本文转载自雷锋网。如需转载,请在雷锋网官网申请授权。近期,中美关系可以说是水深火热。从全面禁华为到禁海外版抖音,美国以网络安全为由对中国企业进行全面打压。有趣的是,雷锋网最近的一份报告发现,2019年中国遭受的外国攻击中,近一半来自美国。那么,海外攻击的具体类型有哪些?或许这份报告能给你答案。近日,国家互联网应急中心(CNCERT)发布了《 2019 年中国互联网网络安全报告》(以下简称?)。《报告》显示,2019年我国共捕获计算机恶意程序样本超过6200万个,日均传播量超过824万次,涉及计算机恶意程序家族超过66万个。根据传播源统计,位于境外的主要来自美国、俄罗斯、加拿大等国家和地区。其中,美国占53.5%,超过总数的一半。俄罗斯和加拿大分别为2.9%和2.6%。根据目标IP地址统计,我国受到计算机恶意程序攻击的IP地址约6762万个,约占我国IP地址总数的18.3%,主要集中在山东省、江苏省、浙江省及其他地区,分别占8.8%、8.4%、8.1%。值得注意的是,2019年我国感染计算机恶意程序的主机数为581.88万台,同比下降11.3%。位于海外的约5.6万台计算机恶意程序控制服务器控制着我国约552万台主机。从控制服务器所属国家和地区来看,位于美国、日本和中国香港的控制服务器数量位居前三。如需获取本报告全文pdf,请在雷锋网微信回复关键词“818报告”公众号提取。文件来源:国家互联网安全中心1.2019年网络安全概述APT攻击)、漏洞威胁、数据安全风险、移动互联网恶意程序、网络黑灰产业链(以下简称黑灰产品)、工控系统安全威胁总体上有所下降,但呈现出许多新特点,带来新的风险和挑战。(一)党政机关等重要单位和关键信息基础设施防御能力显着增强,但DDoS攻击事件频发,攻击组织和目的更加突出1.我国攻击资源可用于进行DDoS攻击的稳定与2018年相比,中国国内资源中的控制终端、反射服务器等资源月度变化速度加快,消亡率明显上升,新增率下降,资源可被利用的资源活跃时间和数量大幅减少——中国每月可被利用的活跃控制IP数量同比下降15.0%,活跃反射服务器数量同比下降34.0%。在治理行动的持续压力下,大量DDoS攻击资源向海外迁移,DDoS攻击的控制终端数量和来自海外的反射攻击流量占比均超过90.0%。在针对中国目标的大规模DDoS攻击中,来自国外的流量占比超过50.0%。2、针对党政机关、关键信息基础设施等重要单位的攻击组织和目的更加明显,重要单位防护能力也明显加强。2019年,信息系统频频遭受DDoS攻击,多数单位通过部署防护设备或购买云防护服务等方式加强自身防御能力。CNCERT/CC追踪发现,2019年某黑客组织对我国300余家政府网站发起了1000余次DDoS攻击,其攻击前期可导致被攻击网站80.0%以上的正常服务受到不同程度的影响。已经无法对目标网站造成实质性的破坏,说明被攻击单位的防御能力有了很大的提升。3、DDoS攻击依然时有发生且频发,仍有大量物联网设备被黑客攻击用于发起DDoS攻击。在我国,每天攻击峰值流量超过10Gbit/s的大流量攻击约有220起,同比增长40.0%。由于我国加大了对Mirai、Gafgyt等物联网僵尸网络控制终端的治理力度,2019年物联网僵尸网络控制终端加速消亡,活跃时间普遍较短,难以形成大规模控制。Mirai、Gafgyt等恶意程序控制端IP地址日均活跃数呈下降趋势,单个IP地址活跃时间小于3天的比例超过60.0%。因此,参与DDoS攻击的物联网设备活跃度在2019年底也呈现下降趋势。尽管如此,在监控检测到的僵尸网络控制终端中,物联网僵尸网络控制终端数量仍占54.0%以上,其参与发起的DDoS攻击数量也占50.0%以上。未来,更多的物联网设备将接入网络。如果不能提高它们的安全性,势必会给网络安全的防御和治理带来更多困难。(二)强化APT攻击监测和应急处置,防范钓鱼邮件意识不断增强。然而,APT攻击已逐渐渗透到各个重要行业,并在重大事件和敏感时期更加猖獗。一、投递高诱饵钓鱼邮件是大多数APT组织常用的技术手段,我国重要行业和部门防范钓鱼邮件的意识不断增强。漏洞利用Office文档恶意代码作为主要载荷,主要利用的漏洞包括CVE-2017-8570和CVE-2017-11882。2、攻击领域从党政机关、科研院所逐步渗透到各个重要行业。多个APT组织的网络窃取攻击已经严重威胁到国家网络空间安全。