2019年4月政企终端安全态势分析报告.pdf

2019 年 4 月 政企终端安全态势分析报 告 奇 安信 终端安全 实验室 2019 年 5 月 12 日 目 录 报告说明 . 1 第一章 病毒攻击政企整体分析 . 2 一、 攻击整体态势 . 2 二、 攻击事件分析 . 2 三、 攻击力度分析 . 3 第二章 勒索病毒攻击政企分析 . 4 一、 攻击整体态势 . 4 二、 攻击力度分析 . 4 三、 攻击单位分析 . 5 四、 攻击终端分析 . 6 第三章 漏洞利用病毒攻击政企分析 . 7 一、 攻击整体态势 . 7 二、 攻击力度分析 . 7 三、 攻击单位分析 . 8 四、 攻击终端分析 . 9 第四章 蠕虫病毒攻击政企分析 . 10 一、 攻击整体态势 . 10 二、 攻击力度分析 . 10 三、 攻击单位分析 . 11 四、 攻击终端分析 . 12 第五章 政企终端安全建议 . 13 关于奇安信终端安全实验室 . 15 关于奇安信网神终端安全管理系统 . 15 关于奇安信网神终端安全响应系统 . 16 1 报告说明 终端是政企内部网络不可或缺 的组成 部分 ，其安全状况与组织内每个成员息息相关。在 很多情况下，终端也是内部网 络和外部网络的连接点，是外部恶意程序进入内部网络常见的 入口节点。终端 一旦失守，整个办公或生产网络 就有可能沦陷，给政企单位带来巨额损失。 政企 终端安全态势分析报告 是 “奇安信终端安全实验室” 定期发布的 针对政企网络 终端 的安全态势分析报告。报告 数据来自 奇安信公有云安全监测数据。报告以 每日感染病毒 的终 端为基本单位，通过对政企终端感染病毒情况的分析，帮助客户更清晰地 看见风险态势， 为安全决策提供更有力的参考依据。 监测数据表示 奇安信企业级终端安全产品对特定威胁的云查杀主动请求数 量 ，对于本地 已经可以查杀的病毒，不在统计 之列 。这些数据可以在一定程度上反映出相关机构遭到特 定类型 活跃 恶意程序 攻击的数量和强度。 本期 报告 的 监测时间为 2019年 4月 1日 4月 30日 。 第一章 病毒攻击政企整体分析 奇安信终端安全实验室 监测数据显示， 2019 年 4 月， 有 19.9%的政企单位遭到病毒攻 击， 被病毒攻击的事件数量比 3 月 下降 7.7%，被病毒攻击的政企终端 的累计 数量比 3 月 下 降 7.3%，被病毒攻击的政企单位 的绝对 数量比 3月 下降 4.6%。在被病毒攻击的单位中，每 单位平均被攻击 5.7次，每次感染 4.6台终端。 一、 攻击整体态势 4月，政企终端感染病毒的 最高峰出现在 4月 4日（星期 四 ） ，最低谷则出现在 4月 13 日（星期 六 ） 。 二、 攻击事件分析 4月，被病毒攻击的事件数量比 3月 下降 7.7%。其中，病毒单日单次攻击政企单位的 终端数仅为 1台的事件比 3月 下降 7.1%，占 4月攻击事件总数的 56.5%；单日单次攻击终 端数为 210台的事件比 3月 下降 6.1%，占 4月攻击事件总数的 37.3%；单日单次攻击终端 数为 1150台的事件比 3月 下降 21.8%，占 4月攻击事件总数的 5.0%；单日单次攻击 50台 以上终端的事件比 3月 下降 14.9%，占 4月攻击事件总数的 1.2%。 3 三、 攻击力度分析 4月，有 17.0%的政企单位遭到 蠕虫 病毒攻击 ，在被蠕虫 病毒攻击的 政企单位中，平均 每单位遭到 5.3次攻击，平均每次攻击感染 4.7台终端；有 6.7%的政企单位遭到漏洞利用病 毒攻击，在被漏洞利用病毒攻击的政企单位中，平均每单位遭到 3.0次攻击，平均每次攻击 感染 4.7台终端；有 1.0%的政企单位感染了勒索病毒，在被勒索病毒攻击的政企单位中， 平均每单位遭到 2.5次攻击，平均每次攻击感染 3.9台终端。 