执行摘要
从 1987 年 9 月 14 日,中国向世界发出第一封电子邮件到如今,中国的互联 发展已过去整整 31 个年头。从消费互联、产业互联到万物互联,互联 正在加速改变我们的交流方式和交易方式,一次次 004.重塑了国家的经济形态和延展了人民的生活边界。与此同时,截止到 2018 年 6 月,中国 民规模达到 8.02 亿人,互联 普及率为 57.7%[^1]。互联 已事实上成为国家经济和人民生活中的必需品, 络安全
的重要性也就更为凸显。随着 络安全的重要性凸显,互联 安全事件受到的关注度也在逐步增加,其中漏洞类、恶意软件类、 DDoS、信息泄露以及物联 是最受关注的五类安全事件。从我们的观测数据可以看出,上半年
的高峰 出现在 3 月份,该月安全事件的主角是 DDoS,重点事件是 GitHub 遭受了峰值 1.35 Tbps 的流量冲击, 以及五天之后,在针对美国的一家服务提供商的 DDoS 攻击中,峰值再次刷新纪录,达到 1.7 Tbps。在 2018 年下半年,各类安全事件呈上升趋势,主角则换成了信息泄露和恶意软件。Facebook 和 AcFun 等 站的用户数据外泄,新勒索软件样本发现,已知勒索软件解密工具公布以及样本中出新算法等等, 均与老百姓的生活息息相关。 络的互通互联,让更多的人能够切身感受到 络安全的重要性。安全厂商的脚步也在加快。2018 年 RSA的口 是”Now Matt
ers”,到 2019 年的”Better”, 联 动防御和破除孤岛已成业界共识,厚积薄发,化被动为主动,关注落地实效和响应时效的提升。“知己 知彼,百战不殆”,2019 年 RSA的创新沙盒冠军 Axonius 正是因为提供了更为有效和细致的“知己” 能力而拔得头筹,提升给定范围内的资产可见性,持续地评估、消除资产的脆弱性。而“知彼”能力中 最重要的威胁情 ,已逐渐成为安全厂商的核心后台能力,通过嵌入各个安全产品和运营体系,来完成 数据能力和防护能力的交付。2018 年,在我们监测到的所有恶意 IP中,有 15% 的恶意 IP使用了多种攻击方法,且随着时间迁移, 攻击源会随着攻击链的深入或趋利目标改变攻击类型,例如发起 Web 攻击的攻击源,有 50% 的可能性 在之后尝试进行更复杂的漏洞利用操作;参与 DDoS 攻击的受控源 IP,有相当一部分产生过挖矿行为。
攻击源和攻击目标主要集中在中、美两国。从国内来看,主要集中在江苏、浙江、北京、广东等省份, 可以看出,攻击源和攻击目标的分布和所在地的经济发展与计算机行业发展正相关。此外,我们继续针 对历史上被监测到多次恶意行为的攻击源进行分析,即所谓“惯犯”。在《2018 上半年 络安全观察》
告中我们指出,攻击源中 25% 的“惯犯”承担了 40% 的攻击事件 [^2]。2018 年全年所监控到的攻击源 已由上半年的 2700 万增加至 4300 万左右,“惯犯”占比为 17%,“惯犯”告警数量占比为 35%,整 体告警占比与上半年相比均有所降低,但“惯犯”的活跃程度在增加,一定程度的说明了攻击资源的重
复利用。同时,39% 的“惯犯”都曾被僵尸 络所控制,也暴露了这部分公共 络资源安全状况长期得 不到改善的严峻性。
在漏洞公布及漏洞利用方面,NVD官 发布的 2018 年 CVE漏洞数目为 1.58 万 ,其中高危漏洞 4096 个。其中设备类漏洞明显增加,针对设备漏洞的攻击也在逐年增加。“永恒之蓝”漏洞被众多恶 意软件使用,逐渐成为被利用率最高的漏洞之一。
在 Web 攻击方面,在针对 Web 服务器的攻击中,85% 以上的攻击仍然是一些常规的攻击手段,但 对 Web 服务软件的漏洞利用逐年增长。在 Web 漏洞中,反序列化漏洞由于其简单,可远程利用的特点 格外受到黑客的青睐。漏洞从披露到出现有效攻击的时间间隔已经缩短到小时级别,给传统的防护和升 级策略提出了更高的挑战。
DDoS 攻击规模持续普遍增大,DDoS 即服务增长迅速。DDoS 反射型攻击放缓,综合多种攻击手段 值的关注。挖矿病毒方兴未艾,虽因加密货币价格缩水而略受影响,但整体活跃度在恶意软件排名中仅 次于后门程序。蠕虫种类繁多,部分病毒已活跃多年。大部分蠕虫病毒最早发现时间距今都有 5 年以上, 2018 年全年监测到的最为活跃的蠕虫病毒种类共计 39 个,其中从发现至今超过 5 年的病毒占比 60% 以上。木马活跃度略有下降,暗云系列仍层出不穷。2015 年至今,暗云木马已感染数以百万的计算机, 并经过了几次的更新迭代,各变种层出不穷,查而未绝。从蜜罐捕获和僵尸 络跟踪的角度看,Mirai 和 Gafgyt 两大家族的物联 恶意样本数量最多。异常物联 设备主要被利用进行 DDoS 攻击。Coinhive 在 2018 年 10 月控制的物联 设备仍有 2.6 万台,绝大部分仍是 MikroTik的路由器,巴西为重灾区, 物联 设备难升级修复是物联 安全的巨大挑战。
重要观点
- 漏洞从披露到出现有效攻击的时间间隔缩短到小时级别,给传统的防护和 上升级策略提出了更高 以
的挑战。 %
比 - DDoS 攻击规模持续普遍增大,DDoS 即服务增长迅速。攻击治理初见成效,反射型攻击减少。**占
-
- 设在门程序的活跃程度最高,其次是挖矿和蠕虫。其中活跃超过备物类联漏 洞等呈新逐型年风增险加激态增 活势的,同 跃针时对, 超设传备统 过漏威洞胁 5的仍 年攻然击不 的主可要忽 蠕集。 虫中在 5在 年的蠕虫病毒占比路 2018由器 年及 的摄 活像 跃头 恶等 60%意主 软流 以上。 件络 中设 ,备 后
和物联 设备。 络 / 物联 设备数量众多、分布广泛,以及物联 的快速发展,加剧了设备 漏洞的威胁,亟需广谱监测和升级 / 防护方案。
- 设在门程序的活跃程度最高,其次是挖矿和蠕虫。其中活跃超过备物类联漏 洞等呈新逐型年风增险加激态增 活势的,同 跃针时对, 超设传备统 过漏威洞胁 5的仍 年攻然击不 的主可要忽 蠕集。 虫中在 5在 年的蠕虫病毒占比路 2018由器 年及 的摄 活像 跃头 恶等 60%意主 软流 以上。 件络 中设 ,备 后
- 超过半数的异常物联 设备被利用进行 DDoS 攻击,大量物联 设备并未得到妥善维护。
漏洞从披露到出现有效攻击的时间间隔缩短到小时级
别,给传统的防护和升级策略提出了更高的挑战。
DDoS攻击规模持续普遍增大,DDoS即服务增长迅速。
攻击治理初见成效,反射型攻击减少。
在物联 等新型风险激增的同时,传统威胁仍然不可忽
。在2018 年的活跃恶意软件中,后门程序的活跃程度 最高,其次是挖矿和蠕虫。其中活跃超过5年的蠕虫病毒 占比60% 以上。
设备类漏洞呈逐年增加态势,针对设备漏洞的攻击主要
集中在路由器及摄像头等主流 络设备和物联 设备。 络/物联 设备数量众多、分布广泛,以及物联 的快 速发展,加剧了设备漏洞的威胁,亟需广谱监测和升级/ 防护方案。
超过半数的异常物联 设备被利用进行DDoS 攻击,大
量物联 设备并未得到妥善维护。
态势总览
攻击类型分布
从攻击类型来看 1,参与 DDoS 攻击的 IP 是最多的,占所有恶意 IP 的一半以上。其次是僵尸主机, 扫描源,垃圾邮件。
图 3.1 攻击类型分布
攻击
僵尸主机 17.4%
扫描源 12.2%
垃圾邮件 11.4%
安全漏洞 4.4%
恶意软件 2.7%
Web攻击 2.1%
代理 0.2%
矿机 0.2%
其他 5.3%
在所有的恶意 IP 中,有 15% 的恶意 IP 使用了多种攻击方法。对参与多种攻击的 IP 进行跟踪,发 现不同类型的攻击源之间有一些特定的转换模式,例如:
- 一个参与垃圾邮件攻击的 IP 有超过 90% 的概率会在互联 进行恶意扫描。恶意扫描和垃圾邮 件都需要较多的主机资源,因为同一批资源可能同时在两种攻击中被使用。
- Botnet 客户端主机与多种类型的攻击存在关联,最常见的行为就是进行恶意扫描,此外也包括 垃圾邮件、 络钓鱼等恶意行为。
- 发起 Web 攻击的攻击源,有 50% 的可能性在之后尝试进行更复杂的漏洞利用操作。由于 Web 攻击复杂度低,通过 Web 漏洞拿到较低的权限或其它敏感信息,再利用搜集到的情 ,有针对 性的进一步使用漏洞进行渗透和利用。
参考资料
绿盟 2018年 络安全观察 告
友情链接
GB-T 32919-2016 信息安全技术 工业控制系统安全控制应用指南
文章知识点与官方知识档案匹配,可进一步学习相关知识 络技能树跨区域 络的通信学习 络层的作用22321 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!