境外APT组织不仅攻击我国党政机关、国防军工、科研院所,还进一步向军民融合、“一带一路”、基础产业、物联网等领域扩张事物和供应链。电信、外交、能源、商业、金融、军工、海洋等领域成为境外APT组织的重点攻击目标。3、APT攻击在我国重大事件和敏感时期较为猖獗。境外APT组织习惯以时事热点事件或与目标工作相关的内容作为邮件主题,尤其是针对我国重要的攻击目标,不断反复进行横向渗透和扩张。袭击,在我国重大事件和敏感时期异常活跃。(三)重大安全漏洞应对能力不断增强,但事件型漏洞和高危零日漏洞数量增加,信息系统面临的漏洞威胁形势更加严峻。漏洞共享平台(CNVD)联合国内产品厂商、网络安全公司、科研机构、个人白帽子等相关力量,共同完成了约32000起漏洞事件的核查、通报和处置,同比增长56.0%。2、漏洞数量和影响范围仍在显着增加。一是公开的常见软硬件漏洞数量持续增长,影响大、范围广。2019年,CNVD新增常见软硬件漏洞数量创历史新高,达到16193个,同比增长14.0%。位于我国境内的RDP(IP地址)超过193万个,其中约34.9万个受此漏洞影响。此外,移动互联网行业的安全漏洞数量持续增长。2019年CNVD共收录移动互联网行业漏洞1324个,较2018年同期1165个增长13.6%。智能终端蓝牙通信协议、智能终端操作系统、App客户端应用程序、物联网设备、等被曝存在安全漏洞。二是2019年我国事件型漏洞数量大幅增加,CNVD接收的事件型漏洞数量约为14.1万个,首次突破10万个,相比2018年大幅增长227%三是高危零日漏洞占比上升。近5年来,零日漏洞(指存在漏洞时未发布补丁的CNVD)数量持续攀升,年均增长率达47.5%。2019年记录的零日漏洞数量持续增长,占记录漏洞总数的35.2%,同比增长6.0%。(四)数据风险监测预警和防护能力有所提升,但数据安全保护意识依然薄弱,大面积数据泄露事件频发1、数据安全保护力度不断加强。我国累计发现3000多起重要数据泄露风险和事件中央网信办支持中央网信办集中应急处置400多起存储重要数据或大量数据泄露事件公民的个人信息。MongoDB、ElasticSearch、SQLServer、MySQL、Redis等主流数据库存在弱口令漏洞和未授权访问漏洞导致数据泄露,成为2019年数据泄露风险和事件的突出特征。2.APP违法收集使用个人信息治理持续推进。截至2019年12月末,共受理网民有效举报12000余条,核实问题APP资金2300余笔;组织四部门推荐的14家专家技术测评机构,对1000余款常??用重点APP进行了深入测评,发现大量强制授权、过度索赔、超限收集个人信息等问题范围被发现。对问题严重,未及时整改的,依法予以公开曝光或下架。3、涉及公民个人信息的数据库数据安全事件频发。2019年,针对数据库的密码暴力破解攻击每天超过100亿次。数据泄露、非法销售等事件层出不穷,数据安全和个人隐私面临严峻挑战。科技公司、电商平台等信息技术服务行业,银行、保险等金融行业,医疗卫生、交通、教育、求职等重要行业,涉及公民个人信息的数据库数据安全事件频发.此外,一些不法分子将非法数据交易转移到暗网。暗网已经成为非法数据交易的重要渠道。涉及银行、证券、网贷等金融行业的非法数据销售事件占比高达34.3%。教育、教育、各类主流电商平台等行业数据的非法销售事件也时有发生。(五)恶意程序增幅首次下降,但大量“灰色”应用出现,对重要行业的安全威胁更加明显。节目数量连续六年下降。2019年新增移动互联网恶意程序超过279万个,同比下降1.4%。根据近14年的监测统计,移动互联网恶意程序新增数量在经历了高速增长期和爆发式增长期后,进入了缓慢增长期,2019年新增数量呈下降趋势。第一次。2019年出现的移动互联网恶意程序主要集中在Android平台。根据《移动互联网恶意程序描述格式》(YD/T2439-2012)行业标准,统计恶意程序的行为属性,流氓行为、资费消耗等低风险恶意行为。存在远程控制、恶意扣费等高危恶意行为的APP占比10.6%。2019年共处理协调应用商店152家、广告平台86家、个人网站63家、云平台19家,沟通渠道320个,下架应用3057个,下架3.9万个。2014年至2018年分别超过17000、9000、8000、3578,连续六年呈下降趋势。2、移动互联网大量以山寨APP为代表的“灰色”应用涌现,主要针对金融、交通等重要行业用户。