第二章 勒索病毒攻击政企分析 奇安信终端安全实验室 监测数据显示， 2019年 4月， 有 1.0%的政企单位遭到 勒索病毒 攻击 ， 被勒索 病毒攻击的事件数量比 3月 下降 26.2%。 被 勒索 病毒攻击的政企单位 的绝对 数 量比 3月 下降 12.2%，被 勒索 病毒攻击的政企终端 的累计 数量比 3月 增加 59.8% 。在被勒索 病毒攻击的单位中，每单位平均被攻击 2.5次，每次感染 3.9台终端。 一、 攻击 整体态势 4月，勒索病毒攻击的 最高峰出现在 4月 4日（星期 四 ） ， 4月 13日（星期 六 ） 和 4月 16 日（星期二） 并未监测到 有效的 勒索病毒攻击事件 。 二、 攻击 力度 分析 4 月， 勒索 病毒攻击的事件数量比 3 月 下降 26.2%。在被勒索病毒攻击的政企单位中， 平均每单位被攻击 2.5次。其中，运营商行业被攻击的次数最多，在被攻击的运营商单位中， 平均每单位被攻击 11.5次。 5 4 月， 在被勒索病毒攻击的政企单位中，平均每次攻击感染 3.9 台终端。其中，公检法 行业单次被感染的终端最多，在被勒索病毒攻击的公检法单位中，平均每次攻击感染 41.4 台终端。 三、 攻击单位分析 4月， 有 1.0%的政企单位遭到勒索病毒攻击，绝对数量比 3月 下降 12.2%。 在被勒索病毒攻击的政企单位中，政府行业最多，占比高达 25.6%，被攻击单位的绝对 数量比 3月下降 15.4%；其次是卫生行业，占比为 11.6%，被攻击单位的 绝对数量比 3月 增 加 150.0% ；教育行业排在第三位，占比为 9.3%，而 3月该行业并未监测到明显的被勒索病 毒攻击的事件。 在被勒索病毒攻击的政企单位中，北京地区最多，占比高达 20.8%，被攻击单位的绝对 数量比 3月 增加 10%；其次是湖北地区，占比为 13.2%，被攻击单位的绝对数量比 3月 增加 133.3% ；四川地区排在第三位，占比为 9.4%，被攻击单位的绝对数量比 3月 增加 400.0% 。 四、 攻击 终端分析 4月，被勒索 病毒 攻击的政企终端的累计数量比 3月 增加 59.8%。 在被勒索病毒攻击的政企终端中，公检法行业最多，占比高达 50.0%，被攻击终端的累 计 数量 比 3 月 增加 404.9% ；其次是卫生行业，占比为 15.5%，被攻击终端的累计数量比 3 月 增加 156.0% ；政府行业排在第三位，占比为 12.3%，被攻击终端的累计数量比 3 月下降 2.9%。 在被勒索病毒攻击的政企终端中，安徽地区最多，占比高达 30.7%，而 3月仅监测到少 量终端被感染；其次是北京地区，占比为 23.4%，被攻击终端的累计数量比 3月 增加 185.3% ； 天津地区排在第三位，占比为 19.6%，而 3月仅监测到极少量终端被感染。 7 第三章 漏洞利用病毒攻击政企分析 奇安信终端安全实验室监测数据显示， 2019年 4月， 有 6.7%的政企单位遭到漏洞利用 病毒攻击 ， 被漏洞利用 病毒攻击的事件数量比 3 月下降 8.4%。 被 漏洞利用 病毒攻击的政企 单位的绝对数量比 3 月 增长 2.5%，被 漏洞利用 病毒攻击的政企终端的累计数量比 3 月增加 3.2%。在被 漏洞利用 病毒攻击的单位中，每单位平均被攻击 3.0次，每次感染 4.7 台终端。 