绿盟科技应急响应团队深入整理与分析了2019年处理的安全事件,并综合国内外重要安全事件,编制《绿盟科技2019安全事件响应观察报告》,希望从安全事件的角度分析2019年的安全现状,与安全行业从业者交流发展趋势,共同探讨网络安全建设的发展方向。
No.1
国家级安全演练效果明显,2019下半年安全事件数量同比2018年下降39%
安全演练不仅能增强演练组织单位、参与单位和人员等对应急流程的熟悉程度,提高应急处置能力;还能检查各个单位对突发事件所需应急队伍、物资、装备、技术等方面的准备情况,发现应急预案中存在的问题。这也是对日常安全运维工作中的安全保障成果的一种检验,为后续单位、企业安全建设提供新的思路与方向。
No.2
关键基础设施成为网络安全的核心战场
2019年安全事件当中,金融、运营商、政府、能源、教育、卫生、交通行业占安全事件总体的82.3%,上述的行业涉及的重要信息设施、信息系统,重要互联网应用系统均与国家关键基础设施息息相关。
关键基础设施关系着国计民生,是经济社会运行的神经中枢,是网络安全的重中之重。随着经济社会对网络的依赖程度不断加深,关键信息基础设施安全防护更加紧迫。网络空间军事化,网络武器平民化,网络攻击常态化日趋明显,关键信息基础设施已成为网络攻击的主要目标。
No.3
以获取经济利益为攻击意图的安全事件达到了77%
2019处理的安全事件中,绝大多数攻击者具有较为明确的目的,以获取经济利益为攻击意图的安全事件达到了77%,其中包含了勒索诈骗、虚拟挖矿、黑产活动以及为后续黑产做铺垫的后门权限维持等攻击行为。对于大部分攻击者而言,发起攻击的主要原因是为获取暴利,实现自身最大利益。
在经济利益的驱动下,攻击者将不断更新攻击手段,完善黑色产业链;这也使得使网络攻击更加难以防范,为网络安全从业者带来新的挑战。
No.4
勒索软件即服务发展迅猛,黑产从业者无需恶意软件开发的专业知识就可以发起攻击
勒索软件即服务(RaaS)是指由开发者编写恶意软件后,提供给代理分发者,扩散感染再抽成的盈利模式。这种模式让黑产从业者不需要恶意软件开发的专业知识就可以发起勒索活动,他们可以通过RaaS轻松获取勒索软件,只需进行一些配置并将恶意软件分发给受害者即可。低门槛高收益的盈利模式推动黑色产业链日趋成熟,层出不穷的勒索软件,频繁更新更是堪比商业软件。并伴随低风险,高收益的特性,让不少黑客们跃跃欲试。勒索软件即服务发展迅猛。
No.5
黑链暗链事件呈爆发式增长,据不完全检测统计发现,国内有近6万站点已被植入暗链/黑链
黑链暗链自始至终都是黑灰产业中重要的组成部分,多年以来,长盛不衰。最近几年,得利于互联网的高速发展、网民数量增加刺激传统线上黑产爆发增长、以及与互联相关新型经济的涌现(直播、付费内容等),以赌博、 、违法业务等为核心内容的黑灰产业得到了极大的发展,也使得挂黑链暗链的需求猛增,在我们日常应急事件处置中,遇到的与黑链暗链的事件数量也大幅增加、逐年上升。
No.6
恶意程序隐藏技术在革新发展,“无文件落地”方案逐渐成为趋势
从2019年应急事件来看,恶意程序隐藏技术在革新发展,并且多采用脚本文件方式,虽然“永恒之蓝”仍为主要入侵方式,但“无文件落地”方案逐渐成为趋势。
No.7
入侵事件平均潜伏时间高达359天
对2019年入侵事件的统计发现,从事件可回溯的首次入侵时间到事件被用户报告或被告知的时间,入侵事件平均潜伏时间高达359天,由此可见已发现处理安全事件只是众多安全事件的冰山一角。在事件应急过程中甚至会发现2012年潜伏的后门。
安全防护总是落后一步,所以我们需要做到防患于未然。制订详尽的应急计划,通过定期举行安全演练可以发现系统的薄弱之处,找出潜在的隐患并及时修复。在日常的运维工作中,关注漏洞预警,及时给系统安装补丁。通过部署防火墙设备及时阻断外部威胁。
No.8
1/3的安全事件与企业存在的安全管理疏忽或员工安全意识薄弱有关
安全需要人、技术、管理的全方位保障,然而人与管理由于其复杂性,常常成为入侵突破口。在2019年处理的安全事件中,弱口令事件占比22%,钓鱼邮件相关事件占比7%,配置不当事件占比3%,与人和管理相关的事件合计占总数的1/3,安全管理薄弱、员工安全意识不足的问题最易遭到攻击者的利用。
当前大多企业或多或少都存在安全管理疏忽或员工安全意识薄弱的问题。当攻击者无法通过传统技术手段对企业资产进行攻击时,人和管理上的漏洞往往更容易成为攻击者的突破口。
下载完整版报告可点击下方链接:
http://blog.nsfocus.net/wp-content/uploads/2020/03/2019_Cybersecurity_Incident_Response_Insights.pdf