(6)黑产资源得到有效清理,但恶意注册一、网络赌博、挖矿病毒依然活跃,高强度技术交锋更加激烈1.打击网络黑产取得阶段性成果。每月活跃“黑卡”总数从500万左右逐渐下降到200万左右,降幅超过60.0%。截至2019年底,月新增用于劫持浏览器首页的恶意程序数量从65个下降到16个,降幅超过75%;嵌入赌博反向链接的网站数量从10,000多个急剧下降到不超过1,000个。在“净网2019”活动中,公安机关取缔各类违法企业210余家,销毁取缔买卖手机短信验证码、帮助网络恶意注册的网络取码平台40余家记账,抓获犯罪嫌疑人姓名14000余人。2、网络黑产活动专业化、自动化程度不断提高,技术对抗日趋激烈。2019年,日均监测各类网络黑产攻击事件超过70万次。电商网站、视频直播、棋牌游戏等行业成为网络黑产。主要攻击目标,攻防游戏不断进化。3、勒索病毒和挖矿木马在黑产刺激下持续活跃2019年,CNCERT/CC捕获勒索病毒73.1万余个,较2018年增长4倍多,勒索病毒活跃度持续高位运行。分析发现,勒索软件攻击的针对性越来越强,主要目标是文件服务器、数据库等存储重要数据的服务器。弱密码、高危漏洞、钓鱼邮件通常是攻击入侵的主要手段或手段。(七)国家层面工控系统网络安全顶层设计进一步完善,但工控系统产品安全问题依然突出,新技术应用带来的新安全风险较多严峻1.国家级工控系统网络安全顶层设计不断完善,国家级工控系统网络安全监测和态势感知能力不断提升。2、工控系统产品漏洞数量居高不下。3、互联网的暴露面不断扩大,新技术的应用给工控系统带来了新的安全风险。二、网络安全监测数据分析(一)恶意程序1、计算机恶意程序抓获2019年,抓获的计算机恶意程序样本数量超过6200万个,日均传播超过824万次,涉及家庭计算机恶意程序超过660,000个。根据传播源统计,位于境外的主要来自美国、俄罗斯、加拿大等国家和地区。根据目标IP地址统计,我国被恶意计算机程序攻击的IP地址约6762万个,约占我国IP地址总数的18.3%,主要集中在山东、江苏、浙江、广东等地区。二、感染计算机恶意程序用户2019年,我国感染计算机恶意程序的主机数为581.88万台,同比下降11.3%。位于海外的约5.6万台计算机恶意程序控制服务器控制着我国约552万台主机。从控制服务器所属国家和地区来看,位于美国、日本和中国香港的控制服务器数量位居前三。就我国控制的主机数量而言,位于美国、荷兰和法国的控制服务器的控制规模位居前三。此外,根据CNCERT/CC抽样监测数据,针对IPv6网络的攻击也开始出现。2019年,境外拥有约3000个IPv6地址的计算机恶意程序控制服务器控制了我国约4万台IPv6地址主机。2019年我国受木马或僵尸程序控制的主机IP地址数量占比按地区计算,前三名分别为广东省、江苏省和浙江省。在通过恶意程序感染计算机形成的僵尸网络中,规模超过100台主机的僵尸网络数量达5612个,规模超过10万台主机的僵尸网络数量达到39个。三、移动互联网恶意程序捕获在2019年,CNCERT/CC通过自主抓取和厂商交换获取移动互联网恶意程序样本超过279万个,同比下降1.4%。近五年增速持续放缓,并首次出现增量式下降。根据移动互联网恶意程序恶意行为属性统计,排名前三的依然是流氓行为、资费消耗和信息窃取,占比分别为36.1%、33.2%和11.6%。4.联网智能设备恶意程序捕获2019年,CNCERT/CC捕获联网智能设备恶意程序样本约324.1万个,其中大部分属于Mirai家族和Gafgyt家族(占比86.1%)。服务器端传输源IP地址约有27800个,大部分位于境外(占比79.9%)。我国疑似感染智能设备IP地址数约为203.8万个(同比增长31.8%)。分布在浙江省、江苏省、山东省、辽宁省、河南省等地,被控联网智能设备每天对1528个目标发起DDoS攻击。(二)安全漏洞2019年,国家信息安全漏洞共享平台(CNVD)收录的安全漏洞数量创历史新高,收录的安全漏洞数量同比增长14.0%,达到总数16193个,2013年以来年均增长12.7%。其中,收集到的高危漏洞数量为4877个(占比30.1%),同比下降0.4个百分点,但零个日脆弱性继续上升。2019年收集的安全漏洞中,零日漏洞数量占比35.2%,达到5706个,同比增长6.0%。根据受影响对象类型分类统计,排名前三的分别是应用程序漏洞(56.2%)、Web应用程序漏洞(23.3%)和操作系统漏洞(10.3%)。