一、 攻击 整体态势 4月，漏洞利用病毒攻击的 最高峰出现在 4月 4日（星期 四 ） ，最低谷则出现在 4月 14 日（星期 日 ） 。 二、 攻击 力度 分析 4 月， 被 漏洞利用 病毒攻击的事件数量比 3 月下降 8.4%。在被漏洞利用病毒攻击的政 企单位中，平均每单位被攻击 3.0次。其中，能源行业被攻击的次数最多，在被攻击的能源 单位中，平均每单位被攻击 5.1次。 4 月， 在被漏洞利用病毒攻击的政企单位中，平均每次攻击感染 4.7 台终端。其中，公 检法行业单次被感染的终端最多，在被漏洞利用病毒攻击的公检法单位中，平均每次攻击感 染 30.4台终端。 三、 攻击单位分析 4月， 有 6.7%的政企单位遭到漏洞利用病毒攻击，绝对数量比 3月 增加 2.5%。 在被漏洞利用病毒攻击的政企单位中，政府行业最多，占比高达 16.1%，被攻击单位的 绝对数量比 3 月下降 13.0%；其次是卫生行业，占比为 9.9%，被攻击单位的绝对数量比 3 月 增加 3.6%；金融行业排在第三位，占比为 6.5%，被攻击单位的绝对数量比 3月 增加 11.8%。 在被漏洞利用病毒攻击的政企单位中，北京地区最多，占比高达 15.9%，被攻击单位的 绝对数量比 3 月 增加 11.8%；其次是广东地区，占比为 11.4%，被攻击单位的绝对数量比 3 9 月下降 8.9%；辽宁地区排在第三位，占比为 8.1%，被攻击单位的绝对数量比 3月 增加 141.7% 。 四、 攻击终端分析 4月，被漏洞利用 病毒 攻击的政企终端的累计数量比 3月 增加 3.2%。 在被漏洞利用病毒攻击的政企终端中，公检法行业最多，占比高达 18.6%，被攻击终端 的累计 数量 比 3月 增加 83.1% ；其次是政府行业，占比为 12.5%，被攻击终端的累计数量比 3 月 增加 56.0%；能源行业排在第三位，占比为 5.9%，被攻击终端的累计数量比 3 月下降 77.6%。 在被漏洞利用病毒攻击的政企终端中，北京地区最多，占比高达 17.8%，被攻击终端的 累计 数量 比 3 月 增加 173.1% ；其次是安徽地区，占比为 15.3%，比 3 月 增加 1909.7% ；广 东地区排在第三位，占比为 11.6%，比 3月 增加 42.6%。 第四章 蠕虫病毒攻击政企分析 奇安信终端安全实验室监测数据显示， 2019 年 4 月，有 17.0%的政企单位遭到 蠕虫 病 毒攻击 ，被蠕虫 病毒攻击的事件数量比 3 月下降 6.9%。 被 蠕虫 病毒攻击的政企单位的绝对 数量比 3 月 下降 7.3%，被 蠕虫 病毒攻击的政企终端的累计数量比 3 月 下降 10.1%。在被 蠕 虫 病毒攻击的单位中，每单位平均被攻击 5.3次，每次感染 4.7台终端。 一、 攻击 整体态势 4月，蠕虫病毒攻击的 最高峰出现在 4月 4日（星期 四 ） ，最 低谷则出现在 4月 13日（星 期 六 ） 。 二、 攻击 力度 分析 4月， 被 蠕虫 病毒攻击的事件数量比 3月下降 6.9%。在被蠕虫病毒攻击的政企单位中， 平均每单位被攻击 5.3次。其中，运营商行业被攻击的次数最多，在被攻击的运营商单位中， 平均每单位被攻击 10.6次。 11 4 月， 在被蠕虫病毒攻击的政企单位中，平均每次攻击感染 4.7 台终端。其中，公检法 行业单次被感染的终端最多，在被蠕虫病毒攻击的公检法单位中，平均每次攻击感染 13.2 台终端。 三、 攻击单位分析 2019年 4月， 有 17.0%的政企单位遭到蠕虫病毒攻击，绝对数量比 3月 下 降 7.3%。 