2019年中国政企机构网络安全形势分析报告.pdf_报告吧baogao8.com-

资源描述

1 2019 年中国政企机构网络安全形势分析报告奇安信行业安全研究中心 2020 年 03 月 13 日 2 摘要办公安全 2019 年全国共有 2237 家政企单位受到勒索病毒攻击，累计涉及终端 10.6 万台。从被攻击终端类型来看，被攻击的 10.6 万台终端中， 83.3%是办公电脑， 16.7%是服务器。根据 Coremail 论客与奇安信行业安全研究中心的联合监测，同时综合网易、腾讯、阿里巴巴等主流企业邮箱服务提供商的公开数据进行分析评估，截止 2019 年底，国内注册的企业邮箱独立域名约为 520 万个，相比 2018 年增长 1.96%。活跃的国内企业邮箱用户规模约为 1.4 亿，相比 2018 年用户规模增长了 7.7%。 2019 年，在邮件系统收发的邮件中，仅有近 4 成为正常邮件，垃圾邮件及其他各类非法、恶意邮件等非正常邮件的数量，是正常邮件数量的 1.6 倍左右。 2019 年，全国企业邮箱用户共收到各类垃圾邮件约占企业级用户邮件收发总量的 47.2%，是企业级用户正常邮件数量的 1.2 倍。相比 2018 年下降了 17.9%。全国企业邮箱用户共收到各类钓鱼邮件约 344.3 亿封，相比 2018 年收到各类钓鱼邮件的 204.3 亿封增长了 68.5%。全国企业级用户共收到约 424.3 亿封带毒邮件，相比 2018 年收到的 203.7 亿封带毒邮件相比，同比增长了 108.36%。网站安全 2019 年，在接受网站安全监测平台检测的 6045405 个网站中，共有 347514 个（单月去重）网站被扫描检测出安全漏洞，占比为 5.7%，被扫描检出 3131473 次安全漏洞。 2019 年，奇安信网站卫士共为全国 135600 个网站拦截各类网站漏洞攻击 46.9 亿次，平均每天拦截漏洞攻击 1286.2 万次。 2019 年，补天平台共收录全国相关网站的 68521 个安全漏洞。从行业分布来看，来自教育培训行业的漏洞最多，共 5890 个，占全年漏洞的 8.6%；其次是政府及事业单位，共 5369 个，占比约为 7.8%；制造业排名第三，占比 5.5%。从漏洞的危险等级来看，高危漏洞 14650 个，占比为 21.4%；中危漏洞 39237 个，占比为 57.2%；低危漏洞 14634 个，占比为 21.4%。从漏洞的技术类型来看， SQL 注入漏洞最多，占比为 33.4%，其次是信息泄露漏洞，占比为 16.7%，弱口令漏洞，占比为 12.0%。应急响应 3 2019 年全年，奇安信集团安服团队共参与和处置了 1029 起全国范围内的网络安全应急响应事件，同比 2018 年全年增长 312 起，投入工时为 2018 年同期的 1.24 倍。 2019 年全年应急处置事件最多的行业 TOP3 分别为：政府及事业单位（ 250 起）、医疗卫生行业（ 153 起）以公检法（ 84 起），事件处置数分别占应急处置所有行业的 24.3%、 14.8%、 8.2%。 2019 年全年应急事件中，黑产活动、敲诈勒索仍然是攻击者攻击政府机构、大中型企业的主要原因。通过对 2019 年全年应急响应处理漏洞利用攻击事件进行统计分析，弱口令、永恒之蓝漏洞是政企机构、大中型企业被攻陷的重要原因。专题研究根据中国国家信息安全漏洞共享平台最新统计，截止到 2019 年 12 月， CNVD 收录的与工业控制系统相关的漏洞高达 2306 个， 2019 年新增的工业控制系统漏洞数量达到 413 个。在四大漏洞平台收录的工业控系统漏洞中，高危漏洞占比 57.3%，中危漏洞占比为 35.5%，中高危漏洞占比高达 92.8%。奇安信威胁情报中心在 2019 年监测到的高级持续性威胁相关公开报告总共 596 篇。从公开披露的高级威胁活动中涉及目标行业情况来看（摘录自公开报告中提到的攻击目标所属行业标签），政府（包括外交、政党、选举相关）和军事（包括军事、军工、国防相关）依然是 APT 威胁的主要目标，能源（包括石油、天然气、电力、民用核工业等）、通信行业也是 APT 攻击的重点威胁对象。 