2018年同期環(huán)比下降39%。

2019年的安全事件當中,金融、運營商、政府、能源、教育、衛(wèi)生、交通行業(yè)的安全事件占總體安全事件的82.3%,這些行業(yè)涉及的重要信息設(shè)施、信息系統(tǒng)和重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)均與國家關(guān)鍵基礎(chǔ)設(shè)施息息相關(guān)。

其中,金融行業(yè)因為業(yè)務(wù)復(fù)雜、涉及資產(chǎn)價值較高等原因,向來是黑客攻擊的重點,近三年金融行業(yè)安全事件占比均為第一。2019年的金融行業(yè)安全事件中,銀行類占比最多,為28%。對近三年安全事件進行觀察發(fā)現(xiàn),運營商行業(yè)安全事件數(shù)量呈上升趨勢,且在2019年尤為明顯,環(huán)比2018年增長了90.6%。運營商行業(yè)發(fā)生的安全事件主要為虛擬挖礦、入侵事件、勒索軟件、蠕蟲病毒和業(yè)務(wù)安全等,涉及類型廣泛。2019年政府行業(yè)發(fā)生的安全事件占事件總數(shù)的14%,在各行業(yè)中排在第三位。發(fā)生的安全事件類型中,占前三位的分別為入侵事件、虛擬挖礦、勒索軟件。

國家關(guān)鍵信息基礎(chǔ)設(shè)施是指關(guān)系國家安全、國家公共利益的信息設(shè)施,包括但不限于提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)、能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會保障、公用事業(yè)等領(lǐng)域和國家機關(guān)的重要信息系統(tǒng)和重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)等。

關(guān)鍵基礎(chǔ)設(shè)施關(guān)系著國計民生,是經(jīng)濟社會運行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重。隨著經(jīng)濟社會對網(wǎng)絡(luò)的依賴程度不斷加深,關(guān)鍵信息基礎(chǔ)設(shè)施安全防護更加緊迫。網(wǎng)絡(luò)空間軍事化、網(wǎng)絡(luò)武器平民化、網(wǎng)絡(luò)攻擊常態(tài)化的態(tài)勢日趨明顯,關(guān)鍵信息基礎(chǔ)設(shè)施已成為網(wǎng)絡(luò)攻擊的主要目標。

經(jīng)濟利益是黑客攻擊的主要驅(qū)動力

報告分析稱,經(jīng)濟利益是黑客投身黑產(chǎn)的主要驅(qū)動力。

2019年處理的安全事件中,絕大多數(shù)攻擊者具有較為明確的目的,以獲取經(jīng)濟利益為攻擊意圖的安全事件達到了77%,其中包含了勒索詐騙、虛擬挖礦、黑產(chǎn)活動以及為后續(xù)黑產(chǎn)做鋪墊的后門權(quán)限維持等攻擊行為。對于大部分攻擊者而言,發(fā)起攻擊的主要原因是為獲取暴利,實現(xiàn)自身最大利益。在經(jīng)濟利益的驅(qū)動下,攻擊者不斷更新攻擊手段,完善黑色產(chǎn)業(yè)鏈,這也使得使網(wǎng)絡(luò)攻擊更加難以防范,對網(wǎng)絡(luò)安全從業(yè)者帶來新的挑戰(zhàn)。

值得注意的是,勒索軟件即服務(wù)發(fā)展迅猛。勒索軟件即服務(wù)(RaaS)是指由開發(fā)者編寫惡意軟件后,提供給代理分發(fā)者擴散感染再抽成的盈利模式。這種模式讓黑產(chǎn)從業(yè)者不需要惡意軟件開發(fā)的專業(yè)知識就可以發(fā)起勒索活動,他們可以通過RaaS輕松獲取勒索軟件,只需進行一些配置并將惡意軟件分發(fā)給受害者即可。低門檻高收益的盈利模式推動黑色產(chǎn)業(yè)鏈日趨成熟,層出不窮的勒索軟件的頻繁更新更是堪比商業(yè)軟件。勒索軟件低風險、高收益的特性,也讓不少黑客躍躍欲試。

黑鏈暗鏈事件呈爆發(fā)式增長,據(jù)不完全檢測統(tǒng)計,國內(nèi)有近6萬站點已被植入黑鏈/暗鏈。多年以來,黑鏈暗鏈都是黑灰產(chǎn)業(yè)中的重要組成部分。最近幾年,得益于互聯(lián)網(wǎng)的高速發(fā)展、網(wǎng)民數(shù)量增加刺激傳統(tǒng)線上黑產(chǎn)爆發(fā)增長,以及與互聯(lián)網(wǎng)相關(guān)的新型經(jīng)濟的涌現(xiàn)(直播、付費內(nèi)容等),以賭博、色情、違法業(yè)務(wù)等為核心內(nèi)容的黑灰產(chǎn)業(yè)得到了極大的發(fā)展,也使得掛黑鏈暗鏈的需求猛增。

多措并舉應(yīng)對日益嚴峻的安全形勢

對2019年入侵事件的統(tǒng)計發(fā)現(xiàn),從事件可回溯的首次入侵時間到事件被用戶報告或被告知的時間,入侵事件平均潛伏時間高達359天。由此可見,已發(fā)現(xiàn)處理安全事件只是眾多安全事件的冰山一角。

從安全事件發(fā)生原因分析,多數(shù)安全事件是由于用戶安全意識不足,進而用戶或系統(tǒng)漏洞未及時修復(fù)引發(fā)。當前,很多企業(yè)或多或少存在著安全管理薄弱或員工安全意識不足的問題。安全管理薄弱、員工安全意識不足的問題最易遭到攻擊者的利用。當攻擊者無法通過傳統(tǒng)技術(shù)手段對企業(yè)資產(chǎn)進行攻擊時,人和管理上的漏洞往往更容易成為攻擊者的突破口。

安全需要人、技術(shù)、管理的全方位保障,然而人與管理因素由于其復(fù)雜性常常成為入侵突破口。在2019年處理的安全事件中,弱口令事件占比22%,釣魚郵件相關(guān)事件占比7%,配置不當事件占比3%,與人和管理相關(guān)的事件合計占總數(shù)的1/3。

安全防護總是落后一步,所以需要做到防患于未然。而安全演練、常態(tài)化威脅情報的分析、安全運維中的運維監(jiān)控和漏洞修復(fù)等都是防御日益嚴峻的安全形勢的有效手段。

其中,國家級安全演練效果明顯。國家級安全演練,就是要模擬黑客真實的網(wǎng)絡(luò)攻擊場景,考察政府機構(gòu)、能源、通信、金融等關(guān)鍵信息基礎(chǔ)設(shè)施單位遭受網(wǎng)絡(luò)攻擊的情況下的應(yīng)急保障及協(xié)調(diào)能力。

安全演練不僅能增強演練組織單位、參與單位和人員等對應(yīng)急流程的熟悉程度,提高應(yīng)急處置能力,還能檢查各個單位對突發(fā)事件所需應(yīng)急隊伍、物資、裝備、技術(shù)等方面的準備情況,發(fā)現(xiàn)應(yīng)急預(yù)案中存在的問題,這也是對日常安全運維工作中的安全保障成果的一種檢驗,可為后續(xù)單位、企業(yè)安全建設(shè)提供新的思路與方向。

標簽: