4 月 20 日,国家互联网应急中心(CNCERT)正式发布《2019 年我国互联网网络安全态势综述》报告。这份报告既总结了 2019 年我国互联网网络安全状况,也预测了 2020 年网络安全热点。同时,它还提出相应的对策建议,并梳理了网络安全监测数据。通过这份报告,我们可以大致了解国内网络安全形势。
在前言中,报告指出:
2019 年,我国云计算、大数据、物联网、工业互联网、人工智能等新技术新应用大规模发展,网络安全风险融合叠加并快速演变。互联网技术应用不断模糊物理世界和虚拟世界界限,对整个经济社会发展的融合、渗透、驱动作用日益明显,带来的风险挑战也不断增大,网络空间威胁和风险日益增多。
整体上,2019 年, 在国内相关部门持续开展的网络安全威胁治理下,DDoS 攻击、APT 攻击、漏洞威胁、数据安全隐患、移动互联网恶意程序、网络黑灰产业、工业控制系统安全威胁总体下降,但呈现出许多新特点,带来新风险与挑战。
报告指出,党政机关、关键信息基础设施等重要单位防护能力显著增强,但 DDoS 攻击呈现高发频发态势,攻击组织性和目的性更加凸显。
据悉,2019 年 DDoS 攻击仍然呈现高发频发之势,CNCERT 抽样监测发现境内峰值超过 10Gbps 的大流量分布式拒绝服务攻击(DDoS 攻击)事件数量平均每日 220 起,同比增加 40%。
APT 攻击逐步向各重要行业领域渗透,在重大活动和敏感时期更加猖獗。这主要表现在三方面:
a. 投递高诱惑性钓鱼邮件是大部分 APT 组织常用技术手段,国内重要行业部门对钓鱼邮件防范意识不断提高;
b. 攻击领域逐渐由党政机关、科研院所向各重要行业领域渗透;
c. APT 攻击在我国重大活动和敏感时期更为猖獗频繁。
以钓鱼邮件攻击为例,2019 年,CNCERT 监测到重要党政机关部门遭受钓鱼邮件攻击数量达 50 多万次,月均 4.6 万封,,其中携带漏洞利用恶意代码的 office 文档成为主要载荷,主要利用的漏洞包括 CVE-2017-8570 和 CVE-2017-11882 等。
报告称,在漏洞信息共享与通报处置上,国家信息安全漏洞共享平台(CNVD)在 2019 年联合国内产品厂商、网络安全企业、科研机构、个人白帽子,共同完成对约 3.2 万起漏洞事件的验证、通报和处置工作,同比上涨 56.0%。
但是,值得注意的是,漏洞数量和影响范围仍然大幅增加。
据悉,2019 年,CNVD 新收录通用软硬件漏洞数量创下历史新高,达 16193 个,同比增长 14.0%,影响范围非常广。其中,安全漏洞主要涵盖的厂商或平台为谷歌、wordPress/ target=_blank class=infotextkey>WordPress 和甲骨文。按影响对象分类统计,排名前三的是应用程序漏洞(占 57.8%) 、Web 应用漏洞(占 18.7%)、操作系统漏洞(占 10.6%)。
并且,事件型漏洞数量大幅上升。CNVD 接收的事件型漏洞数量约 14.1 万条,首次突破 10 万条,较 2018 年同比大幅增长 227%。此外,是高危零日漏洞占比增大。近 5 年来,“零日”漏洞收录数量持续走高,年均增长率达 47.5%。
虽然数据风险监测与预警防护能力提升,但数据安全防护意识依然薄弱,大规模数据泄露事件频发。
2019 年,CNCERT 全年累计发现我国重要数据泄露风险与事件 3000 余起。其中,MongoDB、ElasticSearch、SQL Server、MySQL、redis 等主流数据库的弱口令漏洞、未授权访问漏洞导致数据泄露,成为 2019 年数据泄露风险与事件的突出特点。
此外,报告还指出“涉及公民个人信息的数据库数据安全事件频发,违法交易藏入‘暗网’”。
2019 年针对数据库的密码暴力破解攻击次数日均超过百亿次,数据泄露、非法售卖等事件层出不穷,数据安全与个人隐私面临严重挑战。
2019 年移动互联网恶意程序增量首次出现下降。据悉,2019 年,新增移动互联网恶意程序数量 279 万余个,同比减少 1.4%。同时,报告发现 2019 年出现的移动恶意程序主要集中在 Android 平台,其中近 70% 的 App 具有流氓行为、资费消耗等低危恶意行为。