2019 年上半年，网络安全人才需求规模指数为 117.2，较 2018 年下半年环比增长了 104.9%，较 2018 年上半年同比增长 173.2%。对网络安全人才需求量最大的行业是 IT 信息技术，其发布的网络安全人才招聘数量占所有网络安全人才招聘总人数的 42.4%，其次为互联网，占 13.7%。高校分布进一步亲民化，不再是重点高校学生占据排行榜首，大量的省 /市地方院校也加入培养网络安全人才的大军。 95 后的毕业生或求职者开始崭露头角。 69%的新晋网络安全人才更感兴趣的网络安全领域或技术方向是大数据安全， 62.1%的网络安全人才更感兴趣人工智能安全，其次是 5G/物联网安全。 4 目录第一篇办公安全 . 1 第一章勒索病毒分析 . 2 一、全年攻击态势 . 2 二、行业分布情况 . 4 三、地域分布情况 . 6 第二章企业邮件安全分析 . 8 一、电子邮箱的使用规模 . 8 二、电子邮箱用户行业分布 . 9 三、电子邮件的服务器地域分布 . 9 四、非正常邮件规模 . 10 (一 ) 垃圾邮件 . 10 (二 ) 钓鱼邮件的规模 . 11 (三 ) 带毒邮件的规模 . 11 第二篇网站安全 . 12 第三章网站漏洞监测分析 . 13 一、网站安全检测 . 13 二、网站漏洞攻击分析 . 14 第四章人工挖掘漏洞分析 . 15 一、漏洞报告数量 . 15 二、漏洞地域分析 . 15 三、漏洞行业分布 . 16 5 四、漏洞类型分析 . 17 第三篇应急响应 . 18 第五章网络安全应急响应分析 . 19 一、全年应急情况统计 . 19 二、应急事件受害者分析 . 19 三、应急事件攻击者分析 . 20 第四篇专题研究 . 23 第六章 IT/OT 一体化工业信息安全态势 . 24 一、工业互联网安全漏洞分析 . 24 二、工控系统互联网暴露风险 . 27 三、工业互联网安全保障建议 . 27 第七章全球高级持续性威胁分析 . 29 一、全球 APT 活动公开报告状况 . 29 二、受害目标的行业与地域 . 29 三、活跃的威胁攻击者 . 31 四、典型行业高级威胁活动分析 . 32 (一 ) 金融行业 . 33 (二 ) 能源行业 . 35 (三 ) 电信行业 . 37 五、 2020 年高级持续性威胁预测 . 37 (一 ) APT 威胁归因困难导致攻击归属命名更加碎片化 . 38 (二 ) 出现更多的在野 0day 攻击案例 . 38 (三 ) 针对行业性的 APT 威胁越发凸现 . 38 6 (四 ) 5G 商业化和物联网或为 APT 威胁提供新的控制基础设施 . 39 (五 ) 更加频繁和隐蔽的网络攻击破坏活动 . 39 第八章网络安全人才市场状况 . 40 一、网络安全人才市场供需趋势 . 40 二、网络安全人才用人单位分析 . 42 三、网络安全人才的特征分析 . 45 四、新晋网络安全人才专项调研分析 . 47 五、网络安全人才市场发展趋势 . 49 附录 1 2019 年国内外重大网站安全事件 . 51 一、武汉四人利用快递系统漏洞盗卖 1100 万公民信息被判刑 . 51 二、 1600 多名酒店房客被非法偷拍，甚至被海外色情网站直播 . 51 三、 OEM 摄像头严重漏洞使 200 万物联网摄像头 “ 裸奔 ” . 51 四、美国在线辅导网站 WYZANT被黑， 200 万用户数据泄露 . 51 五、马印航空、泰国狮航数千万条旅客记录泄露 . 52 六、日本加密币交易所遭黑客攻击，损失资产 3200 万美元 . 52 七、委内瑞拉古里水电站遭网络攻击 . 52 八、日本制造企业 HOYA 感染挖矿病毒被迫停产三天 . 52 九、 FACEBOOK被爆明文存储 6 亿用户密码，已被查看 900 万次 . 52 十、印度最大的核电站遭到网络攻击 . 53 十一、全球 27 亿电子邮件地址和 10 亿密码数据暴露 . 53 十二、佛罗里达州遭勒索攻击，政府工作停摆两周 . 53 附录 2 奇安信网神终端安全管理系统 . 54 附录 3 奇安信补天漏洞响应平台 . 55 7 附录 4 奇安信集团安服团队 . 