2019年,CNVD继续推进移动互联网、电信行业、工控系统、电子政务四大子漏洞库建设,新增安全漏洞1214个(占全年收集总数的7.5%),638个(3.9%)、443起(2.7%)和131起(0.8%),其中移动互联网子漏洞数据库数量较2018年增长4.2%。CNVD通报了约2.9万起涉及政府等关键信息基础设施的安全漏洞事件全年机构和重要信息系统同比大幅增长42.1%。(三)DDOS攻击1.境外DDoS攻击2019年,CNCERT/CC持续监测分析境外DDoS攻击流量,发现境外DDoS攻击流量平均超过10Gbit/s的大流量攻击超过120起每天。境外DDoS攻击的主要攻击方式为UDPFlood、TCPSYNFlood、MemcachedAmplification、NTPAmplification和DNSAmplification,这五种DDoS攻击占比达89%。98%的海外DDoS攻击持续时间不到30分钟,攻击目标主要集中在浙江、广东、江苏、山东、北京等经济发达地区。(四)网站安全1.网页仿冒2019年,监测发现针对我国网站的仿冒页面约8.5万个,页面数量较2018年增长59.7%。从托管仿冒页面的IP地址归属来看,他们中的大多数位于国外,主要是在香港、中国和美国。2、网站后门2019年,CNCERT/CC检测到我国境内外约4.5万个IP地址在约8.5万个网站被植入后门。我国被植入后门的网站数量较2018年增长超过2.59倍。其中,约4万个境外IP地址(占IP地址总数的90.9%)对我国约8万个网站植入后门,其中位于美国的IP地址占比最高,占海外IP地址总数的33.5%,其次是位于英国和中国香港的IP地址。三、网页被篡改2019年,我国约有18.6万个网站被篡改,其中政府网站被篡改515个。从网页被篡改的方式来看,植入暗链接的网站在所有被篡改网站中所占比例明显下降,且占比较小;从域名类型来看,2019年我国被篡改的网站中,代表商业组织网站(.com)的数量最多,占75.2%,其次是网络组织(.net)网站和非-营利组织(.org)网站,分别占4.7%和1.2%。(5)云平台安全云平台作为控制端发起的DDoS攻击次数占我国控制端发起的DDoS攻击次数的86.0%,被控端被控制的IP地址数量木马和僵尸网络恶意程序占我国所有受控终端IP地址的86.0%。客户端IP地址总数的89.3%,互联网承载的恶意程序类型数量占我国互联网承载的恶意程序类型数量的81.0%。(六)工业控制系统安全1.工业控制系统暴露于互联网侧2019年,暴露于互联网的工业设备7325台,较2018年增长21.7%。涉及可编程逻辑控制器、智能楼宇设备、数据采集监控服务器等50种设备,来自国内外39家知名厂商,存在高危漏洞的设备占比约35%。医疗卫生、电力、油气、煤炭、城市轨道交通等重点行业暴露联网监控管理系统2249套,较2018年增长21.9%,其中医疗卫生行业709套、电力653套、油气584套、煤炭203套、城市轨道交通100套,涉及类型包括企业生产管理、企业运营管理、行业云平台、政府监管等。2、威胁工控系统互联网侧监控2019年,我国大型工业互联网云平台持续遭受境外网络攻击,日均攻击90起,较2018年增长43%。涉及Web应用攻击、命令注入攻击、漏洞利用攻击等,工业云平台承载着大量的接入设备、业务系统,以及企业个人信息和重要数据,使其成为网络攻击的重点目标。2019年,CNCERT/CC通过互联网监测定位发现,关键信息基础设施行业联网打印机1773台,其中工业领域相关打印机78台,涉及石油、电力、煤炭、制造等行业。三、2020年网络安全关注方向预测及政策建议(一)方向预测一些新问题、新挑战。2020年值得关注的网络安全方向如下:1、规模和破坏力急剧增加成为有组织网络攻击的新特征;2、系统协同防护将成为关键信息基础设施网络安全防护的新趋势;3.政策法规与执法多管齐下监管为数据安全和个人信息保护提供新指引;4、网络勒索精准重点转向中小企业和机构,成为网络黑产新趋势;六、5G等新技术新应用涌现或网络安全面临新挑战。(二)对策建议1、加强关键信息基础设施保护;2.完善数据安全管理和个人信息保护;3.加快突破网络安全核心技术创新;4.扩大网络安全技术产业规模和网络安全人才队伍;五、扩大国内外网络安全合作。综上所述,网络安全监测虽然取得了一定成绩,但还有很长的路要走。