从整治方面看,CNCERT 2019 年累计下架 3057 款恶意 App。
不过,报告也发现:以移动互联网仿冒 App 为代表的灰色应用大量出现,主要针对金融、交通、电信等重要行业的用户。2019 年,CNCERT 通过自主监测和投诉举报方式捕获大量新出现的仿冒 App,主要集中在仿冒公检法、银行、社交软件、支付软件、抢票软件等热门应用。
报告称“网络黑产打击取得阶段性成果“,比如每月活跃“黑卡”总数从约 500 万个逐步下降到约 200 万个,降幅超过 60.0%。2019 年底,用于浏览器主页劫持的恶意程序月新增数量由 65 款降至 16 款,降幅超过 75%;被植入赌博暗链的网站数量从 1 万余个大幅下降到不超过 1 千个。
不过,报告还发现:网络黑产活动专业化、自动化程度不断提升,技术对抗越发激烈。2019 年,CNCERT 监测发现各类黑产平台超过 500 个,提供手机号资源的接码平台、提供 IP 地址的秒拨平台、提供支付功能的第四方支付平台和跑分平台、专门进行账号售卖的发卡平台、专门用于赌博网站推广的广告联盟等各类专业黑产平台不断产生。
2019 年监测到各类网络黑产攻击日均 70 万次,电商网站、视频直播、棋牌游戏等行业成为网络黑产的主要攻击对象。
此外,值得注意的是,勒索病毒、挖矿木马在黑色产业刺激下持续活跃。2019 年,CNCERT 捕获勒索病毒 73.1 万余个,较 2018 年增长超过 4 倍,勒索病毒活跃程度持续居高不下。分析发现,勒索病毒攻击活动越发具有目标性,且以文件服务器、数据库等存有重要数据的服务器为首要目标,通常利用弱口令、高危漏洞、钓鱼邮件等作为攻击入侵的主要途径或方式。
2019 年最为活跃的勒索病毒家族:GandCrab、Sodinokibi、Globelmposter、CrySiS、Stop 等
2019 年最为流行的挖矿木马家族:WannaMine、Xmrig、CoinMiner 等
据悉,根据国内外主流漏洞平台的最新统计,2019 年收录的工业控制产品漏洞数量依然居高不下且多为高中危漏洞。
同时,随着工业互联网产业的不断发展,工业企业上云、工业产业链上下游协同显著增强,越来越多的工业行业的设备、系统暴露在互联网上。例如,2019 年,暴露在互联网上的工业设备 7325 台,相比 2018 年增加 21.7%,涉及西门子、韦益可自控、罗克韦尔等 39 家国内外知名厂商的 PLC 设备、智能楼宇、数据采集等 50 种设备类型,且存在高危漏洞隐患的设备占比约 35%。
不过,工业控制系统网络安全在国家层面顶层设计进一步完善。例如,“等保 2.0”正式将工业控制系统纳入到网络安全等级保护的范围,并出台了相应的测评要求。
一方面,随着国际局势渐趋复杂,有组织的网络攻击出于政治目的发起的网络攻击行动持续高发。另一方面,常在敏感时间节点发起有针对性的攻击渗透以最大程度博取政治利益。
报告表示,由于承载服务、信息的高价值性,预计在 2020 年,针对关键信息基础设施的网络窃密、远程破坏攻击、勒索攻击会持续增加。
除利用安全漏洞、弱口令等常见方式实施攻击外,通过软硬件供应链、承载服务的云平台作为攻击途径的事件或呈上升趋势,关键信息基础设施的安全问题将受到强烈关注。
2019 年,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》,出台了《儿童个人信息网络保护规定》,全国人大常委会正在制定《个人信息保护法》。
同时,中央网信办、工业和信息化部、公安部等监管部门日益提高执法监管力度,加大对违规采集和使用个人信息、泄露或售卖用户数据、侵害用户隐私权益的企业查处力度。
近年来,勒索攻击的目标逐渐转向网络安全防护较为薄弱的中小型企事业单位。从攻击手法来看,勒索软件逐渐呈现出专业性高、针对性强的特点,有向“泛 APT 攻击”发展的趋势。
2020 年初,全球突发新型冠状病毒感染的肺炎疫情,在其影响下,远程办公、医疗、教育等远程协同类的业态模式热度突增,大量传统行业也正加快转向通过互联网开展远程业务协作,随之而来的数据泄露、网络钓鱼、勒索病毒、网络诈骗等网络安全风险和威胁日益凸显。
报告预计 2020 年,针对远程协同类相关业态的网络安全风险和威胁将逐渐出现,引发更多对安全风险的关注。