57 附录 5 工业控制系统安全国家地方联合工程实验室 . 58 附录 6 奇安信威胁情报中心 . 59 附录 7 红雨滴团队（ RED DRIP TEAM） . 60 1 第一篇办公安全 2 第一章勒索病毒分析一、全年攻击态势 2019 年 1-12 月奇安信病毒响应中心数据显示， 2019 年全国共有 2237 家政企单位受到勒索病毒攻击，累计涉及终端 10.6 万台。从被攻击单位来看， 12 月被攻击情况最严重，累计约有 711 家企业被勒索病毒攻击。从被攻击终端数量来看， 3 月涉及终端最多，全国共有 11867 个终端遭受到勒索攻击。具体每月被攻击情况分布如下图所示。在被攻击政企单位中， 39.5%的单位仅受到一次勒索攻击， 5.1%的政企单位全年遭到 100 次以上勒索病毒攻击。 3 在政企单位所遭受的勒索病毒攻击事件中，就单个单位全年累计被攻击量来看， 38.4% 政企单位仅一台终端受到勒索病毒攻击， 6.1%政企单位累计有 100 台以上终端被勒索病毒攻击。在政企单位所遭受的勒索病毒攻击事件中， 88.0%政企单位全年仅被一个勒索病毒家族攻击过， 0.2%政企单位全年累计遭到 30 个以上勒索家族攻击。从被攻击终端类型来看，被攻击的 10.6 万台终端中， 83.3%是办公电脑， 16.7%是服务器。 4 2019 年遭到攻击的所有勒索攻击中， 94.5%为 WannaCry 类勒索攻击。其他类勒索攻击中， Gandcrab、 Sondinokibi、 Sage 这三大家族勒索病毒的受害者最多，其中，来自 Gandcrab 勒索家族占其他攻击终端总数的 27.5%；其次为 Sodinokibi 家族，占比 9.2%。具体分布如下图所示：二、行业分布情况从被攻击单位来看， 2019 年，被勒索病毒攻击的服务器所在行业中，政府及事业单位占比最多，占 22.9%；能源行业排名第二，占 22.6%；医疗排名第三，占 10.9%。从被攻击终端分布来看， 2019 年勒索病毒攻击的服务器所在行业中，能源行业遭到攻击的终端最多，占 35.2%；其次是政府及事业单位占 20.2%，医疗行业排名第三，占 6.7%。 5 具体分布如下图所示：从单位分布来看， 2019年勒索病毒攻击办公电脑中，分布在交通行业的最多，占 12.5%，其次是制造业，占 12.0%，政府及事业单位排名第三，占 10.3%。从终端分布来看， 2019 年勒索病毒攻击的办公电脑中，排名前三的行业分别是制造业（ 15.0%）、交通（ 11.9%）以及政府及事业单位（ 10.7%）。从不同行业单位被勒索病毒攻击频率来看，在服务器被勒索病毒攻击的单位中，能源行业是被攻击次数最多的行业，平均每单位被攻击 40.8 次；在办公电脑被勒索攻击的单位中，运营商行业是被攻击次数最多的行业，平均每单位被攻击 185.1 次。 6 三、地域分布情况从勒索病毒攻击服务器设备地域分布来看，在服务器被勒索病毒攻击的单位中，北京是数量最多的地区，占比为 17.3%，从被攻击终端开看，在服务器被勒索病毒攻击的单位中，北京同样是数量最多的地区，占比为 22.7%。从勒索病毒攻击办公电脑地域分布来看，无论是按被攻击单位统计，还是按被攻击终端数量统计，北京均排名第一。分别占比 12.2%与 14.5%。具体分布如下图所示。 7 8 第二章企业邮件安全分析本章数据主要来自 Coremail 论客与奇安信集团联合监测，以电子邮箱的使用、垃圾邮件、钓鱼邮件、带毒邮件为主体，从规模、行业分布及地域分布等方面分析中国企业邮箱安全性。结合了 Coremail 论客与奇安信集团多年在企业邮箱领域的丰富实践经验及研究经验，相关研究成果具有很强的代表性。希望能够对各个行业、单位，开展以邮件防护为基础，增强完善整体网络安全建设，提供一定参考。 2019 年中国企业邮箱安全性研究报告完整版可点击下方链接，通过奇安信官网下载查阅。下载链接：一、电子邮箱的使用规模根据 Coremail 论客与奇安信行业安全研究中心的联合监测，同时综合网易、腾讯、阿里巴巴等主流企业邮箱服务提供商的公开数据进行分析评估，截止 2019 年底，国内注册的企业邮箱独立域名约为 520 万个，相比 2018 年增长 1.96%。活跃的国内企业邮箱用户规模约为 1.4 亿，相比 2018 年用户规模增长了 7.7%。从电子邮箱的使用情况来看， 2019 年，全国企业邮箱用户共收发各类电子邮件约 6448.1 亿封，相比 2018 年企业及电子邮箱用户收发邮件数量增长 4.8%。平均每天收发电子邮件约 17.7 亿封。其中，正常邮件占比约为 38.1%，普通垃圾邮件占比为 47.2%、钓鱼邮件 5.3%、病毒邮件 6.6%、谣言邮件 1.7%，色情、赌博等违法信息推广邮件约 1.1%。也就是说， 2019 年，在邮件系统收发的邮件中，仅有近 4 成为正常邮件，垃圾邮件及其他各类非法、恶意邮件等非正常邮件的数量，是正常邮件数量的 1.6 倍左右。 9 仅就正常邮件而言，统计显示，全国企业邮箱用户在 2019 年共收发正常电子邮件约 2454.1 亿封，比 2018 年增长 25.4%，平均每天发送正常电子邮件约 6.7 亿封，人均每天发送电子邮件约 4.8 封。相比 2018 年人均每天发送 4.1 封邮件，增长了 0.7 封。企业信息化办公程度的逐年提高，很大程度上促进了员工企业邮箱的使用。同时，随着国际化趋势，企业组织间交流合作逐步增多，对于跨国交流而言，相比于其他通讯软件，电子邮件更为通用。二、电子邮箱用户行业分布对中国政企机构独立邮箱域名的抽样分析显示，从域名注册量来看，工业制造类企业注册的邮箱域名最多，占比为 29.5%，其次是交通运输行业占比 10.7%，外资机构占比 9.6%；还有 IT 信息技术占比 6.7%，互联网企业占比 6.6%，金融行业占比 6.1% 等，这些都属于电子邮箱使用独立域名较多的行业。如果从正常邮件的发送量上来看，教育培训和工业制造行业发送的邮件数量最多，教育培训找 16.0%，排名第一；工业制造占比 15.8%，排名第二；其次是媒体占比为 14.1%，交通运输行业占比 11.0%；还有 IT 信息技术占比 5.5%，科研机构、互联网、金融行业等也都是邮件发送量较多的行业。具体占比如下图所示：三、电子邮件的服务器地域分布统计显示，全国企业邮箱用户收发的邮件以境内收发为主。国内收发占 65.6%；海外收发 34.4%。从服务器的所在地来看， 2019 年，国内企业邮箱服务器设在北京的数量排名第一，占比为 21.3%；武汉排第二，占比为 16.2%；上海排名第三，占比 13.9%。值得注 10 意的是，在 2017 年的相关统计中，国内有半数以上的企业邮箱服务器是设在杭州市的。这表明，针对政企机构的邮箱服务正在从局部地区高度集中，向全国各地分散开来。这也是全国各地信息化建设水平普遍显著提升的必然结果。四、非正常邮件规模 (一 ) 垃圾邮件根据 Coremail 论客与奇安信行业安全研究中心的联合监测评估， 2019 年，全国企业邮箱用户共收到各类垃圾邮件约占企业级用户邮件收发总量的 47.2%，是企业级用户正常邮件数量的 1.2 倍。相比 2018 年下降了 17.9%。从发送者邮箱域名归属情况来看，来自国内的垃圾邮件最多，占总数的 49.3%，来自美国的垃圾邮件次之，占总量约 14.0%，第三是越南，约占 8.7%。具体占比如下图所示： 11 与 2017 年垃圾邮件发送源邮箱域名归属地分布情况对比，来自境外的垃圾邮件占比由近 7 成减少至 5 成左右， 2019 年，更多的垃圾邮件来自境内。 (二 ) 钓鱼邮件的规模在本小节内容中，钓鱼邮件是指含有恶意欺诈信息的邮件，包括 OA 钓鱼邮件、鱼叉邮件、钓鲸邮件、 CEO 仿冒邮件和其他各类钓鱼欺诈邮件，但不包括带毒邮件、非法邮件等。根据 Coremail 论客与奇安信行业安全研究中心的联合监测评估， 2019 年，全国企业邮箱用户共收到各类钓鱼邮件约 344.3 亿封，相比 2018 年收到各类钓鱼邮件的 204.3 亿封增长了 68.5%。 2019 年全国企业邮箱用户收到的钓鱼邮件数量约占企业级用户邮件收发总量的 5.3%，平均每天约有 0.9 亿封钓鱼邮件被发出和接收。 (三 ) 带毒邮件的规模根据 Coremail 论客与奇安信行业安全研究中心联合监测评估， 2019 年，全国企业级用户共收到约 424.3 亿封带毒邮件，相比 2018 年收到的 203.7 亿封带毒邮件相比，同比增长了 108.36%。越来越多的带毒邮件正在被发送给企业邮箱。 2019 年企业级用户收到的带毒邮件量约占用户收发邮件总量的 6.6%。平均每天约有 1.2 亿封带毒邮件被发出和接收。 12 第二篇网站安全 13 第三章网站漏洞监测分析网站漏洞整体形势可以从两个角度分析：一是网站安全检测分析，二是网站漏洞攻击分析。本章将以奇安信网站安全检测与防护相关产品的统计结果为依据，分析 2019 年 1-12 月中国网站漏洞情况。一、网站安全检测本节主要以奇安信网站安全监测平台数据为基础，对全国网站漏洞情况进行统计分析。 2019 年 1-12 月，在接受网站安全监测平台检测的 6045405 个网站中，共有 347514 个（单月去重）网站被扫描检测出安全漏洞，占比为 5.7%，被扫描检出 3131473 次安全漏洞。对奇安信网站安全监测平台扫描出漏洞次数最多的 10 个漏洞类型进行分析，我们发现 2019 年 1-12 月前 10 的漏洞类型之和占到了总量的 70.1%。具体占比如下表所示。排名漏洞类型占比 1 跨站脚本攻击漏洞 37.3% 2 SQL 注入漏洞（盲注） 8.5% 3 发现目录启用了自动目录列表功能 8.2% 4 SQL 注入漏洞 5.7% 5 X-Frame-Options 头未设置 3.3% 6 Flash 配置不当漏洞 2.8% 7 发现目录开启了可执行文件运行权限 1.6% 8 发现 install.php 文件 1.1% 9 WEB 服务器启用了 OPTIONS 方法 0.8% 10 .htaccess 文件可读 0.8% 表 1 扫出漏洞最多的漏洞类型及漏洞次数占比 14 对奇安信网站安全监测平台扫描出漏洞次数最多的高危漏洞类型进行分析，我们发现 2019 年 1-12 月排名前 5 的高危漏洞类型之和占到了高危漏洞总数的 49.3%。具体占比如下表所示。排名高危漏洞类型占比 1 跨站脚本攻击漏洞 26.9% 2 SQL 注入漏洞（盲注） 12.8% 3 SQL 注入漏洞 8.6% 4 发现 SVN 版本控制信息文件 0.6% 5 SQL 注入漏洞（ path） 0.4% 表 2 高危漏洞扫出漏洞最多的漏洞类型及漏洞次数占比二、网站漏洞攻击分析本节将主要以奇安信网站卫士数据，对网站漏洞攻击的情况进行分析。 2019 年 1-12 月，奇安信网站卫士共为全国 135600 个网站拦截各类网站漏洞攻击 46.9 亿次，平均每天拦截漏洞攻击 1286.2 万次。 2019 年 1-12 月，全国漏洞攻击次数最多的 10 个类型拦截量占到了漏洞拦截总量的 95.8%，其中， protocol invalidation 类漏洞最多，占 34.0%。具体情况如下表所示。排名漏洞类型占比 1 protocol invalidation 34.0% 2 SQL 注入 19.7% 3 webshell 13.5% 4 通用漏洞 12.5% 5 XSS 5.3% 6 扫描器 4.6% 7 本地文件包含 2.1% 8 RFI 1.6% 9 文件备份探测 1.3% 10 nginx 攻击 1.2% 表 3 漏洞类型及攻击次数占比 15 第四章人工挖掘漏洞分析开放的第三方漏洞报告平台收录的某个地区的网站漏洞数量，也是考察该地区网络安全状况的参考指标。本章主要以补天平台数据为基础，对人工报告的网站漏洞情况进行分析。一、漏洞报告数量 2019 年 1-12 月，补天平台共收录全国相关网站的 68521 个安全漏洞，其中 67471 个为事件型漏洞，占全年漏洞的 98.5%； 1050 个为通用型漏洞，占 1.5%。二、漏洞地域分析从网站的 IP 归属地（省级）来看 ,来自北京市的网站被报告漏洞数量最多，共 19437 个，占比约为 28.4%；其次是广东省，共 7703 个，占比为 11.2%；上海市排第三，占比 8.7%。 