在被蠕虫病毒攻击的政企单位中，政府行业最多，占比高达 22.8%，被攻击单位的绝对 数量比 3 月下降 4.0%；其次是卫生行业，占比为 20.2%，被攻击单位的绝对数量比 3 月下 降 19.4%；教育行业排在第三位，占比为 5.7%，被攻击单位的绝对数量比 3月增加 10.5%。 在被蠕虫病毒攻击的政企单位中，广东地区最多，占比高达 14.0%，被攻击单位的绝对 数量比 3月 增加 11.5%；其次是北京地区，占比为 10.7%，被攻击单位的绝对数量比 3月下 降 12.7%；浙江地区排在第三位，占比为 7.8%，被攻击单位的绝对数量比 3月下降 19.5%。 四、 攻击终端分析 2019年 4月，被蠕虫 病毒 攻击的政企终端的累计数量比 3月 下降 10.1%。 在被蠕虫病毒攻击的政企终端中，政府行业最多，占比高达 13.4%，比 3月下降 23.4%； 其次是教育和能源行业，占比均为 12.5%，被攻击终端的累计数量比 3月下降 0.9%和 25.1%。 在被蠕虫病毒攻击的政企终端中，贵州地区最多，占比高达 12.2%，比 3月增加 10.3%； 其次是广东地区，占比为 11.9%，被攻击终端的累计数量比 3月 下降 35.3%；北京地区排在 第三位，占比为 10.6%，比 3月增加 6.1%。 13 第五章 政企终端安全建议 奇安信终端安全实验室提醒 广大政企单位注意以下事项 ： 一、 及时更新最新的补丁库 根据 奇安信集团 终端安全多年的运营经验，病毒大规模爆发的原因大都是补丁安装不及 时所致，因此及时更新补丁是安全运维工作 的重中之重，但是很多政企单位由于业务的特殊 性，对打补丁要求非常严格。奇安信终端安全产品已经集成了先进的补丁管理功能，基于业 界最佳的补丁管理实践，能够进行补丁编排，对补丁按照场景进行灰度发布，并且对微软更 新的补丁进行了二次运营，解决了很多的兼容性问题，能够最大程度上解决补丁难打问题， 帮助政企单位提升网络的安全基线。 二、杜绝 弱口令问题 弱口令是目前主机安全 入侵的 第一大安全隐患， 大部分大规模泛滥的病毒都内置了弱口 令字典，能够轻松侵入使用弱口令的设备，应该坚决杜绝弱口令。 奇安信终端安全实验室建 议登录口令尽量采用大 小写、字母、数字、特殊符号混合的组合结构，且口令位数应足够长， 并在登陆安全策略里限制登录失败次数 、 定期更换登录口令 等 。多台机器不使用相同或相似 的口令 ，不使用默认的管理员名称如 admin，不使用默认密码如 admin、不使用简单密码如： admin123、 12345678、 666666等 。 三、 重要资料定期隔离备份 政企单位应尽量建立单独的文件服务器进行重要文件的存储备份，即使条件不允许也应 对重要的文件进行定期隔离备份。 四、 提高 网络安全基线 掌握日常的安全配置技巧，如对 共享文件夹设置访问权限，尽量采用云协作或内 部搭建 的 wiki系统实现资料共享 ； 尽量关闭 3389、 445、 139、 135等不用的高危端口，禁用 Office 宏 等。如果没有这类安全经验，也可以使用奇安信终端威胁评估产品（ ETA）来对终端安全 进行整体风险评估，奇安信终端威胁评估产品（ ETA）同时采用中国安全基本标准（ CGDCC） 和美国安全基线标准（ USGCB），拥有数百种安全基线的检测能力和终端的深度安全检测能 力，可以很好地帮助政企单位评估内部终端的安全。 