16 三、漏洞行业分布从行业分布来看， 2019 年，来自教育培训行业的漏洞最多，共 5890 个，占全年漏洞的 8.6%；其次是政府及事业单位，共 5369 个，占比约为 7.8%；制造业排名第三，占比 5.5%。具体分布如下图所示： 17 四、漏洞类型分析从漏洞的危险等级来看，高危漏洞 14650 个，占比为 21.4%；中危漏洞 39237 个，占比为 57.2%；低危漏洞 14634 个，占比为 21.4%。从漏洞的技术类型来看， SQL 注入漏洞最多，占比为 33.4%，其次是信息泄露漏洞，占比为 16.7%，弱口令漏洞，占比为 12.0%。具体漏洞类型分布请见下图。 18 第三篇应急响应 19 第五章网络安全应急响应分析网络安全厂商提供的网络安全应急服务已经成为政府机构、大中型企业有效应对网络安全突发事件的重要手段。网络安全应急服务应该基于数据驱动、安全能力服务化的安全服务运营理念，结合云端大数据和专家诊断，为客户提供安全运维、预警检测、持续响应、数据分析、咨询规划等一系列的安全保障服务。本章将以奇安信安服团队应急响应情况为依据，分析 2019 年中国网络安全重大事故处置情况。 2019 年网络安全应急响应分析报告完整版可点击下方链接，通过奇安信官网下载查阅。下载链接：一、全年应急情况统计 2019 年全年，奇安信集团安服团队共参与和处置了 1029 起全国范围内的网络安全应急响应事件，同比 2018 年全年增长 312 起，投入工时为 2018 年同期的 1.24 倍。通过对 2019 年全年数据分析， 19 年 1 月至 3 月，应急请求逐月上升，于 3 月份达到全年最高， 4 月份之后应急请求逐渐趋于平稳。二、应急事件受害者分析 2019 年全年应急处置事件最多的行业 TOP3 分别为：政府及事业单位（ 250 起）、医疗卫生行业（ 153 起）以公检法（ 84 起），事件处置数分别占应急处置所有行业的 24.3%、 14.8%、 8.2%。三者之和约占应急处置事件总量的 39.2%，即全年近半数的应急处置事件发生于政府及事业单位、医疗卫生以及公检法行业。政企机构、大中型企业应急行业分布 TOP14 详见下图： 20 2019 年全年应急安全事件的影响范围主要集中在业务专网，占比 33.5%；办公终端，占比为 19.5%。其次为内部服务器和数据库， 16.0%；外部网站和内部网站， 14.0%。三、应急事件攻击者分析 2019 年全年应急事件中，黑产活动、敲诈勒索仍然是攻击者攻击政府机构、大中型企业的主要原因。 21 通过对 2019 年全年政府机构、大中型企业安全事件攻击类型进行分析，排名前三的类型分别是：木马病毒攻击，占比 50.4%；漏洞利用，占比， 17.0%；网页篡改，占比， 4.8%。具体分布如下图所示： 2019 年全年政府机构、大中型企业安全事件遭受攻击常见木马排名前三的为勒索病毒、挖矿木马以及一般木马，分别占比 32.1%、 15.7%、 6.4%。 22 从以上数据可以看出，勒索病毒、挖矿木马仍为攻击者攻击政府机构、大中型企业的常见木马类型。其中，勒索病毒常见于 GlobeImposter 勒索软件、 Wannacry 勒索软件、 Crysis 勒索软件、 GandCrab 勒索软件等。通过对 2019 年全年应急响应处理漏洞利用攻击事件进行统计分析，弱口令、永恒之蓝漏洞是政企机构、大中型企业被攻陷的重要原因，其次， weblogic 反序列化也经常作为黑客日常利用的攻击手段。 23 第四篇专题研究 24 第六章 IT/OT 一体化工业信息安全态势本章主要以工业控制系统安全国家地方联合工程实验室（简称：工业安全国家联合实验室）漏洞库收录的工业控制系统相关的漏洞信息为基础，综合参考了 Common Vulnerabilities & Exposures（ CVE）、 National Vulnerability Database（ NVD）、中国国家信息安全漏洞共享平台（ CNVD）及国家信息安全漏洞库（ CNNVD）所发布的漏洞信息，从工控漏洞的年度变化趋势、等级危害、漏洞类型、漏洞涉及行业、漏洞设备类型等方面分析工业控制系统的安全威胁态势及脆弱性。本章中的工控漏洞风险评估方法，基于通用漏洞评分系统，将可见性、可控性、漏洞利用目标服役情况等体现工控安全特性的指标纳入量化评估范围。该方法使用改进的工控漏洞风险评估算法，既可以生成工控漏洞的基础评分、生命周期评分，也可以用于安全人员结合实际工控安全场景的具体需求以生成环境评分。 ITOT 一体化工业信息安全态势报告完整版可点击下方链接，通过奇安信官网下载查阅。下载链接：一、工业互联网安全漏洞分析根据中国国家信息安全漏洞共享平台最新统计，截止到 2019 年 12 月， CNVD 收录的与工业控制系统相关的漏洞高达 2306个， 2019年新增的工业控制系统漏洞数量达到 413个，基本和 2018 年持平，工业控制系统漏洞数据居高不下，形势依然比较严峻。 CNVD 工控新增漏洞年度分布如下所示：在 2019 年， Common Vulnerabilities & Exposures（ CVE）、 National Vulnerability Database （ NVD）、中国国家信息安全漏洞共享平台（ CNVD）及国家信息安全漏洞库（ CNNVD）四大漏洞平台收录的漏洞信息共达到了 690 条漏洞，漏洞成因多样化特征明显，技术类型多达 25 30 种以上。其中，缓冲区溢出漏洞（ 105 条）、拒绝服务漏洞（ 90 条）和访问控制漏洞 (75 条 ) 数量最为常见。 2019 年工控系统新增漏洞类型分布如下：攻击者可以利用多样化的漏洞获取非法控制权、通过遍历的方式绕过验证机制、发送大量请求造成资源过载等安全事故。实际上，无论攻击者利用何种漏洞造成生产厂区的异常运行，均会影响工控系统组件及设备的可用性和可靠性。在四大漏洞平台收录的工业控系统漏洞中，高危漏洞占比 57.3%，中危漏洞占比为 35.5%，中高危漏洞占比高达 92.8%。在信息安全技术标准中定义：漏洞可以容易地对目标对象造成严重后果为高危漏洞，工业控制系统又多应用于国家重要信息系统，一旦遭受网络攻击，会造成较为严重的损失。在收录的工业控制系统漏洞中，涉及到的前八大工控厂商分别为西门子（ Siemens）、施 26 耐德（ Schneider）、研华（ Advantech）、摩莎（ Moxa）、趋势科技（ TRENDnet）、三菱（ Mitsubishi）、欧姆龙（ Omron）、和友讯（ D-Link）。漏洞涉及主要厂商情况如下图所示：需要说明的事，虽然安全漏洞在一定程度上反映了工控系统的脆弱性，但不能仅通过被报告的厂商安全漏洞数量来片面判断比较厂商产品的安全性。因为一般来说，一个厂商的产品越是使用广泛，越会受到更多安全研究者的关注，因此被发现安全漏洞的可能性也越大。某种程度上来说，安全漏洞报告的厂商分布，更多程度上反映的是研究者的关注度。在收录的工业控制系统安全漏洞中，多数分布在制造业、能源、水务、商业设施、石化、医疗、交通、农业、信息技术、航空等重要信息系统。一个漏洞可能涉及多个行业，在 690 个漏洞中，有 566 个漏洞涉及到制造业，也是占比最高的行业。涉及到的能源行业漏洞数量高达 502 个。制造业和能源行业工控漏洞较多，应加强这两个行业工业安全建设。漏洞行业分布图如下： 27 二、工控系统互联网暴露风险为了收集在互联网上具有可访问性的工业控制系统组件，美国安全公司 Positive Technologies 采用被动方式，使用可公开访问的引擎： Shodan（ shodan. io）、 Google、 Censys （ censys. io）对全球工业系统进行了搜索。其中， Shodan 和 Censys 可搜索工业服务器、路由器、专用摄像头等设备的联网情况。根据 Positive Technologies 研究数据显示：当前全球工控系统联网暴露组件总数量约为 22.4 万个，同比去年增长 27%。将可通过互联网访问的工业控制系统组件（工控设备、协议、软件、工控系统等）数量按照国家进行分类，美国联网的工控设备暴露情况最为严重，达到 95661 个，其次为德国，联网工控组件达到 21449 个，相比去年而言，中国工控系统互联网暴露数量呈现明显增长趋势，由 6223 个增长到 16843 个，增长比例高达 2.7 倍，排名第三。全球各国工控系统联网组件暴露数量及分布情况如下图。