五、保持软件使用的可信 平时要养成良好的安全习惯， 不要点击陌生链接、来源不明的邮件附件，打开前使用安 全 扫描 并 确认安全性，尽量从官网等可信渠道下载软件 ，目前通过软件捆绑来传播的病毒也 在逐渐增多，尤其是移动应用环境，被恶意程序二次打包的 APP 在普通的软件市场里非常 常见。奇安信终端安全产品家族中的软件管家，基于多年的安全软件运营经验，能够为政企 单位量身定做一个可信的安全软件使用环境，避免员工任意安装软件而带来的病毒入侵风险。 六、 选择正确的 反病毒 软件 随着威胁的发展，威胁开始了海量化和智能化趋势。对于海量化的威胁，就需要利用云 计算的能力来对抗威胁海量化的趋势，因此在选择反病毒软件时，需要选择具备云查杀能力 的反病毒 软件。奇安信终端安全的天擎基于云查杀技术和多年来威胁样本运营经验，已经具 备 150 亿威胁样本的查杀能力，而且还首创了白名单技术，并拥有 10 亿量级的白名单库， 而且内置云查杀、 QVM、 AVE、 QEX、主动防御等多种引擎，能够深度解决政企网络的病 毒威胁。 七、 建立高级威胁深度分析与对抗能力 对于威胁的智能化趋势，很多智能威胁通过多种手段来躲避传统反病毒软件的查杀，这 时就需要政企单位具备高级威胁深度分析和对抗能力。奇安信 终端安全响应系统 基于业内公 认的 EDR 思想，能够以终端的维度、事件的维度和时间的维度来分析网络中出现 的高级威 胁事件，能够为客户提供三维的立体威胁分析能力。后端利用大数据技术，能够监控终端上 的所有灰文件的行为，内置 AI模型，能够有效地识别传统反病毒软件识别不了的高级威胁 入侵事件，帮助客户发现 APT、流量、挖矿、勒索等新型威胁。 15 关于奇安信终端安全实验室 奇安信终端安全实验室由多名经验丰富的恶意代码研究专家组成，着力于常见病毒、木 马、蠕虫、勒索软件等恶意代码的原理分析和研究，致力为中国政企客户提供快速的恶意代 码预警和处置服务， 在 曾经 流行的 WannaCry、 Petya、 Bad Rabbit的恶意代码处置过程中表 现优异，受到政企客户的广泛好评 。 奇安信终端安全实验室以奇安信天擎新一代终端安全管理系统为依托，为政企客户提供 简单有效的终端安全管理理念、完整的终端解决方案和定制化的安全服务，帮助客户解决内 网安全与管理问题，保障政企终端安全。 关于 奇安信网神 终端安全管理系统 奇安信 网神 终端安全管理系统 （简称天擎） 是为解决政企机构终端安全问题而推出的一 体化解决方案 ， 是中国政企客户 4000万终端的信赖之选 。系统以 功能一体化、平台一体化、 数据一体化为设计理念，以 安全 防护 为核心，以运维管控为重点，以可视化管理为支撑，以 可靠服务为保障， 提供了十六大基础安全能力，帮助政企客户构建终端威胁检测、终端威胁 响应、终端威胁鉴定等高级威胁对抗能力，提升安全规划、战略分析和安全决策等终端安全 治理能力。 特别的是，奇安信还面 向所有天擎政企用户免费推出敲诈先赔服务：如果用户在开启了 天擎敲诈先赔功能后，仍感染了 勒索软件 ， 奇安信 将负责赔付赎金，为政企用户提供百万先 赔保障 ，帮政企客户免除后顾之忧 。 关于 奇安信网神终端安全响应系统 奇安信网神终端安全响应系统（ EDR） 以行为引擎为核心，基于人工智 能和大数据分析 技术，对主机、网络、文件和用户等信息，进行深层次挖掘和多维度分析，结合云端优质威 胁情报，将威胁进行可视化，并通过场景化和全局性的威胁追捕，对事件进行深度剖析，识 别黑客 /威胁意图，追踪威胁的扩散轨迹，评估威胁影响面，从而协同 EPP、 SOC、防火墙 等安全产品，进行快速自动化的联动响应，将单次响应转化为安全策略，控制威胁蔓延，进 行持续遏制，全面提升企业安全防护能力。