美国和德国联网设备在全球排名前两位，美国遥遥领先，同时也证实了美国工业突飞猛进的发展。德国联网的工控设备排名全球第二，工业发展迅速。 2015 年，中国国务院颁布了印发中国制造 2025 、关于积极推进“互联网 +”行动的指导意见； 2016 年，印发关于深化制造业与互联网融合发展的指导意见；推进信息化与工业化的深度融合，促进在工业互联网综合集成应用； 2017 年，印发关于深化“互联网 +先进制造业”发展工业互联网的指导意见； 2019 年，印发加强工业互联网安全工作的指导意见的通知，中国布局工业互联网，工业得到进一步发展，这也是中国工控系统组件联网暴露数量攀升到全球第三的原因。三、工业互联网安全保障建议结合工业互联网安全风险和威胁，我们发现传统的“围墙式”网络安全建设、业务和安全 “ 两张皮 ”、 IT 安全管理和 OT 安全管理“两张皮” 式的安全防护体系已经不能满足越来越复杂的网络安全环境。因此，规划建设 “ 工业互联网安全技术保障平台 ”有利于全面提高工业互联网安全建设水平。 28 三级协同的“工业互联网安全技术保障平台”建设将全面提升工业互联网安全保障水平。平台基于 “监测 -响应 ”的技术路线进行建设实施，有利于工业生产的长期可靠、稳定运行。因此，旁路的、非侵入式的平台建设结合关键节点串接、阻断式的安全防护是工业互联网安全建设的发展趋势。通过近年来不断的宣传教育，大多数工业企业开始重视工业网络安全工作，但是很多企业存在着重建设、轻运营的问题。一方面，这些企业对安全运营的重要性缺乏必要的认识。另一方面，工业企业也普遍缺乏合格的安全人才。这些现状导致已部署的平台长期处于一种无运营或者有限运营的状态，不能充分发挥平台的安全防护能力。我们认为工业企业可以利用外部资源，特别是安全公司提供的远程、驻场或托管式安全运营服务开展工作。工业企业也可以把安全运营工作上移到集团、行业等平台，通过委托方式用专业安全团队来提供安全保障。这些平台通常都具备本地化的应急响应团队，可以对工业安全事件进行及时响应。采用以上方案，不仅可以在威胁发现、风险预测、处置响应、追踪溯源等方面大幅度提高工业企业网络安全防护能力，还可以减少人力资源投入、降低工业企业安全运营成本。省级或行业级平台在和企业数据对接过程中，要重点做好数据采集、数据传输、数据存储、数据处理等方面的安全防护工作，构建全生命周期的工业大数据安全防护体系。省级或行业级工业互联网安全技术保障平台要以服务工业用户为主要目的，为接入企业提供有价值的安全运营服务。数据上报后帮助工业企业定期分析安全风险，及时发现安全威胁，第一时间应急响应，事后实现追踪溯源，减少企业安全损失，提供安全咨询，让工业企业看到数据上报后给企业所带来的价值。目前工业互联网安全技术保障平台建设还在起步阶段，特别是企业侧平台的建设机会巨大。平台建设应处理好与等保建设之间的关系，加强平台的运营和管理，吸引更多的工业企业接入上级平台。平台的建设必将推动我国工业互联网快速、健康发展。 29 第七章全球高级持续性威胁分析本章内容是基于奇安信威胁情报中心对 200 多个 APT 类情报来源或渠道的数据，进行收集、统计和分析的结果。同时，结合自身收集渠道获取的公开内容进行分析，总结形成 2019 年全球高级持续性威胁的态势情况，并对 2020 年 APT 威胁趋势进行了预测。全球高级持续性威胁（ APT） 2019 年报告完整版可点击下方链接，通过奇安信官网下载查阅。下载链接：一、全球 APT 活动公开报告状况奇安信威胁情报中心在 2019 年监测到的高级持续性威胁相关公开报告总共 596 篇。从公开报告的发布渠道统计来看，韩国安全厂商 ESTsecurity 发布了最多的高级威胁类报告，不过其披露的主要为针对韩国本土目标的攻击组织和攻击行动。除此以外，像奇安信、 Kaspersky、 FireEye、 Palo Alto Networks 和腾讯等依然保持着较高的高级威胁的跟踪、分析和披露，并且跟踪和披露全球范围内的多个 APT 组织和攻击行动。二、受害目标的行业与地域 30 从公开披露的高级威胁活动中涉及目标行业情况来看（摘录自公开报

展开阅读全文